クラウド活用で行うべき「ガバナンス強化策」、押さえておきたいポイントとは

ZDNET Japan Ad Special

2019-01-15 14:00

[PR]ZDNet JapanおよびAWS Partner Networkの主催で、クラウドの中心的存在である「アマゾン ウェブ サービス(AWS)」をテーマにした全6回のオフラインセミナーが開催された。第6回のテーマは「ガバナンス」

ZDNet JapanおよびAWS Partner Networkの主催で、クラウドの中心的存在である「アマゾン ウェブ サービス(AWS)」をテーマにした全6回のオフラインセミナーが開催された。第6回は「ガバナンス」をテーマに2018年12月6日に行われ、そこから基調講演とNTTドコモによる特別講演の内容をお伝えする。デジタルビジネスに不可欠なクラウドだが、セキュリティを特に重要視する企業が多い。企業の「生命線」とも言うべき情報資産をしっかりと守ってガバナンスを強化し、なおかつ生産性を落とさないための手法が紹介された。

基調講演:開発生産性を落とさない内部統制が要求される

freee
CSIRTセキュリティマネージャ
粟津昂規氏
freee
CSIRTセキュリティマネージャ
粟津昂規氏

 基調講演には、freee株式会社(以下:freee)のCSIRTセキュリティマネージャ 粟津昂規氏が登壇。「クラウド会計ソフトfreeeのデータセキュリティと内部統制」と題して、freeeの情報ガバナンスの取り組みを解説した。

 クラウド会計ソフトとして現在100万社以上に導入されているfreee。国内最多となる3,800機関以上の金融機関とサービス連携し、FinTechをリードするベンチャーとして利便性の高いサービスを提供している。そのなかで課題となるのはデータセキュリティだ。

 粟津氏は「開発速度を落とさず、競争力を維持しながらも、セキュリティの堅牢化は常に進める必要があります」と講演を切り出した。

 粟津氏のキャリアは異色だ。大学時に起業し、ITストリーミングのネットワーク設計・構築、制作技術チームの指揮を務めたあと、一念発起して防衛省・自衛隊に入隊。現場通信部隊で災害派遣など現場でのネットワークの設計・構築に携わったあと、陸上自衛隊のシステム監査人として、OA系システムや指揮統制システムの監査、セキュリティリスク評価など担当、2018年4月にfreeeに入社した。

 「freeeでは、CSIRTチームで内部統制セキュリティを担当し、IT全般に関する統制の構築、内部のモニタリング監査、セキュリティリスクのチェックなどを担当しています。そこで要求されるのは、開発生産性を落とさない統制と、サービスの進化、事業速度についていくリスクアセスメントです。 ベンチャーゆえの競争力維持のため、ただ管理を強化すれいいわけでなく、コスト削減以上に難しい課題感があります」(粟津氏)

 そのうえで粟津氏は、開発、運用、分析という3つのフェーズそれぞれにおいて、リスクに合わせて環境を整備し、異なる対策を実施して顧客情報を守っていると説明した。

外部の脅威とともに内部不正・過失への対策も徹底

 開発フェーズでは100名以上の開発者がAWSの多数のAmazon EC2インスタンスに1日数回デプロイを行う。このため隅々まで細かい統制を行うとデプロイが回らなくなる。とはいえ、開発者の適切な権限管理とデータアクセス管理は不可欠だ。

 そこで「GitHub Flow」を中心にテスト、レビュー、承認を行い、「JIRA」等を使って課題を管理する。ID管理は、IDaaS「OneLogin」をSAML連携し、AWS Identity and Access Management(IAM)のロールで管理する。

 「単独開発を『させない』『できない』ようにし、品質の維持と不正プログラムの混入を防ぎます。SAML連携で大量の開発者をIAMユーザー+IAMロールで管理することで、リスクを下げつつ開発者の生産性を阻害しないことに努めています」(粟津氏)

 運用フェーズでは、外部からのサイバー攻撃の脅威とともに内部不正・過失の脅威も含めて、運用上のクリティカルな要素を抑止・防止できる機構を作り込んでいる。具体的には、サーバへのSSHログインでは、専用の踏み台サーバを設置し窓口を一元管理したうえで、共有アカウントや不要な鍵共有をしないことを徹底。ロールベースのアクセス制御と、2要素認証も実施する。

 また、SSHログインはSlackに通知し、作業内容はコマンドだけでなくttyのすべてを記録。本番データベースへの書き込み権限のリアルタイム関し、scp、rsyncなどのコマンドの実施もリアルタイムに記録。セキュリティグループもTerraformとCIによりコードベースで管理する。

 分析フェーズでは、顧客情報の保護を大前提に社員がデータを安心して活用できる仕組みを整備している。具体的には、リスクに合わせて情報をレベル別に分類。匿名化とマスキングを施したうえで、社員がSQL等でデータを分析できるようにしている。

 最後に粟津氏は「統制の仕組みづくりやリスク管理の自動化などを進めていますが、課題は山積みです。エンジニアリングの力で将来に向けた取り組みを進めていきます」と強調した。

匿名化とデータマスキングを施したうえでデータを活用 匿名化とデータマスキングを施したうえでデータを活用
※クリックすると拡大画像が見られます

特別講演:スピード感やスケーラビリティでクラウドを選択

NTTドコモ
イノベーション統括部
担当課長
住谷哲夫氏
NTTドコモ
イノベーション統括部
担当課長
住谷哲夫氏

 特別講演には、NTTドコモ イノベーション統括部 担当課長の住谷哲夫氏が登壇。「クラウド導入を促進する、NTTドコモが軌道に乗せたクラウドCoEの取り組みについて」と題して、ドコモにおけるAWSクラウドのセキュリティ評価体制や「クラウドCoE(Center of Excellence)」と呼ばれる取り組みのポイントを紹介した。

 ドコモは長年にわたってAWSを活用して数多くのシステムを構築・運用してきた。そうしたなか、社内のクラウド導入を促進するためのアカウント管理やコスト管理、クラウド上でのセキュリティや開発のガイドライン、自動アセスメントツール、コスト可視化ツールの提供などを行うのがクラウドCoEチームだ。

 住谷氏は、クラウドCoEチームで、社内AWSの利用管理や、社内向けクラウドコンサルティングを行うほか、社内向けSaaSの設計・構築・運用、コスト可視化ツールの開発などに従事している。

 「ドコモは2009年から研究開発・検証用にAWSの利用を開始し、2012年にリリースにした『しゃべってコンシェル』『フォトコレクション』で大規模商用利用を開始。2014年からは、ビッグデータ分析でAmazon Redshiftを利用したり、それまで培ったノウハウを元に社内向けに開発ガイドラインを提供するなど、クラウドCoE活動を本格化させました」(住谷氏)

 AWSアカウント数は本番からPoCまで含めて450以上、EC2のインスタンス数は1万3000超にも及ぶ。クラウドでの実勢が増えるにつれ、当初社内に存在したクラウドへの懸念も薄れ、スビード感が必要なWebサービスではクラウドを使う意識が強まり、セキュリティ基準が準拠できるならデータの保管場所は問われなくなっていったという。

 「コストよりもスピード感やスケーラビリティでクラウドを選択するようになりました。クラウドCoEでコンサルをして、クラウドの機能・特性を活用したアーキテクチャにすることで事業部門の運用負担を軽減しています」(住谷氏)

アセスメントツールやコスト分析ツールを自社開発

 ドコモの社内規定類は非常に多岐にわたる。対策項目は、内部・外部ログ、権限付与ルール、アカウント管理、入退室管理、データ暗号化、情報セキュリティ監査など200項目以上に及ぶ。

 住谷氏はセキュリティに対する評価体制について「AWSには責任共有モデルがあり、セキュリティ機能としてIAMやセキュリティグループ、ネットワークACL、ログ取得機能、暗号化オプションなどが用意されています。ドコモ側がアプリケーションのセキュア設計やユーザーデータの管理などについて適切な対策をすればセキュリティ要件をすべて満足可能です」と説明した。

 もっともAWSを大規模に利用するうえでは、内部統制、リテラシー向上、アカウント管理、コスト管理などの課題が発生する。そうした課題の解決を支援するのがクラウドCoEだ。

 クラウドCoEでは、ユーザーが考慮すべきクラウドにおける開発やセキュリティのドキュメント計8種類を社内展開している。例えば「クラウド開発ガイドライン」は、AWSを使う場合の考え方や作法、ドコモの開発フローにおける各フェーズで考慮・実施すべき指針を記載。また、AWSを利用する際に必要となるセキュリティ要件を記載した文書「AWSデザインパターン」も提供する。

 さらに、こうしたベストプラクティスやセキュリティ対策の準拠性を、自動的かつ継続的に確認できるツールとして「ScanMonster」を自社開発。また、各アカウントのコストを可視化し、コスト要因を分析するツールとして「Cost Visualizer」も自社開発した。また、上記のガイドラインやツール類は自社だけでなく、クラウドサービスを利用している企業向けに提供もしている。

 住谷氏は「自ら手を動かして試すこと、その知見を活用して事業部門をコンサルティングすること。それがクラウドの導入促進につながります。事業のカベにならないようギブアンドテイクが基本です」とクラウドCoE運営のポイントを挙げて役割を強調した。

クラウドCoEはクラウドに関するさまざまな課題に対応 クラウドCoEはクラウドに関するさまざまな課題に対応
※クリックすると拡大画像が見られます

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]