Security-JAWS【第34回】マルチクラウド環境で3年間CSPMをやってきた

5.2K Views

August 19, 24

スライド概要

下記イベントでの登壇資料です。
https://s-jaws.connpass.com/event/326053/

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

マルチクラウド環境で3年間CSPM をやってきた Japan Digital Design株式会社 Head of TDD 兼 VP of Security 唐沢 勇輔 2024/08/19 © 2024 Japan Digital Design, Inc. 1

2.

アジェンダ 1. 自己紹介&会社紹介 2. JDDにおけるクラウドセキュリティ全体像 3. Prisma Cloudの選定経緯 4. 実際どう運用しているか 5. 3年間やってみて © 2024 Japan Digital Design, Inc. 2

3.

1 自己紹介 © 2024 Japan Digital Design, Inc. 3

4.

自己紹介 • 2019年3月にJDD入社、Security Team立ち上げ • 社内環境から自社開発システムまでセキュリティに関す る業務を幅広く担当 • 2021年9月よりEngineering部門のHead就任 • 好きなAWSサービス:Amazon GuardDuty 唐沢 勇輔 Head of Technology & Development Div. Vice President of Security © 2024 Japan Digital Design, Inc. 4

5.

会社概要 社名 Japan Digital Design株式会社 設立 2017年10月2日 代表者 代表取締役 CEO 浜根 吉男 従業員数 84名(2024年6月末時点) 株主構成 株式会社三菱UFJフィナンシャル・グループ 株式会社三菱総合研究所 三菱UFJリサーチ&コンサルティング株式会社 © 2024 Japan Digital Design, Inc. 5

6.

JDDの特徴 専門人材 エンジニアリング・データサイエンス・デザイン 開発インフラ データ分析基盤・クラウドIT環境 MUFGにおけるJDDの役割 Japan Digital Design株式会社(JDD)は、AI・CX・Tech領域を組み合わせ、 MUFGのDX活動に対するソリューションを提供します。 顧客・自社の ビジネス課題 ソリューション R&D ドメイン知識 人材交流による 金融DX人材育成・ DXナレッジ向上 MUFGとの協業・人材交流やR&D機能を通じて、金融のイノベーションを先導し、 MUFGのお客様にとっての金融体験や、MUFGの事業環境をアップデートし続けます。 © 2024 Japan Digital Design, Inc. 6

7.

JDDの特徴 メンバーの主な出身企業 各分野の プロフェッショナルが在籍 70%以上がMUFGグループ外の中途採用メンバー ビジネス開発、AI、データ分析、システム開発、インフラ、 IT企業 証券会社 銀行 広告代理店 金融系 スタートアップ SaaS 起業家 メーカー SIer デザイン ファーム 大学 アーキテクチャー、セキュリティ、UXデザインの専門人材で構成 © 2024 Japan Digital Design, Inc. 7

8.

JDDの特徴 セキュアなクラウドインフラ 安全安心なDXを支える金融レベルの セキュアなデータ分析環境を保有 三菱UFJ銀行の3400万口座、過去10年分の取引履歴を、 MUFGのセキュリティ基準を満たす形でクラウド環境に展開する分析基盤を構築した実績 MUFGのセキュリティ基準を深く理解し、グローバルなベストプラクティスも見据えた 高度なデータ分析環境を保有 + MUFGセキュリティ 基準の理解 グローバル スタンダード © 2024 Japan Digital Design, Inc. 8

9.

JDDのクラウドインフラ • データ分析基盤 (Databricks)での利用 • 多くのプロジェクトでプロダ クション&PoC利用 • 一部のプロジェクトでプロダ クション&PoC利用 • 主に社内環境向けに利用 • 利用はAWS >> Google Cloud > Azureの順で多い(金額ベース) • AWSはデータ分析環境を中心に広くプロダクション・PoCで使っており、Google Cloudは一部プ ロジェクトでの利用、Azureは社内利用が多い © 2024 Japan Digital Design, Inc. 9

10.

2 JDDにおけるクラウドセキュリティ全体像 © 2024 Japan Digital Design, Inc. 10

11.

JDDにおけるクラウドセキュリティ全体像 https://note.com/japan_d2/n/n574b266a354f https://note.com/japan_d2/n/n4cb94cac6806 © 2024 Japan Digital Design, Inc. 11

12.

JDDにおけるクラウドセキュリティ全体像 具体的には以下のような役割分担 1. 環境の払い出し、JDD全体としてのガードレール構築などはInfraチームが担当 2. 払い出された環境内のリソース作成はプロジェクトにアサインされたInfra Engineerま たはSoftware Engineerが作成 3. アーキテクチャレビューやセキュリティ監視はSecurityチームが担当 セキュア設計 IAM 構成管理 脆弱性管理 Project ◎ ◎ ◎ ◎ (Managed多用) Infra Team ○ (ガードレール構築) ○ (ガードレール構築) ○ (ガードレール構築) ◎ (Managed多用) Security Team レビュー レビュー・監視 監視 - © 2024 Japan Digital Design, Inc. 12

13.

3 Prisma Cloudの選定経緯 © 2024 Japan Digital Design, Inc. 13

14.

Prisma Cloudの選定経緯 2020年4月頃 そろそろ僕らもCSPMを! • そろそろJDDでもプロダクション環境が増えてきそうな雰囲気だった • re:Inforce 2019でも色んなサービスが展示されており、サードパーティの製品 も充実してきた印象 CSPMとは、Cloud Security Posture Management(クラウドセキュリティポスチャ管理)の略だよ。 これは、公開クラウド環境のセキュリティリスクを自動的に検出し、評価し、管理するための手法のこ とを指すんだ。簡単に言うと、CSPMはクラウド環境のセキュリティ状態を継続的に監視し、何か問題 が発生したらそれを識別して対応する手段なんだよ。これにより、クラウド環境における誤設定や不適 切な操作によるリスクを減らすことができるんだ。例えば、公開されているべきでないデータベースや、 適切な認証が設定されていないストレージなどの問題を識別して、それらの問題を修正するための推奨 事項を提供するんだよ。CSPMは、クラウド環境のセキュリティを強化し、企業のデータ保護に重要な 役割を果たす存在なんだ。サイバーセキュリティに興味がある人にとっては、この領域の知識はとても 価値があるよ! (JDD AIチャットボット「はなすけ」) © 2024 Japan Digital Design, Inc. 14

15.

Prisma Cloudの選定経緯 2020年6月頃 まずは製品比較 Turbot 年間コスト CloudSutodian 0円 インフラコスト 0円 Business: 約99万円 Enterprise: 約198万円 0円 導入工数 中 中 高 運用工数 中 低 中 その他 スキルを横展開しにく 同左 いかもしれない? コントロール重視 監視・監査重視 設計思想 約198万円 Prisma Cloud ?円 OSSなので改善可、 スキル汎用的? コントロール重視 © 2024 Japan Digital Design, Inc. 15

16.

Prisma Cloudの選定経緯 2020年7月頃 Prisma Cloudに決めた! • やりたいことの再確認 • AWS/Google Cloud/Azureが対象 →○ • クラウド環境の設定に問題が無いかを確認したい →○ • 問題があった場合に修正を強制したい? →× • プロジェクトによっては可用性重視の場合もある • リリース前に構成に問題がないかは確認してからローンチできる • JDDの規模であれば発見してからの修正は早い • 決め手 • 上記であればPrisma Cloudで十分、相対的に安いのもありがたい • むしろAWSだけならSecurity Hubでも良いが、アカウンタビリティを考える とサードパーティによる監査に価値あり © 2024 Japan Digital Design, Inc. 16

17.

4 実際どう運用しているか © 2024 Japan Digital Design, Inc. 17

18.

実際どう運用しているか 各クラウドの連携状況 プラットフォーム 状況 備考 AWS プロダクション環境のみ PoCリソースなどを課金対象にしないように Google Cloud Organization全体 全部連携するのが楽でPoCリソースもほとんどない ので無駄にならない Azure 未連携 内部リソースなのでPending.. © 2024 Japan Digital Design, Inc. 18

19.

実際どう運用しているか 何をいつ見ているか • CIS BenchmarkベースでAWS / Google Cloud環境をチェック • High項目は、On-CallツールやSlackに連携してアラートとして発報し、即時チェック • Mid / Low / Infoのアラートは四半期ごとにSecurityチームがレビュー © 2024 Japan Digital Design, Inc. 19

20.

実際どう運用しているか 気が向いたらダッシュボードを眺めたりしていますが、基本平和 (あまり変なリソース構築しないJDDメンバーに感謝!) IMDSv2になっていないEC2 の検出で問題ないもの © 2024 Japan Digital Design, Inc. 20

21.

5 3年間やってみて © 2024 Japan Digital Design, Inc. 21

22.

3年間やってみて 良かった点 今後の課題 • セキュリティ事故はゼロ • そろそろAzureも.. • 基本的には誤検知に類するものがほとん ど、ただしノイズになってはいない • CIS Benchmarkの検出項目の重要度付けは 見直しても良いかもしれない.. • ライトな運用ができている(CIS 2->3の反 映も画面で設定を変えるだけ) • 合理的な課金(アカウント1つ追加しただけ で課金されることはない) © 2024 Japan Digital Design, Inc. 22

23.

Thank you. © 2024 Japan Digital Design, Inc. 23