Google Cloud 導入事例:
富士フイルムビジネスイノベーション株式会社 様
Google Cloud の 共通プラットフォームに 発見的統制を導入し、セキュリティと 開発自由度の 好バランスを実現
~ 独自ポリシーに合致した モニタリングの仕組みを 約3カ月で構築 ~
- 2023/10/03
富士フイルムビジネスイノベーション株式会社 様(以下「富士フイルムBI」、敬称略)は、クラウド上での セキュリティ確保に 発見的統制を取り入れることで、迅速な開発の妨げとなっていた IAM 権限制御による 予防的統制を大幅に緩和し、安全 かつ 高効率な システム開発を可能とする環境を整えました。
この取り組みについて、共同でシステムを開発した 株式会社野村総合研究所(以下「NRI」)の担当者を交え、お話を伺いました。
導入の背景・経緯
IAM 権限制御による 予防的統制が 迅速な開発を阻害
富士フイルムBIでは、お客様向けサービスの基盤として クラウドを積極的に活用し、提供しているソリューションの数は 現時点で 約200にも及びます。当初は プライベートクラウドのみの構成でしたが、2014年に AWS、2016年には Google Cloud を導入し、現在は マルチクラウドの環境となっています。
クラウドの利用が広がるにつれて 顕著になったのが、セキュリティを確保するための予防的統制が 迅速な開発を阻害しているという問題でした。事業部門側の CCoE として、お客様向けサービス基盤の整備に携わる 富士フイルムBI ビジネスソリューションサービス事業本部 クラウド統括の 田中 圭 氏 は、当時の状況について 次のように語ります。
「パブリッククラウドのサービスには 魅力的なものが多いのですが、一歩間違えると 情報漏洩などのリスクにさらされます。そのため、予防的統制を取り入れ、気を付けて使う必要があるサービスについては 開発者からの申請を我々が承認して 権限を付与するフローにしていました。しかし、申請から権限変更が実施されるまで 3~5営業日もかかるため、開発現場からは 不満の声が上がっていました。近年、アジャイル開発が 一般化し、スプリントあたり 1~2週間で回している状況を鑑みると、3~5営業日のリードタイムは スプリント 1回分に相当します。これでは開発効率の低下が避けられず、新たな仕組みの導入が 必須となっていました」
現場からの強い要望もあり、当初は権限を緩める方向での検討を進めましたが、それには セキュリティリスクの懸念が つきまといます。そこで、開発のアジリティと フレキシビリティを上げつつ、的確なリスクコントロールを行えるよう、発見的統制を取り入れることにしました。
「権限変更のリードタイムを減らして 開発の利便性を向上させたいが、セキュリティホールの発生は許されない。この相反する 2つの要件をクリアするために、大幅に緩和した IAM モデルと 発見的統制をセットで導入することに 決めたのです」(田中 氏)
- 富士フイルムBIの 田中 圭 氏。
導入の概要・ポイント
Security Command Center を ベースに、
セキュリティポリシーに合わせて カスタマイズ
発見的統制の導入に当たっては、Security Command Center を利用した セキュリティモニタリングの仕組みを開発しましたが、富士フイルムBIの セキュリティポリシーに合致させるためには、それだけでは 不十分でした。そこで、足りない部分については Cloud Logging や Cloud Asset Inventory を駆使した カスタマイズを行い、最適な モニタリングを完成させています。導入までに必要とした期間は 3カ月ほどでした。
比較的短い時間で導入に至った理由について、NRIの 小島 仁志 は 次のように話します。「富士フイルムBI 様には、mCanvas という 当社の クラウドプラットフォームサービスをご利用いただいています。汎用的に利用できる 発見的統制の仕組みは、この mCanvas のサービスの 一つとして 以前から 社内で 設計・開発を実施していました。これをベースに 独自ポリシーに合わせた カスタマイズを行うことで、提供までの時間を 大幅に短縮することができました」
- NRIの 小島 仁志。
「カスタマイズの部分は、こだわりを持って対応しました」と話すのは、NRIの 菊田 由大 です。「Security Command Center は、CIS の ベンチマークなど 一般的なガイドラインに沿ったレベルで セキュリティを見るというサービスなので、かゆいところに手が届かない場合が どうしても出てきます。そこで 他のサービスも うまく利用して、独自のセキュリティポリシーに合致するように 工夫しました」
- NRIの 菊田 由大。
脆弱な設定や 不適切な操作があったときに 是正を促すことが 発見的統制の重要な要素ですが、ここにも工夫を凝らしています。Security Command Center には アラートメール機能は存在せず、Cloud Logging の アラートメールも 英語表記の簡便な内容にとどまります。是正を促すためには 利用者が取るべきアクションを分かりやすく伝える必要があるため、Cloud Functions や Firestore、Secret Manager などを利用した アラートメール機能を独自実装し、日本語化された 分かりやすいアラート内容に加えて、是正手順を添えたメールを送付することで ユーザーが アクションを取りやすいように配慮しています。アラートメールを読んだ開発者から「システムとして考えていなかった セキュリティの問題に気が付いた」という声も届くなど、現場のスキルアップの 一助にもなっているようです。
田中 氏と共に CCoE 活動に携わっている 富士フイルムBI ビジネスソリューションサービス事業本部 クラウド統括の 木下 勇人 氏 は、兼任でアプリケーションの開発も行っています。その立場からも、開発のしやすさと安心感が 大いに高まったと評価しています。「発見的統制の仕組みを 我々だけでつくろうとしても、Google が用意している デフォルトの設定を適宜使っていくくらいしかできないと思います。NRIさんが 当社のポリシーに合わせた検出項目を素早くリスト化し、それに合わせて カスタマイズしてくれたことで、非常に使いやすいものになりました」
- 富士フイルムBIの 木下 勇人 氏。
導入の効果、今後の展望
権限付与のリードタイムや 本番環境への移行時間が 大幅に減少
今回の仕組みの導入によって、これまで 3~5営業日を必要としていた 権限付与の リードタイムは 実質的にゼロになり、開発効率は大幅にアップしました。同時に、検証用と本番用の環境差分をなくすことができ、検証環境から本番環境への移行時間も ほぼゼロにすることが可能になりました。
「これまで開発検証用には 大幅に権限を緩めた環境を用意していましたが、クラウドポリシーが設定された本番環境に持っていくと、権限ギャップのせいで調整に時間がかかることがありました。1カ月くらいかけて調整することも めずらしくなかったので、これは非常に大きな改善点です」(田中 氏)
今後は システムの根幹にかかわるような クリティカルな設定を 開発者による是正を待たずに 強制的に復旧させる 是正的統制を取り入れ、オペレーションの負荷を さらに下げることを テーマの 一つとして掲げています。最後に 木下 氏から、「以前は課題をお伝えして、それに対応いただくという感じでしたが、最近は 我々が課題と認識していない部分についても、こうしたらいいのではないかという提案をもらえるようになりました。非常に頼もしく感じますし、これからも 一緒に ベストプラクティスを増やしていきたいと思っています」と、NRIへの期待の言葉をいただくことができました。
- 写真左から、富士フイルムBIの 二階堂 貴文 氏・金城 貴己 氏・田中 圭 氏・木下 勇人 氏、NRIの 小島 仁志・菊田 由大。
企業紹介
-
富士フイルムビジネスイノベーション株式会社
- FUJIFILM Business Innovation Corp.富士フイルムビジネスイノベーションは、1962年の創業以来培ってきた「紙に情報を複写する」というビジネスからの事業構造転換を進めています。働き方革新や デジタルトランスフォーメーションを支援する 商品やサービスの提供を通じ、お客様の経営課題の解決に貢献します。
事例に関連する Google Cloud のプロダクト
Cloud Asset Inventory
Cloud Asset Inventory は、あらゆるプロジェクトと サービスで使用されている Google Cloud と Anthos のアセットを すべて表示、モニタリング、分析できる メタデータ インベントリ サービスです。
・Google Cloud / Cloud Asset Inventory - メタデータ インベントリ サービス ※外部サイトへ
・Google Cloud / Cloud Asset Inventory のドキュメント / Cloud Asset Inventory の概要 ※外部サイトへ
Cloud Functions
Google Cloud Functions は、クラウド サービスの構築と接続に使用する サーバーレスの ランタイム環境です。Cloud Functions を使用すると、クラウドの インフラストラクチャや サービスで生じた イベントに関連する、シンプルで 一義的な関数を作成できます。対象のイベントが発生すると、Cloud Functions が トリガーされ、コードが フルマネージドの環境で実行されます。インフラストラクチャを プロビジョニングする必要はなく、サーバーの管理に悩まされることもありません。
・Google Cloud / Cloud Functions - サーバーレスの ランタイム環境 ※外部サイトへ
・Google Cloud / Google Cloud Functions に関するドキュメント / Cloud Functions の概要 ※外部サイトへ
Cloud Logging
Cloud Logging は、ストレージ、検索、分析、モニタリングを サポートする リアルタイムの ログ管理システムです。Cloud Logging は、Google Cloud リソースから 自動的にログを収集します。アプリケーション、オンプレミス リソース、他の クラウド プロバイダの リソースから ログを収集することもできます。ログに 特定の種類のイベントが報告された場合に通知するように アラートを構成できます。また、規制上 または セキュリティ上の理由から、ログデータの保存場所を決定できます。
・Google Cloud / Cloud Logging - フルマネージドで リアルタイムな ログ管理 ※外部サイトへ
・Google Cloud / Cloud Logging のドキュメント / Cloud Logging の概要 ※外部サイトへ
Firestore
Firestore は、自動スケーリングと高性能を実現し、アプリケーション開発を簡素化するように構築された NoSQL ドキュメント データベースです。
・Google Cloud / Firestore - NoSQL ドキュメント データベース ※外部サイトへ
・Google Cloud / Firestore のドキュメント ※外部サイトへ
Identity and Access Management (IAM)
Identity and Access Management (IAM)では、Google Cloud のリソースに対する権限の作成と管理を行うことができます。IAM は、Google Cloud サービスに関する アクセス制御を 1つのシステムに統合し、一貫性のあるオペレーションを提供します。
・Google Cloud / Identity and Access Management (IAM) ※外部サイトへ
・Google Cloud / IAM のドキュメント / Identity and Access Management (IAM)の概要 ※外部サイトへ
Secret Manager
Secret Manager は、API キー、パスワード、証明書、その他の機密データを保存します。セキュリティを改善しながら、利便性を高めます。
・Google Cloud / Secret Manager - より安全な アプリケーションを構築 ※外部サイトへ
・Google Cloud / Secret Manager のドキュメント ※外部サイトへ
Security Command Center (SCC)
Security Command Center は、Google Cloud 向けの 組み込みの セキュリティ および リスク管理ソリューションで、脆弱性と脅威の報告を 一元的に行う Google Cloud の サービスです。セキュリティと データの対象領域を評価し、アセット インベントリと ディスカバリを提供します。構成ミス、脆弱性、脅威を特定することにより、セキュリティ体制を強化し、リスクを軽減して 修正するのに役立ちます。
・Google Cloud / Security Command Center (SCC) ※外部サイトへ
・Google Cloud / Security Command Center (SCC)の概要 ※外部サイトへ
NRIにおける クラウドの取り組み
atlax for Google Cloud
野村総合研究所(NRI)の「atlax for Google Cloud」では、DX に関する コンサルティング、および Google Cloud 導入の検討支援から システムの設計・構築・運用まで、一括でご支援します。
■ 主なサービスメニュー
- Cloud Modernization … Google Cloud の先進技術を活用した IT 基盤サービス
- Application Modernization … DevOps を実現するための インテグレーションサービス
- Data Driven / Marketing Analytics … ビッグデータ技術を活用した データ分析・マーケティングソリューション
- Digital Workplace … 次世代コンタクトセンター、新しいコラボレーションの実現
・atlax / クラウドの取り組み / atlax for Google Cloud ※カテゴリーTOPページ
・atlax for Google Cloud / 主なサービスメニュー
Google Cloud 導入事例
・atlax / Google Cloud 導入事例: 株式会社リクルート 様 - データ加工・蓄積システムを Google Cloud 上に再構築し、データ分析のコスト削減とアジリティ向上を実現 -
関連リンク・トピックス
・atlax blogs / 「Google Cloud」カテゴリー の 記事一覧 ※ atlax blogs サイトへ
・atlax / ソリューション / クラウド活用推進組織(CCoE)
・atlax / ソリューション / クラウド運営・統制 - クラウドサービス運営サポート、クラウド統制サポート、クラウドデザインパターン -
・NRIセキュア / セキュリティ用語解説 / CIS Benchmarks ※NRIセキュア サイトへ
お問い合わせ
クラウドの あらゆる課題を解決する トータルソリューション「atlax」では、Google Cloud への発見的統制の導入や、Security Command Center を利用した セキュリティモニタリングの仕組みの開発をはじめ、ソリューション・サービス全般に関するご相談や お問い合わせを承っております。
お問い合わせ※ 記載された組織名、職名、概要図などは、Webページ公開時点(2023年10月)の情報です。
※ 記載された会社名 および ロゴ、製品名などは、該当する各社の登録商標または商標です。
※ Google Cloud、Anthos、Apigee、BigQuery、Chromebook、G Suite および Looker は、Google LLC の商標です。