カスタマイズ可能で柔軟性の高いGCP環境のガードレールをShisho Cloudで構築
参考になった
3
株式会社Finatext / atsushi-ishibashi
テックリード / テックリード / 従業員規模: 301名〜500名 / エンジニア組織: 51名〜100名
| 利用プラン | ツールの利用規模 | ツールの利用開始時期 | 事業形態 |
|---|---|---|---|
スタンダード | 10名以下 | 2023年11月 | B to B B to C |
導入の背景・解決したかった問題
導入背景
Finatextでは主にAWSをクラウドインフラとして採用しています。
Terraformによる運用は社内に浸透しており、すべてのプロダクトチームがチーム内でコードを書いてインフラの管理を実施しています。
その一方で、セキュリティ面での適切な管理ができるように全社横断のPlatformチームにてガードレールを構築しております。
GCPは現時点ではBigQueryなどの特定サービスを限られた範囲で利用していますが、AIサービスを中心として利用用途が広がっていくことが想定されるため、AWSと同様のガードレールを構築したかったというのが背景にありました。
Shisho Cloud導入前は、GCPプロジェクトの管理・運用もAWSと同様に各プロダクトチームが担っていましたが、アクセス制御や各種セキュリティ設定などを全社横断で管轄できておらず、野良プロジェクトや未使用のプロジェクトがたくさんありました。
比較した軸
- カスタマイズ性
- イベント通知/通知メッセージのフィルター・分類・カスタマイズといった点の柔軟性
- 評価結果の一覧性・見やすさ・トリアージ機能
- CSPMツール自体へのアクセス制御のやりやすさと細やかさ
選定理由
高いカスタマイズ性です。Finatextが金融領域で事業を展開しているということ、すでにAWS環境にてガードレールを構築していることを踏まえたときにCIS Benchmarkを中心としたマネージドポリシーのみではニーズを満たせないためShisho Cloudを選定しました。
導入の成果
導入前時点では可視化できていなかったGCPプロジェクト・リソースがダッシュボードにて簡単に可視化されました。
マネージドポリシーにより評価の棚卸しもされてどこから手をつけていけば良いか、がわかりやすくなったため、実際に想像以上に短期間で整理を進めていけました。
また、導入時の伴走型オンボーディングプログラムにより既存のAWSガードレールと比較しながらGCPクラウドの管理方法の勘所も理解していくことができたことで、結果として、Shisho Cloudの棚卸し以外の範囲でも以下のようなことが達成されました。
- GCPプロジェクト作成権限の制限
- GCPプロジェクト作成フローの構築
- GCPプロジェクトへのアクセス制御をTerraformにて構成し直し、社内のエンジニアはGitHubにてPRを作成することでアクセス権のリクエストが行えるようになった
導入時の苦労・悩み
現時点ではGCP利用用途も限られており、各プロダクトチームがShisho Cloudの評価結果を自分たちで確認・トリアージ・対処する必要はないため、導入時の社内展開という意味合いではまだ苦労していないです。 各チームにて管理するフェーズになることを想定してPolicy as Codeの旨味を活かしてGitHubにてPRをあげてもらうことで対処できるようにしていますが、実際にそのフェーズが訪れたときに学習コスト等の課題が発生する可能性はあります。
導入に向けた社内への説明
経営陣・上長への説明
CTO/CISOが導入プロジェクトに携わっていたため、スムーズに導入できました。
活用方法
- Slackへの通知を受けて重要度の高い設定の発見、トリアージ、対応を行っている
- ダッシュボード画面を使って検出されている問題点の棚卸し
- 組織GitHub内のリポジトリにて管理しているコードを通じて、false positiveが発生したときの一貫的なignoreポリシーの作成、カスタムポリシーの新規構築
よく使う機能
ダッシュボードの評価結果画面 検出されている問題点を棚卸しする
ワークフローの通知から送信された社内Slackのチャネル 重要度の高い設定追加/変更がなされた場合に発見、トリアージ、対応を行っている
Playground機能 カスタムポリシーコードを書く際にスキーマ確認に使っている
ツールの良い点
- Policy as Codeによる高いカスタマイズ性
- 自社カスタマイズポリシーとFlatt社マネージドポリシーの心地よい共存
- 導入の容易さと既存リソースの棚卸しまでの速さ。また導入時にはオンボーディングプログラムとしてFlatt Security社の専門チームが伴走サポートしてくれた
ツールの課題点
- カスタムポリシーを実装する際のデバッグ・検証の難易度が高いこと
- コードによる高いカスタマイズ性故、特定の対処に複数の実装方法が存在すること、使いこなしていくための学習コストの高さ
ツールを検討されている方へ
導入作業という意味ではものすごく簡単にできると思います。ただ、CSPMは特に導入したものの、うまく活用できず組織に定着しなかったという結果になることが多いです。もちろん自組織内で運用体制を構築し、Shisho Cloudで検出された結果に対してどう対応するか、どの検出結果をカバー範囲とするか、を決められるに越したことはないですが、Shisho Cloudにはオンボーディングプログラムがあるのでそれをうまく活用すれば定着する可能性もグンと上がると思います。
以下のような組織にはぴったりなサービスだと思います。
- CSPMを導入したあとの運用のイメージが湧かない
- CSPMを導入する対象のサービスのセキュアな運用についてあまり詳しくない
- Infrastructure as Codeが組織的に根付いている
株式会社Finatext / atsushi-ishibashi
テックリード / テックリード / 従業員規模: 301名〜500名 / エンジニア組織: 51名〜100名
よく見られているレビュー
株式会社Finatext / atsushi-ishibashi
テックリード / テックリード / 従業員規模: 301名〜500名 / エンジニア組織: 51名〜100名
レビューしているツール
目次
- 導入の背景・解決したかった問題
- 活用方法