カスタマイズ可能で柔軟性の高いGCP環境のガードレールをShisho Cloudで構築

Finatextでは主にAWSをクラウドインフラとして採用しています。
Terraformによる運用は社内に浸透しており、すべてのプロダクトチームがチーム内でコードを書いてインフラの管理を実施しています。
その一方で、セキュリティ面での適切な管理ができるように全社横断のPlatformチームにてガードレールを構築しております。 GCPは現時点ではBigQueryなどの特定サービスを限られた範囲で利用していますが、AIサービスを中心として利用用途が広がっていくことが想定されるため、AWSと同様のガードレールを構築したかったというのが背景にありました。

Shisho Cloud導入前は、GCPプロジェクトの管理・運用もAWSと同様に各プロダクトチームが担っていましたが、アクセス制御や各種セキュリティ設定などを全社横断で管轄できておらず、野良プロジェクトや未使用のプロジェクトがたくさんありました。

• カスタマイズ性
• イベント通知/通知メッセージのフィルター・分類・カスタマイズといった点の柔軟性
• 評価結果の一覧性・見やすさ・トリアージ機能
• CSPMツール自体へのアクセス制御のやりやすさと細やかさ

高いカスタマイズ性です。Finatextが金融領域で事業を展開しているということ、すでにAWS環境にてガードレールを構築していることを踏まえたときにCIS Benchmarkを中心としたマネージドポリシーのみではニーズを満たせないためShisho Cloudを選定しました。

導入前時点では可視化できていなかったGCPプロジェクト・リソースがダッシュボードにて簡単に可視化されました。
マネージドポリシーにより評価の棚卸しもされてどこから手をつけていけば良いか、がわかりやすくなったため、実際に想像以上に短期間で整理を進めていけました。
また、導入時の伴走型オンボーディングプログラムにより既存のAWSガードレールと比較しながらGCPクラウドの管理方法の勘所も理解していくことができたことで、結果として、Shisho Cloudの棚卸し以外の範囲でも以下のようなことが達成されました。

• GCPプロジェクト作成権限の制限
• GCPプロジェクト作成フローの構築
• GCPプロジェクトへのアクセス制御をTerraformにて構成し直し、社内のエンジニアはGitHubにてPRを作成することでアクセス権のリクエストが行えるようになった

現時点ではGCP利用用途も限られており、各プロダクトチームがShisho Cloudの評価結果を自分たちで確認・トリアージ・対処する必要はないため、導入時の社内展開という意味合いではまだ苦労していないです。 各チームにて管理するフェーズになることを想定してPolicy as Codeの旨味を活かしてGitHubにてPRをあげてもらうことで対処できるようにしていますが、実際にそのフェーズが訪れたときに学習コスト等の課題が発生する可能性はあります。

導入作業という意味ではものすごく簡単にできると思います。ただ、CSPMは特に導入したものの、うまく活用できず組織に定着しなかったという結果になることが多いです。もちろん自組織内で運用体制を構築し、Shisho Cloudで検出された結果に対してどう対応するか、どの検出結果をカバー範囲とするか、を決められるに越したことはないですが、Shisho Cloudにはオンボーディングプログラムがあるのでそれをうまく活用すれば定着する可能性もグンと上がると思います。 以下のような組織にはぴったりなサービスだと思います。

• CSPMを導入したあとの運用のイメージが湧かない
• CSPMを導入する対象のサービスのセキュアな運用についてあまり詳しくない
• Infrastructure as Codeが組織的に根付いている