ゼネコン大手の竹中工務店は、デジタル変革を加速させるため、建設デジタルプラットフォームをクラウド上に構築した。これは建設業務のプロセスをデジタル化するための基盤となるもので、自社だけではなく、建設業全体のデジタル変革を推進し、生産性を抜本的に向上させることを狙っているという。
12月6日、7日に開催された「TECH+フォーラム クラウドインフラ Days 2023 Dec. クラウドネイティブへのシフト」に、同社 デジタル室に所属の鈴木真徳氏が登壇。竹中工務店がオンプレミスからクラウドリフト、クラウドネイティブへと変革していく中で実行してきたセキュリティ対策と、その過程で得た気付きについて語った。
建設業ならではのセキュリティとは
講演冒頭で鈴木氏は、建設業のセキュリティの特徴として、図面や写真などプロジェクトに関する情報が多数の関係者・協業者で共有され、自社だけで守るのは難しいこと、建設現場では自動化されていない紙ベースの情報や手作業の業務も多数あることを挙げた。そして、クラウドと合わせてAIやIoTといったデジタル技術の導入も進んでいることから、アナログ業務とデジタル業務の両面のセキュリティ対策をしなければならないと言う。
こうした環境の中でセキュリティの対象となるのは、大きく分けて5種類ある。
まずはPCなどの端末とネットワーク、クラウド基盤、外部クラウドのSaaSといった自社で利用するデジタルインフラ、他社に提供する自社運営サービス、IoT機器などの建設現場の機器類、スマートビルなどの建物、そしてサプライチェーンだ。
建設現場の機器はネットワークにつなげてクラウド経由で操作する場合もあり、サプライチェーンではビジネスやデータの連携を目的に他のプラットフォームと接続されている場合もある。したがって、どの局面でも基盤となるクラウドのセキュリティ対策が重要になるのだ。
「昨今は、クラウドやAI、IoTが連携したシステムが多くなっています。フィジカル面、サイバー面の両面からセキュリティへの考慮が必要になるでしょう」(鈴木氏)
セキュリティ確保のために考えるべき3つのこと
サイバーセキュリティを確保するためには、次の3つのことを考えるべきだと鈴木氏は言う。まず、セキュリティと利便性のバランスを取ることだ。そのためにはセキュリティツール導入のほかに、ルールの策定や担当者の教育も組み合わせて考える必要がある。
次に、環境変化に対応することがある。社会やビジネスの環境、脅威の変化に合わせ、対策の追加や更新、組み換えを随時行うことが重要だ。
そして、外部サービスをうまく活用することも大切になる。クラウドサービスやアウトソース等の外部リソースを最大限活用することで、対策の規模や種類の柔軟な見直しができ、また機能も自動で改善されていくため、効率的なセキュリティ運用が実現できるメリットがあると同氏は語った。
設定ミスも発生していたオンプレミス延長フェーズ
同社では近い将来のクラウドシフトに向けた取り組みを4つのフェーズに区切って考えている。最初が2018年前後のオンプレミスの延長フェーズ、次が2020年前後のプラットフォーム整備のフェーズ、さらに現在のクラウド主流化のフェーズを経て、最終的にクラウドシフトのフェーズへと向かう。セキュリティ対策も、これら4つのフェーズごとに設計されている。
まず少数のユーザーがクラウドでシステムを構築、運用し始めたのがオンプレミスの延長フェーズだ。このフェーズでのセキュリティ対策は、オンプレミスの延長としてサーバにウィルス対策ソフトを導入するというものだった。しかしまだクラウドに不慣れな担当者もいたため、例えばメンテナンスの際に誤ったネットワーク設定をしてしまうなど、場合によってはインシデントに繋がる恐れのあるミスも発生していた。
プラットフォーム整備フェーズではCSPMを導入
次のプラットフォーム整備フェーズでは業務システムをクラウドに移行し、クラウドネイティブの機能を使ったDXアプリの開発、公開も始まった。セキュリティ面を考慮した設計と厳しい機能制限によりセキュリティを確保するという方針と、セキュリティ強化のためサーバにEDRを、公開システムにはさらにWAFを導入した。しかしこれらについては反省点もあったと鈴木氏は言う。例えば作業の度に機能制限を一時的に開放する申請が必要となるなど結果的に開発効率が下がってしまった。
例えば、機能制限のために行ったアウトバウンド通信の厳格な許可リスト(ホワイトリスト)制御は、OSS利用や外部リポジトリからのイメージ取得など、現代的な開発との相性が良くなかった。鈴木氏は「ポリシー間のバランスを考える必要を感じた」と話す。
これらの他に、前フェーズで発生した設定ミスへの対策として、デフォルトで自動修正機能がある監査ツールのCloud Security Posture Management(CSPM、クラウドセキュリティ態勢管理)も導入したが、ここではアラートの多さに気付いたと同氏は振り返った。
プリセットで用意されているアラートは妥当なものだが、設定の不備を是正する目的としてはアラートが多過ぎたそうだ。アラートには修正方法も記載されているため、当初は問題ないと思っていたが、導入してみるとセキュリティ窓口に修正方法などの問い合わせが殺到したという。こうした経験から鈴木氏は、システム担当者に対してもクラウド活用の支援が必要だと痛感した。
クラウド主流フェーズの方針は“ガードレール”
現在は、プラットフォーム整備が一段落し、さまざまな部門でクラウドの活用が始まっているクラウド主流フェーズにあたる。ここでのセキュリティ方針は、「ガードレールの設定」を基本方針としている。
クラウド上の各種権限を開放する代わりに責任分界点を明確にし、ガイドとして文書化した。これを前提に、CSPMによる禁止や自動修正といった予防的ガードレールと、CSPMのアラートによる発見的ガードレールを設置した。
また、CSPMの更新によって、アラートの数を減らす、脅威環境の変化をアラート内容に取り込むといった、アラートの適正化も行っている。一方、EDRを導入できないコンテナやサーバレスにはCloud Workload Protection Platform(CWPP)の導入を検討し、また、デプロイにおけるルール整備も検討しているという。
クラウドシフトフェーズではDevSecOpsの実現を目指す
間もなく実現しそうだというクラウドシフトフェーズでは、クラウドネイティブの機能がデフォルトでフル活用される状態を想定している。
「業務システムはモダンアプリケーションへシフトし、Continuous Integration/Continuous Delivery(CI/CD)、DevSecOpsといったツールカルチャーが普及していくと考えています」(鈴木氏)
このフェーズでは、クラウドの活用体制を整備し、包括的な保護を行っていく方針だ。これまで行ってきた対策の継続強化のためにガイドをさらに整備し、ガードレールを随時見直していくほか、クラウド活用支援やガバナンス体制の整備のために、クラウド活用推進組織であるCloud Center of Excellence(CCoE)の組成も検討している。
さらに、シフトレフトやセキュリティ・バイ・デザインなど開発段階にもセキュリティを組み込んで、DevSecOpsを推進することも考えているという。
「DevOpsにセキュリティを後付けするのではなく、最初からDevSecOpsにしていきたいです」(鈴木氏)
CI/CD自体のセキュリティも強化する
同社ではすでに、クラウドシフトフェーズでの普及を見越して、CI/CDが一部環境で活用されている。現在はインフラ用とアプリ用のパイプラインがあり、それぞれを円滑に操作できる環境を構築しつつ、承認ゲートなども整備している。
CI/CDはセキュリティの強化にも役立つものだが、その一方でCI/CD自体のセキュリティも強化する必要がある。そのため同社ではビルド・テスト段階で静的コードテスト、デプロイ段階でセキュリティ診断、運用段階ではサーバ保護のためのEDRの導入などを実施している。加えて、Open Web Application Security Project (OWASP)やNational Institute of Standards and Technology (NIST)などのガイドラインを参考に、さらなる対策も検討しているそうだ。
「今後は計画・設計段階にセキュリティ・バイ・デザイン、コード段階にリポジトリ保護、その他に、動的テストや診断の自動化なども実装し、DevSecOpsを実現していきたいと考えています」(鈴木氏)