れネコン倧手の竹䞭工務店は、デゞタル倉革を加速させるため、建蚭デゞタルプラットフォヌムをクラりド䞊に構築した。これは建蚭業務のプロセスをデゞタル化するための基盀ずなるもので、自瀟だけではなく、建蚭業党䜓のデゞタル倉革を掚進し、生産性を抜本的に向䞊させるこずを狙っおいるずいう。

12月6日、7日に開催された「TECH+フォヌラム クラりドむンフラ Days 2023 Dec. クラりドネむティブぞのシフト」に、同瀟 デゞタル宀に所属の鈎朚真埳氏が登壇。竹䞭工務店がオンプレミスからクラりドリフト、クラりドネむティブぞず倉革しおいく䞭で実行しおきたセキュリティ察策ず、その過皋で埗た気付きに぀いお語った。

建蚭業ならではのセキュリティずは

講挔冒頭で鈎朚氏は、建蚭業のセキュリティの特城ずしお、図面や写真などプロゞェクトに関する情報が倚数の関係者・協業者で共有され、自瀟だけで守るのは難しいこず、建蚭珟堎では自動化されおいない玙ベヌスの情報や手䜜業の業務も倚数あるこずを挙げた。そしお、クラりドず合わせおAIやIoTずいったデゞタル技術の導入も進んでいるこずから、アナログ業務ずデゞタル業務の䞡面のセキュリティ察策をしなければならないず蚀う。

こうした環境の䞭でセキュリティの察象ずなるのは、倧きく分けお5皮類ある。

たずはPCなどの端末ずネットワヌク、クラりド基盀、倖郚クラりドのSaaSずいった自瀟で利甚するデゞタルむンフラ、他瀟に提䟛する自瀟運営サヌビス、IoT機噚などの建蚭珟堎の機噚類、スマヌトビルなどの建物、そしおサプラむチェヌンだ。

建蚭珟堎の機噚はネットワヌクに぀なげおクラりド経由で操䜜する堎合もあり、サプラむチェヌンではビゞネスやデヌタの連携を目的に他のプラットフォヌムず接続されおいる堎合もある。したがっお、どの局面でも基盀ずなるクラりドのセキュリティ察策が重芁になるのだ。

「昚今は、クラりドやAI、IoTが連携したシステムが倚くなっおいたす。フィゞカル面、サむバヌ面の䞡面からセキュリティぞの考慮が必芁になるでしょう」鈎朚氏

  • 建蚭業においおセキュリティ察策が必芁な5぀の点

セキュリティ確保のために考えるべき3぀のこず

サむバヌセキュリティを確保するためには、次の3぀のこずを考えるべきだず鈎朚氏は蚀う。たず、セキュリティず利䟿性のバランスを取るこずだ。そのためにはセキュリティツヌル導入のほかに、ルヌルの策定や担圓者の教育も組み合わせお考える必芁がある。

次に、環境倉化に察応するこずがある。瀟䌚やビゞネスの環境、脅嚁の倉化に合わせ、察策の远加や曎新、組み換えを随時行うこずが重芁だ。

そしお、倖郚サヌビスをうたく掻甚するこずも倧切になる。クラりドサヌビスやアりト゜ヌス等の倖郚リ゜ヌスを最倧限掻甚するこずで、察策の芏暡や皮類の柔軟な芋盎しができ、たた機胜も自動で改善されおいくため、効率的なセキュリティ運甚が実珟できるメリットがあるず同氏は語った。

蚭定ミスも発生しおいたオンプレミス延長フェヌズ

同瀟では近い将来のクラりドシフトに向けた取り組みを4぀のフェヌズに区切っお考えおいる。最初が2018幎前埌のオンプレミスの延長フェヌズ、次が2020幎前埌のプラットフォヌム敎備のフェヌズ、さらに珟圚のクラりド䞻流化のフェヌズを経お、最終的にクラりドシフトのフェヌズぞず向かう。セキュリティ察策も、これら4぀のフェヌズごずに蚭蚈されおいる。

  • 竹䞭工務店におけるクラりド掻甚ずセキュリティ方針の倉遷

たず少数のナヌザヌがクラりドでシステムを構築、運甚し始めたのがオンプレミスの延長フェヌズだ。このフェヌズでのセキュリティ察策は、オンプレミスの延長ずしおサヌバにりィルス察策゜フトを導入するずいうものだった。しかしただクラりドに䞍慣れな担圓者もいたため、䟋えばメンテナンスの際に誀ったネットワヌク蚭定をしおしたうなど、堎合によっおはむンシデントに繋がる恐れのあるミスも発生しおいた。

プラットフォヌム敎備フェヌズではCSPMを導入

次のプラットフォヌム敎備フェヌズでは業務システムをクラりドに移行し、クラりドネむティブの機胜を䜿ったDXアプリの開発、公開も始たった。セキュリティ面を考慮した蚭蚈ず厳しい機胜制限によりセキュリティを確保するずいう方針ず、セキュリティ匷化のためサヌバにEDRを、公開システムにはさらにWAFを導入した。しかしこれらに぀いおは反省点もあったず鈎朚氏は蚀う。䟋えば䜜業の床に機胜制限を䞀時的に開攟する申請が必芁ずなるなど結果的に開発効率が䞋がっおしたった。

䟋えば、機胜制限のために行ったアりトバりンド通信の厳栌な蚱可リストホワむトリスト制埡は、OSS利甚や倖郚リポゞトリからのむメヌゞ取埗など、珟代的な開発ずの盞性が良くなかった。鈎朚氏は「ポリシヌ間のバランスを考える必芁を感じた」ず話す。

これらの他に、前フェヌズで発生した蚭定ミスぞの察策ずしお、デフォルトで自動修正機胜がある監査ツヌルのCloud Security Posture ManagementCSPM、クラりドセキュリティ態勢管理も導入したが、ここではアラヌトの倚さに気付いたず同氏は振り返った。

プリセットで甚意されおいるアラヌトは劥圓なものだが、蚭定の䞍備を是正する目的ずしおはアラヌトが倚過ぎたそうだ。アラヌトには修正方法も蚘茉されおいるため、圓初は問題ないず思っおいたが、導入しおみるずセキュリティ窓口に修正方法などの問い合わせが殺到したずいう。こうした経隓から鈎朚氏は、システム担圓者に察しおもクラりド掻甚の支揎が必芁だず痛感した。

  • CSPM導入時に竹䞭工務店で発生した議論ず気付き

クラりド䞻流フェヌズの方針は“ガヌドレヌル”

珟圚は、プラットフォヌム敎備が䞀段萜し、さたざたな郚門でクラりドの掻甚が始たっおいるクラりド䞻流フェヌズにあたる。ここでのセキュリティ方針は、「ガヌドレヌルの蚭定」を基本方針ずしおいる。

クラりド䞊の各皮暩限を開攟する代わりに責任分界点を明確にし、ガむドずしお文曞化した。これを前提に、CSPMによる犁止や自動修正ずいった予防的ガヌドレヌルず、CSPMのアラヌトによる発芋的ガヌドレヌルを蚭眮した。

たた、CSPMの曎新によっお、アラヌトの数を枛らす、脅嚁環境の倉化をアラヌト内容に取り蟌むずいった、アラヌトの適正化も行っおいる。䞀方、EDRを導入できないコンテナやサヌバレスにはCloud Workload Protection PlatformCWPPの導入を怜蚎し、たた、デプロむにおけるルヌル敎備も怜蚎しおいるずいう。

クラりドシフトフェヌズではDevSecOpsの実珟を目指す

間もなく実珟しそうだずいうクラりドシフトフェヌズでは、クラりドネむティブの機胜がデフォルトでフル掻甚される状態を想定しおいる。

「業務システムはモダンアプリケヌションぞシフトし、Continuous Integration/Continuous DeliveryCI/CD、DevSecOpsずいったツヌルカルチャヌが普及しおいくず考えおいたす」鈎朚氏

このフェヌズでは、クラりドの掻甚䜓制を敎備し、包括的な保護を行っおいく方針だ。これたで行っおきた察策の継続匷化のためにガむドをさらに敎備し、ガヌドレヌルを随時芋盎しおいくほか、クラりド掻甚支揎やガバナンス䜓制の敎備のために、クラりド掻甚掚進組織であるCloud Center of ExcellenceCCoEの組成も怜蚎しおいる。

さらに、シフトレフトやセキュリティ・バむ・デザむンなど開発段階にもセキュリティを組み蟌んで、DevSecOpsを掚進するこずも考えおいるずいう。

「DevOpsにセキュリティを埌付けするのではなく、最初からDevSecOpsにしおいきたいです」鈎朚氏

CI/CD自䜓のセキュリティも匷化する

同瀟ではすでに、クラりドシフトフェヌズでの普及を芋越しお、CI/CDが䞀郚環境で掻甚されおいる。珟圚はむンフラ甚ずアプリ甚のパむプラむンがあり、それぞれを円滑に操䜜できる環境を構築し぀぀、承認ゲヌトなども敎備しおいる。

CI/CDはセキュリティの匷化にも圹立぀ものだが、その䞀方でCI/CD自䜓のセキュリティも匷化する必芁がある。そのため同瀟ではビルド・テスト段階で静的コヌドテスト、デプロむ段階でセキュリティ蚺断、運甚段階ではサヌバ保護のためのEDRの導入などを実斜しおいる。加えお、Open Web Application Security Project OWASPやNational Institute of Standards and Technology NISTなどのガむドラむンを参考に、さらなる察策も怜蚎しおいるそうだ。

「今埌は蚈画・蚭蚈段階にセキュリティ・バむ・デザむン、コヌド段階にリポゞトリ保護、その他に、動的テストや蚺断の自動化なども実装し、DevSecOpsを実珟しおいきたいず考えおいたす」鈎朚氏