Google Cloud Platform

Spotify と Google が共同開発 : オープンソースの GCP セキュリティ ツール Forseti Security

screen-image.png
クラウド リソースのセキュリティを大規模に保護することは Google Cloud Platform(GCP)のユーザーにとって極めて重要ですが、GCP リソースのセキュリティを確保するためには適切なツールとプロセスが必要となります。

Spotify と Google Cloud は、GCP プロジェクトの保護を目的とした画期的なセキュリティ ツールを共同で開発し、Forseti Security としてオープンソース コミュニティに送り出しました。Forseti Security はすべての GCP のお客様が利用できます。

この投稿は、GCP セキュリティ コミュニティ向けのツールを共同開発した経緯について Spotify のチームに話を聞き、それをまとめたものです。ちなみに、ストックホルムで先日開催された SEC-T 情報セキュリティ カンファレンスにおいて、Spotify チームは Forseti の開発をテーマにプレゼンテーションを行いました。

Q : Forseti の開発はどのようにして始まったのですか?

バックエンド データ インスラストラクチャを社内データセンターからクラウドに移したときに、私たち Spotify が真っ先にしたことは、クラウドでのセキュアな開発のために GCP が提供しているツールを評価することでした。それらのツールのことが理解できると、次はセキュリティ プロセスを自動化して、エンジニアリング チームが自由に、しかもセキュアに開発を行えるようにしたいと思いました。

私たちの作業と並行して、Google は独自の GCP セキュリティ ツールを開発し、オープンソース コミュニティに送り出すことを検討していました。両社のセキュリティ チームは、自分たちのアイデアをより大きな形で結実させたいと考えていたので、それぞれが独自ツールを作るよりも、コラボレーションしたほうがよいのではないかということになったのです。Forseti をオープンソースで開発するという考え方は、このようにして生まれました。

Q : Forseti とは何なのですか?

Forseti は、適切なセキュリティ管理が GCP 全体に行き渡っているという自信と安心感をセキュリティ チームに与えることを目標として作られたオープンソースのツールキットです。Forseti には次のような有用なセキュリティ ツールが含まれています。

  • Inventory : 既存の GCP リソースを可視化します。
  • Scanner : GCP リソース全体のアクセス制御ポリシーが適切かどうかをチェックします。
  • Enforcer : GCP リソースに対する問題のあるアクセスを取り除きます。
  • Explain : GCP リソースに対して誰がどのようなアクセス権限を持つかを分析します。

Q : Forseti は、GCP 環境をよりセキュアに保つためにどのように役立つのですか?

Forseti は、GCP インフラストラクチャに対するかつてないほどの可視性を提供しており、その可視性を基礎として適切な管理を心がけ、セキュリティ保護で常に先手に立てるように支援します。環境で実際に起きていることを常に把握できるようにして、危険な設定ミスを早期に見つけ出し、直ちに修正できるようにしています。

これらのツールにより、セキュリティ チームは問題の対応に追われるのではなく、先手必勝のワークフローを組み立てることができます。インシデントが起きるのを待つのではなく、関係者全員に今現在の状況を周知させることができるのです。

ツールの 1 つである Inventory を使用すれば、GCP リソースのその時点でのスナップショットを取得し、あらゆる変化を監査証跡に残すことが可能です。こうした可視性により、開発者には大きな自由が与えられ、インシデントのあらゆる兆候を調査することができます。

Scanner は設定ミスやセキュリティ問題を発見しやすくします。リスクを大幅に低減してくれるので、使える時間が大きく増えます。Scanner がセキュリティ違反を見つけると、当該リソースの担当チームに通知を送り、そのチームはすぐに必要な修正を加えることができます。こうすれば、開発チームが支援を必要とするときだけセキュリティに関与すれば済むことになります。

Q : Spotify では Forseti をどのように使っているのですか?

私たち Spotify は、開発チームが運用の主導権を握れるようなセキュリティ文化を推進しています。私たちは物事の実現を阻む存在ではなく、ビジネス イネーブラーでいたいのです。Forseti のようなアプローチのおかげで、開発チームは私たちの話に耳を傾け、セキュリティへの意識を高めてくれています。このアプローチは開発チームのセキュリティ意識向上に役立っていると思います。

Forseti を使うようになって、GCP の危険な設定ミスを先回りして知らせてくれる通知パイプラインを作ることができました。このプロセスにより、作業時間が大幅に節約できています。

具体的には次のとおりです。

  • リソースに対して Scanner を実行し、違反が見つかると通知パイプラインが作動します。
  • 違反を解析すると、関連リソースの担当チームを検索します。これはどのチームの責任かを調べるための電話帳のようなもので、そのチームに自動的に通知が送られます。
  • 通知を受け取った担当チームは、修正を予定に組み込みます。
  • 翌日、Inventory を実行し、修正が完了していることを確認します。セキュリティ チームが関与するのは、開発チームが自力で問題を解決できないときだけです。

Q : なぜ、オープンソースというアプローチを採ったのですか?

Forseti コミュニティの特長はチームワークです。私たちはコミュニティを通じて大小さまざまな企業と仕事をしますが、煎じ詰めれば目標は同じです。コミュニティから得た知識を基に、私たちは企業が GCP の設定で犯す最もリスキーな誤りがどこに集中しているかを把握しており、まずはそこから対策に取りかかります。Forseti に何を盛り込むかは、個別の企業ではなく、チームとしての経験から決めました。

同じリスクを共有する別々の企業がそれぞれ独自の考え方を持つというのは珍しいことではありません。他社とのコラボレーションによって可能性は指数的に広がり、すべての企業がよりセキュアなシステム運用を実現するうえでそれが役に立ちます。

また、この方法だと個別の企業を相手にしているよりも素早くセキュリティ プロセスを行き渡らせることも可能になります。Forseti とは、アイデアを共有してコラボレーションすることであり、それはオープンソースの思想に基づいています。車輪の再発明を回避でき、分割統治が実現します。コミュニティに参加する企業が多ければ多いほど、できることも増えるのです。

Forseti Security コミュニティに興味を持っていただけたでしょうか。こちらから始めてみましょう!
RUEWD-lj5JhHFusiDcL83tg8aNpvXIgdgbensBRrHY6Rt7RtZ_rgzoZ-OmkhdC39d_oFxArY-KLl9I9O_VaSY_brq4O4Ase0bfXh4n9_rm6bTfaxlaJkh7II5mOq5FEaf89gfShEtenv.PNG

Forseti の詳細については Spotify Labs のブログもご覧ください。

v4-F6h7JdIJYetPc8R8M_QHwPHhcBfcM11EZBF0SDR_UCZFOxt6-G9om0r2VpeJye9syIBb-cJDwiX-T_BqrcL1a42JtpGSaT_oEkjIgh6VKVVqXwMaq2m1fzXMJsJ11OGk7Av2us57s.PNG

* この投稿は米国時間 9 月 15 日、Spotify Security Platform Engineering Team の Gianluca Brindisi 氏、Carly Schneider 氏、Anton Sapozhnikov 氏と、Forseti Product Team の Chris Law 氏とCarrie McDaniel 氏によって投稿されたもの(投稿はこちら)の抄訳です。

- By Gianluca Brindisi, Carly Schneider, and Anton Sapozhnikov, Spotify Security Platform Engineering Team, and Chris Law and Carrie McDaniel, Forseti Product Team