コンテンツに移動
セキュリティ & アイデンティティ

放置プロジェクト Recommender の紹介: 組織で放置されたプロジェクトの検出、再利用、廃止

2021年8月23日
https://storage.googleapis.com/gweb-cloudblog-publish/images/Unattended_Project_Recommender.max-2600x2600.jpg
Google Cloud Japan Team

※この投稿は米国時間 2021 年 8 月 7 日に、Google Cloud blog に投稿されたものの抄訳です。

変化の激しい組織では、プロジェクト全体を含むクラウド リソースが忘れ去られてしまうことも珍しくありません。このような放置されたリソースは、特定が難しいだけでなく、不要な浪費やセキュリティ リスクなど、プロダクト チームに多くの頭痛の種をもたらす傾向があります。

使われていないクラウド リソースを容易に取り除いていただけるよう、放置プロジェクト Recommender をご紹介します。これは Active Assist の新機能で、放置プロジェクトの検出、再利用、停止をワンストップで行うことができます。実用的で自動化された最適化案により、無駄なコストをかけたり、アイドル状態のリソースがもたらすセキュリティ リスクを軽減したりする心配はもうありません。放置プロジェクト Recommender は、機械学習を用いて、API やネットワークのアクティビティ、課金、クラウド サービスの利用などのシグナルに基づいて、放置された可能性の高いプロジェクトを高い信頼度で特定します。この機能は、本日より Recommender API を介して利用でき、既存のワークフロー管理ツールやコミュニケーション ツールと簡単に統合したり、カスタム分析のために結果を BigQuery テーブルにエクスポートしたりすることが可能です。

大規模な組織では何千ものプロジェクトが放置され重大なセキュリティ リスクとなっていることも

クラウド プロジェクトは、テスト環境が不要になったり、プロジェクトが中止になったり、プロジェクト オーナーが転職したりと、さまざまな理由で放置されてしまうことがあります。このようなプロジェクトは、クラウド料金の無駄遣いにつながるだけでなく、オープンなファイアウォールや特権的なサービス アカウント キーなどのセキュリティ上の問題が含まれている可能性があり、攻撃者がそれを悪用して、暗号通貨のマイニングのためにクラウドのリソースを手に入れたり、最悪の場合、企業の機密データを侵害したりする恐れがあります。放置されたプロジェクトには最新のベスト プラクティスやパッチが適用されないことが多いため、このようなセキュリティ リスクは時間の経過とともに拡大する傾向があります。

この問題は Google でも発生しています。事実、Google の社内セキュリティ チームは以前からこの問題に注目しており、この問題を調査するチームを立ち上げました。チームは、まず最初に自社の「google.com」組織のクラウド プロジェクトから着手しました。すぐに放置されたプロジェクトがいくつか見つかりましたが、次のような課題があったために、いざ問題を解決しようとしても簡単には進みませんでした。

  • 検出: Cloud Monitoring のようなソースから得られる多くのシグナルのうち、注意を向けるべきものはどれなのか(例: API、ネットワーク、ユーザー アクティビティ)?放置プロジェクトと意図的に活動レベルを低くしているプロジェクト(例: auth トークンを保持する「シェル」プロジェクト)をどうやって見分けるのか?

  • 改善: 放置されていると思われるプロジェクトを見つけた場合、それが本当に放置されているプロジェクトであるとどうやって確認するのか?本番環境のワークロードに不可欠なものを削除してしまい、取り返しのつかないデータ損失を起こしてしまうリスクを減らすにはどうすればよいのか?1 回限りのクリーンアップで終わらせず、組織全体の規模でこの問題を解決するにはどうすればよいのか?

2021 年の間に、まず Google 社内のプロトタイプを構築してテストし、社内の多くの放置プロジェクトをクリーンアップしました。その後、多くの Google Cloud のお客様と協力して、実際のデータに基づいてこの機能を構築、調整しました(ご協力くださったアーリー アドプターの皆様と、その惜しみないフィードバックに感謝します。この機能を形にすることができたのは皆様のおかげです)。何千もの放置プロジェクトを抱えている組織を目の当たりにすることも珍しくありませんでした。そこで、このたび放置プロジェクト・Recommender の公開プレビュー版をすべてのお客様にお届けできることになりました。

放置プロジェクトの最適化案の発見と対応

放置プロジェクト Recommender は、お客様の組織下にあるすべてのプロジェクトの利用状況を分析します。分析対象となるデータには、次のようなものがあります。

  • API アクティビティ(例: 認証アクティビティを持つサービス アカウント、消費された API 呼び出し)。

  • ネットワーク アクティビティ(内向きと外向き)

  • 請求アクティビティ(例: 課金対象の使用量のあるサービス)

  • ユーザー アクティビティ(例: アクティブなプロジェクト オーナー)

  • クラウド サービスの使用状況(例: アクティブな VM、BigQuery ジョブ、ストレージ リクエストの数)

これらのシグナルに基づいて、使用率の低いプロジェクト(「使用率の低い」とは、組織内のプロジェクトを使用率のレベルでランク付けする機械学習モデルを使用して定義されます)をクリーンアップするという推奨事項や、使用率は高いがアクティブなプロジェクト オーナーがいないプロジェクトを再利用するという推奨事項を生成できます。ここでは、3 つのプロジェクトを持つ「foobar」という組織について、後処理された推奨事項のサマリーリストの例を示します。

読み込んでいます...

推奨事項に加えて、推奨事項のベースとなるプロジェクト アクティビティの分析情報も確認できます。そうした分析情報には、組織の既存のワークフローや自動化との統合に役立つ追加情報が含まれています(例: オーナー項目で提供されたリストに基づいて、自動生成されたメールやチャット メッセージをプロジェクト オーナーに送信する)。以下は、分析情報のペイロードの例です。

読み込んでいます...

GCP プロジェクトは、さまざまな方法や目的で利用されています。この機能の適用範囲外の方法で使用されているプロジェクトを削除するという推奨事項が表示された場合、推奨事項を拒否すれば、それ以降同プロジェクトには表示されなくなります。

削除されたプロジェクトの復元

projects.delete() メソッドを使ってプロジェクトをシャットダウンすることを選択すると、そのプロジェクトには削除マークが付けられます。プロジェクトが削除対象になると、そのプロジェクトは使用できなくなり、そのプロジェクト内のすべてのリソースがシャットダウンされます。プロジェクトとそのデータが完全に削除されるまでには 30 日間の猶予期間があります。

万が一、有用なプロジェクトを誤ってシャットダウンしてしまった場合でも、30 日間の猶予期間内であれば、プロジェクトを復元できます。復元することで、プロジェクトのデータやリソースのほとんどを回復できますが、必ずしもすべてのプロジェクトのデータやリソースを回復できるわけではありません。クリーンアップ アクションを実行する前に、プロジェクトに関連する利用状況の知見を慎重に検討し、放置プロジェクト Recommender では把握できないその他の利用状況シグナルも考慮するようおすすめします。

初期のお客様の成功事例

すでに多くの企業のお客様が放置プロジェクト Recommender を利用して、組織内の放置プロジェクトやリソースを排除しています。

フランスのスポーツ用品店である Decathlon は、放置プロジェクト Recommender が同社の環境にもたらす分析情報に期待を寄せており、クラウド セキュリティに関する最近の取り組みの一環として、すでに導入しています。

「この機能を徹底的にテストし、CISO に検証してもらった結果、最初の 775 件のプロジェクトを削除することになりましたが、誰からも不満の声は上がりませんでした。これは、当社のセキュリティの向上に大いに役立っています。次のステップは、大規模な運用を行い、放置されたリソースの管理に関する全社的なポリシーを導入することです。」 - クラウド セキュリティ オフィサー、Adeline Villette 氏

世界最大級の水、廃棄物、エネルギー管理会社である Veolia にとって、この機能はセキュリティ リスクや無駄を削減するだけでなく、文化的な変化を促し、エコロジカルな変革戦略との整合性を高めるのにも役立っています。

「この機能により、使用されなくなった資産にかかる費用とセキュリティ負債を削減できます。またこの機能は、二酸化炭素排出量を抑制するという Veolia の理念にも完全に合致しています。組織内の 3,000 以上のプロジェクトで放置プロジェクト Recommender のテストが完了したら、社内のプロジェクト マネージャーに放置プロジェクトの発生を予防する意識を持たせるため、大規模に導入することを検討しています。- プロダクト マネージャー、Thomas Meriadec 氏

セキュアなクラウド コンテンツ管理を提供する Box は、この機能が、放置リソースを修復するための反復可能なプロセスを構築するための基盤となると考えています。

「放置プロジェクト Recommender は、当社にぴったりの機能です。組織全体でプロジェクトの使用状況を一元的に把握でき、レガシー プロジェクトのセキュリティ リスクに体系的かつ組織的に対処できるため、より安全な環境を確保できるようになりました。」 - スタッフ セキュリティ エンジニア、Matt Bowes 氏

放置プロジェクト Recommender を使ってみる

使用の開始に役立つ Cloud Shell のチュートリアル(ソースコード)を用意しました。このチュートリアルを使えば、プロジェクト、フォルダ、組織内にある放置プロジェクトの推奨事項を見つけることができます。このボタンをクリックすると、GitHub からチュートリアルをクローンして、お使いの Cloud Shell 環境で実行できます。
https://storage.googleapis.com/gweb-cloudblog-publish/images/open_Cloud_Shell.max-300x300.jpg

ご覧のように、チュートリアルで数回クリックするだけで、プロジェクトの推奨事項をリストアップできます。(こんなに簡単な方法を教えてくれたセキュリティ コンプライアンス スペシャリストの Lanre Ogunmola に感謝します。)gcloud CLI または API を使用して放置プロジェクトの最適化案を発見する方法の詳細については、ドキュメント ページを参照してください。

また、組織からのすべての推奨事項を自動的に BigQuery にエクスポートしデータポータルLooker で推奨事項を調査したり、Google Workspace のスプレッドシートを使って SQL クエリを書かずに BigQuery に保存されたデータを操作できるコネクテッド シートを使用することもできます。

他の Recommender と同様に、お客様はプライバシーとセキュリティ設定の透明性と管理タブで該当するデータグループを無効にすることで、いつでもデータ処理を無効にすることを選択できます。

放置プロジェクト Recommender をクラウドのセキュリティ態勢の改善やコスト削減にぜひお役立てください。この機能に対する皆様のご意見、ご感想をお待ちしています。お気軽に active-assist-feedback@google.com までご連絡ください。また、開発中の最新機能にいち早くアクセスしたい方には、Active Assist Trusted Tester Group へのご登録をおすすめします。

-プロダクト マネージャー Dima Melnyk

-プロダクト マネージャー Bakh Inamov
投稿先