ヴェオリア、31 か国にまたがるクラウド環境を Security Command Center で保護

※この投稿は米国時間 2021 年 12 月 2 日に、Google Cloud blog に投稿されたものの抄訳です。

世界的に資源が減少の一途をたどっているにもかかわらず、今もあまりに多くの資源が無駄になっています。ヴェオリアは、廃棄物を利用して新たな資源を生み出し、サステナビリティにフォーカスして成長を再定義する循環型経済の構築を支援しています。

当社のサステナビリティ ミッションは国境を越え、世界各地の数十か所の事業部で 179,000 人近くもの従業員がこのミッションの遂行に精力的に取り組んでいます。これは非常に大規模な事業で、その規模に見合う IT アーキテクチャが不可欠でした。重要な IT 業務をグローバル オペレーション全体で合理化するため、当社が Google Cloud を採用した理由はここにあります。社内の Google Cloud 担当テクニカル リードおよびプロダクト マネージャーである私のチームの責任は、セキュリティ、ガバナンス、コンプライアンスに関するプロセスを標準化し、従業員が安全かつ最も効率的に業務を遂行できるよう適切なツールを配備することです。テクノロジー環境を保護するためのコアプロダクトとして、Google Cloud の Security Command Center（SCC）プレミアムを世界中の 31 か国、39 か所の事業部門で使用しています。

Security Command Center で自律性を高め、安全性を保つ

ヴェオリアでは、「一度作ったらコピーして適応させ、何度も再利用する」というサステナビリティのモットーに沿って、ローカルチームが自律的に活動することを奨励しています。これには Google Cloud ソリューションの利用も含まれています。当社では、BigQuery、Compute Engine、GKE、Cloud Functions、Cloud Storage など多くの Google Cloud プロダクトを使用しています。全面的に Google Cloud と迅速かつ協調的に連携して、スマート ウォーター、廃棄物、エネルギーのソリューションを世界中のコミュニティに提供しています。

ただし、安全性を無視してアジリティはあり得ません。当社の環境が常に安全であることを保証するのは私のチームの責任です。また、当社は Google Cloud 環境が広範囲に及び、クラウド ソリューションの利用にあたっては個々の事業部門に自律性を持たせているため、一定のパラメータとポリシーを設定することで、コンプライアンスとセキュリティのあらゆる管理が組織的に行われるようにしています。SCC プレミアムは、共通のツールとしてすべての事業部門で使用しています。このツールにより、事業部門の個々のプロジェクトと資産の安全性を確保するとともに、Google Cloud 環境全体を詳細に把握し、リアルタイムの分析情報から、脅威、脆弱性、構成ミスを特定することができます。

環境を詳細に把握することによる効果

どれくらいの規模で環境の詳細情報を収集しているかというと、当社では SCC プレミアムを使用し、何十万もの資産が含まれる 2,800 件のプロジェクトをモニタリングしています。Google Cloud 環境を絶えず SCC でモニタリングすることで、構成ミスの発見や、最新の調査結果に基づいた脅威への対処を迅速に行うことが可能になっています。異常が明らかになった場合は、私のチームがそのままインシデントに対応するか、関連する事業部門にアラートを出します。また、最近始めた取り組みとして、SCC の調査結果をまとめてグローバル ダッシュボードに表示し、各事業部門がセキュリティの状況の概要を把握できるようにもしています。これによって事業部門が迅速に対処できるようになりました。

改善を合理化して脅威を抑制し、リソースの無駄を減らす

Google Cloud のリスク管理プラットフォームである SCC により、セキュリティ管理のプロセスの合理化が可能になります。SCC からほぼリアルタイムで調査結果が提供されるため、あらゆる分析情報に基づいて次の対応を決定し、関係者にアラートを出して構成ミスを修正することができます。私が特にすばらしいと感じるのは、調査結果ごとに SCC から提供される背景情報と推奨される対応の情報です。こうした推奨事項のおかげで、インシデントを自分のチームで修復するにしても、プロジェクトのオーナーにアラートを出すにしても、よりスムーズに対応できます。環境の詳細な把握が可能になったことで、クラウド サービスへの悪影響が考えられる構成ミスの修復において実際に効果が得られています。たとえば、SCC によってファイアウォールの構成ミスを特定することが可能となり、SCC 導入前と比較して約 500 時間の節約になりました。

SCC で環境の詳細な把握が可能になったことのもう一つの利点は、セキュリティのタスクに優先順位をつけて時間をより効率的に使用できるようになったことです。当社は、フランスでは最大規模のパブリック クラウド サービスのユーザーで、たくさんの Google Cloud プロジェクトを実行しています。構成ミスから差し迫った脅威にいたるまで、考慮しなければならない領域が多く、SCC 導入前は、パターンを見分け、それに応じて優先順位を適用するのは困難でした。たとえば、使用されていないサービス アカウント キーの削除は、以前は大変な作業でした。プロジェクトごとにサービス アカウントをチェックしなければならなかったからです。SCC 導入後は、使用されていないキーを SCC で特定し、削除対象としてマークを付けるようになりました。これにより、使用していないサービス アカウント キーを削除するのにかかっていた時間は約 1,000 時間削減されました。さらに、SCC を使用して、権限が過剰なロールがサービス アカウントに関連付けられているといった構成ミスや、サービス アカウントの自己調査などの脅威を特定しています。SCC の Container Threat Detection により、コンテナのリモートシェル実行などの脅威を前もって特定することも可能になっています。たとえば以前、内部にリモートシェルを持つコンテナが複製された際には、1,800 件の調査結果にアラートが出されましたが、SCC のおかげで根本原因を特定してコンテナを迅速に修復できました。

強化されたコンプライアンスの実現が容易に

SCC はコンプライアンス基準を強化するのにも役立ちます。当社の Google Cloud 環境は CIS Google Cloud Computing Foundations Benchmark v1.1 に対応している必要があり、これにより、組織の全体的なセキュリティ対策の向上が図られています。多くの場合、コンプライアンスの欠如は、単純にトレーニングの欠如を意味します。SCC の調査結果を活用することで、現状を評価するだけでなく、事前に問題を予測して対処するよう従業員を教育することもできるため、コンプライアンスのさらなる強化につながります。

Security Command Center によるサステナブルな未来の確保

SCC ですでに多くのことを実現してきましたが、まだ見ていない新しい機能の実装も楽しみにしています。現在は、アラート発生時に、そのアラートに基づいて即時に動作する自動修復機能の実装に取り組んでいます。SCC を Pub/Sub と接続すればワークフローをトリガーできるようになるので、そのワークフローで、アカウントを無効にするなどして、数分以内に潜在的な違反を自動的に修復します。また、Google Workspace とのシナジー機能を利用して、SCC の調査結果を Google Chat を介してリアルタイムでプロジェクト オーナーに直接送信し、関係する従業員が潜在的な脆弱性をすぐに認識できるようにすることも計画しています。

より大きな組織の一部として、個々の事業部門はそれぞれの目標を達成するために自律的である必要があります。そうした事業部門の自律性を支援できるよう、他のクラウド ソリューションと同様に SCC を役立てていきたいと考えています。SCC は手軽で優れたツールです。より持続可能な資源の供給に世界的に取り組む当社にとって、クラウド環境全体のリスクと無駄を削減してくれる、欠かせないツールとなっています。