AWS Organizationsを活用して、厳格なセキュリティポリシーに基づく自由度の高いAWS環境を提供。アカウントの払い出しに伴う管理負荷も低減

AWS Organizatios導入の経緯、評価、導入効果について、横河電機株式会社デジタル戦略本部グローバルインフラ・セキュリティセンターインフラマネジメント部クラウド推進課 課長 二木 隆夫氏、村松 謙氏に詳しく伺いました。

横河電機ではAWS Organizationsを活用することで、同社のポリシーに基づいたセキュリティのガードレールを構築し、セキュリティを担保しつつAWSユーザーに自由度の高い権限を与えることができるようになりました。ユーザーの設定ミスなどを迅速に検知して改善してからAWS環境の利用ができるようにするサイクルを自動化し、安全性を担保しながらより柔軟にAWS環境を利用することが可能となったのです。

横河電機株式会社は計測、制御、情報の技術を軸としさまざまな製品、サービスをグローバル展開しています。ビジネスを迅速にグローバルに展開するため、横河電機ではクラウドの利用を推進しています。既にさまざまなITシステムのプラットフォームに、各種AWSのサービスが活用されています。

AWSのサービスを自由に組み合わせて使えば、便利で使い勝手の良いクラウド環境が手に入ります。しかし、自由度のある権限をユーザーに渡してしまうと、アクセス制御の設定ミスなどで情報漏洩の懸念もあります。ユーザーの自由度を高めてしまうと、万が一情報漏洩につながるような事故が発生しても、運用管理側がすぐに対処できない可能性があります。

これまでは、安全性確保のためにユーザーがAWSのサービスを自由に組み合わせて使えないよう制限してきました。情報システム部門であらかじめ必要なセキュリティ設定を施してから、AWS環境を払い出すようにしてきたのです。以前はAWSアカウントの運用はほぼ1つで問題なく運用できていましたが、ビジネス用途やPoCの増加に伴いAWSアカウントの数が増え、1年間で約３０を超える新たなAWSアカウントが払い出されていました。そのため、2019年頃からはアカウント払い出しに伴う環境設定やセキュリティ要件の調査、各種アカウントの監査が大きな負担となっていました。

横河電機のセキュリティ方針は、安全側に大きく振ったものでした。個別のAWSアカウント毎に、許可する権限内容のホワイトリストを用意し、利用できることを最低限に絞る制限を行ってきたのです。制限を超える範囲のAWSのサービスを使いたいときは管理者に相談して個別に対応してもらう必要があるのですが、対応完了までにはかなりの時間がかかります。

そうした不便さを解消するため、これまでと同様な安全性を担保しつつ、ユーザーがよりAWSを自由に使えるようにしたいと考えました。この時活用できると考えたのが、AWSリソースの増加やスケーリングに合わせ環境を一元的に管理し統制できるAWS Organizationsだったのです。

2019年からAWS Organizations利用の検討を開始し、以前からAWS環境の導入、運用をサポートしていたサーバーワークスにも相談しました。横河電機のAWS利用状況を把握しているサーバーワークスと協議した結果、今後のAWS利用の拡大を考慮すれば、AWS Organizationsは有用であり、安全性を担保したままユーザーの自由度を上げられると判断し導入を決めました。

導入検討段階で懸念となったのが、AWS Organizationsを使うことでAWSアカウントの払い出しにどれくらい影響が出るかでした。この影響度合いについては、サーバーワークスに調査を依頼し、調査結果を踏まえ、AWS Organizationsを使った場合の運用管理の設計、AWS環境全体の管理方針の見直しを実施しました。横河電機のセキュリティポリシーに則ってこういった使い方をしたいという要望を仕様書にし、サーバーワークスに提示しました。

セキュリティポリシーの内容は、横河電機でポリシー化されている内容や、これまでの運用経験を踏まえたアンチパターンをベースに検討しました。また、AWSから提供されているガードレールリファレンスも参考にして取り入れました。

導入時いちばん時間をかけたのはユーザーの整備でした。数百人規模のユーザーの棚卸しを実施し、認証用アカウントを別途作成してログイン方法の変更も行いました。ただ、導入作業は大きなトラブルもなく粛々と進み、当初の予定通り2ヶ月間ほどの期間でAWS Organizationsの本番運用に至っています。

導入後はAWS Organizationsの全体管理の中で権限を管理できるようになりました。

AWSの環境全体としては、AWS Organizationsで横河電機のポリシーやこれまでの運用経験で培ったノウハウ、AWSから提示されているベストプラクティスに沿ったセキュリティのガードレールを作ることができました。ユーザーにはある程度自由な権限を与え、ガードレールから逸脱しないような制御を実現できています。導入後は、ユーザーに管理者権限を渡せるようにもなりました。

AWS利用状況の監視も、想定通りに実現されています。セキュリティ上問題となりそうな設定などを検知し、それを改善して安全に利用できるようにする。改善した環境で運用を再開し、再び監視する。このサイクルが機能するようになり、設定ミスやAWS環境でやってはならないことを、AWS Organizationsから一元管理できるようになったのです。そしてこれまでAWS環境を新たに払い出す際行っていた、1時間ほどかかるセキュリティ設定のための作業は一切必要なくなりました。

サーバーワークスは、AWS Organizations導入プロジェクトを進める上で、さまざまなことを相談できる信頼できる存在でした。AWS Organizationsは利用経験のないサービスであり、分からないことも多かったのですが、サーバーワークスがチーム体制でサポートしてくれたため、安心して進めることができました。

サーバーワークスにはさまざまな領域のスペシャリストがいます。AWSインフラの専門家で長く横河電機の環境を見てくれているエンジニアからは、既存環境を加味した提案をしてもらえます。またAWS Organizationsについて熟知しているエンジニアは、質問に対していつも素早く回答してくれます。

さらにアプリケーション周りや他のサービスとのインテグレーションに強いエンジニアもいます。ネットワークに精通したエンジニアが我々のネットワークスペシャリストとやり取りしている様子を目の当たりにして、サーバーワークスなら安心して任せられると改めて感じました。

AWSのことはもちろん、AWSと他製品やサービスとのインテグレーションについてもアドバイスをしてくれる点も評価しています。そしてフロントで直接対応してくれる人はもちろん、バックにもスペシャリストがいて、チーム体制によるしっかりとした対応が期待できます。

横河電機では、クラウド利用のさらなる拡大が予測されます。今回はAWS Organizationsを中心としたガバナンス・セキュリティ機能を導入し、横河のAWS環境にセキュリティのガードレールを実現しました。これにより、ビジネスを阻害しないよう、開発チームと協力して高いセキュリティレベルを実現したサービスの提供に向けて取り組んでいけていることを実感しています。

他にもAWS Single Sign-Onを使用した認証機能の統合やセキュリティ検知・修復の効率化など、ガバナンス・セキュリティの観点で様々な改善を進めていきたいと考えています。そのためサーバーワークスには、今後も引き続きのサポートを期待しています。