入社4日目のAWS専任者が挑むセキュリティの向上　“土地勘”がないからこそ選んだ「OODAループ」という考え方

自己紹介と会社紹介

山原崇史氏：山原です。タイトルは「スタートアップ入社4日目までに考えたAWSのセキュリティ向上」になります。自己紹介です。スマートラウンドという会社のSREをやっています。（スライドを示して）経歴は記載のとおりで、好きなAWSサービスはAWS SSO（AWS Single Sign-On）やOrganizationsです。

会社や事業の内容についても説明します。スマートラウンドは設立が2018年、4年前のスタートアップで、従業員数は約25名です。本社は渋谷にありますが、全員がフルリモートで働いてるという特徴があります。

どんな事業をやっているかというと、ミッションとしては「スタートアップが可能性を最大限に発揮できる世界を作る」というものを掲げています。

スタートアップ経営における課題

スタートアップの経営に関しては、いろいろと課題があると考えています。1つ目が、スタートアップの経営者の方々の多くが初めての起業経験なので、さまざまな事務作業に時間を浪費してしまうということがあります。

2つ目は、スタートアップに対しては投資家さんがいると思いますが、その投資家の案件・投資先・ファンドの管理はなにかSaaSを使っているかというとそうではなくて、多くはスプレッドシートで行われています。

その弊害として、抜け・漏れ・ミスがあります。例えばスタートアップが1社あったら、そこに投資している投資家が複数社いる。例えば5社あった場合、各々の投資家が各々のフォーマットで、スタートアップに対して「こういう情報をください」なんて言ってきたりすると、結局スタートアップ側にしわ寄せがいってしまって、事業に専念したいところが、そういった対応に時間を浪費してしまうペインがあります。

その解決策として、スタートアップに対してマニュアルやテンプレートやツール類、投資家に対しては、自動更新されるCRMを同時に提供する。スマートラウンドが実現する世界は、多様なツールと重複するデータがあったところを一元化して、スタートアップと投資家双方の業務効率をアップするというものになります。

（スライドを示して）絵で表すとこのようなかたちになります。左側がスマートラウンド導入以前です。スタートアップ各社、投資家、それぞれが思い思いのタイミングで情報を投げ合っているようなかたちになっています。

右側のスマートラウンド導入後は、スタートアップ各社は画面にしたがってデータを入れていくと、自然と情報が整理されて、正しいかたちになっていく。それに対して投資家の人たちは、ログインをすると自分の投資先のスタートアップの情報が最新化されている。そういったプラットフォーム型のSaaSになっています。

セッションのテーマとアジェンダ

本日のテーマです。「スタートアップ入社4日目までに考えたAWSのセキュリティ向上」ということで、アーリーステージのスタートアップに初のAWS専任者として入社して間もない自分が、現状をキャッチアップしながらどのように優先順位をつけてセキュリティを向上させていくか考えたことについて話します。

今日の参加者のみなさんも、自分自身がスタートアップに入社したばかりの状況を想像して、考えながら本日のセッションを聞いていただけたら幸いです。

「4日目」というワードが何回も出てきます。今日は5月10日ですよね。私は5月1日入社ですが、先週はゴールデンウィークとかがあって営業日でいうとちょうど4営業日目なので、4日目と表現しています。

本日のスコープです。セキュリティに関してはいろいろな側面で考えなければいけませんが、今日は扱っているプロダクトの中でもインフラで、その中でもAWSリソースにフォーカスしてお話いたします。

アジェンダです。最初に弊社と自分の置かれている状況について説明します。その次に、セキュリティ向上のためのベストプラクティスがあるので、それを検討したこと。3番目に、実際に取り組んだこと。4番目がその取り組みの振り返りで、最後にまとめといったかたちでお話いたします。

弊社と自分の置かれている状況

では最初に、弊社と自分の置かれている状況について、3点にわたってお話しします。まずプロダクトについてですが、先ほどお話ししたとおり、スマートラウンドはスタートアップと投資家が利用するプラットフォームになっています。スタートアップと投資家双方の機密性の高い情報を保有しているという特徴があります。

2番目。これまでの開発体制ですが、エンジニアは全6名いて、インフラエンジニアやSREは不在でした。AWSの構築や管理はCTOとテックリードを中心に兼務で対応していました。セキュリティの向上や可用性の維持、監視の整備、運用自動化などを担える人材を必要としていました。

3点目。そういった開発体制のところに1人目のSREとして、5月に自分が入社したかたちです。

ベストプラクティスの検討

続いてベストプラクティスの検討です。セキュリティを向上させる上でのベストプラクティスの1つとして、脅威モデリングの利用があります。対象システムがどのような脅威にさらされているかを洗い出して、リスクに基づいて対応優先順位を付けるものです。ここでは4つのステップに分けてお話しします。

1番目が、その会社が守る情報資産にどんなものがあるかをまず把握します。次のステップでアーキテクチャを把握して、それを分解して、中身の把握をしていきます。3番目に、脅威にどんなものがあるかというのを特定します。脅威の分類には「STRIDE」といった考え方、分類の仕方もあるので、後ほど軽く説明します。最後にリスク判定を行って、対応の優先順位付けをする。

ということで、（この4ステップで）セキュリティを向上させるにはどういうことをすればいいかの計画が立てられるものになっています。

STRIDEは、（スライドに）記載の6つの脅威（Spoofing Identity、Tampering with data、Repudiation、Information Disclosure、Denial of Sarvice、Elevation of Privilege）の頭文字を取ったものですね。これがSTRIDEです。

ここまではベストプラクティスについて説明しましたが、自分としては懸念点がありました。先ほど説明した脅威モデリングをいわゆるPDCAサイクルに当てはめると、Planに当たるのかなと思います。

このPlanで脅威モデリングをやって対応の優先順位が決まって、その次のステップ、Do、実行です。これによって実際にセキュリティを向上させていくかたちになりますが、Planの段階がちょっと重厚になり過ぎて、Doの着手までに時間がかかり過ぎるんじゃないかなという懸念がありました。

少し立ち止まって考えてみましたが、脅威モデリングは設計時のアクティビティになります。入社したばかりの自分は、そもそも現状の設計をまだ理解・把握はできていません。そのため、脅威モデリングを行う上で前提となる知識や情報が大きく不足しています。いわゆる土地勘がないような状態です。

一方で、ワークロードは設計段階ではなくて、もうすでに本番環境で運用されています。したがって、今はリスクの高い脅威からできるだけ早期に対応していくことが求められるんじゃないかなと考えました。

以上が、ベストプラクティスを踏まえて、自分としてどう行動していくかをちょっと考えたところです。では実際にどのように取り組んだかをお話しします。

「OODAループ」の考え方

OODAと書いてウーダと読みます。「OODAループ」というものがあり、その考え方を採用しました。どういったものかというと、もともとは航空戦に臨むパイロットの意思決定を対象としたプロセスですが、ビジネスなどでもいろいろと活用されているそうです。特徴として、「環境が不安定な中で、不確実性の高い状況で物事を進めることに向いている」という考え方です。

一番上から説明すると、最初にObserve、観察というのがあり、ここでありのままのデータを収集します。次のステップとしてはOrient、状況判断があって、得られたデータを知識だったりこれまでの経験を元に“情報”へと加工していきます。3番目のステップのDecideで意思決定をして、最後にAct、行動をするプロセスになります。今回はこの考え方にしたがってセキュリティ向上の対応を進めていきました。

（次回に続く）