2024.10.21
お互い疑心暗鬼になりがちな、経営企画と事業部の壁 組織に「分断」が生まれる要因と打開策
リンクをコピー
記事をブックマーク
山原崇史氏:山原です。タイトルは「スタートアップ入社4日目までに考えたAWSのセキュリティ向上」になります。自己紹介です。スマートラウンドという会社のSREをやっています。(スライドを示して)経歴は記載のとおりで、好きなAWSサービスはAWS SSO(AWS Single Sign-On)やOrganizationsです。
会社や事業の内容についても説明します。スマートラウンドは設立が2018年、4年前のスタートアップで、従業員数は約25名です。本社は渋谷にありますが、全員がフルリモートで働いてるという特徴があります。
どんな事業をやっているかというと、ミッションとしては「スタートアップが可能性を最大限に発揮できる世界を作る」というものを掲げています。
スタートアップの経営に関しては、いろいろと課題があると考えています。1つ目が、スタートアップの経営者の方々の多くが初めての起業経験なので、さまざまな事務作業に時間を浪費してしまうということがあります。
2つ目は、スタートアップに対しては投資家さんがいると思いますが、その投資家の案件・投資先・ファンドの管理はなにかSaaSを使っているかというとそうではなくて、多くはスプレッドシートで行われています。
その弊害として、抜け・漏れ・ミスがあります。例えばスタートアップが1社あったら、そこに投資している投資家が複数社いる。例えば5社あった場合、各々の投資家が各々のフォーマットで、スタートアップに対して「こういう情報をください」なんて言ってきたりすると、結局スタートアップ側にしわ寄せがいってしまって、事業に専念したいところが、そういった対応に時間を浪費してしまうペインがあります。
その解決策として、スタートアップに対してマニュアルやテンプレートやツール類、投資家に対しては、自動更新されるCRMを同時に提供する。スマートラウンドが実現する世界は、多様なツールと重複するデータがあったところを一元化して、スタートアップと投資家双方の業務効率をアップするというものになります。
(スライドを示して)絵で表すとこのようなかたちになります。左側がスマートラウンド導入以前です。スタートアップ各社、投資家、それぞれが思い思いのタイミングで情報を投げ合っているようなかたちになっています。
右側のスマートラウンド導入後は、スタートアップ各社は画面にしたがってデータを入れていくと、自然と情報が整理されて、正しいかたちになっていく。それに対して投資家の人たちは、ログインをすると自分の投資先のスタートアップの情報が最新化されている。そういったプラットフォーム型のSaaSになっています。
本日のテーマです。「スタートアップ入社4日目までに考えたAWSのセキュリティ向上」ということで、アーリーステージのスタートアップに初のAWS専任者として入社して間もない自分が、現状をキャッチアップしながらどのように優先順位をつけてセキュリティを向上させていくか考えたことについて話します。
今日の参加者のみなさんも、自分自身がスタートアップに入社したばかりの状況を想像して、考えながら本日のセッションを聞いていただけたら幸いです。
「4日目」というワードが何回も出てきます。今日は5月10日ですよね。私は5月1日入社ですが、先週はゴールデンウィークとかがあって営業日でいうとちょうど4営業日目なので、4日目と表現しています。
本日のスコープです。セキュリティに関してはいろいろな側面で考えなければいけませんが、今日は扱っているプロダクトの中でもインフラで、その中でもAWSリソースにフォーカスしてお話いたします。
アジェンダです。最初に弊社と自分の置かれている状況について説明します。その次に、セキュリティ向上のためのベストプラクティスがあるので、それを検討したこと。3番目に、実際に取り組んだこと。4番目がその取り組みの振り返りで、最後にまとめといったかたちでお話いたします。
では最初に、弊社と自分の置かれている状況について、3点にわたってお話しします。まずプロダクトについてですが、先ほどお話ししたとおり、スマートラウンドはスタートアップと投資家が利用するプラットフォームになっています。スタートアップと投資家双方の機密性の高い情報を保有しているという特徴があります。
2番目。これまでの開発体制ですが、エンジニアは全6名いて、インフラエンジニアやSREは不在でした。AWSの構築や管理はCTOとテックリードを中心に兼務で対応していました。セキュリティの向上や可用性の維持、監視の整備、運用自動化などを担える人材を必要としていました。
3点目。そういった開発体制のところに1人目のSREとして、5月に自分が入社したかたちです。
続いてベストプラクティスの検討です。セキュリティを向上させる上でのベストプラクティスの1つとして、脅威モデリングの利用があります。対象システムがどのような脅威にさらされているかを洗い出して、リスクに基づいて対応優先順位を付けるものです。ここでは4つのステップに分けてお話しします。
1番目が、その会社が守る情報資産にどんなものがあるかをまず把握します。次のステップでアーキテクチャを把握して、それを分解して、中身の把握をしていきます。3番目に、脅威にどんなものがあるかというのを特定します。脅威の分類には「STRIDE」といった考え方、分類の仕方もあるので、後ほど軽く説明します。最後にリスク判定を行って、対応の優先順位付けをする。
ということで、(この4ステップで)セキュリティを向上させるにはどういうことをすればいいかの計画が立てられるものになっています。
STRIDEは、(スライドに)記載の6つの脅威(Spoofing Identity、Tampering with data、Repudiation、Information Disclosure、Denial of Sarvice、Elevation of Privilege)の頭文字を取ったものですね。これがSTRIDEです。
ここまではベストプラクティスについて説明しましたが、自分としては懸念点がありました。先ほど説明した脅威モデリングをいわゆるPDCAサイクルに当てはめると、Planに当たるのかなと思います。
このPlanで脅威モデリングをやって対応の優先順位が決まって、その次のステップ、Do、実行です。これによって実際にセキュリティを向上させていくかたちになりますが、Planの段階がちょっと重厚になり過ぎて、Doの着手までに時間がかかり過ぎるんじゃないかなという懸念がありました。
少し立ち止まって考えてみましたが、脅威モデリングは設計時のアクティビティになります。入社したばかりの自分は、そもそも現状の設計をまだ理解・把握はできていません。そのため、脅威モデリングを行う上で前提となる知識や情報が大きく不足しています。いわゆる土地勘がないような状態です。
一方で、ワークロードは設計段階ではなくて、もうすでに本番環境で運用されています。したがって、今はリスクの高い脅威からできるだけ早期に対応していくことが求められるんじゃないかなと考えました。
以上が、ベストプラクティスを踏まえて、自分としてどう行動していくかをちょっと考えたところです。では実際にどのように取り組んだかをお話しします。
OODAと書いてウーダと読みます。「OODAループ」というものがあり、その考え方を採用しました。どういったものかというと、もともとは航空戦に臨むパイロットの意思決定を対象としたプロセスですが、ビジネスなどでもいろいろと活用されているそうです。特徴として、「環境が不安定な中で、不確実性の高い状況で物事を進めることに向いている」という考え方です。
一番上から説明すると、最初にObserve、観察というのがあり、ここでありのままのデータを収集します。次のステップとしてはOrient、状況判断があって、得られたデータを知識だったりこれまでの経験を元に“情報”へと加工していきます。3番目のステップのDecideで意思決定をして、最後にAct、行動をするプロセスになります。今回はこの考え方にしたがってセキュリティ向上の対応を進めていきました。
(次回に続く)
関連タグ:
2024.11.13
週3日働いて年収2,000万稼ぐ元印刷屋のおじさん 好きなことだけして楽に稼ぐ3つのパターン
2024.11.21
40代〜50代の管理職が「部下を承認する」のに苦戦するわけ 職場での「傷つき」をこじらせた世代に必要なこと
2024.11.20
成果が目立つ「攻めのタイプ」ばかり採用しがちな職場 「優秀な人材」を求める人がスルーしているもの
2024.11.20
「元エースの管理職」が若手営業を育てる時に陥りがちな罠 順調なチーム・苦戦するチームの違いから見る、育成のポイント
2024.11.11
自分の「本質的な才能」が見つかる一番簡単な質問 他者から「すごい」と思われても意外と気づかないのが才能
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
2024.11.18
20名の会社でGoogleの採用を真似するのはもったいない 人手不足の時代における「脱能力主義」のヒント
2024.11.19
がんばっているのに伸び悩む営業・成果を出す営業の違い 『無敗営業』著者が教える、つい陥りがちな「思い込み」の罠
2024.11.13
“退職者が出た時の会社の対応”を従業員は見ている 離職防止策の前に見つめ直したい、部下との向き合い方
2024.11.15
好きなことで起業、赤字を膨らませても引くに引けない理由 倒産リスクが一気に高まる、起業でありがちな失敗