CTOが聞く Vol.7 前編 ICT本部情報基盤 石切山 & 金井 「2000人規模に安全と便利を提供するICT本部のコーポレートエンジニアに裏側について聞いてみた」

CARTA HOLDINGSで働くエンジニアたちにCTOが「最近なにやってるの?」をざっくばらんに聞いていくシリーズです。今回はCARTA HOLDINGS CTOのすずけん(@suzu_v)が、ICT本部の情報基盤チームの話を聞きました。

インタビュアー:鈴木健太 Twitter ID @suzu_v(写真左)

株式会社CARTA HOLDINGS 執行役員CTO / 株式会社fluct取締役CTO。社内では「すずけん」と呼ばれる。「みんなのGo言語」「データ分析基盤入門」共著者。ウェブ技術全般に明るい。ポッドキャスト「ajitofm」をやっています。

インタビュイー:石切山開(写真中央)

CARTA HOLDINGS ICT 本部所属、なんでも屋。認証認可に関する技術領域全般やインシデントレスポンス、脆弱性診断やリスクマネジメントが主戦場。インフラに関しては物理層からアプリ、契約交渉まで。job title はSecurity Manager。
セキュリティチームも兼務。とくに物理のインフラ寄りを担当。

インタビュイー:金井飛幸(写真右)

2011年の中途入社。入社当時は事業のサービス・インフラを事業部ではなく全社部門が提供していく方針だったため、全社部門のなかでインフラ構築まわりを担当していた。その後、徐々に事業部にインフラ構築のお仕事が移っていったため、現在は主に全社向けの情報基盤や、前回お話した ITBPの仕事 を担当。
ITBPチームも兼務。とくにクラウドインフラ寄りを担当。

鈴木健太(以下、すずけん):前回ITBP編を録ったのですが、そのなかで情報基盤の話が見え隠れしまして(笑)、せっかくだからそちら(情報基盤)の話も聞いておこうという流れになりました。そうしないと、ICTの仕事の全体像が伝わりづらいかなと。

石切山開(以下、石切山):(笑) そうですね。

すずけん:なので今日は情報基盤を見ているお二人に来ていただいて、あらためてどんな仕事をしているのかを聞いていきたいと思います。

金井飛幸(以下、金井):はい、よろしくお願いします。

後編はこちら:CTOが聞く Vol.7 後編 ICT本部情報基盤 石切山 & 金井 「2000人規模に安全と便利を提供するICT本部のコーポレートエンジニアに裏側について聞いてみた」

すずけん:はい(笑) 金井さんはもともとサービス・インフラ担当の流れで情報基盤チームをやっているというお話がありましたが、石切山さんはセキュリティのところから入りつつ情報基盤を見るようになったという流れなんですね。

石切山:そうですね。僕はこれまでセキュリティエンジニアとしてやってきてはいますが、一方でインフラ周りや、ときにはSREっぽいことだったり、開発チームを見たりもしてきました。手広くやってきた経験を活かして自分のバリューを出していけたらと思って、CARTAに来てからも情報基盤を含め、さまざま担当しています。

金井:今回のCARTA経営統合時に認証基盤を石切山さんが設計したのも大きいですよね。

石切山:ああ、そうですね。

すずけん:ふむふむ。そのあたり実際どんなかんじでやっていたのかも含め、今日はいろいろ話が聞けたらなと思います。

情報基盤チームはどんなチーム?

すずけん:ではさっそく、情報基盤チームはどんなチームなのか教えてください。

石切山:はい。全社員が社内で使う、アカウント、デバイス、それらの権限管理、あとは最近だといろんなSaaS製品、AWSとかGCPだとかを使って開発すると思うのですが、それらも含めなんでも管理する人たちですね。

すずけん:開発者向けの環境だとAWSとかGCPなどですよね。全従業員向けだとどんなツールがありますか?

石切山:例えばSlackもそのひとつですね。社内ではSlackでコミュニケーションをしているので、そのアカウント管理や、必要に応じてゲストの呼び込み、Slack Connectで社外のお取引先などと繋ぎ込みの管理もします。あとはGoogleWorkspaceなんかもありますね。

すずけん:みんなが毎日使う「これがないと仕事ができない」というものは全部、ICT本部の情報基盤チームが管理しているということですね。

「縛る」のではなく、ガードレールであるように

すずけん:さて、一言で「管理をする」といっても、アカウントを発行して管理しているだけではないですよね。もっといろんな作りたいもの、やりたいことがあると思うのですが、まずは情報基盤チームのミッションから教えてもらえますか?

石切山:そうですね。「管理」というと何かが制約されたり、「縛られるんじゃないか?」と思われそうですが、実はそんなことはしたくなくて。社内に対する情報基盤チームの存在感はなくしていきたいんです。空気というか。

すずけん:なるほど、「空気」。

石切山:しっかりと設計されたなかで、ユーザーは意識をせずに普段の業務を行うための環境が使えたらいい。そのうえで、よりセキュアな世界を作っていけたらいいなと思っています。よくあるのが「このツールを使いたいです」という申請をもらって、上司が承認して、管理者がアカウント設定する・・・とやっているとリードタイムが長くなってしまいます。このあたりはもっとシステマティックにしていきたいですし、いま取り組んでいるところでもあります。まずは使いたいタイミングで最小限の権限を付与して、業務を進めていくうえで必要に応じた権限の追加払い出しや昇格をする形にしていけたらと。

すずけん:つまり管理をするというのは、がっちり承認プロセスを組むということではなく、むしろリードタイムを縮めるための工夫だったり、自動化も込みでツールを使いやすくする、すぐに使えるという方向性なんですよね。

石切山:セキュリティ管理という観点でみると、ガチガチに守られた城壁の内側の閉じ込められた世界というイメージを持たれるかもしれませんが、そうではなく、ガードレールのような、ふだん道を歩いているときに意識はしないけれど、いざというときに防御策となることができたらなと思っています。このあたりはAWSさんがよく使う表現でもありますね。

すずけん:ふむふむ。CARTAのICT本部としても城壁ではなくガードレールというのが裏のミッションというか、理念みたいなところなんですね。いいですね、ありがとうございます。

ユーザが覚えるパスワードを減らし、「安全かつ便利」な世界へ

すずけん:実際にガードレールとして機能していくためにはさまざまなツールや工夫が必要だと思います。いま情報基盤チームが具体的に取り組んでいることはありますか?

石切山:ひとつは、シングルサインオン(SSO)の活用ですね。年末年始の経営統合のタイミングで、認証認可の基盤を切り替えました。まだ全てのツールが切り替えられているわけではなく、いまも毎月ひとつずつくらいのペースでSSOへの切り替えが続いているところではあるのですが、おかげでユーザーが覚えなければならないIDとパスワードの組み合わせを減らすことができています。ひとつのIDのなかに、そのユーザーが使えるツールと権限の範囲を組み込んでいく。ユーザー自身がツールを使うタイミングでは、コントロールパネルやアプリのポータル画面から飛ぶだけになり、IDとパスワードをユーザー自身が各ツール毎に複数管理しなくていいようにしています。

すずけん:うんうん。

石切山:数年前だと「アカウントの管理を気をつけましょうね」という考えのもとで、実際に社内にもパスワードマネージャーを導入したり、管理がしやすいように環境を提供していたんですが、やっぱり一番楽なのは管理をしないことですよね。この領域はもっと広げて、SSOに寄せていきたいところです。

すずけん:これは、いちユーザーとしてもすごくわかります。もともとVOYAGE GROUP時代にパスワードマネージャーを全社的にいれましょう、という流れがあって。その時点でも自分で覚えるパスワードが減りましたし、それがエンジニアメンバーだけでなく全社に広がったのもよかった。そこからさらにSSOの世界になると、パスワードを打つ機会がほとんどないし、コントロールパネルから飛べるというのは「安全かつ便利」という世界観にどんどん近づいていると感じますね。

石切山:よかったです。ありがとうございます。

すずけん:ちなみに、ガードレールの例えに立ち戻ると、SSOというのはユーザーにとって便利だということは分かりましたが、管理者側はどうですか?SSOに対応したアプリが増えていくことでの管理者側の利点はどんなところでしょう。

石切山:SSOをするということと、アカウントのプロビジョニングをするということについては、エンタープライズのアプリケーション管理のなかでのデファクトスタンダードになってきています。ユーザーがIDとパスワードの組み合わせを複数覚えなければいけないのは、裏側に複数のサービスごとのアカウントが存在しているということ。ツールAにはアカウントがあって、ツールBにはまた別のアカウントがある。例えばユーザーが退職した際には、管理者がそれら複数のアカウントをすべてひとつひとつ削除する必要がありました。これがなくなって一元管理できるようになったのはかなりのメリットだと思います。

経営統合のタイミングでAzure ADを導入。

すずけん:なるほど。例えば鈴木健太さんがサービスA、B、C、D……と使っていて、それらには別々のアカウントが紐づいている。この人が退職したらバラバラに管理されていたそれらを全て削除しなければいけない。SSOとアカウントのプロビジョニングで、そういう状態をなくすことができたんですね。

石切山:そうですね。中央で管理をしている認証基盤(IdP:Identity Provider)からアカウント停止さえすれば、紐づいているツール(SP:Service Provider)がすべて使えない状態になるので、ユーザーも管理者側もお互いに安心できます。

すずけん:ふむふむ。もう少し深堀りしていきたいのですが、なにかユーザー側で望ましくない使い方をされていたり、インシデントが起きた場合に気づくという観点ではどうでしょうか。

石切山:社内のアカウント管理の観点ではActive Directoryというマイクロソフト社の製品を使っている会社さんも多いと思うのですが、CARTAでも経営統合のタイミングで同じくマイクロソフト社のAzure ADに切り替えました。クラウド系のリソースに切り替えたことでログが細かく見られるようになり、かつ、自社のコンピューティングリソースだけではなくマイクロソフトのコンピューティングリソースを使っているので、例えば「3分前に東京でログインをしたアカウントが、いまロサンゼルスでログインした」というようなアクティビティも検知できる。グローバルな基盤を使っていることで、こういう場合のログも基盤側でとることができます。このケースはどう考えてもアカウントの状態としては異常なアクティビティだとわかりますが、監視の質としては上がったと思います。アカウント単位でもそうですし、ログインというひとつの行為についても深掘りできる要素が増えました。

すずけん:なるほど、なるほど。これがさきほどの例のように、アカウントがバラバラに管理されていると名寄せをしなければいけなかったり生のログを見たりすることになりますよね。

石切山:はい。複数の管理ツールで管理画面を見ていくことにもなりかねないですね。つらい。

すずけん:そうですよね。そういう点でもオブザーバビリティというか、監視がしやすくなった側面もかなりあるということですね。ありがとうございます。

石切山:ツール選定の段階でそもそもオンプレミス製品、パッケージ製品を選ばないというのはいま大事にしている観点だと思います。

すずけん:ああ、インフラを管理したくないということですよね。

石切山:そうですね。基本的にはぜんぶクラウド化して、SSOで繋ぎ込めるもので選ぶことを大事にしています。クラウドへのリフト&シフトについては、この規模の会社のなかでは(CARTAは)取り組んでいるほうじゃないかなと。同業他社さんだとオンプレとハイブリッドクラウドで使っているところも多いのですが、CARTAはクラウドへの切り替えにすごく投資していますね。

すずけん:たしかに。このあたりはICTの情報基盤チームが将来作りたい世界を描きながら、1つずつツールの選定を進めている結果ですね。

後編はこちら:CTOが聞く Vol.7 後編 ICT本部情報基盤 石切山 & 金井 「2000人規模に安全と便利を提供するICT本部のコーポレートエンジニアに裏側について聞いてみた」

PR

CARTAの情報基盤に興味を持っていただけた方は、ぜひこちらからお申込みください。 hrmos.co

そのほか、ICT本部では他のポジションでもエンジニアを積極大募集中です。 hrmos.co hrmos.co

いきなりエントリーではなくとも、まずはお話ししましょうという形でカジュアル面談も受け付けています! hrmos.co