ストーリー
田
田中VPoE
セキュリティの理論を一通り学んだ。CISOから「マルチクラウド環境の統合セキュリティポリシーを策定してほしい」と依頼が来ている
あなた
ベースライン、ID管理、ネットワーク、コンプライアンスを統合した設計ですね
あ
田
田中VPoE
そうだ。特にEU展開を控えてGDPR対応が急務だ。セキュリティポリシーは「書いて終わり」ではない。自動化とモニタリングまで含めて設計してくれ
あなた
Policy as Codeの考え方で、検証可能なポリシーにします
あ
ミッション概要
| 項目 | 内容 |
|---|---|
| 演習タイトル | 統合セキュリティポリシーの策定 |
| 想定時間 | 90分 |
| 成果物 | マルチクラウドセキュリティポリシー(ベースライン + ID + ネットワーク + コンプライアンス) |
| 対象組織 | TechServe株式会社 |
前提条件
セキュリティ関連の現状
| 項目 | 状況 |
|---|---|
| セキュリティチーム | 10名(うちクラウドセキュリティ専任3名) |
| 既存認証基盤 | AWS Cognito(顧客向け)、Google Workspace(社内) |
| 暗号化 | AWS KMSで保存データ暗号化済み。GCP/Azureは未設定 |
| 監視 | CloudWatch + PagerDuty(AWSのみ) |
| コンプライアンス | SOC 2取得済み(AWSのみ対象) |
| 直近のインシデント | IAMアクセスキーの漏洩(GitHubに誤コミット、即座に無効化) |
追加要件
| 要件 | 詳細 |
|---|---|
| GDPR対応 | 6ヶ月以内にEU展開。EU顧客の個人データ管理体制構築 |
| SOC 2拡張 | マルチクラウド環境全体をSOC 2の対象範囲に拡大 |
| ゼロトラスト | 段階的にゼロトラストアーキテクチャを導入 |
| 自動化 | セキュリティチェックの80%を自動化 |
Mission 1: セキュリティベースラインの設計
要件
TechServe社のマルチクラウド環境に適用するセキュリティベースラインを設計してください。
- 10のベースライン要件の具体的な実装方針(各クラウドでの実装方法)
- セキュリティスコアカード(各クラウドの現状評価と目標)
- 優先順位付きの改善ロードマップ
解答例
セキュリティスコアカード
| ベースライン要件 | AWS(現状) | GCP(現状) | Azure(現状) | 目標 |
|---|---|---|---|---|
| 最小権限 | 3/5 | 1/5(未整備) | 1/5(未整備) | 4/5 |
| MFA強制 | 4/5 | 2/5 | 2/5 | 5/5 |
| 暗号化 | 4/5 | 1/5(未設定) | 1/5(未設定) | 5/5 |
| ログ集約 | 3/5 | 1/5 | 1/5 | 4/5 |
| ネットワーク分離 | 4/5 | 2/5 | 2/5 | 4/5 |
| 脆弱性管理 | 3/5 | 1/5 | 1/5 | 4/5 |
| シークレット管理 | 2/5(IAMキー漏洩事故あり) | 1/5 | 1/5 | 5/5 |
| インシデント対応 | 3/5 | 1/5 | 1/5 | 4/5 |
| コンプライアンス | 3/5(SOC 2あり) | 1/5 | 1/5 | 4/5 |
| セキュリティ教育 | 2/5 | - | - | 4/5 |
改善ロードマップ
| 優先度 | 施策 | 対象 | 期限 |
|---|---|---|---|
| 1(即時) | シークレット管理の統一(IAMキー全廃止) | 全クラウド | 1ヶ月 |
| 2(1ヶ月) | MFA強制の全クラウド適用 | GCP, Azure | 2ヶ月 |
| 3(2ヶ月) | 暗号化の全クラウド設定 | GCP, Azure | 3ヶ月 |
| 4(3ヶ月) | ログ集約の統合SIEM構築 | 全クラウド | 4ヶ月 |
| 5(4ヶ月) | ネットワーク分離の全クラウド適用 | GCP, Azure | 5ヶ月 |
Mission 2: ID連携とアクセス制御の設計
要件
マルチクラウド環境のID連携とアクセス制御を設計してください。
- IdPの選定と選定理由
- 統一RBAC設計(ロール定義、各クラウドのマッピング)
- サービスアカウント管理方針
解答例
IdP選定
選定: Google Workspace(既存)+ Entra ID(Enterprise SSO用)
| 評価基準 | Google Workspace | Entra ID |
|---|---|---|
| マルチクラウド対応 | GCPは直接、AWS/AzureはSAML | 全クラウド対応 |
| 既存環境との親和性 | 社内IDとして使用中 | Enterprise顧客のSSO要件 |
| コスト | 既存費用内 | Azure利用に含む |
| 決定 | 社内アクセスのIdP | 顧客向けSSO、EU環境のIdP |
統一RBAC
| 統一ロール | 対象者 | AWS | GCP | Azure |
|---|---|---|---|---|
| PlatformAdmin | インフラリード | AdministratorAccess | Owner | Owner |
| SecurityOps | セキュリティチーム | SecurityAudit | Security Admin | Security Admin |
| Developer | 開発者 | 開発環境のみPowerUser | Editor(プロジェクト限定) | Contributor(RG限定) |
| Viewer | PM、ビジネス | ReadOnly | Viewer | Reader |
| FinOps | FinOpsチーム | Billing+CostExplorer | Billing Viewer | Cost Mgmt Reader |
サービスアカウント方針
- 長期アクセスキーの全面廃止(30日以内に移行完了)
- OIDC Federationによるキーレス認証の導入
- 四半期ごとのサービスアカウント棚卸し
Mission 3: コンプライアンス対応計画
要件
GDPR対応とSOC 2拡張の具体的な実施計画を策定してください。
- GDPR対応チェックリスト(技術的対策と組織的対策)
- SOC 2対象範囲の拡張計画
- Policy as Codeの設計(自動チェック項目とツール選定)
解答例
GDPR対応チェックリスト
| カテゴリ | 対策 | 状況 | 期限 |
|---|---|---|---|
| データマッピング | EU顧客データの所在地を特定・文書化 | 未着手 | 2ヶ月目 |
| 同意管理 | Cookie同意、データ処理同意の仕組み構築 | 未着手 | 3ヶ月目 |
| データ主権 | EU顧客データをAzure EUリージョンに限定 | 設計中 | 4ヶ月目 |
| 忘れられる権利 | データ削除API・プロセスの構築 | 未着手 | 4ヶ月目 |
| DPA(処理委託契約) | AWS/GCP/AzureとDPAを締結 | AWS済み | 3ヶ月目 |
| DPO(データ保護責任者) | DPOの任命 | 未着手 | 1ヶ月目 |
| DPIA(影響評価) | データ保護影響評価の実施 | 未着手 | 5ヶ月目 |
Policy as Code設計
| チェック項目 | ツール | 適用タイミング |
|---|---|---|
| IaCポリシー違反 | Terraform Sentinel | PRマージ前 |
| K8sポリシー違反 | OPA Gatekeeper | デプロイ前 |
| クラウド設定不備 | AWS Config / GCP SCC / Azure Policy | 継続的 |
| データ所在地違反 | カスタムOPAポリシー | デプロイ前+継続的 |
| 暗号化未設定 | Cloud Custodian | 継続的 |
達成度チェック
| 観点 | 達成基準 |
|---|---|
| ベースライン | 10要件の具体的な実装方針が各クラウドで設計されている |
| ID管理 | IdP選定の根拠が明確で、統一RBAC設計がされている |
| コンプライアンス | GDPR対応の具体的なチェックリストと期限がある |
| 自動化 | Policy as Codeで検証可能なポリシーが設計されている |
| 実現可能性 | セキュリティチーム10名で実行可能な計画 |
| 優先順位 | リスクの高い課題から着手する順序付けがされている |
推定所要時間: 90分