ストーリー
田
田中VPoE
ガバナンスフレームワーク、ポリシー設計、ランディングゾーン、コンプライアンス自動化と学んできた。ここからは実践だ。Step 1で使ったTechManu社の環境に対して、クラウドガバナンス体制を設計してもらう
あなた
ポリシーからランディングゾーンまで、一気通貫で設計するわけですね
あ
田
田中VPoE
そうだ。CTOへの提案資料として使えるレベルのアウトプットを期待している。技術的に正しいだけでなく、組織で実際に運用できるものにしてくれ
ミッション概要
| 項目 | 内容 |
|---|---|
| 演習タイトル | クラウドガバナンス体制の設計 |
| 想定時間 | 90分 |
| 成果物 | ガバナンスポリシー + ランディングゾーン設計書 + コンプライアンス自動化計画 |
| 対象組織 | TechManu株式会社(Step 1と同一) |
Mission 1: ガバナンスポリシーの策定
要件
TechManu社のクラウドガバナンスポリシーを3階層で策定してください。
- 基本方針(3つ以上の原則)
- 主要ポリシー(アカウント管理、セキュリティ、コスト管理、アーキテクチャの4領域)
- タグ付け戦略(必須タグの定義)
- 例外管理プロセス
解答例
基本方針
| 原則 | 内容 |
|---|---|
| クラウドファースト | 新規システムはクラウドを第一選択肢とする |
| ガードレール型統制 | 事前承認ではなく自動化されたガードレールで統制する |
| コストアカウンタビリティ | 各部門がクラウドコストに責任を持つ |
| セキュリティ・バイ・デザイン | セキュリティは事後対策ではなく設計段階で組み込む |
主要ポリシー
アカウント管理:
- Must: ワークロードごとにアカウントを分離する
- Must: 命名規則
techmanu-{env}-{dept}-{purpose}に従う - Must: ルートアカウントにMFAを設定し、日常利用を禁止する
セキュリティ:
- Must: 保存データ・通信データを暗号化する
- Must: 全アカウントでCloudTrailを有効化する
- Should: IAMロールは最小権限の原則に従う
コスト管理:
- Must: 全リソースに必須タグを付与する
- Must: 月間予算の80%でアラートを設定する
- Should: 未使用リソースを月次で棚卸する
アーキテクチャ:
- Must: 本番環境はマルチAZ構成とする
- Must: インフラはIaCで管理する
- Should: 新規ワークロードはコンテナ化を優先する
タグ付け戦略
| タグキー | 必須 | 値の例 |
|---|---|---|
| Environment | 必須 | prod, stg, dev |
| Department | 必須 | engineering, iot, data |
| CostCenter | 必須 | CC-1001 |
| Owner | 必須 | team-iot@techmanu.co.jp |
| Project | 必須 | iot-platform |
Mission 2: ランディングゾーン設計
要件
TechManu社のランディングゾーンを設計してください。
- OU構造とアカウント構成
- ネットワーク設計(CIDR設計含む)
- セキュリティベースライン
- アカウントファクトリーのフロー
解答例
OU構造
Root (techmanu)
├── Security OU
│ ├── techmanu-security-audit
│ └── techmanu-security-logging
├── Infrastructure OU
│ ├── techmanu-infra-network
│ └── techmanu-infra-shared
├── Sandbox OU
│ └── techmanu-sandbox-{個人名}
├── Workloads OU
│ ├── Development OU
│ │ ├── techmanu-dev-engineering
│ │ ├── techmanu-dev-iot
│ │ └── techmanu-dev-data
│ ├── Staging OU
│ │ ├── techmanu-stg-engineering
│ │ ├── techmanu-stg-iot
│ │ └── techmanu-stg-data
│ └── Production OU
│ ├── techmanu-prod-engineering
│ ├── techmanu-prod-iot
│ └── techmanu-prod-data
└── Suspended OUネットワーク設計
| VPC | CIDR | 用途 |
|---|---|---|
| Transit | 10.0.0.0/16 | Transit Gateway |
| Shared | 10.1.0.0/16 | 共通サービス |
| Prod-Eng | 10.10.0.0/16 | Engineering本番 |
| Prod-IoT | 10.11.0.0/16 | IoT本番 |
| Stg | 10.20.0.0/18 | ステージング |
| Dev | 10.30.0.0/20 | 開発 |
セキュリティベースライン
全アカウントに自動適用:
- CloudTrail有効化(全リージョン)
- Config有効化
- GuardDuty有効化
- Security Hub有効化(CIS Benchmark)
- S3 Block Public Access有効化
- EBS Default Encryption有効化
- IAM Password Policy設定
Mission 3: コンプライアンス自動化計画
要件
コンプライアンスの自動化計画を策定してください。
- Config Rules一覧(10個以上)
- 自動修復シナリオ(3つ以上)
- コンプライアンスダッシュボード設計
- レポート体系
解答例
Config Rules一覧
| ルール | チェック内容 | 修復 |
|---|---|---|
| encrypted-volumes | EBS暗号化 | 自動 |
| s3-bucket-public-read-prohibited | S3公開禁止 | 自動 |
| required-tags | 必須タグ確認 | 通知 |
| vpc-flow-logs-enabled | VPCフローログ | 自動 |
| cloudtrail-enabled | CloudTrail有効 | 自動 |
| rds-multi-az-support | RDSマルチAZ | 通知 |
| iam-root-access-key-check | ルートキー禁止 | 通知 |
| ec2-instance-managed-by-ssm | SSM管理 | 通知 |
| guardduty-enabled-centralized | GuardDuty有効 | 自動 |
| kms-cmk-not-scheduled-for-deletion | KMSキー保護 | 通知 |
自動修復シナリオ
- 公開S3バケット: 検出→自動でパブリックアクセスブロック→所有者通知
- 未暗号化EBS: 検出→スナップショット取得→暗号化ボリューム作成→通知
- VPCフローログ未設定: 検出→自動でフローログ有効化→ログをLogging Accountに集約
コンプライアンスダッシュボード
表示項目:
- 全社コンプライアンススコア(リアルタイム)
- 部門別スコア(棒グラフ)
- ルール別準拠率(ヒートマップ)
- 未準拠リソース一覧(重要度別)
- トレンド(過去3ヶ月の推移)
達成度チェック
| 観点 | 達成基準 |
|---|---|
| ポリシー体系 | 3階層で漏れなく設計されている |
| ランディングゾーン | OU構造、ネットワーク、セキュリティが整合している |
| コンプライアンス | 自動化の計画が具体的で実現可能 |
| 実用性 | 組織で実際に運用可能なレベルの設計になっている |
推定所要時間: 90分