昨今マルウェアに関するニュースが世間をたびたび騒がせる中、攻撃の種類も多様になっており、その対策の手を緩めることはできません。パーソルキャリアでもセキュアなシステム環境の構築を徹底して行い、安心・安全なサービス提供に努めています。
今回パーソルキャリアでは、マルウェアソフトの運用においても人為的なミスをなくし、効率的にセキュアな環境を作るべく、対策ソフトを自動インストールする仕組みを構築しました。その構築の裏側にはどのような挑戦があったのでしょうか。キーマンであるシステム共通BITA部 クラウド推進グループの高田と姫野に話を聞きました。
- モダンなシステムをつくるために、高度化・自動化が必須
- チームやシステムの提供者、自社のセキュリティ部署との連携を経て、“全体最適”のプロジェクトを実現
- 全体最適への転換で、セキュリティレベルを落とさず効率化を目指す
モダンなシステムをつくるために、高度化・自動化が必須
――まずは、今回マルウェア対策の実装自動化を行われた背景からお聞かせください。
高田:まず前提として、パーソルキャリアではマルウェア対策を必須としています。グループ全体のセキュリティやテクノロジー活用の仕組みづくりをリードするグループIT本部(以下、GIT)のサポートを受けながら、マルウェア対策ソフトを各サーバーに手動でインストールしていた、というのが当初の状況です。
これまではこの方法で問題なく運用できていましたが、やはり1,000台近いサーバーすべてに対して手動でアップデートなどの対応を行うには多くの工数がかかりますし、製品自体のアップデートなどがあった場合に迅速な対応が難しくなることも考えられます。
さらに現在パーソルキャリアとして「インフラをコード化してモダンなシステムを作っていこう」と動き出していることをふまえると、いずれ手動でインストールをしていられない時代が絶対に来るだろうと。その前に運用をなんとかしたいという思いがありました。
――そこから、具体的にどのようにプロジェクトを進めていったのでしょうか。
高田:姫野さんと一緒に調査を進めてみると、GITが提供しているマルウェア対策製品自体は自動インストールにも対応しているとわかりました。ではなぜGITとして自動インストールに対応していないのか、というと「対応したいが、グループ各社のセキュリティをみる中で対応すべき課題が非常に多いため、検証に稼働や環境を割くことが現状できていない」というお話だったんですね。
そこで、私たちが稼働・環境面で協力させてもらう形で一緒に進めることをご提案し、前向きなお返事をいただいてプロジェクトが本格的にスタートすることになりました。
姫野:始動後は、GIT側で実施できない検証部分をパーソルキャリア側で進め、結果をGITの方々にレビューしていただいてOKが出れば提供へ、という流れで進めていきました。最終的に提供が決まった後、ポータルページに手順書を掲載したり窓口を設定したりする部分については、GITの方々に引き継がせていただいています。
チームやシステムの提供者、自社のセキュリティ部署との連携を経て、“全体最適”のプロジェクトを実現
――プロジェクトを振り返って、特に苦労された点や課題などがあればお聞かせください。
高田:大変だったのは、やはりステークホルダーとの調整でしょうか。GITの方とは検証のスケジュールや要件などの部分について、パーソルキャリアのセキュリティ部署の方とは社内での展開方法・スケジュールや、基盤保守の方との連携方法などについて……とそれぞれに調整が必要でした。PMの姫野さんを中心にその舵取りをしながら、全体のスケジューリングをしていくのは特に大変だったなと思います。
――セキュリティ部署の方々と協業するにあたり、調整の中で技術的な面への理解を得ることにも難しさがあったのではと推測していますが……。
高田:おっしゃる通りです。もちろんサーバーについてなど基本は理解してくださっているものの、モダンなシステムとなると従来のものとは考え方自体が大きく変わる部分も多々あります。そういった根本の考え方から伝えながら、自分たちがやりたいことをご説明していくという過程には、もちろんですが相応の時間を要しました。
姫野:ただ、従来と異なる施策や考え方についても、時間をかけて正しく話せば正しくご理解・ご判断いただける、とわかったことは大きかったのかなと思っています。今後も同じような課題がまだまだ出てくると思いますが、それらの課題を解決していく第一歩になったという実感がありますね。
高田:そうですね。GITの方々はお忙しい中でも、「コード化されたインフラの中でソフトがどのようにインストールされるのか知りたいので、実際に検証の様子を見せて欲しい」などと積極的にご対応くださいました。
同じ画面をみながら検証を行う過程で、お互いに「セキュリティではこういう観点を気にするんだ」「クラウドではこのようにセキュリティ対応していけばいいのか」と理解し合えた点は、苦労がありつつも大きな収穫だったなと感じます。
――現在すでに導入段階に入っていると伺っていますが、プロジェクトが成功した要因をどのように振り返られますか?
姫野:今回役割としては私がPM、高田さんが技術サポートという形で進めさせていただいたのですが……私が入社して最初に担当したプロジェクトだったこともあり、社内で誰に話を通すべきかなどわからない点がさまざまありました。その中でも高田さんにうまく導いていただけたことは、プロジェクトを進めるにあたり大きかったなと思っています。
またもう一つのポイントは、プロジェクトの途中での方針転換です。実は自動化に向けて検討を始めた当初は、クラウドに対応した何らかの新しい製品を導入しようと考えており、問い合わせや調査などを進めていたんです。
ですが、2,3ヶ月かけてある程度製品を絞り込んだ段階で「既存の製品でも自動化できるのでは」という可能性が浮上しました。どうすべきかを高田さんやマネジャーと話し合い、当初の計画を覆して既存製品で対応しようと大きく舵を切れたことが、プロジェクト自体をシンプルにして成功につなげられた要因でした。
――大きな方針転換だったと思いますが、どのような基準で判断がなされたのでしょうか。
姫野:やはり「全体に対して一番良い効果をもたらす方法はどれか」という判断が中心だったと思います。既存の製品を使えば運用設計などがすべて不要になるという点をはじめ、コスト面での差が特に大きくありました。
高田:現状パーソルキャリア内にはSOCのようなセキュリティ部隊がないため、その立ち上げからしなければならないことも考えると、多くのコストや時間がかかります。当初の計画では自動化を実現できるのは当分先の予定であったところから、「既存製品の対応についてGITと連携すれば、コストをかけずにリードタイムを大幅に縮められる」となると、その方がみんな幸せになれるのではという判断でした。
もちろん、すでに私や姫野さんが数ヶ月稼働してきたものが無駄になってしまうという観点もあるかとは思いますが、組織としてそこだけに目を向けることはせず「こっちの方が良いとわかったんだ。じゃあこっちに行こう」とある種、客観的で冷静な判断をしていただけたことはありがたかったですね。
全体最適への転換で、セキュリティレベルを落とさず効率化を目指す
――「チームとしての合理的で柔軟な判断」というポイントが挙がりましたが、他にクラウド推進グループらしい文化や価値観などがあれば教えてください。
高田:上から「これをやりなさい」と降りてくることよりも、ボトムアップで現場から「こういうものがあった方が良いよね」「現場でここに困っています」と声をあげていくアプローチが多い環境です。
コストや稼働などまでふまえてきちんと説明をすれば、上長からは「それいいですね。改善しましょう」「会社としてはビジネス的な視点からこちらを大切にしている」などとフィードバックをしていただけます。自分でやりたいことを上げて合理的に判断してもらうような環境を望んでいる方には、マッチしそうだなと感じますね。
姫野:もちろん説明責任を果たすべき場面が多いという大変さはありますが、私もマネジャーから「これをキャッチアップすると良い」「この本を読んでみると役立つかも」など、さまざま助言をいただき助けられてきました。そういった意味では、人をきちんと育てていく意思がある組織だなと、この半年間で実感しています。
あとは、比較的新しいグループなので社歴が短い方が多く、それぞれにバックグラウンドがさまざまであるからこその面白さはありますね。たくさん話をしてお互いの意見を尊重しつつ議論ができる方が多い印象です。
高田:一人ひとり前職の文化も価値観も異なるので、そこを理解して対話することが重要ですね。
――ありがとうございます。それでは最後に、お二人が今後チャレンジしたいことをお聞かせください。
高田:パーソルキャリアにおいては、システムごとの個別最適が先行して進みすぎており、全体最適が追いついていない点が現状の課題として挙げられますが、開発スピードを高めていくためにはセキュリティ関連でスピードや属人性などの課題を改善していかなければいけません。今後は、今回のマルウェア対策と同様に「セキュリティレベルを落とさずにいかに効率化するか」を、全体最適の視点で考え改善を進めていきたいと思っています。
また、この活動を行っているのは現在私と姫野さんの2名のみですが、今後共通機能の構築や運用なども必要になってくるので、内製でも回せるような組織づくりにも挑戦していきたいと思います。
姫野:高田さんと一緒に進めようとしているクラウド化推進組織(CCOE)の体制づくりやガイドライン作成などは、パーソルキャリアでこれまでやってこなかったことであり、チャレンジングな取り組みだと思っています。今後もセキュリティ部門やBITAの方々をはじめ皆さんの意見を聞きながら、しっかりと推進していきたいと思います。
――ありがとうございました!
(取材=伊藤秋廣(エーアイプロダクション)/文=永田遥奈)
高田 洸介 Kosuke Takada
インフラ基盤統括部 システム共通BITA部 クラウド推進グループ リードエンジニア
前職はSIerにてAWS上でのアジャイル開発で、インフラチームとして横串的に基盤を開発/運用を担当。AWSサービスの利用と、Terraform, Ansibleなどを用いたInfrastructure as codeなどにも積極的に取り組む。2019年10月より現職。パーソルグループの標準AWS環境に対して、利用推進、整備、機能開発/検証などを行う。
姫野 貴司 Takashi Himeno
インフラ基盤統括部 システム共通BITA部 クラウド推進グループ エンジニア
前職はマスメディア系列システム会社にてインフラエンジニアとして従事。入稿システムの新規構築やPC向けメディアのクラウド移行に参画。また、データセンターに付随するネットワーク及び付帯サービスの構築、維持、運用管理に従事。2020年10月より現職。クラウド推進グループにてクラウド利用の全社最適に向けた取り組みを計画中。
※2022年7月現在の情報です。
