freee株式会社様

電算システムの「 Google Cloud スターターパック 」で Google Cloud™ の基礎とベストプラクティスを短期間で習得!
プロジェクトごとの権限管理、請求管理ができ、統制のある運用が可能に

株式会社freeeの4人

「スモールビジネスを、世界の主役に。」をミッションに掲げ、中小企業、個人事業主向けを中心とした会計、人事労務などバックオフィス業務を効率化するSaaS型クラウドサービスの開発、運営をしているfreee株式会社。年々対応するサービスを拡大しており、2021年には法人向けクレジットカードサービス事業にも参入しています。

同社では、2013年から Google Cloud を利用開始し、2018年からは Google Cloud を使ったパブリックAPIを公開するプロダクトを増やしています。活用が進む中、運用方針を整理するために、電算システムが提供する「 Google Cloud スターターパック 」を受講することで、セキュリティガイドラインの整備を進め、よりセキュアでガバナンスの取れた運用を定着させることができるようになりました。

(コロナウイルスの影響により、取材はオンラインで Google Meet™ を利用)

課題

  • Google Cloud の基本的な理解なしで利用開始したため、様々なセキュリティリスクを抱えた
  • Google Cloud のプロジェクト管理、権限管理、請求管理ができていない
Arrow Arrow

対策

  • 電算システムが提供する
    「 Google Cloud スターターパック 」を受講し、実運用を踏まえた上でのコンサルティング・トレーニングを受ける
Arrow Arrow

効果

  • 権限管理、プロジェクト管理の徹底
  • セキュリティガイドラインの整備による社内統制

Google Cloud の運用にセキュリティ上の懸念が

執行役員 CIO 土佐 鉄平氏
執行役員 CIO 土佐 鉄平氏

バックオフィス業務を支援する各種サービスをSaaS型サービスとして提供するfreee。クラウド会計サービスとしてはシェア55%を誇り(シミラーウェブ、ローカルフォリオ 2019/10より)、24万以上の事業者がサービスを利用しています。

freeeでは、2018年からパブリックAPIを提供するプロダクトを増やすという方針のもと、 Firebase™を活用したアプリケーション開発を行っています。

「Google Cloud を社内向けに使っているチームが2つ、社外向けに使っているチームが4つありました。誰でも気軽に Google Cloud でプロジェクトを作れるようにしていたのですが、セキュリティの統制、利用料金の管理ができていないことが課題になってきました。FirebaseでfreeeのパブリックAPIを利用したアプリケーションの開発に力を入れるようになり、一度きちんと学んで運用方針を整理する必要がありました。しかし、独学では時間がかかりそうですし、体系立てて学べないか模索していました」(土佐氏)

同社では、2016年から Google Workspace™  を活用しており、電算システムがセキュリティ関連の支援を実施したことがありました。そこで今回も電算システムに相談し、電算システムが提供している「Google Cloud スターターパック」を受講することに決めたそうです。

運用実態にあわせたトレーニングで効率的に基礎知識を習得

PRISTセキュリティエンジニア 金澤 康道氏
PRISTセキュリティエンジニア 金澤 康道氏

「 Google Cloud スターターパック 」には、セキュリティエンジニアの金澤氏ともうひとりの担当者の合わせて二名が受講しました。2020年3月から4月にかけて3回、オンラインで受講し、Google Cloud の基礎、Cloud IAM 、Cloud Billingについてのレクチャー、実環境での運用方法についてコンサルティングを受けました。

「何も知らないところから教えてもらえたので、学びがたくさんありました。特に、Cloud IAMのユーザーの権限設定、アクセス制御のポイント、ベストプラクティス、Amazon Web Servicesとの違いなどを重点的に教えてもらい、よくわかりました。

また、実環境でのトレーニングも有意義でした。話だけではわからない部分を、実環境の構成、設定を見ながら、具体的にどこをどう変えれば運用にのせられるかまでアドバイスしてもらえました。少人数制のトレーニングでしたので、理解度に合わせて進めてもらえましたし、重点的に知りたいことのリクエストにフォーカスしたメニューを組んでもらえたのが良かったです」(金澤氏)

プロジェクト管理、権限の割り振りを行い、ガイドラインを整備

プロジェクト管理、権限の割り振りを行い、ガイドラインを整備

トレーニングを受けたあとは、ユーザーの権限付与、プロジェクトの管理などを行い、さらに今後の運用のためのセキュリティガイドラインを整備されたそうです。幸い、使っているチームが限られていたので、利用しているチームとこまめに連絡を取りながら、運用を調整していったと金澤氏は振り返ります。

「どの組織にも属さない”野良プロジェクト”があったので、これを一度棚卸しをしました。その上で、各プロジェクトをフォルダーで分類し、フォルダーごとにアクセスできるユーザーを制限して権限を付与しました。請求管理についてもプロジェクト単位でできるようになりました。同時にセキュリティガイドラインを策定し、それを読めば Google Cloud の運用フロー、ルールがわかるようにしました。」(金澤氏)

「利用状況がさらに混迷する前に、手を打てたことが良かったですね。一度しっかり整理できたので、新規プロジェクトも同じルールで、権限管理、請求管理ができています」(土佐氏)

権限については、最小権限をポリシーにして運用しており、不用意な公開ができないように制限しています。活用しているチームからは、当初はとまどいの声もありましたが、すぐに新しいルールが周知され、浸透していったそうです。

活用の実態に合わせてセキュリティガイドラインをアップデートしたい

セキュリティガイドラインを整備してから1年が経過し、浸透するのと同時に一部では運用の実態に合わせたアップデートの必要があると感じていると金澤氏は話します。

「Google Cloud のプラットフォームの考え方、権限の振り方の基礎知識が身についたので、それをもとにより良い運用方法を考えていきたいです。Firebaseには、様々な情報が入ってくるので、すべてのログを収集して管理し、何のデータが入っているのかを検知するようにしています。今後さらにセキュリティを高めていくために、DLP(Data Loss Prevention、情報漏えい対策)の導入などを検討しています」(金澤氏)

「Google Cloud は、気軽にプロジェクトが作れる自由度の高さが魅力である一方、統制しないままで運用を始めることがセキュリティ上のリスクになります。導入したら早い段階で権限の割当、プロジェクト管理を徹底したほうがいいですね。そのための知識や技術を効率的に把握するには、電算システムの『Google Cloud スターターパック』が有効です」(土佐氏)

freee株式会社

東京都品川区西五反田2-8-1
五反田ファーストビル9F

https://corp.freee.co.jp

Google Cloudについてご興味をお持ちの方はご覧ください。

Google Cloudの導入事例

Google Cloud に関するお問い合わせ