ID:76161さん

## プロジェクト概要 機密情報の外部持ち出しを防止するDLPシステムの導入支援において、権限設計とテストを担当しました。 ## 役割・体制 ### 自身のポジションと役割 - インフラエンジニアとして、DLPシステムの権限管理に関する設計および単体テストを実施しました。 - EntraIDやPurviewを利用したアクセス権限の分離設計に注力し、相互参照や操作ができない設定の検討と検証を担当しました。 - 設計フェーズでは詳細設計書の内容を精査し、テストフェーズでは権限設定の動作確認と不具合検出に貢献しました。 ### チーム規模と構成 - エンジニア約10名のチームで、インフラ担当として権限設計とテストを中心に活動しました。 ## 背景・課題 - メールやWeb経由での機密情報の外部持ち出しを防止するため、DLPシステムの導入が求められていました。 - 権限分離に関しては過去の検証資料が残っておらず、実際に設定が機能するかは推測に頼った状態であったため、確実な根拠をもって設定を進める必要がありました。 - 相互参照や権限の重複を許さない堅牢な権限分割設計が最大の課題であり、多数の設定パターンを検証して最適解を導出する必要がありました。 ## 実際の取り組み ### 開発環境 - AWSを基盤とし、Linux環境でDLPシステムの設計・検証を行いました。 - WinSCPやTera Termを利用してリモート環境へのアクセスや設定変更を実施し、バッチジョブの管理を行いました。 - チーム内での情報共有は主にドキュメントとメールを用いて行い、必要に応じてオンラインミーティングを開催して進捗確認と課題共有を実施しました。 ### 設計・改善内容 - EntraIDおよびMicrosoft Purviewの権限設定において、相互に参照や操作ができないよう複数パターンの権限組み合わせを試行・検証しました。 - 権限の精査を徹底し、どの設定がどのようなアクセス制御を実現するかを詳細に記録した根拠資料を作成し、関係者間で共有しました。 - 詳細設計の見直しを行い、実際のテスト結果を反映して設定の修正・最適化を重ね、権限分割の実現性を高めました。 - 権限分離の確実性を担保するため、テストケースを体系的に設計し、単体テストを通じてアクセス制御の不備を早期に発見・解消しました。 ### その他アピールポイント - 複雑な権限設定に関し、理解が乏しいチームメンバーへ向けて設定内容と影響を分かりやすく説明し、プロジェクト理解の促進を図りました。 - 設計・テストの両フェーズで権限管理に関するナレッジを蓄積し、今後のDLP導入プロジェクトに活用可能な知見を提供しました。 ## 成果・価値 - 実際に機能する権限分離設定の組み合わせを明確にし、以前の推測ベースの設計から実証可能な設計へ軌道修正を実現しました。 - 相互参照を防ぐ堅牢な権限分割の実現により、DLPシステム導入のセキュリティ要件を満たす基盤を構築しました。

## プロジェクト概要 オンプレミス環境からAWSのガバメントクラウドへの業務システム移行支援を担当し、監視設計とインフラ構築の効率化を実現しました。 ## 役割・体制 ### 自身のポジションと役割 - インフラエンジニアとして、Route53、プライベートホストゾーン（PHZ）設定の検討・実装を担当しました。 - CloudWatchの監視対象メトリクスの選定と閾値設定を行い、監視設計からCloudFormationによるコード化までを実施しました。 - 監視設定の保守性向上を目的とし、Excelを活用したパラメータ変更が即座にCloudFormationコードに反映される仕組みを開発しました。 ### チーム規模と構成 - エンジニア約15名規模のチームで、インフラ構築や運用設計を分担しながらプロジェクトを推進しました。 -チームは複数のサブチームに分かれ、AWS環境の各種設定や移行タスクを分担していました。 ## 背景・課題 - オンプレミスで稼働している既存システムを、セキュアかつ効率的にAWSガバメントクラウドへ移行する必要がありました。 - CloudWatchを用いた監視設計に関し、チーム内に十分な知見が不足していたため、適切な監視項目・閾値設定の検討が課題となりました。 - CloudFormationを用いたインフラコード化についても、チームメンバーのスキルバラツキにより保守性と変更容易性の確保が求められました。 ## 実際の取り組み ### 開発環境 - インフラ構築にはAWSのRoute53、CloudWatch、およびCloudFormationを採用し、インフラのコード化・自動化を推進しました。 - 監視設計に関しては、CloudWatchの多様なメトリクスを検証し、運用負荷軽減を目的とした閾値設定を行いました。 - Excelを活用し、監視パラメータの管理とCloudFormationコードの自動生成を連携させる仕組みを導入しました。 ### 設計・改善内容 - Route53のプライベートホストゾーン設定では、冗長性と可用性を考慮した設計を行い、AWSベストプラクティスに準拠した構成を提案・実装しました。 - CloudWatchの監視対象メトリクス選定に際しては、自身の取得資格で得た知識を活用し、システム特性に応じた監視項目を体系的に整理しました。 - 監視設定の保守性向上を目的に、Excelのセル値変更でCloudFormationコードが更新される仕組みを開発し、設定変更の敷居を下げました。 - 構築手順書を作成し、移行作業の標準化とナレッジ共有を促進しました。 ### その他アピールポイント - CloudFormationに不慣れなメンバーでも容易に監視設定の変更が可能な仕組みを構築し、チーム全体の運用効率を向上させました。 - 監視設計に関するナレッジを体系化し、将来的なAWS環境の拡張・保守に対応可能な基盤を整備しました。 ## 成果・価値 - 監視設定のコード化とExcel連携によるパラメータ管理により、保守性が大幅に向上し、変更作業の工数削減とヒューマンエラーの低減を実現しました。 - 誰でも容易に監視閾値を調整できる環境を整備し、運用担当者の負担軽減と迅速な対応力向上に寄与しました。 - AWSガバメントクラウドへの移行作業において、安定したインフラ環境の構築を支援し、移行プロジェクトの円滑な推進に貢献しました。