ID:76161さん

## プロジェクト概要 機密情報の外部持ち出しを防止するDLPシステムの導入支援において、権限設計とテストを担当しました。 ## 役割・体制 ### 自身のポジションと役割 - インフラエンジニアとして、DLPシステムの権限管理に関する設計および単体テストを実施しました。 - EntraIDやPurviewを利用したアクセス権限の分離設計に注力し、相互参照や操作ができない設定の検討と検証を担当しました。 - 設計フェーズでは詳細設計書の内容を精査し、テストフェーズでは権限設定の動作確認と不具合検出に貢献しました。 ### チーム規模と構成 - エンジニア約10名のチームで、インフラ担当として権限設計とテストを中心に活動しました。 ## 背景・課題 - メールやWeb経由での機密情報の外部持ち出しを防止するため、DLPシステムの導入が求められていました。 - 権限分離に関しては過去の検証資料が残っておらず、実際に設定が機能するかは推測に頼った状態であったため、確実な根拠をもって設定を進める必要がありました。 - 相互参照や権限の重複を許さない堅牢な権限分割設計が最大の課題であり、多数の設定パターンを検証して最適解を導出する必要がありました。 ## 実際の取り組み ### 開発環境 - AWSを基盤とし、Linux環境でDLPシステムの設計・検証を行いました。 - WinSCPやTera Termを利用してリモート環境へのアクセスや設定変更を実施し、バッチジョブの管理を行いました。 - チーム内での情報共有は主にドキュメントとメールを用いて行い、必要に応じてオンラインミーティングを開催して進捗確認と課題共有を実施しました。 ### 設計・改善内容 - EntraIDおよびMicrosoft Purviewの権限設定において、相互に参照や操作ができないよう複数パターンの権限組み合わせを試行・検証しました。 - 権限の精査を徹底し、どの設定がどのようなアクセス制御を実現するかを詳細に記録した根拠資料を作成し、関係者間で共有しました。 - 詳細設計の見直しを行い、実際のテスト結果を反映して設定の修正・最適化を重ね、権限分割の実現性を高めました。 - 権限分離の確実性を担保するため、テストケースを体系的に設計し、単体テストを通じてアクセス制御の不備を早期に発見・解消しました。 ### その他アピールポイント - 複雑な権限設定に関し、理解が乏しいチームメンバーへ向けて設定内容と影響を分かりやすく説明し、プロジェクト理解の促進を図りました。 - 設計・テストの両フェーズで権限管理に関するナレッジを蓄積し、今後のDLP導入プロジェクトに活用可能な知見を提供しました。 ## 成果・価値 - 実際に機能する権限分離設定の組み合わせを明確にし、以前の推測ベースの設計から実証可能な設計へ軌道修正を実現しました。 - 相互参照を防ぐ堅牢な権限分割の実現により、DLPシステム導入のセキュリティ要件を満たす基盤を構築しました。

## プロジェクト概要 オンプレミスからAWSガバメントクラウドへの業務システム移行支援において、監視設計とログ管理の標準化、VPN証明書運用の整備を実施しました。 ## 役割・体制 ### 自身のポジションと役割 - インフラエンジニアとして、Route53のプライベートホストゾーン（PHZ）設定の検討・実装を担当しました。 - CloudWatch OAMを用いた複数アカウント間のクロスアカウント監視・集約基盤の設計・実装を主導しました。 - ログ管理方針の策定および各種ログの整理、クライアントVPN接続に関する証明書作成手順の整備・標準化を推進しました。 - CloudWatchの監視対象メトリクスの選定、閾値設定、監視設計からCloudFormationによるコード化までを担当しました。 - Excel連携によるパラメータ変更でCloudFormationコードが更新される仕組みを開発し、監視設定の保守性向上を実現しました。 ### チーム規模と構成 - 約15名規模のインフラチームで、インフラ構築や運用設計を分担しながらプロジェクトを推進しました。 ## 背景・課題 - オンプレミス環境で稼働する既存システムを、セキュアかつ効率的にAWSガバメントクラウドへ移行する必要がありました。 - ガバメントクラウドのセキュリティ統制要件により、複数アカウントに分散する監視データや各種ログの集約・整理、運用の標準化が求められていました。 - クライアントVPN接続に必要な証明書の作成・管理フローが明文化されておらず、運用の属人化や作業ミス、セキュリティリスクが懸念されていました。 - CloudWatchを用いた監視設計に関し、チーム内の知見不足により適切な監視項目や閾値設定の検討が課題となりました。 ## 実際の取り組み ### 開発環境 - AWSのRoute53、AWS Client VPN、CloudWatch、CloudFormationを用いてインフラ構築を行いました。 - CloudWatchの多様なメトリクスやCloudWatch OAMを検証し、監視集約環境および閾値設定により運用負荷軽減を実現しました。 - Excelで監視パラメータを管理し、CloudFormationコードの自動生成を連携させる仕組みを導入しました。 ### 設計・改善内容 - Route53のプライベートホストゾーン設定で、冗長性と可用性を考慮し、AWSベストプラクティスに準拠した構成を提案・実装しました。 - CloudWatch OAMを用いて複数アカウントの監視データを安全に一元化する監視集約基盤を設計・展開しました。 - システムログやアクセスログを体系的に分類し、セキュリティおよび監査要件に基づくログ管理方針の策定と整理を行いました。 - クライアントVPNの運用を円滑化するため、相互認証に必要な認証機関（CA）およびサーバー/クライアント証明書の安全な作成・更新手順に関する資料整備および作業手順の標準化を実施しました。 - 監視設定の保守性向上を目的に、Excelのセル値変更でCloudFormationコードが更新される仕組みを開発し、設定変更の敷居を下げました。 ### その他アピールポイント - 煩雑になりがちなログ管理やVPN証明書管理の運用手順を資料化・標準化し、インフラ知識のばらつきを解消してチーム全体で安全かつ一貫した作業環境を整えました。 - CloudFormationに不慣れなメンバーでも監視設定や閾値調整が容易になる仕組みを構築し、運用効率の向上に寄与しました。 ## 成果・価値 - 監視設定のコード化とExcel連携によるパラメータ管理で保守性が大幅に向上し、変更作業の工数削減とヒューマンエラーの低減を実現しました。 - ログ整理と運用資料の整備・標準化により、属人化を排除した持続可能な運用体制を構築し、移行後の運用保守フェーズの負担を大幅に軽減しました。 - 複数アカウントの監視集約（CloudWatch OAM）や適切なログ管理により、ガバメントクラウドのセキュリティ統制要件と運用監視の一元化を両立した堅牢な基盤を提供しました。 - AWSガバメントクラウドへの移行に伴う安定したインフラ環境の構築支援を通じて、移行プロジェクトの円滑な推進に貢献しました。