エンタープライズ向けクラウドインフラのセキュリティ要塞化・堅牢化パッケージ

課題・背景

急成長するSaaSサービスの立ち上げに伴い、悪意あるDDoS攻撃やBotアクセスの急増、脆弱性スキャナーによる攻撃リスクが高まっていました。また、CI/CDで利用するサービスアカウントの永続鍵の漏洩懸念、退職者のIAMアカウントの残存、開発環境・管理システムへのアクセス制御など、包括的なセキュリティ強化と体制棚卸しが急務となっていました。

提供したアプローチ・機能

• エッジ・ネットワーク防御: ① CloudflareのDNS移行・WAF・Bot検知・DDoSプロテクション導入、⑦ APIゲートウェイにロードバランサーとGoogle Cloud Armorの統合、⑧ Cloud RunのIngressを限定（VPC内部アクセスのみに制限）。
• 閉域化・アクセス制御: ② Zero Trust Accessによる管理システムへの閉域保護、⑤ 定期的なIAM棚卸し（不要なサービスアカウント権限・キー・退職者権限の完全削除）、⑥ 管理者および全関係者への二要素認証（2FA）の強制適用、⑭ GCEにおけるOS LoginとShielded VMによるホスト防護。
• 安全なCI/CD・コンテナデプロイ: ⑨ OIDC（OpenID Connect）連携によるCI/CD構築（サービスアカウントの永続秘密鍵の完全廃止）、⑫ Binary Authorizationの有効化による署名なしコンテナデプロイ遮断、⑬ Container Registryでのデプロイ前脆弱性スキャン自動化、⑰ Dependabot自動更新による依存脆弱性修正。
• ログ分析・モニタリング: ③ Cloud Audit Logs（監査ログ）の全有効化、⑪ NAT Logs（ネットワーク送信ログ）の全有効化、⑮ VPC Flow Logs（トラフィックログ）の有効化、④ Security Command Center（脆弱性自動スキャン）の導入。
• アラート・アプリケーション防護: ⑩ NestJSフレームワークにおけるhelmetプラグインとCORSポリシーの厳格化、⑯ 全システムのログを検知し不審挙動をSlackへ自動アラート通知設定。

Illの強みと効果

インフラの構築（Terraform）段階からセキュリティのベストプラクティスをコード（IaC）として完全定義。サービスアカウントの永続鍵の流出リスクを根本からゼロにし、悪意あるアクセスやアタックを自動検知して防御するエンタープライズ品質の要塞化インフラへと一日で変貌させました。コンプライアンス監査も完全にクリアできる盤石な防衛体制を構築。