Web2.5組織のアクセス管理についての取り組み

こんにちは！ Gaudiy でアナリティクスエンジニア兼データアナリストをしている星野 ( @mochigenmai ) です。
これは「Gaudiy Advent Calendar 2022」の6日目の記事です。

adventar.org

5日目の昨日は上井くん ( @UwaiKaz ) の「Notionのポータルを改善しようとしたら、チームワークを改善しちゃった話」でした。

Notion の改善によって分析依頼を受ける時にも企画の背景を理解しやすく、アナリストからも背景にあった分析提案がしやすくなりました！
Notion の Tips を知りたい方は是非読んでみてください。

---

この記事では ”Web2.5 組織” におけるアクセス管理についての取り組み を紹介します。
“Web2.5 組織” ってなんぞや？といった方は代表の石川さん ( @yuya_gaudiy ) の note やインタビュー記事を読んでみてください。

「Web2.5」が最適解。自律分散と中央集権のバランスを追求するGaudiy社の組織づくり | SELECK [セレック]

組織の成長とアクセス管理

そもそもアクセス管理は、情報漏洩による社会的信用の失墜や営業機会の損失といった、さまざまなリスクを未然に防ぐために行います。これらのリスクの原因は以下のようなものが挙げられます。

• 放置したアカウント（不要になったアカウント）の不正利用

• 権限の過剰付与による操作ミスや情報漏洩

今までは Web3.0 組織 への意識が強く、管理者を立てると DAO という Value から外れてしまうのではないかといった懸念があり、積極的にアクセス管理を行なっていませんでした。また社員数も少なかったこともあり、お互いにチェックをするといった形でリスクの原因を作らないようにしていました。

しかし、現在は社員数が一気に増えてきたことで、今までの運用だと難しくなり始めてきました。
このタイミングで ”Web2.5 組織” の考えにシフトし始めていたので、アクセス管理も「なるべく中央集権的にならない様にアクセス管理を行う」「アクセス管理の一部に管理者をたてる」といったように Web2.5 の考え方で運用していくことを目指すことにしました。

アクセス管理の取り組み

プロジェクトの立ち上げ

まずは、水曜日の EMPOWER-DAY (中長期的に必要になるものへの投資日) を活用して、アクセス管理のプロジェクトを立ち上げました。
EMPOWER-DAY について詳しく知りたい方はコーポレートサクセスの安部さん ( @abe_motivator ) の note を読んでみてください。

集まったメンバーで、課題に感じている部分とアクセス管理に必要な要素についてディスカッションしました。
課題については以下の2つが主に挙げられました。

• GitHub のアカウント管理（副業メンバー含めたアクセス権のブラックボックス化）

• GCP の権限付与周り

また、アクセス管理に必要な要素は大きく分けて以下の2つだと考えました。

これらの課題と要素からまずは「GitHub のアカウント管理」を進めることにしました。

GitHub のアカウント管理

Terraform を利用することで「アクセスできるアカウント一覧が社内の誰でも閲覧可能な状態」を実現することができたため、Terraform で管理することにしました。

Terraform Registry

Terraform に慣れていないメンバーでも管理できるように構成を以下のように工夫しました。

• メンバーの権限付与は variables.tf を書き換えるだけで行える

  • organization のアクセス権

  • グループへのメンバー追加

• collaborator と team に対しての書き方が近くなるように構築

  • デフォルトの使い方だと collaborator を team のように扱えず、1人1人にレポジトリ単位で権限を付与する形になる

README をしっかり書けていませんが、今回構築したもののサンプルです。
Personal access token に適切な権限を付与していても、organization の owner 権限のあるアカウントで発行しないと権限不足のエラーになってしまうので気をつけてください。（ここの問題を解決するのに一番時間を使いましたw）

これからのアクセス管理

まずは「GitHub のアカウント管理」を行いましたが、まだ既存のレポジトリで「2. アカウントに対する権限の最適化」は行えていないので、こちらを進めていきます。
また、GCP の「2. アカウントに対する権限の最適化」も行えていないので、GitHub の方で知見を溜めてから進めていこうと考えています。

その他の話では、端末管理の文脈で情シスを推進するプロジェクトが立ち上がっていて、そちらもゆくゆくは同じような内容になっていきそうです。そのためプロジェクト間でのすり合わせを行い、アクセス管理についてもスピード感を出していければいいなと思っています。

さいごに

Gaudiy では普通ではアクセス管理をやらないような職種でもアクセス管理について考えて推進できる環境が整っています。アクセス管理以外にも自分自身が興味がある領域に関して推進できるのでいろんな領域に興味があるといった方はぜひ採用ページもご覧ください！

Gaudiy 採用情報

7日目の明日は tora ちゃん (@jirosh1998) が担当してくれます。お楽しみに〜