朝の3時にまた緊急の電話が入った。オラクル・レッドブル・レーシングF1チームが、風洞実験で使用する車の問題を発見したのだ。空力工学ソフトウェアエンジニアリングの責任者であるイアン・ブルントンが問題のトラブルシューティングに当たることになった。早朝の眠気が覚めたとしても、調査には軽く1時間かかる可能性がある。しかしレーシングの世界では、1秒が生死を分ける。
F1チームを運営する際には、セキュリティに関連する多くの考慮事項がある。エンジニアが車を設計する際に使用するツール、方法、インフラストラクチャには多大な投資が必要であり、チームは競合他社への情報漏洩を防ぐ必要がある。さらに、彼らはサーキット上でもサーキット外でも高速で動いているため、データ漏洩、マルウェア、その他様々な脅威が発生しないようにする必要がある。システム認証情報とアイデンティティを保護する必要がある。
「F1においてサイバーセキュリティは重要である」と、レッドブル・レーシングの最高情報責任者(CIO)であるマット・カディューは「Dark Reading」に語った。「これはエンジニアリングの競争でもあり、ドライバーの競争でもある。我々は多くの投資を行っており、秘密とビジネス継続性を守る必要があり、他の企業と同じ脅威に直面している。」
2,000人の人員と数千台のサーバーおよびクラスタ(一部はオンプレミス、一部はクラウド)を管理しながら、速度と効率性をセキュアに維持することは課題である。100以上のサービスアカウントを含む幅広いアプリケーションとサービスは、複雑性をさらに増す。
過去1年間に、オラクル・レッドブル・レーシングは自動化、認証情報アクセス、ガバナンスされたアクセス、およびサービスとしてのソフトウェア(SaaS)管理のための1Passwordツールを実装した。2つの目標を念頭に置いてのことだ。スピードとセキュリティの向上である。実装上の課題を経験したが、カディューとブルントンは、追加された自動化によってプロセスが加速され、それが車の改善にもつながったことに同意している。
100人の完璧主義者を満足させる
F1はスピード重視だが、それは車の性能向上だけに限らない。ビジネス活動のスピードも重要である。ユーザーは生産性を発揮し、脳力を使って車を速くする方法に集中すべきであり、非効率なツールやダウンタイムに対処するのではなく、カディューは言う。
「人々がフラストレーションを感じて、『IT部門は役に立たない』と言うのではなく、私たちはそれを最小限にして、彼らの脳力とエネルギーをすべて車と基盤となるインフラの問題を考えることに注ぎ込もうとしている」と彼は言う。
認証なしでシステムを導入することは簡単であるが、それは「必ず問題になる」とブルントンは警告する。強力な認証により、ユーザーは車を設計することができるのであって、問題を報告することはない。「それは私のチームのメンバーにも影響する」と彼は言う。「問題の悪循環になる」。
会社内の人々は、最適でないもの、信頼性が低いもの、手作業が多いものを見ると不耐性になり、非常に強く意見を言うようになる、とカディューは言う。人々は遠回しには言わない。
「完璧主義者か要求の厳しいユーザーが数百人いる職場で働くのは良いことだ。中程度の品質への耐性は低い」とカディューは言う。
1Passwordとのパートナーシップは2025年2月に段階的ロールアウトで開始され、いくつかの実装上の課題があった。システムは正式に使用中であるが、チームはまだプロトタイプの進化と継続的な改善に取り組んでいる、とカディューは言う。
空力工学エンジニアリングサイドでは、APIの理解が最大の課題であり、実験が必要だった。彼らはシステム内で秘密情報を変更する調整と、それがどのくらいの時間で処理され更新されるかを学んだ、とブルントンは言う。
サービスデスク、インフラ、高性能コンピューティングチームも、1Passwordを中央リポジトリとして使用している。最大の実装上の課題は、1PasswordがF1チームに対応するようにツールを設定・使用できるようにするために、ビジネスについての理解を得る必要があったことだ。カディューはサポートと体制を提供するコンサルタントチームと協力した。
朝3時の緊急電話が減少
新しい自動化と一元化された認証情報アクセスにより、チームは高速に作業でき、新しいツールは車の初期設計段階を現代化するのに役立った、とブルントンは説明する。
カディューと彼のチームは、クラウドベースのサービスで人々にある程度の自由を持たせようとしているが、より多くのリスクをもたらす可能性のある完全な自由は与えていない。SaaS管理者はここで役に立ち、パスワードとアクセス制御に関するユーザーの行動を監視・理解し、以前にはなかった可視性を提供する、とカディューは付け加える。
改善パスワード衛生は、チームが利点を見た分野の1つであり、肯定的な行動を強制している。パスワードマネージャーは、ユーザーが平文でパスワードを保存するなどのセキュリティを危険にさらすショートカットを避けるのに効率的に役立つ。これは攻撃者が認証情報を盗む可能性があることだ。
「簡単に聞こえるかもしれないが、数千人を管理し、多くの異なることを行っているときに実は本当に重要だ」とカディューは言う。
認証情報アクセスは、ブルントンと彼のチームが1Passwordと対話する主要分野である。認証情報を保存する一元的な場所の実装は重要だ。なぜなら、1つのサブチームの1つのボルトだけで100以上のエントリがあるからだ。繰り返しになるが、すべてはスピードと一元的な場所についてであり、詳細に迅速にアクセスできる。
「私たちはどのボルトを誰が見るかを制御できる、これはかなり有用だ」とブルントンは言う。彼は、彼らは最小権限の原則で動作するため、どのユーザーにも過度なアクセス権を付与しないと付け加える。
チームはまた、高度に規制されている風洞に関する限り、可能な限り時間を節約しようとしている。彼らはテストを実行するために年間500時間を割り当てられている。時間制約は多くの圧力をもたらす。予算を慎重に使用する必要があり、システムダウンタイムは非常に迅速に大きな問題になるからだ、とブルントンは説明する。調査は20のサービス、2つまたは3つのサイトに分散している15または16のサービスをスキャンすることを意味し、さらに異なるKubernetesクラスタがある。
新しいパートナーシップの下で、風洞の回復時間は1時間から2分に短縮された。1つの場所に認証情報があり、異なるシステムにログインしたり、APIに迅速に接続したりできることは、明確に識別されていない問題を調査しようとするときに大きなメリットだ、とブルントンは言う。
「私たちはシステムのリセットを自動化することができた」と彼は言う。シングルクリックリセットボタンがワークフロー全体を取り壊して再確立する。彼らはより迅速に回復できるため、ブルントンは朝3時の電話をはるかに少なく受け取る。
最新のDark Reading Confidentialポッドキャストをお見逃しなくNSA長官、スノーデン事件から13年後に後悔と反省を語る。エドワード・スノーデン事件当時のNSA民間トップ、クリス・イングリスとの率直な対談。イングリスはNSAが何をよりよく行うべきだったか、CISOが内部脅威から保護することについて知るべきことは何か、スノーデンが恩赦を受けた場合の彼の反応について反省する。今すぐ聴く!
