WAFRの新常識!? IaCコードからレビューを効率化

Transcript

1. WAFRの新常識!? IaCコードからレビューを効率化 山本 直弥 ( Nao ) Ops-JAWS Meetup 35

   IaC CDK支部コラボレーション企画 2025年７月８日 (火) 1

2. 名前：山本 直弥 (Nao) 所属：株式会社シーイーシー 在住：名古屋、出身：京都 2025 AWS Community Builder （DevTools）

   2025 JAWS-UG 名古屋 2025 Japan AWS Top Engineer 2023-2025 Japan AWS All Certifications Engineer 今日のテーマ 「WAFRの新常識!? IaCコードからレビューを効率化」 ※Xのアイコン 自己紹介 2

3. 今日話すこと • Well-Architected Framework Review (WAFR) を IaCコード を使って自動化する話 →良いと思ったところと課題に思ったところ

   ※Ops(運用)とCDK両方が入った話を検討した結果、 なぜかどちらからも少し離れた(気がする)話になりました 3

4. Well-Architected Framework Review (WAFR) とは 4

5. Well-Architected Framework Review (WAFR) とは 5 https://aws.amazon.com/jp/architecture/well-architected https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2025_AWS-Well-Architected-Framework-part1_0331_v1.pdf 6 つの柱

   (運用上の優秀性、セキュリティ、信頼性、パフォーマンス効率、コストの最適化、持続可能性) に基づい て、お客様とパートナーがアーキテクチャを評価し、スケーラブルな設計を実装するための一貫したアプローチ →ベストプラクティスとの差異とリスク把握ができる AWS Well-Architected Tool このAWSサービスの コンソール画面で チェックを行う

6. Well-Architected Framework Review (WAFR) のチェック項目 6 質問 チェック項目 OPS 4.

   ワークロードに可観測性をどのように実装 しますか? OPS04-BP01 主要業績評価指標の特定 OPS04-BP02 アプリケーションテレメトリの実装 OPS04-BP03 ユーザーエクスペリエンステレメトリの実装 OPS04-BP04 依存関係テレメトリの実装 OPS04-BP05 分散トレースの実装 OPS 5. どのように欠陥を減らし、修復を容易にし、 生産への流れを改善しますか? OPS05-BP01 バージョン管理を使用する OPS05-BP02 変更のテストと検証 OPS05-BP03 構成管理システムの使用 OPS05-BP04 ビルドおよびデプロイメント管理システムの使用 OPS05-BP05 パッチ管理を実行する OPS05-BP06 設計基準の共有 OPS05-BP07 コード品質を向上させるためのプラクティスを実装する OPS05-BP08 複数の環境を使用する OPS05-BP09 頻繁に、小さく、元に戻せる変更を行う OPS05-BP10 統合と展開を完全に自動化 • 1つの質問に対していくつかのチェック項目、57質問 運用上の優秀性（オペレーショナルエクセレンス）の質問例 チェック項目が多い (およそ、1質問5個くらい) ＜W-Aレビュー実施のポイント＞ ・リスクや改善点の顕在化が大切 ※全項目ベストプラクティスに則っている 必要はない かなり端的な表現

7. Well-Architected Framework Review (WAFR) のチェック項目 7 • AWSドキュメントにチェック項目の詳細あり（アンチパターンやメリット、実装ガイダンスなど） 運用上の優秀性（オペレーショナルエクセレンス）の質問例 https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/framework/ops_observability_identify_kpis.html

   1つのチェック項目ごとに そこそこの文書量がある

8. AWS Well-Architected Tool 8 • AWS Well-Architected Toolのコンソール画面では質問に1つずつ答える AWS Well-Architected

   Tool チェック結果は 「ワークロード」の単位で管理される (ワークロード≒レビューの単位(範囲))

9. WAFR を実施する上での課題 • 時間がかかる 9 W-Aの内容を把握している状態 W-Aの内容を把握していない状態 お客様との打ち合わせや、チーム内のレビュー時に 自然に検討、チェックできる 質問とチェック項目ごとに

   ドキュメントを読みながらチェック 時間がかからない めちゃ時間がかかる

10. Well-Architected Framework Review (WAFR) を効率化するツール 10

11. WAFR 自動化技術の進歩とノウハウ獲得の必須化 • レビューをより効率的に行うために様々な自動化手法が登場した • AWS Trusted Advisor と AWS

    Well-Architected Tool の連携(前からあるパターン) • AWS Well-Architected IaC Analyzer ※今日の話のメイン • WAFR Acceleration with GenAI Power など • AWS Well-Architected パートナープログラムの維持要件にもレビューの自動化実施が登場 • 全てのレビューを自動化する必要はないが、自動化レビューをどのように行っているか報告する要件 • 今年から新たに設定された 11 AWS Trusted Advisor Amazon Bedrock WAFRの自動化ノウハウを持つことは、WAFRにかかわる組織にとっては必須 WAFRになじみがない組織も自動化によってWAFRに取り組みやすくなった

12. 自動化の仕組みの例：WAFR Acceleration with GenAI Power • 設計資料に対してAIを利用したWAFRを実施する 12 https://aws.amazon.com/jp/blogs/machine-learning/accelerate-aws-well-architected-reviews-with-generative-ai/ ③StepFunctionsを利用して

    Amazon Bedrockを呼び出す ④Amazon Bedrock がレビューする ⓪WAFRガイダンス ドキュメントを学習 ②Amazon Textractで 設計資料からデータ抽出 ①ユーザーが設計資 料をアップロード

13. 自動化の仕組みの例： AWS Well-Architected IaC Analyzer • WAFRの情報とIaCコード(CloudFormation、CDK)などを基にAmazonBedrockがレビューを行う 13 https://github.com/aws-samples/well-architected-iac-analyzer 今回のCDK要素

14. AWS Well-Architected IaC Analyzer の導入方法 • GitHubでCloudFormationテンプレートが反映されている 14 https://github.com/aws-samples/well-architected-iac-analyzer 最近日本語化対応した

    頻繁に改善が 加えられている

15. レビューを試したアーキテクチャ • 生成AI体験ワークショップのCloudFormationテンプレートとアーキテクチャ図を基にレビュー 15 https://catalog.workshops.aws/generative-ai-use-cases-jp/ja-JP/overview/architecture ・主な機能：生成AIチャット、RAG ・静的コンテンツをS3で保管 ・CloudFront経由でコンテンツにアクセス ↓ W-AFR：OPS01-04(コンプライアンス要件)

    ※データ、通信の暗号化などがされているか のチェック項目が関係しそう

16. AWS Well-Architected IaC Analyzer の実行方法 • IaCアナライザーはWeb画面で操作可能でCfnテンプレートやCDKプロジェクトなどが投入可能 16 zipファイル PDFファイル

    ・各4.5MBまで、5ファイルまで 多いほどレビューに時間がかかる ※目安：1つの柱20分くらい (レビュー対象の内容による)

17. AWS Well-Architected IaC Analyzer の実行方法 (オプション設定) 17 特定の用途に特化した質 問集(レンズ)を選択する ことも可能

    日本語を選択可能 補足資料を添付可能 （アーキテクチャ図など） 関連付けたいワークロードを選択可能

18. AWS Well-Architected IaC Analyzer のレビュー結果（OKの項目） • チェックOK（適用済み）の場合は、OKと判断した「理由」が記載される 18 AIさん「暗号化強制されて るから良いと思う」

    チェック項目 OPS01-BP04 「コンプライアンス要件 組み込まれてる？」

19. AWS Well-Architected IaC Analyzer のレビュー結果（判断不可の項目） • 関連性なし の項目は、IaCコードには表れない項目 19 チェック項目

    OPS0２-BP02 「運用手順の文書化や担当者が決めがされている？」 チェック項目 OPS0２-BP03 「運用の責任者が決まっている？」

20. AWS Well-Architected IaC Analyzer のレビュー結果（NGの項目） • チェックNG（未使用）の場合は、NGと判断した「理由」と「推奨事項」が記載される 20 理由：AIさん 「

    IaC内に関連する記載ないよ」 チェック項目 OPS02-BP04 「責任と所有権を管理するための メカニズムがある？」 推奨事項：AIさん 「AWS Systems Manager 、 AWS Security Hub 、 Amazon GuardDuty とか使えばよいよ」

21. AWS Well-Architected IaC Analyzer のレビュー結果（NGの項目） • 推奨事項の欄にあるキラキラを押すと、未適用項目についてAIさんと対話しながら解決策を探れる 21 初期状態は英語で 会話が始まる

    キラキラ このボタン でもOK

22. AWS Well-Architected IaC Analyzer のレビュー結果（NGの項目） • NG項目について改善したい場合は、AIとやり取りしながら解決策を検討できる 22 具体的にIaCコードを どうすればよいか回答してくれる

    日本語回答リクエスト

23. IaCアナライザー運用上の課題 ～本質的に必要な改善が判断しにくい～ • OK項目の理由に違反するとどうなるか、試してみた 23 ③ チェック結果はNG だが 推奨事項が一般論 (CloudFrontの問題指摘ではない)

    ④OKの理由とNGの推奨事項 どちらが本質的に正しい？ ※今後のAIモデルの進化により改善されるかも ① OKの理由 CloudFrontのHTTPS強制 ② CloudFrontの HTTPS強制をなくした （個人的見解）

24. IaCアナライザー運用上の課題 ～レビューとIaCコードの粒度～ • レビューをしたい単位(ワークロード)とIaCコードの粒度が合っていないと、レビューが難しい 24 < レビューをしたい単位 ( 案件やチームによる )

    > • AWSアカウント 単位 • システムの種類 単位 • システムの機能分類 単位 (改修案件 単位、フロントエンド/バックエンド バッチ処理/オンライン処理、などなど) • 他、案件やチームの考え方による < IaCアナライザーが分析する単位 (不変) > ・IaCコード（スタック）毎 ＜ WS Well-ArchitectedReviewの６つの柱（選択可能）> 運用上の優秀性、セキュリティ、信頼性、パフォーマンス効率、コスト効率、持続可能性 レビューしたい範囲以外の内容で OK/NGが判定されるのでは？ （個人的見解）

25. まとめ • WAFRの自動化はレビューの効率化に有効 • どのようなリスクがあるか素早く発見できる • AIのコメントやチャットでのやり取りでWAFRの理解が深まる • NG項目の推奨事項や、ツールとレビュー粒度の検討など運用は注意が必要 •

    NG項目の推奨事項が本質的に正しい改善方法か、人の判断が必要 • 必要なレビューの粒度とIaCコードの粒度が合わない場合のレビュー運用は要検討 • IaCコードを使ったWAFR自動化がより一般的になれば、 IaCコードもWAFRを意識したコードが求められるようになる（かも） 25

26. ご清聴ありがとうございました 自動化ツールを うまく使っていきましょう 26