JAWS DAYS 2026 CDP道場 事前説明会 / JAWS DAYS 2026 CDP Dojo briefing document

Transcript

1. JAWS DAYS 2026 
 Mashup for the Future 
 CDP道場

   事前勉強会 2026年2月26日(木) 株式会社サメシャイン水族館

2. #jawsug #jawsdays2026 #jawsug_arch 自己紹介 AWS SAMURAI 2015 JAWS-UGアーキテクチャ専門支部 JAWS-UG情シス支部 TKB大学サメシャイン研究財団

   教授 サメシャイン水族館 CIO 山﨑 奈緒美（ヤマサメ教授） 大阪出身。 就職で上京し、ソフトハウスでインフラエンジニア 地図情報システム開発会社でひとり情シス 旅行会社の情シス部門でクラウド担当 2020年9月に東京から札幌へ移住し10月より サメシャイン水族館へJOIN。 @nao_spon I ♡ Route53 IAM Organizations サメ一筋のマッドサイエンティスト、ヤマサメ教授です！ 好きなサメはホホジロザメです！

3. #jawsug #jawsdays2026 #jawsug_arch 自己紹介 AWS SAMURAI 2017、2020 / AWS HERO

   JAWS-UGアーキテクチャ専門支部 JAWS-UG CLI専門支部、JAWS-UG朝会 TKB大学サメシャイン研究財団 特任准教授 波田野 裕一 (バタノ准教授) 30歳までフリーター。技術雑誌寄稿をきっかけにIT業界に転職。 Postfix IPv6対応公式パッチ当てたらスパムの踏み台にされて SpamCopに怒られたことがあります。 2023年8月に東京から某所へ移住しQoL爆上がり。 2月よりサメシャイン水族館へJOIN。 @tcsh I ♡ Route53 IAM Organizations 今日は、いつも「運用でカバー」でバタバタしている 「バタノ」准教授という役です! セキュリティまで手がまわ らん...

4. #jawsug #jawsdays2026 #jawsug_arch 自己紹介 JAWS-UG CLI専門支部 幽霊部員 鮨処 チョーサメ 総板長

   中島智広 (フカシマ総板長) 2014年頃セキュリティ会社に勤める傍ら、今は無きコワーキン グスペース茅場町 Co-Edoに出没し、バタノ准教授のAWS CLIハ ンズオンを嗜む。その後、ご縁あって目黒の会社に転職。 AIにセキュリティの仕事を奪われる未来を予見し寿司職人の修行 を開始、2月よりサメシャイン水族館へJOIN。 I ♡ Route53 Kiro セキュリティなんて人間のやる仕事じゃないわ。。。 その辺のAIにでもやらせとけ！ Control Tower

5. #jawsug #jawsdays2026 #jawsug_arch • 今日はお題とその背景を事前に共有します • 当日はチームでの議論と発表に集中してください • 質問があれば今日のうちにどうぞ •

   本日の資料といただいた質問と回答は後日公開します 当日のワークショップは 90分 しかありません 本日の目的
6. None

7. #jawsug #jawsdays2026 #jawsug_arch 本日は事前説明会にご参加いただき ありがとうございます！

8. #jawsug #jawsdays2026 #jawsug_arch 企業名：株式会社サメシャイン水族館 営業時間：平日10:00-18:00、土日祝夏休み期間は10:00-20:00 設立：1965年3月1日 資本金：210億円 売上高：340億円（2024年度） 社員数：170名（2025年4月現在） アクセス：JR山手線池袋駅

   東口の果てのサメシャインタワー (通称:331タワー) 小石川の岡の上の某国立TKB大学の敷地に立つ 331階建てのモダンな建物の331階 ※サンシャイン60ではありません 会社概要 サメシャイン水族館について

9. サンシャイン60 ではありません

10. サンシャイン60 ではありません

11. サメシャインタワー （通称:331タワー） です ※昨年と世界線が違います

12. None

13. #jawsug #jawsdays2026 #jawsug_arch 当館の人気者たち サメシャイン水族館について

14. #jawsug #jawsdays2026 #jawsug_arch サメシャイン水族館について

15. #jawsug #jawsdays2026 #jawsug_arch サメシャイン水族館について

16. #jawsug #jawsdays2026 #jawsug_arch 水族館の役割 サメシャイン水族館について 教育 環境教育 種の保存 調査 研究

    レクリ エーショ ン

17. #jawsug #jawsdays2026 #jawsug_arch サメシャイン水族館について

18. #jawsug #jawsdays2026 #jawsug_arch 331Fの水族館を中心に、2つの収益源があります • チケット予約・発券システム（オンライン＋窓口） ◦ オンライン予約に加え、窓口での入場料販売も担う • サメシャーレ

    ショップ オンラインEC ◦ サメグッズ・お土産の通販と物販 ◦ サメシャーレショップ サメシャインタワー店と在庫一元管理をしている 事業の柱 サメシャイン水族館について

19. システム構成について

20. #jawsug #jawsdays2026 #jawsug_arch サービス系システム- チケット予約+窓口POS+物販EC システム構成について

21. #jawsug #jawsdays2026 #jawsug_arch システム構成について 社内システム- サメ研究所 内部管理

22. #jawsug #jawsdays2026 #jawsug_arch システム構成について 共通インフラ

23. #jawsug #jawsdays2026 #jawsug_arch システム構成について システム構成全体像 ※とある事象発生時の調査で判明した部分のみを書き起こしているので 実際はもっとあるかもしれません

24. #jawsug #jawsdays2026 #jawsug_arch https://bit.ly/sameshinediag システム構成図をPDFでご用意しています システム構成について

25. #jawsug #jawsdays2026 #jawsug_arch システム構成について 利用中のAWSサービス サービス 用途 IAM ユーザー管理（IAMユーザーのみ） EC2

    Webアプリ、プロキシサーバ RDS データベース S3 ファイル保管 Lambda 非同期処理 SQS メッセージキュー SNS 通知 CloudFront CDN CloudShell 運用作業

26. とある日...

27. None

28. #jawsug #jawsdays2026 #jawsug_arch ランサムウェア被害の経緯 • 派遣さんに例外的に許可していたMFAなしのIAM Userが侵害された • 派遣さん用IAM Userの権限が全体的に緩く、権限昇格されてしまった

29. #jawsug #jawsdays2026 #jawsug_arch 被害状況 ランサムウェア被害の経緯 サメ研究所内部管理システム 研究データ・勤怠・経費精算 が影響を受けた チケット予約・ECシステム 派遣さんの業務範囲にサービス系が

    含まれていなかった 侵害されたシステム 侵害を免れたシステム • 被害対象が比較的シンプルだった • 現環境を破棄 • 古いバックアップから新規構築で復旧 復旧方法

30. #jawsug #jawsdays2026 #jawsug_arch 今回はたまたま助かっただけです... ランサムウェア被害の経緯 • 全システムが同一AWSアカウントに同居 • 次に同じ手口で侵入されたらサービス系もやられる •

    サービス系システムのRDSが暗号化されると... ◦ チケットオンライン予約も入場窓口も発券不能 ◦ ECサイトとショップ店頭での販売不能 ▪ 在庫管理・POSをオンライン・店頭で一元管理

31. #jawsug #jawsdays2026 #jawsug_arch 今回はたまたま助かっただけです... ランサムウェア被害の経緯 • 全システムが同一AWSアカウントに同居 • 次に同じ手口で侵入されたらサービス系もやられる •

    サービス系システムのRDSが暗号化されると... ◦ チケットオンライン予約も入場窓口も発券不能 ◦ ECサイトとショップ店頭での販売不能 ▪ 在庫管理・POSをオンライン・店頭で一元管理 事業存続の危機

32. #jawsug #jawsdays2026 #jawsug_arch 現行環境の問題点 問題 詳細 アカウント分離なし 開発/STG/本番が1アカウントに混在 IAMユーザー直接利用 SSOは正社員のみ、派遣さんは対象外

    MFA未徹底 派遣さんに例外的にMFAなしを許可 権限が緩い Lambda含め全体的に緩く、昇格しやすい ルートユーザー利用 歴史的経緯で一部残存 セキュリティ監視なし 攻撃されても気づけない状態 バックアップ不統一 自動取得と手動取得が混在

33. みなさんへのお願い

34. #jawsug #jawsdays2026 #jawsug_arch この環境をセキュアなアーキテクチャに作り変えてほしい みなさんへのお願い その1 🚑 侵害されたらどうするか 検知・対応・復旧 🛡

    侵害されない工夫・予防策 考えてほしい2つの観点 • サービスの機能自体は大きく変えない • セキュリティ部分について検討してほしい • 使えるAWSサービスに制限はありません 条件

35. #jawsug #jawsdays2026 #jawsug_arch 移行のロードマップを作ってほしい みなさんへのお願い その2 • 新アーキテクチャへ移行する際の優先順位とその理由 • フェーズで区切る場合はそのステップ

    • 時間が足りない場合は「最優先でやること」だけでもOK 条件

36. #jawsug #jawsdays2026 #jawsug_arch 当日の流れ 時刻 内容 13:40-13:50 指定された席に着席 13:50-13:55 依頼内容の確認

    13:55-14:45 チームディスカッション 14:45-15:00 各チーム発表(4分 × 3チーム +入替3分) 15:00-15:05 解説 15:05-15:20 SAさん総括&質疑応答

37. #jawsug #jawsdays2026 #jawsug_arch • AWSのセキュリティ系サービスにはどんなものがあるか • マルチアカウント戦略とは何か • IAM Identity

    Centerの概要 • ランサムウェア対策のベストプラクティス • インシデント発生時の対応フロー 事前に考えておくとよいこと 当日の流れ ※予習は必須ではありませんが、当日の議論がスムーズになります

38. #jawsug #jawsdays2026 #jawsug_arch 3/7にお会いできるのを楽しみにしています 渾身のアーキテクチャをお待ちしてます！

39. #jawsug #jawsdays2026 #jawsug_arch 3/7にお会いできるのを楽しみにしています サメシャイン水族館は架空の水族館であり 実在する企業及び水族館とは一切関係ありません

40. #jawsug #jawsdays2026 #jawsug_arch • 当日はPCは必要ですか？ ◦ こちらであらかじめ用意したGoogleスライドで 成果物を作っていただくのでPCは必要です ◦ Googleアカウントでスライドを編集できる準備をお願いします。

    ◦ 共同作業でスライドへ書き込むこともできるので、 持っていない方は事前にGoogleアカウントを 用意しておくと良いです 質疑応答 事前説明会へのご参加ありがとうございました

41. #jawsug #jawsdays2026 #jawsug_arch • 当日のアウトプットは何ですか？ ◦ チームごとに発表用のGoogleスライドを用意しているので、 それを編集していただきます ◦ 作っていただいたスライドは後日公開しようと考えています

    ▪ 公開OKかは当日確認させてください 質疑応答 事前説明会へのご参加ありがとうございました

42. #jawsug #jawsdays2026 #jawsug_arch • SSOは何の製品を使っていますか？ ◦ サードパーティー製品です。AWSとの連携はしていません。 • アーキテクチャを検討する上での制約事項はありますか？ （派遣社員のMFAデバイスの準備は不可など）

    ◦ MFAデバイスを買うのは運用面を考慮するといろいろアレなので、 私物スマホで認証してもらいます。 ◦ その分派遣さんの時給UPします！ 質疑応答 事前説明会へのご参加ありがとうございました

43. #jawsug #jawsdays2026 #jawsug_arch • AWS以外のセキュリティ製品の検討は不要でいいですか？ ◦ 他の参加者が理解しやすいため概ね同じ事ができる場合は AWSサービスを優先してください。 ◦ AWSでは実現できないことをサードパーティ製品で実現する場合

    その理由も添えていただけるとみなさんの学びにつながります。 ▪ ただしCDP道場の趣旨からスパイス程度の利用でお願いします。 質疑応答 事前説明会へのご参加ありがとうございました

44. #jawsug #jawsdays2026 #jawsug_arch • 飼育員さんもこのシステムにログインしますか？ 水槽の中に入っている時はMFAデバイスはどこに保管していますか？ ◦ 清掃や餌やり、ショーなどの業務で飼育員が水槽に入っている間 MFAデバイスは事務室に保管しています。 ◦

    当館は海洋生物の飼育をしており、水槽の海水がMFAデバイスの 腐食の原因となるため、水槽内で使うシステムへのログインは 生体認証を使用しています。 質疑応答 事前説明会へのご参加ありがとうございました

45. #jawsug #jawsdays2026 #jawsug_arch • 社内システムへログインする際のロケーション制約はありますか？ 社内イントラからのみなのか、インターネット経由ですか？ リモートワークはしていますか？ ◦ 水族館という事業や研究機関という特性上、現場にいないと 仕事にならないのでリモートワーク制度は導入しておりません。

    ◦ システムへのアクセスは社内イントラからのみで、 VPNも設置していません。 質疑応答 事前説明会へのご参加ありがとうございました

46. #jawsug #jawsdays2026 #jawsug_arch • 資料のアーキテクチャ図はランサムウェア被害を受けた際の 調査結果から書き起こした構成であるため、 実際にはもっといろいろなリソースがあるかもしれません。 • 水族館や研究機関では、ご紹介したサービス系・社内システムの他に こんなシステムもあるのでは？と想像していただくと

    より楽しいディスカッションになると思います アーキテクチャ専門支部からのヒント 事前説明会へのご参加ありがとうございました