Copyright © IDS Corporation. All rights reserved. 1
 1

Copyright © IDS Corporation. All rights reserved. 2
 2
 自己紹介
 株式会社アイディーエス　小寺　加奈子（こでら　かなこ） 【仕事】 AWSアライアンスリード 【好きなAWSサービス】 Cost Exploler 【その他】 AWS Top Engineers 2023(services) AWS Community Builder 2024 (Cloud Operation)

Copyright © IDS Corporation. All rights reserved. 3
 3
 アジェンダ
 
 
 
 ● Well-Architected フレームワークとは？
 ● どうやってベストプラクティスに近づける？
 
 


Copyright © IDS Corporation. All rights reserved. 4
 4
 今日のゴール
 
 
 
 ● Well-Architected フレームワークの概要を理解する （５つの柱を対象）
 ● ベストプラクティスを理解したうえで、自社で対応すべ き内容について理解する
 
 


Copyright © IDS Corporation. All rights reserved. 5
 5
 本日のテーマ


Copyright © IDS Corporation. All rights reserved. 6
 6
 みなさん、改めてWell-Architected フレームワークってな んでしょうか？
 What is Well-Architected ？
 AWSの10年以上の経験からまとめられたベストプラク ティクス集です。
 
 6つの柱から構成されており、
 従うべき「設定原則」が定義されています。


Copyright © IDS Corporation. All rights reserved. 7
 7
 6つの柱とは


Copyright © IDS Corporation. All rights reserved. 8
 8
 運用の優秀性
 
 ● 運用をコードとして実行する
 ● 小規模かつ可逆的な変更を頻繁に行う
 ● 運用手順を定期的に改善する ● 障害を予想する ● 運用上のあらゆる障害から学ぶ ● マネージドサービスを使用する ● オブザーバビリティを実装して実用的なインサイトを得る

Copyright © IDS Corporation. All rights reserved. 9
 9
 ● 人為的なミスをなくす仕組みづくり
 
 ● 誰がジョインしても大丈夫な
 運用手順のアップデート
 
 ● 定期的に、年に1度は障害を予測した訓練 を行う
 
 ● 障害から学ぶのは「ナレッジベース」に情 報を残す。後学のためにも。
 ● ビジネス上のKPIを定める！
 
 
 運用の優秀性は何を考慮すべき？
 


Copyright © IDS Corporation. All rights reserved. 10
 10
 セキュリティ 
 ● 強力なアイデンティティ基盤を実装する
 ● トレーサビリティの実現
 ● 全レイヤーでセキュリティを適用する
 ● セキュリティのベストプラクティスを自動化する
 ● 伝送中および保管中のデータを保護する
 ● データに人の手を入れない
 ● セキュリティイベントに備える


Copyright © IDS Corporation. All rights reserved. 11
 11
 ● 最小特権の原則に基づく。
 すべてAdministratorAccessではない？
 
 ● IDは一元管理して、ログで追跡可能に
 
 ● すべてのレイヤーがセキュリティ管理の対象
 
 ● 暗号化などは徹底して実施（SSLのみが対 象ではない）
 ● インシデントの予測＝リスク管理
 
 
 セキュリティは何を考慮すべき？
 


Copyright © IDS Corporation. All rights reserved. 12
 12
 信頼性 
 ● 障害から自動的に復旧する
 ● 復旧手順をテストする
 ● 水平方向にスケールしてワークロード全体の可用性を高 める
 ● キャパシティーを推測することをやめる
 ● オートメーションで変更を管理する


Copyright © IDS Corporation. All rights reserved. 13
 13
 ● 障害がおこったときの自動通知と自動復旧 （止まったままにならないよう）
 
 ● 作った手順で復旧できるか？
 
 ● 障害点を特定しておく
 
 ● 自動的にキャパシティが拡張できるように！ （停止しないように事前に備える）
 
 ● 変更管理も自動化を
 信頼性は何を考慮すべき？


Copyright © IDS Corporation. All rights reserved. 14
 14
 パフォーマンス効率 
 ● 高度なテクノロジーを誰でも使えるようにする
 ● 数分でグローバルに展開する
 ● サーバーレスアーキテクチャを使用する
 ● 実験の頻度を高める
 ● メカニカルシンパシーを検討する


Copyright © IDS Corporation. All rights reserved. 15
 15
 ● 製品の開発＝本業へ集中できるようアップデー トを取り入れる。（ベンダー任せではなく）
 
 ● サーバーレスアーキテクチャを取り入れ よう
 
 ● リソースを自動的に起動できる仕組みづ くりで、いろいろなタイプで開発の検証を
 ● データの効率性を考える
 パフォーマンス効率は何を考慮すべき？


Copyright © IDS Corporation. All rights reserved. 16
 16
 コスト最適化 
 ● クラウド財務管理を実装する
 ● 消費モデルを導入する
 ● 全体的な効率を測定する
 ● 差別化につながらない高負荷の作業に費用をかけるのを やめる
 ● 費用を分析し帰属関係を明らかにする


Copyright © IDS Corporation. All rights reserved. 17
 17
 ● 「コスト効率」を達成できる組織作り
 
 ● 必要な使用分のみを支払うように
 開発環境もずっと起動していない？
 
 ● コストのモニタリングを行う
 なんとなくクラウドだから利用が増えても仕方ないと 思っていないか？
 
 ● 費用の分析＝ビジネス指標をもつ
 常にROIを意識する
 
 コスト最適化は何を考慮すべき？


Copyright © IDS Corporation. All rights reserved. 18
 18
 本日のテーマ
 ● どのように自社に適用するのか？


Copyright © IDS Corporation. All rights reserved. 19
 19
 診断をして自社に適用する部分を理解する
 AWS Well-Architected Framework診断でできること

Copyright © IDS Corporation. All rights reserved. 20
 20
 まずは診断を行ってみる
 スコアで今の現状を知ることができる！ リスクは「High Risk」とそうではないものに分類 すべて診断するのが難しい場合は、1つの柱だけでも 対応を⾏うことに意味がある

Copyright © IDS Corporation. All rights reserved. 21
 21
 診断レポート例


Copyright © IDS Corporation. All rights reserved. 22
 22
 続いて
 第2部ではセキュリティの柱の中から 重要項⽬について、「ログ管理」として お伝えいたします！

Copyright © IDS Corporation. All rights reserved. 23
 第2部
 ログ記録


Copyright © IDS Corporation. All rights reserved. 24
 24
 自己紹介
 ログ記録
 名前：
 大島雪乃
 
 経歴：
 株式会社アイディーエス　
 サニークラウド事業部
 　　
 好きなもの：
 猫とビール
 
 好きなAWSサービス：
 AWS Organizations


Copyright © IDS Corporation. All rights reserved. 25
 25
 Agenda
 • 01. アンチパターン
 • 02. アンチパターンに対しての解決策
 • 03. 具体的な設定例のご紹介
 
 ログ記録


Copyright © IDS Corporation. All rights reserved. 26
 ログ記録
 アンチパターン
 • 必要な場合に備えて、あらゆるタイプのログを保存する。 • ログが永久に保存される、またはすぐに削除される。
 • 誰でもログにアクセスできる。
 • 必要な場合にのみログ整合性をチェックする。 • ログガバナンスと使用について、手動プロセスのみに依存する。


Copyright © IDS Corporation. All rights reserved. 27
 ログ記録
 アンチパターンに対しての解決策
 • 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う

Copyright © IDS Corporation. All rights reserved. 28
 ログ記録　–アンチパターンに対しての解決策-
 セキュリティ要件に合わせたログを取得する
 AWSのサービスのログ
 環境に合わせたログ
 • 取得するログの種類
 ログ名 CloudTrailログ（AWS） VPCフローログ（AWS） ALBアクセスログ（AWS） /var/log/message（OS）
 /var/log/secure（OS） 監査ログ（アプリ） アクセスログ（アプリ）

Copyright © IDS Corporation. All rights reserved. 29
 適切なログ保持期間・アクセス権限を識別する
 ログ名 保管期間 CloudTrailログ（AWS） 1年 VPCフローログ（AWS） 1か月
 ALBアクセスログ（AWS） 半年 /var/log/message（OS）
 1年 /var/log/secure（OS） 1年 監査ログ（アプリ） 1年 アクセスログ（アプリ） 1年 AWS Cloud S3 S3 Backet Backet Policy ログ記録　–アンチパターンに対しての解決策-


Copyright © IDS Corporation. All rights reserved. 30
 適切な保持とライフサイクルポリシーを使う
 S3 Standard S3 標準-IA ログファイルA
 アップロード
 0日
 90日
 180日
 365日
 ログファイルA の削除
 アクセス頻度の高い ファイル向け
 アクセス頻度が低いが すぐに取り出す必要 があるファイル向け
 アクセスがほぼなく、
 即時取り出しを必要 
 としないファイル向け 
 S3 Glacier Flexible Retrieval ログ記録　–アンチパターンに対しての解決策-


Copyright © IDS Corporation. All rights reserved. 31
 ログ記録
 アンチパターンに対しての解決策
 • 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う

Copyright © IDS Corporation. All rights reserved. 32
 ログ記録
 設定例のご紹介


Copyright © IDS Corporation. All rights reserved. 33
 ログ記録
 設定例のご紹介
 • CloudTrailの監査証跡をS3に保存
 AWS Cloud AWS CloudTrail S3 Cloud Trailのログの
 最大保管期間は90日
 ・最大保存期間を1年にする
 ・ライフサイクルポリシーの　
 　設定
 ・編集の禁止権限
 ・全員からの削除不可権限
 ログ格納


Copyright © IDS Corporation. All rights reserved. 34
 ログ記録　–設定例のご紹介-
 CloudTrailの監査証跡をS3に保存
 • CloudTrailの証跡とS3バケットの作成
 S3のデータイベント(変更/ 削除/追加)を記録するログ


Copyright © IDS Corporation. All rights reserved. 35
 CloudTrailの監査証跡をS3に保存
 • S3バケットにログが格納されていることを確認
 ログ記録　–設定例のご紹介-


Copyright © IDS Corporation. All rights reserved. 36
 ログ記録　–設定例のご紹介-
 CloudTrailの監査証跡をS3に保存
 • S3のライフサイクルの設定


Copyright © IDS Corporation. All rights reserved. 37
 ログ記録　–設定例のご紹介-
 CloudTrailの監査証跡をS3に保存
 • S3のライフサイクルの設定
 S3 Standard 0日
 90日
 S3 Glacier Flexible Retrieval 365日
 削除


Copyright © IDS Corporation. All rights reserved. 38
 ログ記録　–設定例のご紹介-
 CloudTrailの監査証跡をS3に保存
 • S3のライフサイクルの設定


Copyright © IDS Corporation. All rights reserved. 39
 ログ記録　–設定例のご紹介-
 CloudTrailの監査証跡をS3に保存
 • S3バケットポリシーの設定
 { "Sid": "ReadOnly", "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": "s3:DeleteObject", "Resource": "arn:aws:s3:::aws-cloudtrail-logs-123456789012 -6cbd7c96/*" }, { "Sid": "ReadOnly2", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::123456789012:user/test" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::aws-cloudtrail-logs-123456789012-6cbd7c96/*“ }
 全てのアカウントで
 オブジェクト削除禁止
 Testユーザーは
 オブジェクトへの
 書き込み禁止


Copyright © IDS Corporation. All rights reserved. 40
 ログ記録　–設定例のご紹介-
 CloudTrailの監査証跡をS3に保存
 • S3バケットポリシーの設定確認


Copyright © IDS Corporation. All rights reserved. 41
 ログ記録　–設定例のご紹介-
 CloudTrailの監査証跡をS3に保存
 • S3バケットポリシーの設定確認


Copyright © IDS Corporation. All rights reserved. 42
 ログ記録
 アンチパターンに対しての解決策
 • 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う

Copyright © IDS Corporation. All rights reserved. 43
 AWS構築‧導⼊⽀援〜運⽤保守を トータルサポート「SunnyCloud」 https://www.sunnycloud.jp/