ガバナンスを支える新サービス / New Services to Support Governance

Transcript

1. ガバナンスを支える新サービス 株式会社ZOZO
 EC基盤開発本部 SRE部 フロントSREブロック
 江島 慎弥 Copyright © ZOZO,

   Inc. 1

2. © ZOZO, Inc. 株式会社ZOZO EC基盤開発本部 SRE部 フロントSREブロック 江島 慎弥 担当業務

   　・ZOZOTOWNのフロント領域におけるSRE 　・全社のAWS管理者（今日はこちらの目線で話します） 好きなAWSサービス 　・AWS CloudFormation 2

3. © ZOZO, Inc. アジェンダ 1. Innovation talk（Security insights and innovation

   from AWS） 2. Declarative policies（宣言型ポリシー） 3. AWS re:Invent 2024の感想 3

4. © ZOZO, Inc. Innovation talk ~ Security insights and innovation

   from AWS ~ 4

5. © ZOZO, Inc. Innovation talkとは？ • AWSのシニアリーダーが登壇するトーク型セッション • 各分野の重要課題に関してAWSにおける最新の取り組みを紹介 •

   Breakout sessionやWorkshop等よりもやや抽象度が高めな内容である印象 • 今回は「Security, compliance & identity」の分野におけるInnovation talkを聴講 5

6. © ZOZO, Inc. どのような話があったか？ • AWS CISOのChris Betz氏を中心に進行 • 大きく三点のトークテーマに沿った話

   ◦ セキュリティに関するオーナーシップの重要性 ◦ 最新サービス紹介 ◦ 量子コンピューティングや生成AIなど最新技術に対するセキュリティ • 各トークテーマではパートナーによる事例紹介もあった ◦ 事例紹介 ▪ Rodrigo Castillo氏（CTO, Commonwealth Bank of Australia） ▪ Jason Clinton氏（CISO, Anthropic） ◦ 最新サービス紹介 ▪ Becky Weiss氏（Vice President & Distinguished Engineer, AWS） 6

7. © ZOZO, Inc. 最新サービス紹介 システム規模がどれほど大きく、関係者がどれほどに多数になっても変わることなく、 アイデンティティ、リソース、ネットワーク等のアクセスを適切に管理し続けなればならない というメッセージ 出典：Security insights and

   innovation from AWS (AWS re:Invent 2024) 7

8. © ZOZO, Inc. 最新サービス紹介 • Resource control policies • Centrally

   manage AWS IAM root access • VPC Block Public Access • Declarative Policies　←　特に興味深かったこちらについて詳細を触れていきます • Amazon GuardDuty Extended Threat Detection • AWS Security Incident Response • Amazon OpenSearch Service Zero-ETL integration with Amazon Security Lake 【参考】 “Resource control policies”と”Declarative Policies”については以下のBreakout sessionで詳しいお話がありました →New governance capabilities for multi-account environments 8

9. © ZOZO, Inc. Declarative policies（宣言型ポリシー） 9

10. © ZOZO, Inc. AWS Organizations AWS Organizationsはガバナンスを実現するために不可欠なサービス ここに新しいポリシーが追加 出典：New governance

    capabilities for multi-account environments (AWS re:Invent 2024) 10

11. © ZOZO, Inc. Declarative policies（宣言型ポリシー）とは？ • AWSサービスの設定状態を定義するポリシー機能 • 宣言されたポリシーに反する設定は拒否される（強制される） •

    メンバーアカウントから設定変更を行おうとした場合にはカスタムエラーメッセージを返せる • 現時点ではEC2の一部ユースケースのみが対象（サポート範囲は今後拡大予定） 11

12. © ZOZO, Inc. Before Policy After 適用イメージ（VPCブロックパブリックアクセスの適用） ingressをblock カスタムエラーメッセージ 12

13. © ZOZO, Inc. 何が嬉しいのか？ 組織内の各リソースが期待した設定となるようにガードレールを作りたい場面を考える • 従来は基本的にSCP（Service Control Policy）で実現する必要があった ◦

    禁止したい操作を1つ1つAPI単位で洗い出してSCPでDenyを設定 ◦ これによって意図しない設定とする操作が出来ない状況を作っていた • これって結構きつい ◦ APIは日々増えていくため意図通りになっているか継続的にメンテナンスが必要 ◦ 定義したSCPの意図を明確に表現しづらい ▪ Sidの記述だけで意図を理解するのは難しい ▪ コメントも記載出来ない • メンバーアカウント側でエラーに遭遇した場合におけるデバッグが困難 ◦ エラーメッセージからは意図が汲み取れないため これらの課題をまとめて解決してくれる素敵な機能！！ 13

14. © ZOZO, Inc. いつ使うべきか？ • ユースケースが組織の方針に沿っているならば積極的に導入すべき（簡単に設定出来る） • 現在はEC2の一部ユースケースのみが対象となっているが今後のサポート範囲拡大に期待 • 個人的にはAWS

    Security Hubのコントロールに対応するポリシーが増えてくればコンプライアン ス遵守を効率よく進められそうな気がしている 14

15. © ZOZO, Inc. SCP / RCP / Declarative policiesの使い分け Declarative

    policies→RCP→SCPの順に検討すれば良さそう Organizations外部からのアクセスを制限した場合はRCP、そうでない場合はSCP 出典：New governance capabilities for multi-account environments (AWS re:Invent 2024) 15

16. © ZOZO, Inc. おまけ：Innovation talkの最後に告げられた熱いメッセージ 出典：Security insights and innovation from

    AWS (AWS re:Invent 2024) 16

17. © ZOZO, Inc. AWS re:Invent 2024の感想 17

18. © ZOZO, Inc. AWS re:Invent 2024の感想 • 以下に挙げるような学びや経験を得ることが出来た ◦ 最新技術のキャッチアップ

    ▪ 特に業務から離れて数日間集中出来ることは貴重だった ▪ 生成AIについてもっと学ぼうと思うきっかけになった ◦ 他参加者からの熱量吸収やネットワーキング ▪ 画面越しに配信動画を見たりするだけでは得られないものが現地にはある ◦ 英語に対する向上心 ▪ 長期間にわたる英語漬けの生活は人生初だったため課題感が明確になった ▪ 英語が使えるようになってより多くのチャンスを掴めるようになりたいと思えた • またチャンスがあればぜひ参加したい＋もっと価値ある参加となるように今から準備していく 18
19. None