Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ガバナンスを支える新サービス / New Services to Support Govern...
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Shinya Ejima
December 18, 2024
Technology
3.1k
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
ガバナンスを支える新サービス / New Services to Support Governance
Shinya Ejima
December 18, 2024
Other Decks in Technology
See All in Technology
飲食店もAIで。レジ締めやハンディシステムをつくってる話 / Using AI for restaurant management
vtryo
0
230
Terraform 101 (初心者向け) 資料
shuadachi
0
160
プライバシー保護の理論と実践
lycorptech_jp
PRO
1
220
『AIに負けない』より『AIと遊ぶ』」〜ワクワクが最強のテスト・QA学習戦略_公開用
odan611
1
340
小さいから、全部わかる。— 常駐AI "xangi" のすすめ
sugupoko
0
220
Fabricをフル活用する AI Agent Hub -製造業特化AIエージェントの設計
iotcomjpadmin
0
190
AIに「使われる」時代のSaaS戦略 〜既存WebAPIのMCPサーバー化における開発ノウハウ〜
ekispert_api
0
260
本当の”仕事”を手放せる未来が見えた
mu7889yoon
0
210
テスト設計の本質を改めて考えてみる~生成AIを活用する時代だからこそ、作ったテストの説明性を高めよう~
yamasaki696
1
270
AIDLC_ヤフーショッピングの取り組み
lycorptech_jp
PRO
0
430
きのこカンファレンス2026_肩書きを外したとき私は誰か
yamasatimi
1
120
4人目のSREはAgent
tanimuyk
0
360
Featured
See All Featured
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
250
1.3M
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
sarafernandez
2
1.5k
Six Lessons from altMBA
skipperchong
29
4.3k
Joys of Absence: A Defence of Solitary Play
codingconduct
1
410
Why Our Code Smells
bkeepers
PRO
340
58k
Collaborative Software Design: How to facilitate domain modelling decisions
baasie
1
260
From Legacy to Launchpad: Building Startup-Ready Communities
dugsong
0
240
The Curse of the Amulet
leimatthew05
2
13k
How to Grow Your eCommerce with AI & Automation
katarinadahlin
PRO
1
220
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
techseoconnect
PRO
0
210
Building a A Zero-Code AI SEO Workflow
portentint
PRO
0
620
Transcript
ガバナンスを支える新サービス 株式会社ZOZO EC基盤開発本部 SRE部 フロントSREブロック 江島 慎弥 Copyright © ZOZO,
Inc. 1
© ZOZO, Inc. 株式会社ZOZO EC基盤開発本部 SRE部 フロントSREブロック 江島 慎弥 担当業務
・ZOZOTOWNのフロント領域におけるSRE ・全社のAWS管理者(今日はこちらの目線で話します) 好きなAWSサービス ・AWS CloudFormation 2
© ZOZO, Inc. アジェンダ 1. Innovation talk(Security insights and innovation
from AWS) 2. Declarative policies(宣言型ポリシー) 3. AWS re:Invent 2024の感想 3
© ZOZO, Inc. Innovation talk ~ Security insights and innovation
from AWS ~ 4
© ZOZO, Inc. Innovation talkとは? • AWSのシニアリーダーが登壇するトーク型セッション • 各分野の重要課題に関してAWSにおける最新の取り組みを紹介 •
Breakout sessionやWorkshop等よりもやや抽象度が高めな内容である印象 • 今回は「Security, compliance & identity」の分野におけるInnovation talkを聴講 5
© ZOZO, Inc. どのような話があったか? • AWS CISOのChris Betz氏を中心に進行 • 大きく三点のトークテーマに沿った話
◦ セキュリティに関するオーナーシップの重要性 ◦ 最新サービス紹介 ◦ 量子コンピューティングや生成AIなど最新技術に対するセキュリティ • 各トークテーマではパートナーによる事例紹介もあった ◦ 事例紹介 ▪ Rodrigo Castillo氏(CTO, Commonwealth Bank of Australia) ▪ Jason Clinton氏(CISO, Anthropic) ◦ 最新サービス紹介 ▪ Becky Weiss氏(Vice President & Distinguished Engineer, AWS) 6
© ZOZO, Inc. 最新サービス紹介 システム規模がどれほど大きく、関係者がどれほどに多数になっても変わることなく、 アイデンティティ、リソース、ネットワーク等のアクセスを適切に管理し続けなればならない というメッセージ 出典:Security insights and
innovation from AWS (AWS re:Invent 2024) 7
© ZOZO, Inc. 最新サービス紹介 • Resource control policies • Centrally
manage AWS IAM root access • VPC Block Public Access • Declarative Policies ← 特に興味深かったこちらについて詳細を触れていきます • Amazon GuardDuty Extended Threat Detection • AWS Security Incident Response • Amazon OpenSearch Service Zero-ETL integration with Amazon Security Lake 【参考】 “Resource control policies”と”Declarative Policies”については以下のBreakout sessionで詳しいお話がありました →New governance capabilities for multi-account environments 8
© ZOZO, Inc. Declarative policies(宣言型ポリシー) 9
© ZOZO, Inc. AWS Organizations AWS Organizationsはガバナンスを実現するために不可欠なサービス ここに新しいポリシーが追加 出典:New governance
capabilities for multi-account environments (AWS re:Invent 2024) 10
© ZOZO, Inc. Declarative policies(宣言型ポリシー)とは? • AWSサービスの設定状態を定義するポリシー機能 • 宣言されたポリシーに反する設定は拒否される(強制される) •
メンバーアカウントから設定変更を行おうとした場合にはカスタムエラーメッセージを返せる • 現時点ではEC2の一部ユースケースのみが対象(サポート範囲は今後拡大予定) 11
© ZOZO, Inc. Before Policy After 適用イメージ(VPCブロックパブリックアクセスの適用) ingressをblock カスタムエラーメッセージ 12
© ZOZO, Inc. 何が嬉しいのか? 組織内の各リソースが期待した設定となるようにガードレールを作りたい場面を考える • 従来は基本的にSCP(Service Control Policy)で実現する必要があった ◦
禁止したい操作を1つ1つAPI単位で洗い出してSCPでDenyを設定 ◦ これによって意図しない設定とする操作が出来ない状況を作っていた • これって結構きつい ◦ APIは日々増えていくため意図通りになっているか継続的にメンテナンスが必要 ◦ 定義したSCPの意図を明確に表現しづらい ▪ Sidの記述だけで意図を理解するのは難しい ▪ コメントも記載出来ない • メンバーアカウント側でエラーに遭遇した場合におけるデバッグが困難 ◦ エラーメッセージからは意図が汲み取れないため これらの課題をまとめて解決してくれる素敵な機能!! 13
© ZOZO, Inc. いつ使うべきか? • ユースケースが組織の方針に沿っているならば積極的に導入すべき(簡単に設定出来る) • 現在はEC2の一部ユースケースのみが対象となっているが今後のサポート範囲拡大に期待 • 個人的にはAWS
Security Hubのコントロールに対応するポリシーが増えてくればコンプライアン ス遵守を効率よく進められそうな気がしている 14
© ZOZO, Inc. SCP / RCP / Declarative policiesの使い分け Declarative
policies→RCP→SCPの順に検討すれば良さそう Organizations外部からのアクセスを制限した場合はRCP、そうでない場合はSCP 出典:New governance capabilities for multi-account environments (AWS re:Invent 2024) 15
© ZOZO, Inc. おまけ:Innovation talkの最後に告げられた熱いメッセージ 出典:Security insights and innovation from
AWS (AWS re:Invent 2024) 16
© ZOZO, Inc. AWS re:Invent 2024の感想 17
© ZOZO, Inc. AWS re:Invent 2024の感想 • 以下に挙げるような学びや経験を得ることが出来た ◦ 最新技術のキャッチアップ
▪ 特に業務から離れて数日間集中出来ることは貴重だった ▪ 生成AIについてもっと学ぼうと思うきっかけになった ◦ 他参加者からの熱量吸収やネットワーキング ▪ 画面越しに配信動画を見たりするだけでは得られないものが現地にはある ◦ 英語に対する向上心 ▪ 長期間にわたる英語漬けの生活は人生初だったため課題感が明確になった ▪ 英語が使えるようになってより多くのチャンスを掴めるようになりたいと思えた • またチャンスがあればぜひ参加したい+もっと価値ある参加となるように今から準備していく 18
None