DevOpsエージェントで実現する!！ AWS Well-Architected（W-A） を実現するシステム設計 / 20260307 Masaki Okuda

Transcript

1. JAWS DAYS 2026 Mashup for the Future DevOpsエージェントで実現する!！ AWS Well-Architected（W-A）

   を 実現するシステム設計 株式会社SHIFT 奥田 雅基

2. #jawsug #jawsdays2026 #jawsdays2026_d • 対象者 1. AWSを用いたシステム運用につらさを感じている方 2. DevOpsエージェントがAWS Well-Architected（W-A）にどのように

   貢献するか知りたい方 • 得られる学び 1. DevOpsエージェントを通じてシステム復旧速度を格段に向上できる。 2. W-A視点では「オブザーバビリティ」に最も役立てることができる。 3. DevOpsエージェントだけでなくAmazon CloudWatchなどの 監視サービスの設定を把握することが大事。 対象者・得られる学び 2

3. #jawsug #jawsdays2026 #jawsdays2026_d • お話しすること 1. AWS DevOps Agentの概要 2.

   実務でよく発生する障害ケースの検証 3. W-A（運用上の優秀性の柱）への活用ポイント • お話ししないこと 1. W-A全体像について 2. AWS DevOps Agent操作方法 3. 他AIエージェント（AWS Kiro、Amazon Bedrock AgentCoreなど）との比較 検討 4. 応用機能（サードパーティ統合、CI/CD）を通じた実装例 お話しすること・お話ししないこと 3

4. #jawsug #jawsdays2026 #jawsdays2026_d • 名前：奥田 雅基 • 所属会社： 株式会社SHIFT AIアジャイル開発部

   DevOpsエンジニア • 好きなAWSサービス：AWS DevOps Agent • X（@mob_engineer） https://x.com/mob_engineer 自己紹介 4

5. #jawsug #jawsdays2026 #jawsdays2026_d 1. AWS DevOps Agentについて 2. 技術検証 3.

   AWS Well-Architectedへの活用 4. まとめ 目次 5

6. AWS DevOps Agentに ついて 6

7. #jawsug #jawsdays2026 #jawsdays2026_d • インシデントを解決、予防し、信頼性とパフォーマンスを継続的に向 上させるフロンティアエージェントです。 • 経験豊富な DevOps エンジニアと同じようにインシデントを調査し、

   運用上の改善点を特定します。 • New Relicなどのサードパーティのオブザーバビリティツールとの統合や GitHubとの統合も可能なため、CI/CDを実現することも可能です。 • AWSコンソールとは異なるダッシュボードで操作することが可能です。 AWS DevOps Agentについて 引用： https://aws.amazon.com/jp/devops-agent/ 7

8. #jawsug #jawsdays2026 #jawsdays2026_d 利用メリット https://aws.amazon.com/jp/devops-agent/をもとに作成 メリット 概要 発生した問題に迅速に対応可能 アラートを受け取ったタイミングで調査を開始し、監視結果、 検出結果をもとに対処策を提案してくれる。

   将来のインシデント対応への提案 過去のインシデントパターンをもとに、オブザーバビリティ、インフ ラストラクチャ最適化、デプロイパイプラインの強化、アプリケー ションの回復力の視点でレコメンドを提案してくれる。 サードパーティツールとの統合 Amazon CloudWatchだけでなく、Dynatrace、New Relic、Datadogなどのサードパーティツールと統合することが 可能。 AWSコンソールと異なるダッシュボードを提供 DevOps Agent用のダッシュボードが発行されるため、AWS コンソール用のアカウントを用意する必要がない。 8

9. #jawsug #jawsdays2026 #jawsdays2026_d • AWS DevOps Agentはプレビュー期間のため無料（※） ※バージニア北部リージョン（us-east-1）のみ対応 • 1ヶ月あたり10件のAgent

   Spaces：10件／月 • DevOpsエージェントインシデント対応時間：20時間／月 • DevOpsエージェントインシデント防止時間：10時間／月 • サポートしている言語：英語のみ 料金について 出典： https://aws.amazon.com/jp/devops-agent/ 9

10. 技術検証 10

11. #jawsug #jawsdays2026 #jawsdays2026_d • AWS環境構築時によくある不備をもとに検証を進めました。 検証観点 種別 ケース 概要 ネットワーク

    セキュリティグループの過度な開放 0.0.0.0/0を設定しすべてのポートを開放 エフェメラルポート拒否による通信不可 エフェメラルポートを拒否しサービスの通信を遮断 VPCエンドポイント未設定 インターネット経由で直接アクセス可能 サーバー IAMロール未設定 アクセスキーの漏洩リスク パッチ未適用とSSM管理の欠如 古いAMIバージョン利用による脆弱性リスク 詳細モニタリング無効化 詳細なログ出力ができない ストレージ S3バケットのパブリックアクセス許可 パブリックアクセス可能によるデータ漏洩リスク EBSボリューム暗号化無効 ボリューム暗号化しないことによるデータ漏洩リスク バックアップ設定の欠如 障害発生時のバックアップが実行できない 11

12. #jawsug #jawsdays2026 #jawsdays2026_d • Terraformで検証用リソースをあらかじめ作成しました。 検証用リソースについて URL： https://github.com/MASAKIOKUDA-eng/mob-kiro-architect- env/tree/main/devops-agent-validation 12

13. #jawsug #jawsdays2026 #jawsdays2026_d • Amazon CloudWatch Logs設定有無,復旧検知,プロンプトによる違いを 確認するために以下8ケースで検証を行いました。 検証ケース Amazon

    CloudWatch Logs有無 不備有無 不備調査プロンプト なし あり あいまい指示 明確指示 なし あいまい指示 明確指示 あり あり あいまい指示 明確指示 なし あいまい指示 明確指示 13

14. #jawsug #jawsdays2026 #jawsdays2026_d • 「あいまい指示」と「明確指示」のプロンプトは以下の通りです。 プロンプトについて（１） >There are three areas

    that need to be improved from a Well Architected perspective in the resources currently built in us-east-1. The errors are related to EC2, S3, and VPC. Please investigate from the following perspectives: network, server, and storage. 【日本語】 現在us-east-1に構築されているリソースには、Well Architectedの観点から改善が必要な領域が3つあ ります。これらのエラーはEC2、S3、VPCに関連してい ます。ネットワーク、サーバー、ストレージの観点から調 査をお願いいたします。 あいまい指示 14

15. #jawsug #jawsdays2026 #jawsdays2026_d • 「あいまい指示」と「明確指示」のプロンプトは以下の通りです。 プロンプトについて（２） >Please investigate Well-Architected Framework

    compliance issues in us-east-1 region. Focus on three areas: 1. Network: Security Groups, NACLs, and VPC Endpoints 2. Server: EC2 instances, IAM roles, and monitoring 3. Storage: S3 buckets, EBS volumes, and backups Look for resources tagged with Project=DevOps-Agent- Validation or with names containing "devops-validation- problematic". 【日本語】 us-east-1 リージョンにおける Well-Architected Framework のコンプライアンス問題を調査してください。 特に以下の 3 つの領域に着目してください。 1. ネットワーク: セキュリティグループ、NACL、VPC エンド ポイント 2. サーバー: EC2 インスタンス、IAM ロール、モニタリング 3. ストレージ: S3 バケット、EBS ボリューム、バックアップ Project=DevOps-Agent-Validation のタグが付けら れたリソース、または名前に「devops-validation- problematic」が含まれるリソースを探してください。 明確指示 15

16. #jawsug #jawsdays2026 #jawsdays2026_d • 復旧確認のプロンプトは「あいまい指示」「明確指示」でも同じものを 利用しています。 復旧確認について >The system has

    been reconstructed taking into account the identified issues. Please confirm that all flagged points have been properly resolved. 【日本語】 特定された問題を考慮してシステムを再構築しました。指 摘されたすべての問題が適切に解決されていることを確認し てください。 16

17. #jawsug #jawsdays2026 #jawsdays2026_d AWS DevOps Agent調査の流れ（１） • Investigationから調査内容を入力します。 17

18. #jawsug #jawsdays2026 #jawsdays2026_d AWS DevOps Agent調査の流れ（２） • Start Investigationボタン押下後、AWS DevOps

    Agentで 調査が開始します。 18

19. #jawsug #jawsdays2026 #jawsdays2026_d AWS DevOps Agent調査の流れ（３） • 5分ほど経過すると調査結果をまとめたレポートが出力されます。 19

20. #jawsug #jawsdays2026 #jawsdays2026_d • Amazon CloudWatch Logsを設定することで、 多くの不備を検知することができました。 検証結果 Amazon

    CloudWatch Logs 有無 不備有無 不備調査プロンプト AWS DevOps Agent結果 なし あり あいまい指示 詳細情報がないため検知不可。 明確指示 10件の不備を検出。詳細な改善提案なし。 なし あいまい指示 詳細情報がないため検知不可。 明確指示 10件の不備が修正修正済みであることを検知。 あり あり あいまい指示 観点以外（ログ出力など）の不備含め、 17件の不備を検知。詳細な改善提案有り。 明確指示 観点以外（ログ出力など）の不備含め、 12件の不備を検知。詳細な改善提案有り。 なし あいまい指示 ログ関連の3件は未修正、それ以外の14件は修正 済みであることを検知。 明確指示 12件の不備修正済みを検知。 20

21. #jawsug #jawsdays2026 #jawsdays2026_d • Chromeで利用する場合、英語をウェブサイトの表示言語のトップに 配置しないとエラーが発生します。（1時間以上格闘しました） （補足）Chromeで利用する場合 21

22. AWS Well-Architectedへの 活用 22

23. #jawsug #jawsdays2026 #jawsdays2026_d • AWS Well-Architected Framework では、クラウド上でワークロードを設 計および実行するための主要な概念、設計原則、アーキテクチャのベストプラク ティスです。

    AWS Well-Architectedについて 引用元： https://aws.amazon.com/jp/architecture/well-architected/ 23

24. #jawsug #jawsdays2026 #jawsdays2026_d • 運用上の優秀性 (OE) とは、優れたカスタマーエクスペリエンスを着実に提供 しながら、ソフトウェアを正しく構築するガイドライン。 • 運用上の優秀性の目的は、新機能とバグ修正を迅速かつ確実にお客様に提

    供することです。運用上の優秀性に投資している組織は、新しい機能を構築 し、変更を加え、障害に対処しながら、着実に顧客満足を実現しています。そ の過程で運用上の優秀性は、開発者が高品質の成果を常に達成するのに 役立ち、継続的インテグレーションと継続的デリバリー (CI/CD) を促進します。 運用上の優秀性について 引用元： https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/operational-excellence- pillar/operational-excellence.html 24

25. #jawsug #jawsdays2026 #jawsdays2026_d • 調査を進めるなかで、以下観点においてAWS DevOps Agentを 活用できると考えました。 1. Amazon

    CloudWatchの出力の定期見直し 2. オペレータ用のダッシュボードのマネージド化 3. 自前でのインシデント管理ツールが不要 AWS DevOps Agentを活用する観点 25

26. #jawsug #jawsdays2026 #jawsdays2026_d • Amazon CloudWatch Logsのロググループ設定は行っているが、 必ずしも正しい設定が行われているとは限らない。 • AWS

    DevOps Agentを活用することで「リソース」だけでなく「ログ 出力そのものの改善」を実現することが可能。 1. Amazon CloudWatchの出力の定期見直し • OPS08-BP01 ワークロードメトリクスを分析する • OPS08-BP02 ワークロードログを分析する • OPS08-BP03 ワークロードのトレースを分析する W-Aフレームワーク項目 26

27. #jawsug #jawsdays2026 #jawsdays2026_d • AWS DevOps Agentを起動することで、障害調査を行う オペレータ用のダッシュボードも自動的に生成される。 • オペレータがAWSコンソールに入らず障害調査・分析を行えるため、

    予期せぬリソース削除のリスクを軽減できる。 2.オペレータ用のダッシュボードのマネージド化 • OPS08-BP05 ダッシュボードを作成する • OPS09-BP02 ステータスと傾向を伝達して運用の可視性を確保する W-Aフレームワーク項目 27

28. #jawsug #jawsdays2026 #jawsdays2026_d • AWS DevOps AgentのInvestigationを実行することで、 独立したチャットが立ち上がる。 • エラー内容・ログ・障害履歴を一つのチャット（チケット）で

    管理できるため、運用の煩雑さを軽減できる。 3.自前でのインシデント管理ツールが不要 • OPS09-BP03 運用メトリクスのレビューと改善の優先順位付け • OPS10-BP01 イベント、インシデント、問題管理のプロセスを使用する W-Aフレームワーク項目 28

29. まとめ 29

30. #jawsug #jawsdays2026 #jawsdays2026_d • AWS DevOps Agentを活用することで、 「実務上よく起きる設定不備」の検知・対処を実現できます。 • オペレータ用のダッシュボードも用意されているため、

    「すぐに監視体制を構築したい」というニーズを実現できます。 • プレビュー版のため、英語対応、東京リージョンでの利用不可、 IAM Identity Centerとの統合などで課題が残っています。 • マルチアカウント、CI/CD、サードパーティ統合についても 今後検証を進めていきます。 まとめ 30

31. #jawsug #jawsdays2026 #jawsdays2026_d • AWS DevOps Agent 検証で見えた可能性と限界 / AWS

    DevOps Agent https://speakerdeck.com/kinunori/aws-devops-agent • re:Growth 2025 東京：これからの運用が変わる!? AWS DevOps Agent とは https://speakerdeck.com/o2mami/re-growth-2025-dong-jing-korekaranoyun-yong-gabian-waru-aws-devops-agent-toha • AWS DevOps Agent はオンコールエンジニアに代わるのか？ https://speakerdeck.com/snakagawax227/aws-devops-agent-haonkoruenzinianidai-warunoka • AWS DevOps Agentで変わる運用 - 自律調査から改善アクションまで- https://speakerdeck.com/isoma/aws-devops-agentdebian-waruyun-yong-zi-lu-diao-cha-karagai-shan-akusiyonmade • DevOps Agent vs CloudWatch Investigations -比較と実践- https://speakerdeck.com/sh_fk2/jaws-ug-heng-bang-zhi-bu-number-91-devops-agent-vs-cloudwatch-investigations-bi- jiao-toshi-jian • AWS DevOps Agent はインシデント対応の迅速化とシステム信頼性の向上に役立ちます (プレビュー) https://aws.amazon.com/jp/blogs/news/aws-devops-agent-helps-you-accelerate-incident-response-and-improve-system- reliability-preview/ 参考サイト 31