Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
組織的なクラウド統制のはじめの一歩
Search
yhana
April 17, 2023
Technology
2.4k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
組織的なクラウド統制のはじめの一歩
yhana
April 17, 2023
More Decks by yhana
See All by yhana
AWS Organizations 経験者向けAzure ガバナンス速習
yhana
0
29
20250903_1つのAWSアカウントに複数システムがある環境におけるアクセス制御をABACで実現.pdf
yhana
3
1.4k
AWS Organizations 新機能!マルチパーティ承認の紹介
yhana
1
1.4k
AWS re:Invent 2024 ふりかえり勉強会
yhana
0
1.2k
AWS IAM Identity Center を使わないマルチアカウントのユーザー管理
yhana
2
4.7k
Guard を利用した AWS Config ルール
yhana
0
1.2k
組織的なクラウド統制のはじめの一歩_20240529
yhana
0
1.2k
Azureの基本的な権限管理の勉強会
yhana
1
6.8k
失敗例から学ぶAWSセキュリティサービスの導入
yhana
1
15k
Other Decks in Technology
See All in Technology
フルAIで個人開発して学んだあれこれ / yuruai vol.1
isaoshimizu
0
120
【セミナー資料】Claude Code をセキュアに使うための考え方と設定の勘どころ / Claude Code Webinar 20260616
masahirokawahara
2
470
iOS アプリの「これって不具合ですか?」を AI に調べてもらう
miichan
0
140
PostgreSQL 19 新機能概要 OSC Hokkaido 2026
nori_shinoda
0
250
スタートアップにAmazon EKSは早すぎる? マルチプロダクト戦略を加速する Platform Engineeringの実践 / Is Amazon EKS Too Soon for Startups? Practical Platform Engineering to Accelerate a Multi-Product Strategy
elmodev09
1
1.8k
AI 不只幫你寫 Code: 當專案從 300 暴增到 1500, 我們如何撐住 DevOps
appleboy
0
230
自分が詳しくない領域でAIを使う #プロヒス2026
konifar
20
7.5k
MySQL & MySQL HeatWave Report - June 2026
freshdaz
0
130
現場のトークンマネジメント
dak2
1
190
水を運ぶ人としてのリーダーシップ
izumii19
4
1k
レガシーな広告配信システムでのAI駆動開発/運用の挑戦
i16fujimoto
0
120
Oracle Cloud Infrastructure:2026年6月度サービス・アップデート
oracle4engineer
PRO
0
320
Featured
See All Featured
Build The Right Thing And Hit Your Dates
maggiecrowley
39
3.2k
Agile Actions for Facilitating Distributed Teams - ADO2019
mkilby
0
210
Measuring Dark Social's Impact On Conversion and Attribution
stephenakadiri
2
220
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
11
950
Leo the Paperboy
mayatellez
7
1.9k
The #1 spot is gone: here's how to win anyway
tamaranovitovic
3
1.1k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
27k
Measuring & Analyzing Core Web Vitals
bluesmoon
9
870
The AI Search Optimization Roadmap by Aleyda Solis
aleyda
1
5.9k
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.8k
Building the Perfect Custom Keyboard
takai
2
800
New Earth Scene 8
popppiees
3
2.4k
Transcript
組織的なクラウド統制のはじめの⼀歩 2023.4.17 AWS事業本部 コンサルティング部 yhana 1
1.CCoE の取り組み 2.AWS 利⽤ルール(利⽤ガイドライン)の策定 3.AWS のクラウド統制サービスの紹介(発表者交替) 2 もくじ
3 CCoE の取り組み
CoE (Center of Excellence) 特定分野におけるトップレベル⼈材やノウハウ、設備を集約した組織 CCoE (Cloud Center of Excellence)
CoE の Cloud 版 クラウド利⽤に関するノウハウを集約・活⽤して組織全体を牽引 4 CCoE とは
5 CCoE のイメージ(デザインパターンの⼀例) (参考)CCoEがやることについてまとめてみた
6 CCoE の取り組み例 カテゴリ 項⽬ プロジェクト⽀援 社内向けのコンサルティング、プロフェッショナル⼈材の派遣 ⼈材育成 トレーニング・研修の整備、社内勉強会等のイベント開催 情報発信
社内外のイベント登壇、社内コミュニティの整備、社外への情報発信 情報収集 クラウド技術の情報・ノウハウ蓄積、社内要望の収集 共通サービスの整備 共通インフラやデータレイク等の全組織が利⽤できるサービスを⼀元提供 利⽤ルールの策定 社内でクライドを利⽤するルール決め、クラウド利⽤のガイドライン クラウドの管理 アカウント管理、ユーザー管理、ログ管理、セキュリティ対策、コスト管理 推進 統制 (参考)CCoEがやることについてまとめてみた
7 CCoE の取り組み例 カテゴリ 項⽬ プロジェクト⽀援 社内向けのコンサルティング、プロフェッショナル⼈材の派遣 ⼈材育成 トレーニング・研修の整備、社内勉強会等のイベント開催 情報発信
社内外のイベント登壇、社内コミュニティの整備、社外への情報発信 情報収集 クラウド技術の情報・ノウハウ蓄積、社内要望の収集 共通サービスの整備 共通インフラやデータレイク等の全組織が利⽤できるサービスを⼀元提供 利⽤ルールの策定 社内でクライドを利⽤するルール決め、クラウド利⽤のガイドライン クラウドの管理 アカウント管理、ユーザー管理、ログ管理、セキュリティ対策、コスト管理 推進 統制 (参考)CCoEがやることについてまとめてみた
8 AWS 利⽤ルール (利⽤ガイドライン) の策定
9 クラウド利⽤ルールに策定・クラウドの管理 AWS の利⽤ルール(利⽤ガイドライン)の記載内容の例 章 記載内容の例 AWS アカウント管理 AWS アカウントの⼀元管理⽅法、調達フロー
ユーザー管理 ユーザーの⼀元管理⽅法、利⽤申請フロー セキュリティ対策 AWS のセキュリティ対策(予防的・発⾒的統制)、組織内の推奨サービス・製品 ログ管理 取得すべきログと保管期間などのルール コスト管理 組織内の AWS 利⽤料の精算ルール、料⾦の監視⽅法、推奨の⾒直し⽅法 共通ネットワーク・サービス 共⽤のネットワーク/プロキシ/FW構成、データレイクなどの共通サービス リソース作成ルール・推奨構成 推奨構成のリファレンスアーキテクチャ、VPC/EC2 の設計ルール 運⽤ 推奨のシステム監視⽅法、バックアップ・リストア⽅法 監査 利⽤ルールが守られているかのチェック、外部監査対応の留意点 (参考)クラスメソッドメンバーズのお客様向けに公開している「Classmethod Cloud Guidebook (CCG)」の使い⽅
10 クラウド利⽤ルールに策定・クラウドの管理 AWS の利⽤ルール(利⽤ガイドライン)の⽬次例 章 記載内容の例 AWS アカウント管理 AWS アカウントの⼀元管理⽅法、調達フロー
ユーザー管理 ユーザーの⼀元管理⽅法、利⽤申請フロー セキュリティ対策 AWS のセキュリティ対策(予防的・発⾒的統制)、組織内の推奨サービス・製品 ログ管理 取得すべきログと保管期間などのルール コスト管理 組織内の AWS 利⽤料の精算ルール、料⾦の監視⽅法、推奨の⾒直し⽅法 共通ネットワーク・サービス 共⽤のネットワーク/プロキシ/FW構成、データレイクなどの共通サービス リソース作成ルール・推奨構成 推奨構成のリファレンスアーキテクチャ、VPC/EC2 の設計ルール 運⽤ 推奨のシステム監視⽅法、バックアップ・リストア⽅法 監査 利⽤ルールが守られているかのチェック、外部監査対応の留意点 始めのステップとして取り組むことが多い (参考)クラスメソッドメンバーズのお客様向けに公開している「Classmethod Cloud Guidebook (CCG)」の使い⽅
11 AWS アカウント管理
12 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題 AWS 社 リセラー A社 リセラー
B社 AWS アカウント AWS アカウント AWS アカウント プロジェクト担当者
13 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題 AWS 社 リセラー A社 リセラー
B社 AWS アカウント AWS アカウント AWS アカウント インシデント発⽣ プロジェクト担当者
14 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題 AWS 社 リセラー A社 リセラー
B社 AWS アカウント AWS アカウント AWS アカウント インシデント発⽣ すべてのアカウントを確認 全担当者へのヒアリングするのは時間がかかる、連絡先がわからない場合も プロジェクト担当者
15 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題 AWS 社 リセラー A社 リセラー
B社 AWS アカウント AWS アカウント AWS アカウント インシデント発⽣ すべてのアカウントを確認 対策の実施(依頼) 依頼対応完了の確認に時間がかかる プロジェクト担当者
16 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題 AWS 社 リセラー A社 リセラー
B社 AWS アカウント AWS アカウント AWS アカウント インシデント発⽣ すべてのアカウントを確認 対策の実施(依頼) 依頼対応完了の確認に時間がかかる AWS アカウント 対応完了後に発⾏したアカウントでは 対策が実施されていないことがある プロジェクト担当者
17 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題 プロジェクト担当者 クラスメソッド AWS アカウント AWS
アカウント AWS アカウント インシデント発⽣ すべてのアカウントを確認 対策の実施(依頼) AWS アカウント AWS の組織管理機能(AWS Organizations)で⼀元管理
18 AWS アカウント管理 AWS アカウントの⼀元管理と発⾏フローの整備 AWS Organizations の利⽤ 組織内のアカウント発⾏フローの整備 アカウントをグルーピングしてグループ毎に異なる統制を適⽤
組織内で満たすべき設定項⽬を最初から設定
19 ユーザー管理
20 ユーザー管理 各 AWS アカウントで個別にユーザーを管理している場合の課題 AWS アカウント AWS アカウント AWS
アカウント
21 ユーザー管理 各 AWS アカウントで個別にユーザーを管理している場合の課題 AWS アカウント AWS アカウント AWS
アカウント 各アカウントにユーザー作成して 管理するのが⼿間となる
22 ユーザー管理 各 AWS アカウントで個別にユーザーを管理している場合の課題 AWS アカウント AWS アカウント AWS
アカウント 各アカウントにユーザー作成して 管理するのが⼿間となる 乗っ取りの被害に合いやすい MFA無し 脆弱なPW
23 ユーザー管理 各 AWS アカウントで個別にユーザーを管理している場合の課題 AWS アカウント AWS アカウント AWS
アカウント 各アカウントにユーザー作成して 管理するのが⼿間となる 乗っ取りの被害に合いやすい MFA無し 脆弱なPW 異動・退職により利⽤していない (乗っ取り被害の可能性を⾼める)
24 ユーザー管理 ユーザーの⼀元管理⽅法を整備 組織内の ID プロバイダーと統合 既存 ID とセキュリティレベルを統⼀、ユーザー削除漏れの防⽌ ユーザー払い出しフローの整備
25 セキュリティ対策
26 セキュリティ対策 AWS レイヤーのセキュリティ対策を検討して実装 ・予防的統制 ・発⾒的統制
27 セキュリティ対策 予防的統制のイメージ ガードレール ⼤きいサイズの EC2 インスタンスの起動 DNS ドメインの購⼊ 東京、⼤阪、バージニア北部リージョン以外の利⽤
利⽤可能な サービスと アクション ガードレール 利⽤禁⽌ 利⽤禁⽌ 「⾃由」に利⽤できる範囲
28 セキュリティ対策 発⾒的統制のイメージ 望ましくない設定や意図していない設定に 気づく仕組みを導⼊ 例)悪意のあるサーバ(IP アドレス)との通信 例)誤って S3 のデータをインターネット公開
危険な通信や不審なアクセスに 気づく仕組みを導⼊
29 ログ管理
30 ログ管理 ログの集約(保全)の検討 イベントログの集約例
31 ログ管理 ログの集約(保全) × アカウント乗っ取り後に攻撃者により ログ記録停⽌やログ削除が実⾏される 場合がある 隔離したログから攻撃者の⾏動を 調査できる
32 ログ管理 ログの集約(保全) イベントログの集約例 × アカウント乗っ取り後に攻撃者により ログ記録停⽌やログ削除が実⾏される 場合がある 隔離したログから攻撃者の⾏動を 調査できる
SIEM や BI ツール等を利⽤した ログの分析や⾒える化ができる
33 コスト管理
34 コスト管理 組織内の利⽤料の⽀払いや費⽤計上のルールを定める ・アカウントを⼀元管理した際の請求フロー 例えば、CCoE が⼀括払いをして組織内の他部⾨に振り替えるのか 各部⾨がそれぞれ⽀払い処理をするのか ・Reserved Instance (RI)
などの前払いサービスの費⽤計上ルール 例えば、前払い分を毎⽉の⽀出に振り替えるなど
35 AWS のクラウド統制サービスの紹介 (発表者交替)
36