金融業界にいる私から見た AWS re:Inforce 2023

1 © 2023 Japan Digital Design, Inc. 木美雄太（Yuta Kimi）
2023.06.29 金融業界にいる私から見た AWS re:Inforce 2023 AWS re:Inforce 2023 re:Cap Seminar

3 © 2023 Japan Digital Design, Inc. NIST(*1)のクラウドコンピューティングの定義 - 基本的な特徴(*2)
“クラウド” の5つの特徴この定義に則ると、 AWS自体は5つの特徴を満たす ⇒ AWS自体は“クラウド”である “クラウド” とは？オンデマンド・セルフサービス On-demand self-service クラウド運営者と会話・調整せずに自分自身で１幅広いネットワークアクセス Broad network access どこからでも 2 リソースの共用 Resource pooling 必要な時だけ 3 ５サービスが計測可能であること Measured Service 明朗会計・従量課金で利用量を計測・適正化できる (*1) NIST：アメリカ国立標準技術研究所 (*2) 『NISTによるクラウドコンピューティングの定義』を独自に意訳スピーディな拡張性 Rapid elasticity 必要な分だけ即時に 4

4 © 2023 Japan Digital Design, Inc. あなたが使っているのは “クラウド”（＝5つの特徴を満たす）ですか？
（特に規制業界のみなさま、自社のセキュリティルールによりAWS環境を ”クラウドではない” 状態にしていませんか）

5 © 2023 Japan Digital Design, Inc. 木美雄太 Senior
Solution Architect Technology & Development Div. Photo Japan Digital Design 所属「金融の新しい当たり前を創造し人々の成長に貢献する」をミッションとするMUFGの子会社１通勤は片道3時間自宅は兵庫県姫路市、オフィスは東京都日本橋（もちろんリモート中心） 2 対外活動金融×クラウドに微力ながら貢献したい 3 Fin-JAWS 運営メンバー Security & Identity 領域書籍・ブログ執筆 https://imiky. hatenablog.com 弊社のデザイナーが作ったカッコいい名刺を見てほしくて仕方がないのでぜひ名刺交換させてください！

6 © 2023 Japan Digital Design, Inc. 本日お伝えしたいこと日本の金融系のみなさん、re:Inforce 2024でお会いしましょう！！
今回は日本の金融関係の方はわずかしか参加していなかったらしく、金融系のすみっこにいる私としてはとても残念でした…

7 © 2023 Japan Digital Design, Inc. 私がre:Inforce 2023 で感じた外の世界の「当たり前」
外の世界の「当たり前」を体感すること現地でのセッションの様子や参加者との交流から外の世界の「当たり前」と自分たちのギャップを体感すること現地参加する目的は？ “どうやってクラウドでセキュリティを守るか” を越えていかにスケーラブルに守るかいかに開発者のスピードを速めるかいかに開発プロセスの早い段階で問題を修正するかに焦点を当てたセッションが多い IaC / パイプライン経由のインフラ構築、Shift-Leftの意識は「当たり前」それを前提としてどのような工夫をしているか

9 © 2023 Japan Digital Design, Inc. 自動化のレベルに比例して、セキュリティとリスクコントロールのレベルも向上する「自動化」すること
私が参加した多くのセッションでセキュリティを高めるための要点として「自動化」が第一に挙げられていた。セキュリティチェックリストに項目を追加することでも、職務分離を名目に開発者から権限を奪うことでもない。ただし「自動化」だけで言うと、 re:Inforce 2019から強調されていた話。セキュリティ向上のためにすべきこと AWS re:Inforce 2023 - Managing risk in a regulated environment, feat. Japan Digital Agency (GRC302) - Youtube から引用

10 © 2023 Japan Digital Design, Inc. 開発の早い段階で自動的にフィードバックを提供する過去のre:Inforceでも、デプロイ
後の話（ガードレール適用等）は多数取り扱われていた。 re:Inforce 2023ではインフラも含めてデプロイ前のプロセスに焦点を当てたセッションが増加した印象。一層注力すべき「自動化」セキュリティのオーナーシップは開発者が持つ At AWS, our builders have ownership of security of their services. - Keynote with CJ Moses (AWS CISO) 開発プロセスの早い段階で開発者が問題を修正できるように「自動的にフィードバックを提供」１課題やレビューから得られた案件ナレッジを「自動化プロセスに取り込む」２本番環境へのリリースは自動化された「レビュープロセスの通過を必須」にする 3 セキュリティ担当者は

11 © 2023 Japan Digital Design, Inc. IaC/パイプライン内で構成チェックは「当たり前」米国軍人向けの銀行・保険業を営むUSAAのセッション
ビジネスニーズに応じて常に変化する「データ境界」をスケーラブルに維持する方法具体的な事例をひとつ AWS re:Inforce 2023 - Establishing a data perimeter on AWS, featuring USAA (IAM301) - Youtube から引用

12 © 2023 Japan Digital Design, Inc. ビジネスニーズに応じて「適切なデータ境界」は常に変化するエンドポイントポリシーに着目
データ境界のうちVPC内からデータ保管場所への接続口になるVPCエンドポイントに着目。セッション内ではデータ駆動で着目ポイントを決めているという解説もされている。具体的な事例をひとつ社外の提携先のバケット意図しないバケット社内の共有バケットエンドポイントポリシー “適切” が常に変化する中でどうやって持続的にチェックする？適切なデータ保管場所にだけアクセスできる接続口にしたい VPCエンドポイントの作成権限を開発者から奪う…！？

13 © 2023 Japan Digital Design, Inc. 数分の手動レビューを除いて、セルフサービス化・自動化開発者がセルフサービスで ”適切“なポリシーを適用
パイプラインの中で構成がチェックされてから自動適用。「セルフサービス」がUSAAの強く信じている理念。 (クラウドの定義の1つ目) 具体的な手法を真似しましょうというよりも、理念や基本指針を学ぶことが大切。リポジトリエンドポイントポリシー具体的な事例をひとつ開発者 Pull Request 自動スキャン基本的な構成チェック (スキャン結果に応じて) 手動レビューセキュリティチーム信頼できるエンドポイントポリシートリガーポリシー適用エンドポイント作成/更新イベント Step Functions ポリシー取得アプリケーションA

14 © 2023 Japan Digital Design, Inc. NIST(*1)のクラウドコンピューティングの定義 - 基本的な特徴(*2)
クラウドセキュリティの設計指針にもなる 5つの要素は「顧客体験に専念するためのプラットフォーム」に求められる要素。顧客が求める体験とデザインがずれることは当たり前。いかに速くユーザに届けて、いかに速く顧客のフィードバックを取り込むか。そのために必要な要素。この要素を欠いてもクラウドを使う意味を保てるか？改めてクラウドの定義を再考オンデマンド・セルフサービス On-demand self-service クラウド運営者と会話・調整せずに自分自身で１幅広いネットワークアクセス Broad network access どこからでも 2 リソースの共用 Resource pooling 必要な時だけ 3 ５サービスが計測可能であること Measured Service 明朗会計・従量課金で利用量を計測・適正化できる (*1) NIST：アメリカ国立標準技術研究所 (*2) 『NISTによるクラウドコンピューティングの定義』を独自に意訳スピーディな拡張性 Rapid elasticity 必要な分だけ即時に 4

15 © 2023 Japan Digital Design, Inc. 本日のお話自分たちの「当たり前」とギャップがあった皆さん、 re:Inforce
2024でお会いしましょう！！具体的な技術・知識よりも本日お話したような「当たり前」を持ち帰ることができます

金融業界にいる私から見た AWS re:Inforce 2023

金融業界にいる私から見た AWS re:Inforce 2023

Yuta Kimi

More Decks by Yuta Kimi

Other Decks in Technology

Featured

Transcript

1 © 2023 Japan Digital Design, Inc. 木美雄太（Yuta Kimi）

2 © 2023 Japan Digital Design, Inc. あなたが使っているのは “クラウド” ですか？

3 © 2023 Japan Digital Design, Inc. NIST(1)のクラウドコンピューティングの定義 - 基本的な特徴(2)

4 © 2023 Japan Digital Design, Inc. あなたが使っているのは “クラウド”（＝5つの特徴を満たす）ですか？

5 © 2023 Japan Digital Design, Inc. 木美雄太 Senior

6 © 2023 Japan Digital Design, Inc. 本日お伝えしたいこと日本の金融系のみなさん、re:Inforce 2024でお会いしましょう！！

7 © 2023 Japan Digital Design, Inc. 私がre:Inforce 2023 で感じた外の世界の「当たり前」

8 © 2023 Japan Digital Design, Inc. クラウドのセキュリティを高めるためにすべきことは何ですか？

9 © 2023 Japan Digital Design, Inc. 自動化のレベルに比例して、セキュリティとリスクコントロールのレベルも向上する「自動化」すること

10 © 2023 Japan Digital Design, Inc. 開発の早い段階で自動的にフィードバックを提供する過去のre:Inforceでも、デプロイ

11 © 2023 Japan Digital Design, Inc. IaC/パイプライン内で構成チェックは「当たり前」米国軍人向けの銀行・保険業を営むUSAAのセッション

12 © 2023 Japan Digital Design, Inc. ビジネスニーズに応じて「適切なデータ境界」は常に変化するエンドポイントポリシーに着目

13 © 2023 Japan Digital Design, Inc. 数分の手動レビューを除いて、セルフサービス化・自動化開発者がセルフサービスで ”適切“なポリシーを適用

14 © 2023 Japan Digital Design, Inc. NIST(1)のクラウドコンピューティングの定義 - 基本的な特徴(2)

15 © 2023 Japan Digital Design, Inc. 本日のお話自分たちの「当たり前」とギャップがあった皆さん、 re:Inforce

Thank you. 16 © 2023 Japan Digital Design, Inc.