Upgrade to Pro — share decks privately, control downloads, hide ads and more …

金融業界にいる私から見た AWS re:Inforce 2023

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for Yuta Kimi Yuta Kimi
June 29, 2023
Technology
3k
0

金融業界にいる私から見た AWS re:Inforce 2023

re:Inforce 2023に現地参加して体感したクラウドセキュリティの「当たり前」を金融目線でお話しました。

Avatar for Yuta Kimi

Yuta Kimi

June 29, 2023

More Decks by Yuta Kimi

See All by Yuta Kimi
AWS IAM Identity Centerによる権限設定をグラフ構造で可視化+グラフRAGへの挑戦
Avatar for Yuta Kimi ykimi
2
1.2k
1分LTで完全に理解 ポリシー界の異端児”宣言型ポリシー”の5つの特異性(JAWS-UG Osaka 2025/01/16)
Avatar for Yuta Kimi ykimi
0
280
THE WALL built with IAM
Avatar for Yuta Kimi ykimi
0
700
[re:Invent 2022][Fin-JAWS #29]現地参加のみなさんがキラキラアップデートに目がくらんでいるスキに渋いアップデートをキャッチアップ!!
Avatar for Yuta Kimi ykimi
1
1.5k
re:Invent で発表された新機能 "Amazon WorkSpaces Web" を使うと世界を変えられるか探ってみた話 @Fin-JAWS
Avatar for Yuta Kimi ykimi
1
20k
[JAWS PANKRATION]Will AWS Control Tower take away my jobs as multi account administrator? (Control Towerはマルチアカウント管理者の仕事を奪ってくれるのか?)
Avatar for Yuta Kimi ykimi
0
260
年間40回社内AWS勉強会を運営してみた
Avatar for Yuta Kimi ykimi
0
1.4k

Other Decks in Technology

See All in Technology
最初の一歩を踏み出せなかった私が、誰かの背中を押したいと思うようになるまで / give someone a push
Avatar for miisan mii3king
0
160
Oracle AI Database@AWS:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
4
2.4k
弁護士ドットコム株式会社 エンジニア職向け 会社紹介資料
Avatar for 弁護士ドットコム bengo4com
1
160
AWS認定資格は本当に意味があるのか?
Avatar for NRI Netcom nrinetcom
PRO
2
280
ワールドカフェI /チューターを改良する / World Café I and Improving the Tutors
Avatar for Kenji Saito ks91
PRO
0
320
AI バイブコーティングでキーボード不要?!
Avatar for Sam Akada samakada
0
580
「SaaSの次の時代」に重要性を増すステークホルダーマネジメントの要諦 ~解像度を圧倒的に高めPdMの価値を最大化させる方法~
Avatar for KAKEHASHI kakehashi
PRO
3
1.2k
Do Ruby::Box dream of Modular Monolith?
Avatar for Tomohiro Hashidate joker1007
1
350
プラットフォームエンジニアリングの実践 - AWS コンテナサービスで構築する社内プラットフォーム / AWS Containers Platform Meetup #1
Avatar for Masatoshi Hayashi literalice
1
200
AI時代のガードレールとしてのAPIガバナンス
Avatar for 草薙昭彦 nagix
0
290
目的ファーストのハーネス設計 ~ハーネスの変更容易性を高めるための優先順位~
Avatar for Gota gotalab555
8
2.2k
AIでAIをテストする - 音声AIエージェントの品質保証戦略
Avatar for Morix morix1500
1
120

Featured

See All Featured
Ten Tips & Tricks for a 🌱 transition
Avatar for Manu Carrasco Molina stuffmc
0
99
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
34
9.3k
Collaborative Software Design: How to facilitate domain modelling decisions
Avatar for Kenny Baas-Schwegler baasie
1
200
From Legacy to Launchpad: Building Startup-Ready Communities
Avatar for Dug Song dugsong
0
200
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
320
How Fast Is Fast Enough? [PerfNow 2025]
Avatar for Tammy Everts tammyeverts
3
530
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
370
20k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
9
1.3k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1032
470k
Darren the Foodie - Storyboard
Avatar for Kevinho.art khoart
PRO
3
3.3k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.6k

Transcript

  1. 1 © 2023 Japan Digital Design, Inc. 木美 雄太(Yuta Kimi)

    2023.06.29 金融業界にいる私から見た AWS re:Inforce 2023 AWS re:Inforce 2023 re:Cap Seminar

  2. 2 © 2023 Japan Digital Design, Inc. あなたが使っているのは “クラウド” ですか?

  3. 3 © 2023 Japan Digital Design, Inc. NIST(*1)のクラウドコンピューティングの定義 - 基本的な特徴(*2)

    “クラウド” の5つの特徴 この定義に則ると、 AWS自体は5つの特徴を満たす ⇒ AWS自体は“クラウド”である “クラウド” とは? オンデマンド・セルフサービス On-demand self-service クラウド運営者と会話・調整せずに自分自身で 1 幅広いネットワークアクセス Broad network access どこからでも 2 リソースの共用 Resource pooling 必要な時だけ 3 5 サービスが計測可能であること Measured Service 明朗会計・従量課金で利用量を計測・適正化できる (*1) NIST:アメリカ国立標準技術研究所 (*2) 『NISTによるクラウドコンピューティングの定義』を独自に意訳 スピーディな拡張性 Rapid elasticity 必要な分だけ即時に 4

  4. 4 © 2023 Japan Digital Design, Inc. あなたが使っているのは “クラウド”(=5つの特徴を満たす) ですか?

    (特に規制業界のみなさま、自社のセキュリティルールによりAWS環境を ”クラウドではない” 状態にしていませんか)

  5. 5 © 2023 Japan Digital Design, Inc. 木美 雄太 Senior

    Solution Architect Technology & Development Div. Photo Japan Digital Design 所属 「金融の新しい当たり前を創造し人々の成長に貢献する」を ミッションとするMUFGの子会社 1 通勤は片道3時間 自宅は兵庫県 姫路市、オフィスは東京都 日本橋 (もちろんリモート中心) 2 対外活動 金融×クラウドに微力ながら貢献したい 3 Fin-JAWS 運営メンバー Security & Identity 領域 書籍・ブログ執筆 https://imiky. hatenablog.com 弊社のデザイナーが作ったカッコいい名刺を 見てほしくて仕方がないのでぜひ名刺交換させてください!

  6. 6 © 2023 Japan Digital Design, Inc. 本日お伝えしたいこと 日本の金融系のみなさん、re:Inforce 2024でお会いしましょう!!

    今回は日本の金融関係の方はわずかしか参加していなかったらしく、 金融系のすみっこにいる私としてはとても残念でした…

  7. 7 © 2023 Japan Digital Design, Inc. 私がre:Inforce 2023 で感じた外の世界の「当たり前」

    外の世界の「当たり前」を 体感すること 現地でのセッションの様子や 参加者との交流から外の世界の 「当たり前」と自分たちの ギャップを体感すること 現地参加する目的は? “どうやってクラウドでセキュリティを守るか” を越えて いかにスケーラブルに守るか いかに開発者のスピードを速めるか いかに開発プロセスの早い段階で問題を修正するか に焦点を当てたセッションが多い IaC / パイプライン経由のインフラ構築、Shift-Leftの意識は「当たり前」 それを前提としてどのような工夫をしているか

  8. 8 © 2023 Japan Digital Design, Inc. クラウドのセキュリティを高めるためにすべきことは何ですか?

  9. 9 © 2023 Japan Digital Design, Inc. 自動化のレベルに比例して、セキュリティとリスクコントロールの レベルも向上する 「自動化」すること

    私が参加した多くのセッション でセキュリティを高めるための 要点として「自動化」が第一に 挙げられていた。 セキュリティチェックリストに 項目を追加することでも、 職務分離を名目に開発者から 権限を奪うことでもない。 ただし「自動化」だけで言うと、 re:Inforce 2019から強調されて いた話。 セキュリティ向上のためにすべきこと AWS re:Inforce 2023 - Managing risk in a regulated environment, feat. Japan Digital Agency (GRC302) - Youtube から引用

  10. 10 © 2023 Japan Digital Design, Inc. 開発の早い段階で自動的に フィードバックを提供する 過去のre:Inforceでも、デプロイ

    後の話(ガードレール適用等) は多数取り扱われていた。 re:Inforce 2023ではインフラも 含めてデプロイ前のプロセスに 焦点を当てたセッションが 増加した印象。 一層注力すべき「自動化」 セキュリティのオーナーシップは開発者が持つ At AWS, our builders have ownership of security of their services. - Keynote with CJ Moses (AWS CISO) 開発プロセスの早い段階で開発者が問題を修正できるように 「自動的にフィードバックを提供」 1 課題やレビューから得られた案件ナレッジを 「自動化プロセスに取り込む」 2 本番環境へのリリースは自動化された 「レビュープロセスの通過を必須」にする 3 セキュリティ担当者は

  11. 11 © 2023 Japan Digital Design, Inc. IaC/パイプライン内で構成チェックは「当たり前」 米国軍人向けの銀行・保険業 を営むUSAAのセッション

    ビジネスニーズに応じて常に 変化する「データ境界」を スケーラブルに維持する方法 具体的な事例をひとつ AWS re:Inforce 2023 - Establishing a data perimeter on AWS, featuring USAA (IAM301) - Youtube から引用

  12. 12 © 2023 Japan Digital Design, Inc. ビジネスニーズに応じて「適切なデータ境界」は常に変化する エンドポイントポリシーに 着目

    データ境界のうちVPC内から データ保管場所への接続口にな るVPCエンドポイントに着目。 セッション内ではデータ駆動で 着目ポイントを決めているとい う解説もされている。 具体的な事例をひとつ 社外の提携先のバケット 意図しないバケット 社内の共有バケット エンドポイント ポリシー “適切” が常に変化する中で どうやって持続的にチェックする? 適切なデータ保管場所にだけ アクセスできる接続口にしたい VPCエンドポイントの作成権限を 開発者から奪う…!?

  13. 13 © 2023 Japan Digital Design, Inc. 数分の手動レビューを除いて、セルフサービス化・自動化 開発者がセルフサービスで ”適切“なポリシーを適用

    パイプラインの中で構成が チェックされてから自動適用。 「セルフサービス」がUSAAの 強く信じている理念。 (クラウドの定義の1つ目) 具体的な手法を真似しましょう というよりも、理念や基本指針 を学ぶことが大切。 リポジトリ エンドポイント ポリシー 具体的な事例をひとつ 開発者 Pull Request 自動スキャン 基本的な 構成チェック (スキャン結果に応じて) 手動レビュー セキュリティ チーム 信頼できる エンドポイントポリシー トリガー ポリシー適用 エンドポイント 作成/更新イベント Step Functions ポリシー取得 アプリケーションA

  14. 14 © 2023 Japan Digital Design, Inc. NIST(*1)のクラウドコンピューティングの定義 - 基本的な特徴(*2)

    クラウドセキュリティの 設計指針にもなる 5つの要素は「顧客体験に専念 するためのプラットフォーム」 に求められる要素。 顧客が求める体験とデザインが ずれることは当たり前。 いかに速くユーザに届けて、 いかに速く顧客のフィードバッ クを取り込むか。 そのために必要な要素。 この要素を欠いてもクラウドを 使う意味を保てるか? 改めてクラウドの定義を再考 オンデマンド・セルフサービス On-demand self-service クラウド運営者と会話・調整せずに自分自身で 1 幅広いネットワークアクセス Broad network access どこからでも 2 リソースの共用 Resource pooling 必要な時だけ 3 5 サービスが計測可能であること Measured Service 明朗会計・従量課金で利用量を計測・適正化できる (*1) NIST:アメリカ国立標準技術研究所 (*2) 『NISTによるクラウドコンピューティングの定義』を独自に意訳 スピーディな拡張性 Rapid elasticity 必要な分だけ即時に 4

  15. 15 © 2023 Japan Digital Design, Inc. 本日のお話 自分たちの「当たり前」とギャップがあった皆さん、 re:Inforce

    2024でお会いしましょう!! 具体的な技術・知識よりも本日お話したような「当たり前」を持ち帰ることができます

  16. Thank you. 16 © 2023 Japan Digital Design, Inc.