Well-Architected Framework新時代 〜 IaC Analyzerを活用するセルフレビューのススメ 〜

Transcript

1. Well-Architected Framework新時代 〜 IaC Analyzerを活用するセルフレビューのススメ 〜 2025年7月9日(水) 好光 泰章

2. © NEC Solution Innovators, Ltd. 2025 2 2019/23/24 現地参加 自己紹介

   好光 泰章 Yasuaki Yoshimitsu どんな人？ NECソリューションイノベータ 「SSJL クラウドSI統括」 直属 インフラエンジニア、全社AWS人材育成担当 プレーリーカード 趣味・好きなもの re:Invent ⚫ ブログ お酒飲みながら書いてます ⚫ カメラ プロフィール撮影中心 ⚫ 映画鑑賞 コナン聖地めぐり ⚫ ディズニー ファンタジースプリングス最高！ ⚫ ランニング re:Invent 向け5kmラン ⚫ 英語 ELSA＋Duoling+ChatGPT AWS関連 2021-2025 Japan AWS Top Engineers(5年連続) 2022-2025 Japan AWS All Certifications Engineers(4年連続) 2025 AWS Community Builders(CloudOps) NES コーポレートブログ 「高い志を持つ仲間を増やしたい」AWSの表彰を受けた5人が語るエンジニアとAWSの未来」 JAWS-UG 横浜支部コアメンバー、JAWS DAYS 2025 実行委員 クラウド勉強会 雲乃珈琲 プロデューサー 宮崎S 6/25 AWS Summit

3. © NEC Solution Innovators, Ltd. 2025 3 今日みなさんにお伝えすること Well-Architected IaC

   Analyzer

4. © NEC Solution Innovators, Ltd. 2025 4 Why Now？

5. © NEC Solution Innovators, Ltd. 2025 5 Why Now？ AWS案件の増加による人的リソース不足

   IaCを活用するシチュエーションが増えてきた リソース面、アーキテクチャー面からも 人的レビューの限界が露呈しつつある状況 要件の複雑化による高難易度案件化

6. © NEC Solution Innovators, Ltd. 2025 6 今日みなさんにお伝えすること Well-Architected IaC

   Analyzer

7. © NEC Solution Innovators, Ltd. 2025 7 W-A IaC Analyzerとは？

   生成AIでIaCをWAF6つの柱で解析 リスクと改善案を提示する評価ツール 静的解析による 事前検証 W-A 6つの柱や レンズを 包括的にカバー 継続的な 改善サイクル

8. © NEC Solution Innovators, Ltd. 2025 8 W-A IaC Analyzerとは？

   https://github.com/aws-samples/well-architected-iac-analyzer

9. © NEC Solution Innovators, Ltd. 2025 9 似たようなやつが・・・ Well-Architected Review

   Acceleration with GenAI https://github.com/aws-samples/sample-well-architected-acceleration-with-generative-ai

10. © NEC Solution Innovators, Ltd. 2025 10 似たようなやつが・・・

11. © NEC Solution Innovators, Ltd. 2025 11 使ってみた

12. © NEC Solution Innovators, Ltd. 2025 12 複数のサービスやキューにまたがる リクエストを追跡するための分散ト レースソリューション(X-RAY)が

    アーキテクチャ内にない REL 6 ワークロードリソースを どのように監視しますか？ REL 6-BP07 システムを通じた リクエストのエンドツーエンドの トレースをモニタリングする 使ってみた パフォーマンスボトルネックを把握す るために、X-RAY、サービスマップ、 アラート設定などを提案

13. © NEC Solution Innovators, Ltd. 2025 13 こう使ってみる ①Design →

    アーキテクチャーレビュー ②Build → ローカル・プリコミット検証 ③CI/CD → PRのゲートチェック Git push → Codepipeline → IaC Analyzer → PRにコメント ④Deploy → アカウントの一括監査 ⑤Operation → 運用中のドリフト検知

14. © NEC Solution Innovators, Ltd. 2025 14 もうちょっと応用的に { "custom_rules":

    { "security": { "encryption_at_rest": { "severity": "HIGH", "resources": ["aws_s3_bucket", "aws_rds_instance"], "condition": "encryption.enabled == true" } }, "cost": { "instance_right_sizing": { "severity": "MEDIUM", "condition": "instance_type NOT IN ['t2.micro', 't3.micro']", "recommendation": "Consider using smaller instance types" } } } } class OrganizationSpecificRules: def __init__(self): self.company_standards = { "tagging_policy": ["Environment", "Owner", "Project"], "security_groups": {"max_open_ports": 3}, "backup_policy": {"retention_days": 30} } def validate_compliance(self, iac_template): return ( self.check_tagging(iac_template) and self.check_security(iac_template) and self.check_backup(iac_template) ) def check_tagging(self, template): # タグがすべて含まれているか tags = template.get("tags", {}) required = self.company_standards["tagging_policy"] return all(tag in tags for tag in required) def check_security(self, template): # 開放ポート数が許容内か ports = template.get("open_ports", []) return len(ports) <= self.company_standards["security_groups"]["max_open_ports"] def check_backup(self, template): # バックアップの保持期間確認 retention = template.get("backup", {}).get("retention_days", 0) return retention >= self.company_standards["backup_policy"]["retention_days"] カスタムルールの定義 固有のベストプラクティス IaC Analyzerで問題の検出→Q Developerに渡して 改善コードを自動生成するなどセルフヒーリングもアリ

15. © NEC Solution Innovators, Ltd. 2025 15 まとめ いろんな局面で使えそうな IaC

    Analyzer 面倒なことは AI に任せて Well-Architected Framework の民主化を！ (社内で使うにはイロイロ懸念はありますが) W-Aセルフレビューによって W-A 準拠率と開発スピードのアップ コスト削減効果も見込めるハズ 組織ガードレールを反映していって CI/CD に統合することで 開発プロセスも強化