KiroでGameDay開催してみよう(準備編)

KiroでGameDay開催してみよう (準備編) JAWS-UG 彩の国埼玉支部 #3 Yuuuuuuu (@ec2_on_aws) ツイートはこちら⇒#jawsug_sainokuni

自己紹介 ◼所属：とあるSIerの運用系グループ会社 ◼AWS歴：7年目、、、ただし、3-4年はEC2/VPC/S3くらいしか触らずちゃんとAWSを使い始めたのは2-3年前くらいから ◼趣味：酒(ウイスキー、日本酒)、ホロライブ(お嬢、ミオしゃ、フブキ) ◼好きなAWSサービス：Amazon EKS、Amazon Q、Terraform(AWS？) ◼AWSな活動：Japan All
AWS Certifications Engineers(2024-2025) ◼取得資格：AWS 15個、AZ-900、OCI 2個、Terraform Associate 他 Twitter Qiita

Agenda ◼きっかけ ◼GameDayとは ◼作成Step紹介とやってみた 1. GameDayとしてどんなネタがあるかを整理 2. 整理したネタを元に、どんなネタでGameDayを作成するか検討 3. KiroでSpecモードを実行する
4. Taskを実行する 5. できたGameDayをやってみる ◼まとめ ◼参考ツイートはこちら⇒#jawsug_sainokuni

きっかけ ◼とあるJAWS-UGのイベントにて ◼Amazon Q DeveloperでGameDayを作らせたという記事で登壇されていたという話をTwitterで拝見 ◼JAWS DaysやAWS Summitなどで大人気GameDay ◼大人気過ぎて、先着で席が即完売になることも…
◼ならばそうか！！！ ◼公式がすぐ埋まってしまうなら、自分で作ってしまえば早いよね！！ ◼という青天の霹靂 ◼であれば、KiroによるSpec駆動でこだわったGameDayができるのでは？ ◼やってみよう！！！ツイートはこちら⇒#jawsug_sainokuni https://speakerdeck.com/rindo_610/gameday-kasitainara-q-developer-nizuo-tutemoraehaiisiyanai

前提：GameDayとは(公式より) ◼チームベースの環境で、AWS ソリューションを利用して現実世界の技術的問題を解決することを参加者に課題として提示する、ゲーム化された学習イベントです。 ◼従来のワークショップとは異なり、GameDayは自由で緩やかな形式で、参加者は固定概念にとらわれずに探索し、考えることができます。ツイートはこちら⇒#jawsug_sainokuni https://aws.amazon.com/jp/gameday/

例：Winning the DDoS Game シナリオ概要 ◼AWS GameDay 「Winning the DDoS
Game」シナリオは、参加者は架空のテクノロジースタートアップであるユニコーンレンタル社の新入社員になるところから物語が始まります。ユニコーンレンタルは事業拡大を目指すべく、新たなサービスメニュー “プレミアムユニコーン “を発表しました。ツイートはこちら⇒#jawsug_sainokuni https://aws.amazon.com/jp/blogs/psa/gameday-for-aws-top-engineers-202501/

例：Winning the DDoS Game シナリオ概要 ◼しかし、発表直後のウェブサイトに突如 “503 Service Temporarily Unavailable”
エラーが表示され、お客様からクレームが殺到しました。時間経過とともにいつの間にかエラーは解消されましたが、当時の開発運用チームは責任を追及され、解散となりました。そんな中、たまたま新入社員として入社することになった参加者の皆様には、引継ぎ資料として渡されたアーキテクチャ図を基に、AWS WAF や AWS Shield Advanced などを駆使して、顧客体験を損なう分散型 HTTP フラッド、ウェブエクスプロイト、悪質なボットからの攻撃を軽減し、ウェブサイトを安定稼働させるためのミッションが与えられます。ツイートはこちら⇒#jawsug_sainokuni https://aws.amazon.com/jp/blogs/psa/gameday-for-aws-top-engineers-202501/

例：Winning the DDoS Game シナリオ概要 ◼そしてユニコーンレンタルの CEO は失敗を取り戻すべく、改めて特別セールキャンペーンの開催を決定しました。新入社員は最大 3
人 1 組のチームとなり、AWS アカウント上で稼働しているユニコーンレンタルサービスになるべく影響を及ぼさずに、DDoS 攻撃への対応および対策を行います。対応が上手くいくとチームにポイントが加点され、最終的にポイントを多く稼いだチームが表彰されます。ツイートはこちら⇒#jawsug_sainokuni https://aws.amazon.com/jp/blogs/psa/gameday-for-aws-top-engineers-202501/

作成Step 1. GameDayとしてどんなネタがあるかを整理 2. 整理したネタを元に、どんなネタでGameDayを作成するか検討 3. KiroでSpecモードを実行する 4. Taskを実行する 5.
できたGameDayをやってみるツイートはこちら⇒#jawsug_sainokuni

Step1. GameDayとしてどんなネタがあるかを整理 ◼ 前提：GameDayの内容は公開されないため、テーマから内容を類推するしかない ◼ AWS公式ブログより ◼ Winning the DDoS
Game(https://aws.amazon.com/jp/blogs/psa/gameday-for-aws-top-engineers-202501/) ◼ Secure Legends (ハードモード)(https://aws.amazon.com/jp/blogs/psa/gameday-for-aws-top-engineers- 202407/) ◼ Multi-Region Disaster Recovery(https://aws.amazon.com/jp/blogs/psa/gameday-for-aws-top-engineers- 202404/) ◼ Cloud Ops Co-op(https://aws.amazon.com/jp/blogs/psa/gameday-for-awstopengineers-202312/) ◼ Going Serverless(https://aws.amazon.com/jp/blogs/psa/gameday-for-awstopengineers-202307/) ◼ AWS公式サイトより https://aws.amazon.com/jp/gameday/ ◼ リユース、リサイクル、リデュース、リアーキテクト ◼ Generative AI Unicorn Party ◼ Secure Legends ◼ オブザーバビリティは重要です ◼ 会社独自のクローズド開催より ◼ コスト最適化(https://hack.nikkei.com/blog/nikkei_group_aws_gameday/) ◼ Developer experience(https://codezine.jp/article/detail/20932) ツイートはこちら⇒#jawsug_sainokuni GameDay参加は過去2回だけ

Step2.整理したネタを元に、どんなネタでGameDayを作成するか検討 ◼本来のGameDayであれば、、、 1. 最初のステップでグローバルからアクセス可能なwebサイトを作成 2. しばらく時間が経過した後、DDos攻撃を受ける 3. DDos攻撃を、AWSのサービスを使用して防ぎ、今後攻撃を受けないような仕組みづくりを行う 4.
(仕組みが不十分であれば)さらなる攻撃を受けて、点数が引かれる 5. (仕組みがうまく動作すれば)防御が効いている期間、点数が追加される ◼ということができますが、特に時間経過によってどうこう、、、というものを作成することは困難 ◼であれば、最初に何かしらがダメな環境を用意して、それを修正するという内容にするしかないのでは？ ◼上記であれば、DDosされそうな環境を作成し、「セキュアなWebサイトにして」というお題を渡すイメージツイートはこちら⇒#jawsug_sainokuni

Step2.整理したネタを元に、どんなネタでGameDayを作成するか検討 ◼整理したネタより、作成できそうなネタを選出 ◼Winning the DDoS Game ◼セキュリティ的に脆弱なwebサイトを作成し、それの修正をさせる ◼応用編としてWebサイトページ自体にも脆弱性を仕込める ◼Secure Legends
◼過剰なAWS権限、漏洩したAWS認証情報、MFA設定がされていないルートアカウント、暗号化されていないEBS/S3 など ◼SecurityHubの脆弱性診断の内容をそのまま修正させるみたいなイメージ？ツイートはこちら⇒#jawsug_sainokuni

Step2.整理したネタを元に、どんなネタでGameDayを作成するか検討 ◼整理したネタより、作成できそうなネタを選出 ◼Winning the DDoS Game ◼セキュリティ的に脆弱なwebサイトを作成し、それの修正をさせる ◼応用編としてWebサイトページ自体にも脆弱性を仕込める ◼Secure Legends
◼過剰なAWS権限、漏洩したAWS認証情報、MFA設定がされていないルートアカウント、暗号化されていないEBS/S3 ◼SecurityHubの脆弱性診断の内容をそのまま修正させるみたいなイメージ？ツイートはこちら⇒#jawsug_sainokuni とりあえず作ってみようとしたとき、簡単にできそう(勘) 構成がイメージできる

Step3. KiroでSpecモードを実行する ◼前提 ◼以下MCPサーバを設定済み ◼ awslabs.terraform-mcp-server ◼ awslabs.aws-documentation-mcp-server ◼ aws-knowledge-remote-mcp-server
◼ awslabs.aws-pricing-mcp-server ◼KiroはKiro Proプランを契約 ◼ 8/22のKiroのpricing updatesにて、使用回数がリセット&返金 ◼ https://kiro.dev/blog/important-pricing-updates/ ◼Model ◼ Claude Sonnet 4.0 ツイートはこちら⇒#jawsug_sainokuni GameDayを作成する観点においては、現在は14日間Bonus Creditsが提供されているので、有料契約は不要 Bedrockだと”Claude Sonnet 4”なのに、なぜ有効数字が多い？？？

Step3. KiroでSpecモードを実行する(Requirements) ◼指示 ◼AWS GameDayのような環境構築をします ◼テーマはWinning the DDoS Gameで、脆弱なwebサイトを作成し、それをセキュアに修正していく、というイメージです
◼Webサイトのコード自体にも脆弱性をいくつか仕込み、AWSサービスでそれを検知する、という内容も含めてください ◼なお、環境構築はTerraformを使用してくださいツイートはこちら⇒#jawsug_sainokuni

Step3. KiroでSpecモードを実行する(requirements.md) ツイートはこちら⇒#jawsug_sainokuni やりたかったことのメイン

Step3. KiroでSpecモードを実行する(requirements.md) ツイートはこちら⇒#jawsug_sainokuni 実際に攻撃を受けて、それを検知？できるのかな、、

Step3. KiroでSpecモードを実行する(requirements.md) ツイートはこちら⇒#jawsug_sainokuni Webサイトコードの中の脆弱性認証メカニズムにも脆弱性を仕込めそう攻撃シミュレーションツール？？あれば面白いけど作れるのか

Step3. KiroでSpecモードを実行する ◼requirement.mdより ◼攻撃シミュレーションツールが作成できるかどうかは不明ではあるが、実現するのであれば、理想の内容 ◼そのほか、やりたかった脆弱性を含んだ環境構築ができそうであることを確認 ◼次のDesignへツイートはこちら⇒#jawsug_sainokuni

Step3. KiroでSpecモードを実行する(Design) ◼最初にMCPツールを使用して技術情報を収集ツイートはこちら⇒#jawsug_sainokuni DDosからの保護のためのCloudFrontの機能に関するドキュメントを調査 GuardDutyにの脅威検出のセキュリティモニタリング機能に関するドキュメントを調査

Step3. KiroでSpecモードを実行する(Design) ツイートはこちら⇒#jawsug_sainokuni

Step3. KiroでSpecモードを実行する(design.md 抜粋) ◼想定構成(最終状態) ツイートはこちら⇒#jawsug_sainokuni Attack Simulation からDDos攻撃 DDos対策攻撃状況を可視化

Step3. KiroでSpecモードを実行する(design.md 抜粋) ◼Webサイトコードの中の脆弱性の想定ツイートはこちら⇒#jawsug_sainokuni

Step3. KiroでSpecモードを実行する ◼design.mdより ◼攻撃シミュレーションツールはAttack Simulation用のインスタンスとして、外出しする想定であることが判明 ◼Webサイトコードの脆弱性や、WAF/GuardDuty/Shieldの想定も確認 ◼最後のTask listへツイートはこちら⇒#jawsug_sainokuni

Step3. KiroでSpecモードを実行する(Task list) ツイートはこちら⇒#jawsug_sainokuni

Step3. KiroでSpecモードを実行する(tasks.md 抜粋) ツイートはこちら⇒#jawsug_sainokuni デフォルトは全英語で生成

Step3. KiroでSpecモードを実行する(Task list) ◼tasks.mdは英語で作成されるので、内容確認用に日本語翻訳を指示ツイートはこちら⇒#jawsug_sainokuni

Step3. KiroでSpecモードを実行する(tasks-jp.md 抜粋) ◼TerraformでAWSの基礎アーキテクチャを作成ツイートはこちら⇒#jawsug_sainokuni

Step3. KiroでSpecモードを実行する(tasks-jp.md 抜粋) ◼脆弱なwebサイトを作成ツイートはこちら⇒#jawsug_sainokuni

Step3. KiroでSpecモードを実行する(tasks-jp.md 抜粋) ◼攻撃シュミレーションツールの作成ツイートはこちら⇒#jawsug_sainokuni

Step3. KiroでSpecモードを実行する ◼ここまでのSpecモードのrequest状況 ◼Vibe : 5request / Spec : 0request
ツイートはこちら⇒#jawsug_sainokuni

Step4. Taskを実行する ◼Taskの実行 ◼基本的にはStart taskをクリックするだけ ◼時々コマンド実行やMCP実行したい際にその操作を許可する(再生ボタンをクリック)することが発生 ◼コマンドでエラーが発生すれば、都度Kiro側でコードの修正と再実行(再実行の実行許可は必要)をしてくれる ◼ただし、taskの実行は基本英語なことが面倒なポイント
◼Taskの実行が終わった後に、続けて「やったことを日本語で解説して」とチャットすると日本語で答えてくれるツイートはこちら⇒#jawsug_sainokuni

おまけ：task実行を日本語に ◼今回taskを実行しようとした瞬間に以下ツイートを発見ツイートはこちら⇒#jawsug_sainokuni https://x.com/kinopee_ai/status/1944980314071425475 https://x.com/kinopee_ai/status/1944981750876397795

おまけ：task実行を日本語に “.kiro/steering/global.md”に以下を記載ツイートはこちら⇒#jawsug_sainokuni --- inclusion: always --- # プロジェクトガイドライン ##
言語設定 - **コミュニケーション**: 回答は常に日本語で行う https://x.com/kinopee_ai/status/1944980314071425475 https://x.com/kinopee_ai/status/1944981750876397795 こんな感じ

Step4. Taskを実行する ◼実行例(左：最初のtask、右最後のtask) ツイートはこちら⇒#jawsug_sainokuni Terraform用のファイルが作成 Task完了後、日本語で実施内容を解説

Step4. Taskを実行する ◼task listをすべて実行した後のKiro使用状況 ◼task数：主要taskで11、サブtaskで28 ◼一度チャットで指示をした以外はtask start実行のみ ◼Vibe : 17request
/ Spec : 48request ツイートはこちら⇒#jawsug_sainokuni 統合テストが全Successでないのに task finishしようとしていたので、再度実行を指示今回はBonus Creditsがあったので耐えていますが、この利用状況を見るに、月に1回しかGameDayネタ作成はできないレベル… 有料プラン(一番下)だと結構シビア

Step5.できたGameDayをやってみる ◼Terraformを実行することで、以下のようなwebページが作成ツイートはこちら⇒#jawsug_sainokuni

Step5.できたGameDayをやってみる ◼WAFの設定をすることで、DDos攻撃を防げることを確認ツイートはこちら⇒#jawsug_sainokuni DDos攻撃が成功している状況 DDos攻撃をBlockしていることを確認可能

Step5.できたGameDayをやってみる ◼WAFコンソールからもBlockされていることを確認可能ツイートはこちら⇒#jawsug_sainokuni

Step5.できたGameDayをやってみる ◼さらにWAFの設定をすることで、コード脆弱性への攻撃を防げることを確認ツイートはこちら⇒#jawsug_sainokuni SQLインジェクションやクロスサイトスクリプティングも WAFで防御

Step5.できたGameDayをやってみる ◼以下をVibeモードでやらしてみた結果Kiroの使用状況がすごいことに ◼GameDay用Terraformの実行やそのエラー修正 ←これがメイン ◼READMEの修正とGitHubへのPush準備 ◼Vibe : 108request / Spec
: 0request ツイートはこちら⇒#jawsug_sainokuni Bonus Creditsが飛びました。。。なんでもかんでもKiroに頼らないことも覚えないと、いざ使いたいときになくことになるかもしれませんね

今回作成した環境について ◼以下GitHubにて公開していますので、ご興味ありましたら是非遊んでみてください ◼https://github.com/yuuuuuuu168/aws-gameday-ddos-protection-lab ◼大注意 ◼本環境はあくまで検証用途で、脆弱性を大量に含んだ構成になっています ◼GuardDutyなどそのAWSアカウントの全体に影響を及ぼす機能を使用するため、本GameDay用のAWSアカウントを新規でご用意いただくことを強く推奨いたします ◼本番環境や既存環境でデプロイしてしまったことによる影響については関与
いたしませんのでご了承くださいツイートはこちら⇒#jawsug_sainokuni

まとめ ◼Kiroによって、思っていたより簡単にGameDay用の環境構築ができることがわかりました ◼ 最初できないと思っていた、構築した環境にDDosするという仕組みづくりを含めて、想像していたよりも凝ったものができたことに驚いています ◼Kiroを用いて、GameDayライクなイベントを開催することができそうです ◼ただ、作成者本人は解答を知っているので、真の意味で楽しめないことに作り終わった後に気が付きました… ◼まだ楽しめる皆様へ、楽しんでいただけたら幸いです(´;ω;｀) ◼続編を作成するかは、GitHubへのStarの数次第で検討するかも|･ω･`)
◼ Kiroの使用量と相談しつつ。。。 ◼相互に謎解きのように出し合える方大募集！！！ツイートはこちら⇒#jawsug_sainokuni

おまけ ◼GameDayライクなAWS Jamという勉強ツールも提供されているので、並びたくない方はこちらも選択肢としてどうでしょうか？ ◼AWS Jamとは ◼個人やチームが AWS クラウドのスキルを応用し、AWS サービスを利用して現
実世界のオープンエンドの問題を解決することが求められます。ゲーム型学習環境で作業します。これは、AWS マネジメントコンソールサンドボックスでシミュレートされたユースケースを通じて AWS クラウドのスキルを習得するのに役立ちます。技術ドメインや職種、および難易度別に課題を選択します。必要に応じて、課題の解決に役立つヒントが用意されています。 ◼料金 ◼一人あたり29USD/月もしくは 449 USD/年 ◼複数人で競う場合は、最低5人～(これも一人辺り449 USD) ツイートはこちら⇒#jawsug_sainokuni https://aws.amazon.com/jp/training/digital/aws-jam/

ご覧いただきありがとうございました Thank you for watching! ツイートはこちら⇒#jawsug_sainokuni

KiroでGameDay開催してみよう(準備編)

KiroでGameDay開催してみよう(準備編)

More Decks by Yuuuuuuu

Other Decks in Technology

Featured

Transcript