[レポート] JAWS-UG 初心者支部#22 Fin-JAWSコラボ&ミニハンズオン会 に行ってきました
2020-01-29JAWS DAYS 以外の JAWS UG イベントに初めて行ってきました。いろんな支部があるようなのですが、まずは初心者支部からということで考えていたのですが、毎回すぐに定員いっぱいになってしまっていたので、今回やっと参加することができました。
今回は Fin-JAWS とのコラボということで、金融系における AWS の事情もお話を聞くことができました。
目次
タイムテーブル
タイムテーブルは下記の通りです。
| 時間 | 内容 | 登壇者 |
|---|---|---|
| 18:30- | 受付開始 | - |
| 19:00-19:05 | 会場諸注意/初心者支部とは/テーマ説明 | 初心者支部運営 澤田さん/太田さん |
| 19:05-19:35 | ミニハンズオン:AWSアカウントを作ったら最初にやるべきこと-セキュリティ編- | 初心者支部運営 迫さん |
| 19:37-19:50 | セッション①:Fin-JAWSの紹介と金融の現状 | Fin-JAWS支部運営 釜山さん |
| 19:50-20:00 | 休憩 | - |
| 20:00-20:20 | セッション②:データはどこからくるの?〜AWSとオンプレとの違いで学んだあれやこれ〜 | 大熊さん |
| 20:20-20:30 | セッション③:FISCから学ぶAWSセキュリティことはじめ | 新井さん |
| 20:30-20:50 | セッション④:マルチアカウント運用のはじめかた(Japan Degital Design) | 小野さん |
| 20:50-20:55 | アンケート回答 | - |
場所は、目黒セントラルスクエア 21 階のアマゾンウェブサービスジャパン株式会社でした。
各セッションの概要
会場諸注意/初心者支部とは/テーマ説明 | 初心者支部運営 澤田さん/太田さん
- JAWS UG とは
- Japan AWS User Group
- 初心者支部とは
- Fin-JAWS
- 金融系に特化した内容
- 澤田さん、太田さん、迫さんは初心者支部の運営初心者
ミニハンズオン:AWSアカウントを作ったら最初にやるべきこと-セキュリティ編- 初心者支部運営 迫さん
- アカウントを作成したらまずやることはいっぱいある
- 今日はセキュリティに関するところ
- ルートアカウントのアクセスキーの削除
- ルートアカウントの MFA 有効化
- IAMユーザーの作成
- IAMグループの作成
- パスワードポリシーの設定
- CloudTrail の有効化
- GuardDuty の有効化
- 結果のサンプルを出力できる
- AWSアカウントを作成したら最初にやるべきこと -セキュリティ編- - Qiita
- AWSアカウントを作ったら最初にやるべきこと ~令和元年版~ | Developers.IO
セッション①:Fin-JAWSの紹介と金融の現状 Fin-JAWS支部運営 釜山さん
釜山さん
- 日本電気 は にほんでんき ではなく にっぽんでんき
Fin-JAWS とは
- 目的毎の支部
- 金融と Fin Tech の JAWS-UG
- 参加条件は、金融や FinTech に興味があればok
- 金融事業や FinTech 企業における AWS の勉強会
- 2017 年に第一回、その後 2019 年に第二回 (いろいろあって)
- re:Invent 現地でも活動
- Twitter @finjaws1
- Fin-JAWS (金融とFinTechに関するJAWS支部) | Doorkeeper
金融のクラウド事情
- MUFG ショック (2017 年)
- これまでは細々としたところで使われていた
- 最初に大きな部分をクラウドに移行することを宣言したのが MUFG
- クラウド導入状況 (H 29 年度)
- 都銀、信託については 100%
- 基幹系に関しては導入なしが 90 % 以上
- 全体的に理解が進んでいない
- コンサルする際にも、クラウドの基本的な説明から入ることが多い
- クラウドバイデフォルトの原則
- システムを導入するに当たってクラウドを第一に選択しましょうということ
- クラウド利用の促進
- 大阪リージョン開設に伴ってソニー銀行が基幹系に導入へ
- 遅れているというイメージだが、進んでいるところは進んでいる
最後に宣伝
- JAWS DAYS 行きましょう!
- JAWS DAYS 2020 | Your Next Cloud Journey
セッション②:データはどこからくるの?〜AWSとオンプレとの違いで学んだあれやこれ〜 | 大熊さん
大熊さん
- 2018 年に最初の仕事は Route 53 と SES の設定
- 2019 年は JWAS DAYS に参加したり re:Invent に行ったりして AWS 熱が凄かった
- 今回が初めての登壇
データはどこから来るの
- 金融のデータといえば株価
- 株価は専用線?そうでもない
- いろんな方法で、いろんなフォーマットでデータを取得
- メール、 PDF 、クローリング …
- これまでは取得したデータを人出で入力していた
- その部分を AWS (Lambda) で自動化した話
- 前段の Lambda で取得と加工
- 営業日判定、計算、 SFTP 送信用の Lambda
AWS (特にサーバレス) の良さって何?
- サーバ、ネットワークの構築作業不要
- 高可用性
- 夜中、休日にハードの障害連絡が来ない
慣れてきた頃の大失敗
- S3 バケットの数万ファイルを移動
- PUT トリガーで Lambda を実行
- Lambda の同時実行上限に引っかかった
- 他の Lambda が動かなくなった
- S3 の PUT イベントや CloudWatch からのイベントキューは制御 (削除したり) できない
- 間に SQS を挟んでいればどうにかなったかも (全部に SQS 挟むのが良いわけではない)
- アカウント全体での Lambda のスロットリングが必要
セッション③:FISCから学ぶAWSセキュリティことはじめ | 新井さん
新井さん
- インフラ -> スマホ UI/UX -> サーバサイド
- 金融系のお客様を担当
- Fargate をよく使う
FISC ガイドライン
- AWS x 金融 と聞いて
- Google 検索すると 事例、ガイドライン、セキュリティ …
- FISC ガイドライン
- 対策、何かあった時の対応方法・手順
- 約 300 項目
AWS と FISC の関係性
- AWS から FISC に関するガイドラインを提供している
- FISC の項目に対する AWS の見解が整備されている
- 責任共有モデルに基づいて、自分たちでもセキュリティ対策をする必要がある
- 抑止 -> 予防 -> 検出 -> 回復
FISC 準拠のユースケース
- ALB + EC2 + RDS
- データの保護
- ACM 、 EBS の暗号化、 RDS の暗号化、 アプリケーションレベルでの暗号化、 S3 へのアクセスは VPC エンドポイントを利用 など
- 暗号鍵の管理
- KMS 、 CloudHSM
- ソフトウェアの管理
- SSM
- リソース管理
- CloudWatch
- 不正アクセス対策
- WAF 、 Shield 、 GuardDuty 、 Config
- ウイルス対策
- サードパーティを利用
- Inspector、 SSM で検知・パッチ適用
- 本人確認
- IAM
- 大規模災害対策
- マルチ AZ
- 今後はマルチリージョン化も
まとめ
- AWS は FISC ガイドラインをベースにセキュリティ設計を提供している
- ただし FISC の最新版 (第9版) に対する AWS のリファレンスガイドがまだない
セッション④:マルチアカウント運用のはじめかた(Japan Degital Design) | 小野さん
小野さん
- インフラ管理
- MUFG グループの新会社
- 銀行本体ではできない FinTech 関連のことをやっていく
マルチアカウントのための機能
- AWS Organizations
- ひとつのアカウントを組織のルートアカウントとする
- その下に子アカウント作る
- 請求をルートアカウントに一括して請求できる
- OU (Organization Unit) によるアカウント管理
マルチアカウント運用の初めかた
- ルートになるアカウントを決める
- 非常に強い権限を持つことになる
- 課金
- 子アカウントへのスイッチロール権限
- 自動的に IAM ロールが作成される
- 通常運用はしない前提
- 新しいアカウントを作って Organizations のルートとする
- 既存のアカウントを 招待 する
- 作成時に 子アカウント として新規にアカウントを作ることも可能
アカウントの分け方
- なぜひとつを共有するのはダメなのか
- 権限の制限が難しくなる
- AWS の世界で使いやすい分け方を考える
- 会社の部署単位でわけるのはオススメできない
- 会社の組織はよく変わる
- 会社の部署単位でわけるのはオススメできない
- あとで困らないために
- 1 アカウント 1 用途
- Organizations のルートアカウント
- 請求や子アカウントの管理だけ
- 課金管理
- CloudTrail
- 組織の CloudTrail という機能
- OrganizationAccountAccessRole
- 子アカウントに Assume Role できるようになる
- AdministratorAccess の権限を持っている
- IAM ユーザ管理専用アカウント
- スイッチロールの元になるような感じ
- 組織で使う IAM ユーザを管理
- セキュリティ通知用アカウント
- GuardDuty などの通知をまとめる
- 組織の CloudTrail ログを S3 に保存する
- Config などの設定を集約
- 検証環境
- 開発者ごとに分けるケースと、共用アカウントを利用するケース
- 運用環境
- サービスごとにアカウントを分ける
まとめ
- ひとつひとつのアカウントをシンプルに
- アカウントを作るだけなら無料
- 利用料金をアカウント単位で管理
- AWS Control tower など、マルチアカウント管理向けの機能も強化されてきている
- 偶発的な間違いを防止
-
japan-d2/secure-stack-template-aws: Financial-grade Secure Stack Template for AWS CloudFormation.
- AWS をセキュアに始められるテンプレート
まとめ
JAWS-UG 初心者支部#22 Fin-JAWSコラボ&ミニハンズオン会 に参加してきた話でした。
初の JAWS-UG イベントでしたが、もちろんですが AWS に関する内容ばかりで楽しかったです。初心者支部ということで内容的には既に知っていることがほとんどでした。ただ、 FinTech 関係の話やマルチアカウントに関する話はしっかり聞いたことがなかったので、へぇ〜なるほど〜 っていう感じで聞いていて面白かったです。
次回は 2/19 にハンズオンをやるそうなので、気になる方はぜひ参加してみてはどうでしょうか。
comments powered by Disqus