AWS re:Inforce 2019 に参加してきた

Japan Digital Designでインフラを担当している小野です。
ボストンでAWS re:Inforceが初開催されたので、2019/06/25からの2日間カンファレンスに参加してきました。

re:Inforceはセキュリティやコンプライアンスをテーマにして、re:Inventから独立した新しいカンファレンスです。セキュリティに特化したカンファレンスということで、FinTechのプラットフォームにAWSを利用していこうとしている立場から、日々のお悩みのヒントを探しに行ってきました。

キーノートはセキュリティをテーマにしただけあって、AWS Chief Information Security Officer(CISO)のSteve Schmidtさんが登場。VPC Traffic MirroringのリリースやSecurity HubのGAをはじめとしたアナウンスのほか、AWSを活用する企業が取り上げられ、マルチレイヤーアプローチでのセキュリティの考え方や、自動化により人がアクセスする頻度を下げて環境をよりセキュアにしていく方法などが紹介されました。

Multi-Layer approach

ブレイクアウトセッションでは、IAMやKMS、Security Hub/GuardDutyをはじめ、セキュリティに関連するサービスのセッションが盛りだくさん。サービスに関するDeep Diveだけではなく、AWSを利用している企業がどのようにAWS環境のセキュリティを高めているか、また企業としてどのようなガバナンスをプラットフォームに対して統制しているかといったテーマのセッションが多数行われました。

わたしが参加したセッションのうち”Methods for emergency priviledge access”では、本番環境にあるサーバにアクセスする際に、ヘルプデスクのチケットとLambdaを組み合わせることで、動的にアクセス許可を与えるための仕組みを作ることで、IAMユーザーが本番環境にアクセス可能な時間と範囲を動的に制御する、といった仕組みをどのように作っていくかという、具体的なユースケースの紹介もありました。Service Catalogを組み合わせ、チケットに基づいた本番アクセス許可の承認をもとに、アクセスに必要なロールへのアクセスポリシーを動的に展開するとともに、有効期限の到達時にアクセス環境の権限をクリーンアップする仕組みを実現した構成が紹介されていました。

本番への特権アクセスをセキュアに実現する “Break-glass” 構成

AWS Control Towerを使って、マルチアカウント環境でいかにガバナンスを効かせた管理を行うかといったセッションが複数提供されていたのも印象的でした。

Using AWS Control Tower to govern multi-account AWS Environments at scale

昨年AWS re:Invent 2018で発表されたAWS Control Towerは、AWS Organizationで複数のAWSアカウントを管理している環境において、
各AWSアカウントのセキュリティに関する設定や構成を簡単に設定して提供できるようにするサービスです。

ガードレールでAWSアカウントを守る

このAWS Control Towerもre:InforceでGAが発表されました。
AWS Control Towerを使うことによって、管理する各AWSアカウントに組織として必須としたい各種のセキュリティ設定を適用、またその設定の維持を管理・監視することができるようになります。このような組織として必須の設定をAWS環境に統制をかけることを”Guardrail”と表現して、各AWSアカウントがガードレールで守られた状態を維持し、組織全体の環境安全性をControl Towerによって向上させていくやり方が紹介されていました。

あらかじめ管理者が定義したベースラインとなる設定をもとに、AWS Service CatalogからAWSアカウントをプロビジョニングして、開発者が環境に関する必須のセキュリティ設定をすることなく、最初から守られた環境を使えるようにすることができるようになります。

AWS Control Towerを使ったマルチアカウント管理

このように払い出したAWSアカウントは、Control Towerのダッシュボードから設定の順守状況を確認できるようになります。

逸脱したリソース設定も一覧で確認でき、対処すべき対象も容易に把握できます。

今回のre:Inforceに参加して、これまでDevOpsが進むことによってIT Proの役割が少なくなるといわれてきていましたが、クラウド環境におけるIT Proが果たすべき新たな役割が、このre:Inforceでより明確にメッセージとして出てきていたように感じました。

DevOpsで開発から運用までがコード化され流れていく環境で、IT Proが果たすべきことは、複数のサービスを横断して環境全体がセキュアに保たれているかどうか、また開発プロセス自体が安全に行われているかどうかを、AWS Control Towerを使ったGuardrailによる管理をはじめとして確認し、CentralizeされたAMIイメージの管理やCloudTrailなどのログの集積、GuardDutyなどのセキュリティ機能の確実な適用といった仕組みを、オーメーション化された仕組みで行っていくこととなっていくのではないでしょうか。

Restricting Human Access

オンプレミスの環境で管理作業とされてきたものはAWSがサービスとしてすでに提供されており、IT Proはそのサービスを利用してより高度なガバナンスが効いた環境を手間なく提供する仕組みづくりを行っていくことが必要ではないかと感じます。

手作業での設定作業やExcelでの手順書をなくし、CloudFormationおよびService Catalogや、様々な自動化のためのソリューションを駆使し、より早くより確実に、そしてその環境を維持・確認していくことがクラウドの時代に必要とされています。

人は間違いを起こすという前提で、より自動化を進めてセキュアな環境を維持する仕組みが、これからの組織に求められるのではないでしょうか。
そんなことを改めて認識させてくれたイベントがre:Infroceでした。

AWSを使って事業を推進する方々にとって、開発をスピーディに進めることとあわせて、事業をクラウドでより確実に推進していくためのエッセンスがre:Inforceにはありました。来年はヒューストンで開催されるそうですので、IT Proに限らずクラウド上で事業を進めているマネージャの方々もぜひ参加していただくとよいのではないかと感じました。

来年のAWS re:Inforce 2020はヒューストンで開催

p.s.

今回のre:Infroceはボストンで開催されました。ボストンは初めてでしたが、航空券の関係で数日早く現地入りしていたので、市内を見て回る時間があったので、少しだけ紹介します。

アメリカ東海岸の都市であるボストンはアメリカでも古い都市であり、MITやハーバード大学などがある都市としても知られます。市内は古い街並みも残り、とても素敵な雰囲気のある港町でした。

ボストン中心街にあるBoston Public Garden

雰囲気のある建物や路地が多い

Museum of Fine Arts, Boston (ボストン美術館)

さまざまなドラマの舞台にもなっているボストン (路上撮影もしていました)

またボストンといえばクラムチャウダーも有名。朝からやっているパブリックマーケットに行って食べてきました。(結局はしごして3件食べ歩き)

クラムチャウダーに加えて、地ビールもいろいろ(Samuel Adamsなど)

Japan Digital Designでは”金融の「新しいあたりまえ」を創造し、人々の成長に貢献する”をミッションに掲げて、クラウドネイティブの環境を社内で運用しながら、自分たちでコードを書き、システムを運用し、内製化してモノ作りをしていく組織を目指しています。