製造業 R&D の情シスが CBs になって感じたこと & AWS WorkSpaces Secure BrowserでPoC前夜に難を逃れた話

製造業 R&D の情シスが CBs になって感じたこと & AWS WorkSpaces Secure BrowserでPoC前夜に難を逃れた話
tsunojun @tsunojun2451821

自己紹介ロール製造業（空調）のR&D部門　主務：AWS・GitHub などのプラットフォーム提供 Organization / Control Tower /
IAM Identity Centerを運用セキュリティレビュー：AWS インフラのレビュー自動化（Configカスタムルール） Community Builders (CBs) AWS が運営するコミュニティプログラムカテゴリ別に招待制で参加（自分は Cloud Operations）弊社としては初めての応募（自分含め3名） 2 / 10

CBsを目指した際の悩み：アウトプット粒度が大きめ登壇 AWS アカウント 150 超の組織で取り組む Lambda EoL 対応 AWS
builders.flash AWS Config カスタムルールと Amazon Quick Suite で実現する、セキュリティダッシュボードなぜ粒度が大きめになるか？製造業のR&D部門として、外部宣伝は奨励なものの、情報管理が徹底されている → 承認プロセス（情報公開審査）に時間がかかる → ブログやSNSのような小刻みなアウトプットを出すには不向き 3 / 10

しかし、粒度の大きいアウトプットだけでは貢献は難しい → 社外秘を守ったうえで、小規模・高頻度にアウトプットする工夫が必要となるイベントに登壇できなくても、参加して雑談する勉強会やミートアップに足を運ぶそこでの会話自体がアウトプット（知見の交換）社内で同じ志を持つ方と一緒に登壇するたとえば、違うチームの方と一緒に登壇する申請自体をまとめてしまえる 4
/ 10

自分の選ばれたカテゴリ：Cloud Operations 社内だけでは限界がある分野監視・運用・ガバナンスの領域は社内で同じ仕事をしている人が限られる同規模・同業種の課題を持つ人が社内に少ないだからこそ社外に目を向ける JAWS-UG や CBs
コミュニティで他社の運用ノウハウを学ぶ例：製造業の多いJAWS-UG名古屋に参加する自分の経験を共有すると、フィードバックで知見が広がる「一人情シス」的な環境でもコミュニティがあれば孤立しない 5 / 10

フリートーク：PoC前夜に難を逃れた話年1くらいである相談「PoC したいけど、公開範囲を特定の関連会社に限定する考慮が甘かった…」具体的には、AWS WAFによる接続元IPアドレス制限のみで限定できる想定だったが、関連会社が接続元IPアドレス制限を固定化する際に上手くいかなかったプロジェクト担当者がPoC 直前に関連会社とやり取りしていて気づく →
当方のチームに駆け込みで相談が来た 6 / 10

応急処置の選択肢方式構成メリット VPN + MFA AWS Client VPN
ネットワークレベルで制限 VDI + MFA Amazon WorkSpaces Secure Browser + IdP連携端末を問わず即展開可能 AWS Client VPNは、クライアントアプリのインストールが必要だった為、利用NGが出た → Amazon WorkSpaces Secure Browser （ブラウザベース）を採用 7 / 10

構成図 AWS Account A （情シス管理） VPC Private Subnet WorkSpaces Secure
Browser Public Subnet NAT Gateway IAM Identity Center (MFA) AWS Account B （プロジェクト側） CloudFront AWS WAF S3 (PoC コンテンツ) ❌ 関連会社の接続元IP 固定化がうまくいかず、直接接続はNG ✅ WorkSpaces Web Access 経由で NAT GW の固定IP からアクセス固定IP アドレス接続元IP アドレス制限 OAC IdP 連携 Workspace Secure Browser にブラウザアクセス(MFA 認証) 関連会社ユーザー（Web ブラウザ）可変IP アドレスプロジェクトのシステムに直接ブラウザアクセス IP 制限のみで接続制限している Web システム IGW 8 / 10

WorkSpaces Secure Browser の良かった点導入スピード：PoC 前夜でも間に合うマネコンからポータル作成 → ユーザー追加 →
即利用可能アクセス制御：AWS IAM Identity Center と連携し MFA 強制ブラウザ内で完結するため、データの持ち出しも制御可能教訓：PoC でも「誰に見せるか」は最初に決めておく応急処置の引き出しとして VDI 系サービスは覚えておくと便利 9 / 10

まとめ CBs のアウトプット：承認プロセスの壁 → 雑談の場を活かし高頻度化 Cloud Operations：社内に仲間が少ない → 社外コミュニティで知見を広げる WorkSpaces
Secure Browser：前夜の駆け込み相談にも応えられる情シスにご清聴ありがとうございました！ 10 / 10

製造業 R&D の情シスが CBs になって感じたこと & AWS WorkSpaces Se...

製造業 R&D の情シスが CBs になって感じたこと & AWS WorkSpaces Secure BrowserでPoC前夜に難を逃れた話

tsunojun

More Decks by tsunojun

Other Decks in Business

Featured

Transcript

製造業 R&D の情シスが CBs になって感じたこと & AWS WorkSpaces Secure BrowserでPoC前夜に難を逃れた話

自己紹介ロール製造業（空調）のR&D部門　主務：AWS・GitHub などのプラットフォーム提供 Organization / Control Tower /

CBsを目指した際の悩み：アウトプット粒度が大きめ登壇 AWS アカウント 150 超の組織で取り組む Lambda EoL 対応 AWS

応急処置の選択肢方式構成メリット VPN + MFA AWS Client VPN

構成図 AWS Account A （情シス管理） VPC Private Subnet WorkSpaces Secure

WorkSpaces Secure Browser の良かった点導入スピード：PoC 前夜でも間に合うマネコンからポータル作成 → ユーザー追加 →

まとめ CBs のアウトプット：承認プロセスの壁 → 雑談の場を活かし高頻度化 Cloud Operations：社内に仲間が少ない → 社外コミュニティで知見を広げる WorkSpaces