【弥生】20250130_AWSマルチアカウント運用セミナー登壇資料

弥生株式会社開発本部サービスプラットフォーム部商用インフラ峯岸純也五十嵐大旭樹今泉和馬少数精鋭で200+アカウントを支える！弥生の「CSGO活動」とは ©
2025 Yayoi Co., Ltd. All rights reserved. 2025年01月30日

© 2025 Yayoi Co., Ltd. All rights reserved. 1. 会社紹介
2. シングルAWSアカウント運用の限界 3. CSGO活動 4. 今後の展望本日のアジェンダ 1

© 2025 Yayoi Co., Ltd. All rights reserved. 会社概要 3
https://www.yayoi-kk.co.jp/company/about/

© 2025 Yayoi Co., Ltd. All rights reserved. 弥生のプロダクト＆サービス（1/2） 4
業務効率化とデータ活用による業績向上をめざすクラウドサービスエントリーレベルのクラウドサービス既存の業務プロセスを着実に実行するデスクトップソフト

© 2025 Yayoi Co., Ltd. All rights reserved. 弥生のプロダクト＆サービス（2/2） 5
登録ユーザー 350万以上 ※1 会計ソフト販売本数シェア 67.6% ※2 クラウド会計ソフトシェア 53.6% ※3 ※1 2024年9月末現在 ※2 業務ソフト市場における弥生製品のシェア：第三者による市場調査をもとに独自集計（対象期間：2022年10月1日～2023年6月30日) ※3 MM総研「クラウド会計ソフトの利用状況調査(2024年3月末)」有償契約数 100万件以上 ※4 お客さま満足度 94％ ※5 提携会計事務所 13,000事務所※6 事業開始に必要な情報や手続き、モノ・サービスをご紹介する起業支援ポータルサービス様々な種類の資金調達を詳しく学べるほか、利用できる資金調達の手段の検索も可能起業時の資金調達支援経験が豊富で、起業相談も可能な税理士・会計事務所を無料でご紹介事業承継をご検討中の中小企業向けに、事業承継について基礎からご案内 ※4 デスクトップソフト「あんしん保守サポート」契約数とクラウドサービスの有償契約数の合計数 ※5 弥生カスタマーセンターのお客様満足度（2023年7月自社調べ） ※6 弥生PAP会員数 13,011事務所（2024年12月末時点）

© 2025 Yayoi Co., Ltd. All rights reserved. 自己紹介 7
弥生株式会社開発本部サービスプラットフォーム部 PM（ProjectManager）峯岸純也（みねぎしじゅんや）弥生での業務 AWSのセキュリティとガバナンスオンプレ - AWS移行社内・商用サービスインフラ運用保守好きなアマゾンウェブサービス（AWS）サービス AWS Control Tower、AWS Security Hub、Amazon EventBridge 趣味野球、自宅サーバいじり、お酒ミニボトル集め職歴 2006 ~ 2009：Oracleパートナー企業 2009 ~ 2015：外資系コンサルティング企業 2015 ~ 2019：ベンチャー企業 2020 ~ : 弥生

© 2025 Yayoi Co., Ltd. All rights reserved. シングルAWSアカウント運用 8
◼ 本番系、開発系の2つのアカウントで運用 ◆ 本番アカウント • 本番稼働中のサービスが起動している • 本番環境にアクセス可能なIAMユーザを作成 • 開発チームが納品、インフラチームが構築・設定・運用を行う • セキュリティ・ガバナンス強化のためインフラチームが作業する ◆ 開発アカウント • 検証・開発中のサービスが起動している • 開発者がアクセス可能なIAMユーザを作成 • 開発者はこの環境でお勉強することも可能 • インフラチームが設定を行う • 検証のため、開発チームも本番よりは多くの権限を付与されている

© 2025 Yayoi Co., Ltd. All rights reserved. シングルAWSアカウント運用における課題 9
◼ このリソースは誰のもの？ ◆ 消して良いかがわからない・・・ ◆ 不明なゴミリソースが残る・・・ ◆ なんか利用料が高い・・・！？ ◼ IAMのメンテナンスコスト ◆ 退職や異動に伴う手続き増加 ◆ ユーザ毎の最小権限付与・・・むずい ◆ 開発者のリクエストに答えるこれ以上の拡張は困難しかし、弥生は新サービスを次々と開発していく・・・

© 2025 Yayoi Co., Ltd. All rights reserved. そして弥生はマルチアカウント運用へ 10
◼ シングルアカウント運用の限界を感じ、2021年8月よりマルチアカウント運用へ切り替えを行い、現在222アカウントに達している（2025年1月現在） ◆ 当初よりアカウント数300～500まで拡大しても少人数で運用を耐えうることを意識して、以下 4つの軸で様々な活動を実施 • コスト最適化（Cost） • セキュリティ強化（Security） • ガバナンス強化（Governance） • 未来を実現するためのインフラ基盤整備（Other） ◆ 4つの活動の頭文字を取って、「CSGO活動」と呼んでいる

CSGO活動 © 2025 Yayoi Co., Ltd. All rights reserved. Confidential
11

© 2025 Yayoi Co., Ltd. All rights reserved. 自己紹介 12
弥生株式会社開発本部サービスプラットフォーム部エンジニア五十嵐大旭樹（いがらしひろあき）弥生での業務 AWSのセキュリティとガバナンスオンプレ - AWS移行支援好きなアマゾンウェブサービス（AWS）サービス AWS Security Hub、Amazon EventBridge、Lambda 趣味スポーツ観戦、ドラマ鑑賞職歴 2014 ~ 2017：独立系SIer 2018 ~ 2023：独立系SIer 2023 ~ : 弥生

© 2025 Yayoi Co., Ltd. All rights reserved. コスト最適化 13
◼ 弥生でのAWS活用はどんどん進み、コストも右肩上がり ◆ コストを意識して利用しなければ、際限なくコストが肥大していくマルチアカウント運用においては各アカウントを利用する側でコスト最適化に取り組める仕組みやルールの整備が必要 ◼ 実施してきた施策の一部施策概要利用サービス工夫点平日夜間・休日停止 EC2、RDS、ECSを対象に稼働時間調整 EventBridge（スケジューラ） CloudFormationのテンプレートを用意し、各チームの実装負荷を下げるインスタンスタイプ最適化オーバースペックのインスタンスのダウンサイジング Cost Optimization Hub、 Compute Optimizer 推奨事項の取りまとめと周知を実施、左記サービスの活用方法を展開コストダッシュボード作成コスト状況をいつでも見ることができるダッシュボードを作成 Billing and Cost Management,QuickSight 日別、週別、月別の期間別や、サービス別、アカウント別などのダッシュボードを作成予算設定・予算超過アラート各アカウントの予算を設定し、予算超過時にアラート通知を行う Budgets,SNS,SQS,Lambda,Dyna moDB 弥生のメインのコミュニケーションツールであるSlackにアラート通知を行う

◼ AWS Budgetsを利用した予算設定と予算超過アラート ◆ アカウントごとにAWS Budgetsにて予算を設定 ◆ アラートの閾値は予算値の110% ◆ 通知先はアカウントを利用（管理）するチームのSlackチャンネル

◼ 期待する効果 ◆ 削減可能な支出を防ぐ ◆ 予算に対しての意識向上 ◆ 予算策定の精度向上予算超過アラート例

© 2025 Yayoi Co., Ltd. All rights reserved. セキュリティ強化 16
◼ 弥生においてセキュリティは最優先事項 ◆ 「情報漏洩やサイバー攻撃を防ぎ、お客さまを守り、信頼を守る」 ◆ AWS活用当初にはブルートフォースアタックを受けた教訓もあり、セキュリティ強化に本格着手全AWSアカウントを対象にセキュリティベースライン向上のための仕組みが必要 ◼ Security Hubを活用 ◆ 「AWSリソースのセキュリティ設定がベストプラクティスに沿っているか」を自動でチェックしてくれるサービス ◆ 弥生のAWSプラットフォーム基盤では以下のセキュリティ基準を有効化 • AWS Foundational Security Best Practices v1.0.0 (FSBP) • CIS AWS Foundations Benchmark AWS Security Hub

◼ Security Hubスコア変遷 2022 2023 2024 2025 開発系：28% 本番系：43% 56% 61% 85% 86% 91% 93%

◼ Security Hubスコア向上施策 ①チェック失敗をSlack通知

◼ Security Hubスコア向上施策 ①チェック失敗をSlack通知 ◆ 苦労した点 • 基本的にはチェック失敗しているリソースを0件にしてから通知を実装 – 違反件数が多い状態で通知を実装するとSlackが通知で溢れかえってしまうため • 各チームに対してチェック失敗リソースの是正を依頼 – 一気に依頼すると開発スケジュールに影響が出てしまうので、重要度に応じて数件ずつ依頼 – 対応が遅れているチームには個別にリマインド＆フォロー

◼ Security Hubスコア向上施策 ②自動修復ソリューションの導入 ◆ AWSソリューションの「Automated Security Response on AWS」

◼ Security Hubの通知と自動修復に関するガイドラインを整備＆公開・・・・・・

© 2025 Yayoi Co., Ltd. All rights reserved. 23 セキュリティ強化
◼ Security Hubスコア向上の取り組み ③オートメーション機能による自動抑制 ◆ Security Hubのすべてのチェック項目＆すべてのリソースを評価対象にしているわけではない • 弥生としてリスクを許容するもの、構成上対応が不要のものはチェック失敗を抑制 – リソースへのタグ付けチェックのルール – 特定の命名がついたリソース、など ◆ Security Hubでオートメーションルールを作成

© 2025 Yayoi Co., Ltd. All rights reserved. 24 セキュリティ強化
◼ Security Hubスコア向上の取り組みまとめ ◆ 通知の実装により、開発者側で気づき、チェック失敗を是正する習慣が定着してきた ◆ 自動修復の導入により、開発者側の対応工数の削減とセキュリティ強化に寄与 ◆ オートメーション機能により、チェックすべきルールを絞る ◼ 大事なこと ◆ 定期的なパトロールは必要 ▪ 対応されずに放置されるリソースや慢性的に動きが鈍いチームがでてくる – 個別にリマインド&フォロー – 仕組みの再認識や放置リスクを伝える啓蒙活動 ◆ 定期的なルールの見直し ▪ トレンドの変化や自社内のセキュリティ方針の変更など状況に応じてチェックすべきルールも移り変わる ▪ Security Hub側でもチェック項目の追加や削除があるので都度キャッチアップ

© 2025 Yayoi Co., Ltd. All rights reserved. 25 自己紹介
弥生株式会社開発本部サービスプラットフォーム部エンジニア今泉和馬（いまいずみかずま）弥生での業務 AWSのセキュリティとガバナンスオンプレ - AWSのネットワーク運用保守好きなアマゾンウェブサービス（AWS）サービス AWS Control Tower 、AWS Transit Gateway、Amazon OpenSearch Service 趣味マンガ、ゲーム職歴 2018 ~ 2020：独立系SIer 2021 ~ 2022：APNパートナー企業 2023 ~ : 弥生

© 2025 Yayoi Co., Ltd. All rights reserved. 26 ガバナンス強化
◼ 情報漏洩やサイバー攻撃などのリスクを事前に把握し適切に対処 ◼ 弥生製品の透明性と信頼性の向上 ◼ 実施してきた施策の一部施策概要利用サービス工夫点次世代AWS環境をControlTower で管理 AWSのベストプラクティスに基づいたガードレールを実装 AWS ControlTower, Organizaition, IAM Identity Center マルチアカウント導入時から引き続き利用ログ保管ガイドラインの整備社内のログ保管ガイドラインを整備 CloudTrail, Security Lake, CloudWatch, S3 マルチアカウント環境となりチーム毎でバラバラになっていたログ管理をルールを整備 SIEM環境の整備セキュリティインシデントへの迅速な対応 OpenSearch、Lambda ログの種類について増加 Security Lakeを利用することでVPC Flow Logs の管理を簡略化 AWSControl Towerを利用することでAWSのベストプラクティスに基づいたガバナンスを実現セキュリティインシデントが発生した際に、迅速かつ適切に対応できる体制

開発チームはセキュリティガードレールが設定された User Accountの管理・運用の責務を負うインフラチームはMaster Account管理・運用の責務を負う ◼ AWS ControlTowerを利用 ◆ アカウント共通のセキュリティガードレールを展開 ◆ 新規アカウント発行やユーザー追加の工数を削減

Master Account AWS CloudFormation Stack AWS CloudTrail AWS Security Hub AWS Config AWS IAM Access Analyzer Amazon GuardDuty Amazon Inspector ControlTower StackSetsで自動有効化 (設定投入) されるサービス AWS Compute Optimizer Amazon Detective ◼ StackSetsとOrganizationsの連携 ◆ ControlTowerでアカウント追加時に、CloudFormationのStackSetsを実行 ◆ 必要なサービスを自動的に有効（+最低限必要の設定を投入）

◼ SIEM on Amazon OpenSearch Service ◆ ControlTower・Security Lakeを利用し、ログ収集 ◆ AWS・オンプレミス・SaaSで取り込むログの種類を増加

© 2025 Yayoi Co., Ltd. All rights reserved. 30 未来を実現するためのインフラ基盤整備
◼ 実施してきた施策の一部施策概要利用サービス工夫点 IAM Identity Center アカウントアクセス許可の半自動化アカウント数増加に比例して増加するアクセス許可にを半自動化 Lambda、API Gateway、S3、 CloudFront、SSM アクセス許可については各チームの責任者へ権限を渡すことにより、商用インフラの負荷を下げながらきめ細かなアクセス許可を実現 Slack通知基盤 DevOps推進のため各チームでアカウントを管理できる環境を提供 Lambda, DynamoDB, EventBridge DynamoDBを利用し、各チーム管理のSlack Webhookを管理。各チーム管理のSlackチャンネルにAlertを送信しDevOpsのできる環境を構築。少数のメンバーで500アカウント規模のマルチアカウント環境に対応する ◼ マルチアカウントに切り替えてからアカウント数は右肩上がり

◼ IAM Identity CenterでAWSアカウントへのアクセス許可を半自動化

◼ ユーザーはフォームから申請 ◼ インフラチームで確認し、承認を実施

◼ 実装前 ◆ 実装前は各チームでチケットを作成いただき手動で対応 ◆ 1件あたりの作業時間 : 30分 ◆ 年間約100件 / 約100アカウント ◼ 実装後の効果 ◆ 1件あたりの作業時間 : 5分 ◆ 2023/10 ～ 2024/9 まで365件の申請 / 約200アカウント ◆ 年間30時間で対応 ◆ 各チームのチケット起票対応の削減 ◆ 依頼から対応までのレスポンスの向上

◼ AWSからの各種通知をアカウントを管理するチームのSlackチャンネルへ通知する ◆ AWS Healthイベント ◆ GuardDutyの検知 ◆ Security Hubの検知

◼ 実装前 ◆ 各アカウントのアラートを毎朝確認し、該当チームへ連絡 ◆ 1回あたりの作業 : 1時間以上 ◆ 約100アカウント ◼ 実装後の効果 ◆ インフラチームは各チームの対応サポート ◆ インフラチームとしての工数削減、他の重要な業務に集中 ◆ 各チームで管理してもらい、User Accountの管理・運用を移譲・DevOpsを推進 ◆ 問題の発生から対応までの時間が短縮

© 2025 Yayoi Co., Ltd. All rights reserved. 37 ◼
プラットフォームエンジニアリング ◆ 「必要な時」に「必要な人」が「必要な物」を選択して、インフラのベースラインが整う ◆ AWSを利用する際に必要な各種ガイドラインも整備・提供する今後の展望（1/3） AWS Service Catalog JSON / YAML / Terraform 製品製品リスト Microsoft SharePoint 登録開発チーム Network Infra Security 選択各種ガイドライン確認 AWS利用のハードルを下げることで、開発スピードを向上させる

生成AIの活用 ◆ 一定のセキュリティスコア向上は達成した、、、 • それでも一部からは、検知された内容は見ているもののどう対応してよいかわからない ◆ 構築したアーキテクチャに「生成AI」をちょい足しすることで、より使いやすく今後の展望（2/3）検知を解消するための次のアクションを案内することでさらに便利に検知時にすぐ対応をしてもらえる工夫を

SIEM ◆ 「最終形」すべてのログを集約 • 障害時、インシデント発生時に、1か所を見れば良いログ集約環境を目指して今後の展望（3/3）

【弥生】20250130_AWSマルチアカウント運用セミナー登壇資料

【弥生】20250130_AWSマルチアカウント運用セミナー登壇資料

More Decks by yayoi_dd

Other Decks in Technology

Featured

Transcript