Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
組織的なクラウド統制のはじめの一歩
Search
yhana
April 17, 2023
Technology
2.4k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
組織的なクラウド統制のはじめの一歩
yhana
April 17, 2023
More Decks by yhana
See All by yhana
AWS Organizations 経験者向けAzure ガバナンス速習
yhana
0
29
20250903_1つのAWSアカウントに複数システムがある環境におけるアクセス制御をABACで実現.pdf
yhana
3
1.4k
AWS Organizations 新機能!マルチパーティ承認の紹介
yhana
1
1.4k
AWS re:Invent 2024 ふりかえり勉強会
yhana
0
1.2k
AWS IAM Identity Center を使わないマルチアカウントのユーザー管理
yhana
2
4.7k
Guard を利用した AWS Config ルール
yhana
0
1.2k
組織的なクラウド統制のはじめの一歩_20240529
yhana
0
1.2k
Azureの基本的な権限管理の勉強会
yhana
1
6.8k
失敗例から学ぶAWSセキュリティサービスの導入
yhana
1
15k
Other Decks in Technology
See All in Technology
クラウドファンディング版StackChan 3体(4体)をインタラクティブな体験型作品にして展示もした話 / スタックチャンお誕生日会2026
you
PRO
0
180
時期が悪い!それでもRaspberry Piを買って遊んで活用するには / 20260627-osc26do-rpi-jikigawarui
akkiesoft
0
800
AIはどのように 組織のアジリティを変えるのか?
junki
4
1.4k
スタートアップにAmazon EKSは早すぎる? マルチプロダクト戦略を加速する Platform Engineeringの実践 / Is Amazon EKS Too Soon for Startups? Practical Platform Engineering to Accelerate a Multi-Product Strategy
elmodev09
1
1.8k
Microsoft のサポートとフィードバック総まとめ
murachiakira
PRO
0
110
Bucharest Tech Week 2026 - Guardians of the Cloud-Native Galaxy
edeandrea
PRO
0
140
ロボティクスの技術 / Robotics Technology
ks91
PRO
0
130
徹底討論!ECS vs EKS!
daitak
3
1.7k
事業会社における 機械学習・推薦システム技術の活用事例と必要な能力 / ml-recsys-in-layerx-wantedly-2026
yuya4
0
160
從開發到部署全都交給 AI:實作 AI 驅動的自動化流程
appleboy
0
160
脱SaaS!FDEを支えるプロビジョニングと分離設計
knih
0
300
MUSUBI 田中裕一『AIと共に行う「しごとのリデザイン」- スモールバックオフィス編』AI Ops Lab #4
musubi
0
310
Featured
See All Featured
Music & Morning Musume
bryan
47
7.2k
Side Projects
sachag
455
43k
Producing Creativity
orderedlist
PRO
348
40k
Groundhog Day: Seeking Process in Gaming for Health
codingconduct
0
210
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
aleyda
1
2k
Navigating Weather and Climate Data
rabernat
0
230
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
inesmontani
PRO
3
3.5k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
12
1.2k
A Guide to Academic Writing Using Generative AI - A Workshop
ks91
PRO
1
330
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
kimpetersen
PRO
0
370
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
1
400
The World Runs on Bad Software
bkeepers
PRO
72
12k
Transcript
組織的なクラウド統制のはじめの⼀歩 2023.4.17 AWS事業本部 コンサルティング部 yhana 1
1.CCoE の取り組み 2.AWS 利⽤ルール(利⽤ガイドライン)の策定 3.AWS のクラウド統制サービスの紹介(発表者交替) 2 もくじ
3 CCoE の取り組み
CoE (Center of Excellence) 特定分野におけるトップレベル⼈材やノウハウ、設備を集約した組織 CCoE (Cloud Center of Excellence)
CoE の Cloud 版 クラウド利⽤に関するノウハウを集約・活⽤して組織全体を牽引 4 CCoE とは
5 CCoE のイメージ(デザインパターンの⼀例) (参考)CCoEがやることについてまとめてみた
6 CCoE の取り組み例 カテゴリ 項⽬ プロジェクト⽀援 社内向けのコンサルティング、プロフェッショナル⼈材の派遣 ⼈材育成 トレーニング・研修の整備、社内勉強会等のイベント開催 情報発信
社内外のイベント登壇、社内コミュニティの整備、社外への情報発信 情報収集 クラウド技術の情報・ノウハウ蓄積、社内要望の収集 共通サービスの整備 共通インフラやデータレイク等の全組織が利⽤できるサービスを⼀元提供 利⽤ルールの策定 社内でクライドを利⽤するルール決め、クラウド利⽤のガイドライン クラウドの管理 アカウント管理、ユーザー管理、ログ管理、セキュリティ対策、コスト管理 推進 統制 (参考)CCoEがやることについてまとめてみた
7 CCoE の取り組み例 カテゴリ 項⽬ プロジェクト⽀援 社内向けのコンサルティング、プロフェッショナル⼈材の派遣 ⼈材育成 トレーニング・研修の整備、社内勉強会等のイベント開催 情報発信
社内外のイベント登壇、社内コミュニティの整備、社外への情報発信 情報収集 クラウド技術の情報・ノウハウ蓄積、社内要望の収集 共通サービスの整備 共通インフラやデータレイク等の全組織が利⽤できるサービスを⼀元提供 利⽤ルールの策定 社内でクライドを利⽤するルール決め、クラウド利⽤のガイドライン クラウドの管理 アカウント管理、ユーザー管理、ログ管理、セキュリティ対策、コスト管理 推進 統制 (参考)CCoEがやることについてまとめてみた
8 AWS 利⽤ルール (利⽤ガイドライン) の策定
9 クラウド利⽤ルールに策定・クラウドの管理 AWS の利⽤ルール(利⽤ガイドライン)の記載内容の例 章 記載内容の例 AWS アカウント管理 AWS アカウントの⼀元管理⽅法、調達フロー
ユーザー管理 ユーザーの⼀元管理⽅法、利⽤申請フロー セキュリティ対策 AWS のセキュリティ対策(予防的・発⾒的統制)、組織内の推奨サービス・製品 ログ管理 取得すべきログと保管期間などのルール コスト管理 組織内の AWS 利⽤料の精算ルール、料⾦の監視⽅法、推奨の⾒直し⽅法 共通ネットワーク・サービス 共⽤のネットワーク/プロキシ/FW構成、データレイクなどの共通サービス リソース作成ルール・推奨構成 推奨構成のリファレンスアーキテクチャ、VPC/EC2 の設計ルール 運⽤ 推奨のシステム監視⽅法、バックアップ・リストア⽅法 監査 利⽤ルールが守られているかのチェック、外部監査対応の留意点 (参考)クラスメソッドメンバーズのお客様向けに公開している「Classmethod Cloud Guidebook (CCG)」の使い⽅
10 クラウド利⽤ルールに策定・クラウドの管理 AWS の利⽤ルール(利⽤ガイドライン)の⽬次例 章 記載内容の例 AWS アカウント管理 AWS アカウントの⼀元管理⽅法、調達フロー
ユーザー管理 ユーザーの⼀元管理⽅法、利⽤申請フロー セキュリティ対策 AWS のセキュリティ対策(予防的・発⾒的統制)、組織内の推奨サービス・製品 ログ管理 取得すべきログと保管期間などのルール コスト管理 組織内の AWS 利⽤料の精算ルール、料⾦の監視⽅法、推奨の⾒直し⽅法 共通ネットワーク・サービス 共⽤のネットワーク/プロキシ/FW構成、データレイクなどの共通サービス リソース作成ルール・推奨構成 推奨構成のリファレンスアーキテクチャ、VPC/EC2 の設計ルール 運⽤ 推奨のシステム監視⽅法、バックアップ・リストア⽅法 監査 利⽤ルールが守られているかのチェック、外部監査対応の留意点 始めのステップとして取り組むことが多い (参考)クラスメソッドメンバーズのお客様向けに公開している「Classmethod Cloud Guidebook (CCG)」の使い⽅
11 AWS アカウント管理
12 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題 AWS 社 リセラー A社 リセラー
B社 AWS アカウント AWS アカウント AWS アカウント プロジェクト担当者
13 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題 AWS 社 リセラー A社 リセラー
B社 AWS アカウント AWS アカウント AWS アカウント インシデント発⽣ プロジェクト担当者
14 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題 AWS 社 リセラー A社 リセラー
B社 AWS アカウント AWS アカウント AWS アカウント インシデント発⽣ すべてのアカウントを確認 全担当者へのヒアリングするのは時間がかかる、連絡先がわからない場合も プロジェクト担当者
15 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題 AWS 社 リセラー A社 リセラー
B社 AWS アカウント AWS アカウント AWS アカウント インシデント発⽣ すべてのアカウントを確認 対策の実施(依頼) 依頼対応完了の確認に時間がかかる プロジェクト担当者
16 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題 AWS 社 リセラー A社 リセラー
B社 AWS アカウント AWS アカウント AWS アカウント インシデント発⽣ すべてのアカウントを確認 対策の実施(依頼) 依頼対応完了の確認に時間がかかる AWS アカウント 対応完了後に発⾏したアカウントでは 対策が実施されていないことがある プロジェクト担当者
17 AWS アカウント管理 AWS アカウントを⼀元管理していない場合の課題 プロジェクト担当者 クラスメソッド AWS アカウント AWS
アカウント AWS アカウント インシデント発⽣ すべてのアカウントを確認 対策の実施(依頼) AWS アカウント AWS の組織管理機能(AWS Organizations)で⼀元管理
18 AWS アカウント管理 AWS アカウントの⼀元管理と発⾏フローの整備 AWS Organizations の利⽤ 組織内のアカウント発⾏フローの整備 アカウントをグルーピングしてグループ毎に異なる統制を適⽤
組織内で満たすべき設定項⽬を最初から設定
19 ユーザー管理
20 ユーザー管理 各 AWS アカウントで個別にユーザーを管理している場合の課題 AWS アカウント AWS アカウント AWS
アカウント
21 ユーザー管理 各 AWS アカウントで個別にユーザーを管理している場合の課題 AWS アカウント AWS アカウント AWS
アカウント 各アカウントにユーザー作成して 管理するのが⼿間となる
22 ユーザー管理 各 AWS アカウントで個別にユーザーを管理している場合の課題 AWS アカウント AWS アカウント AWS
アカウント 各アカウントにユーザー作成して 管理するのが⼿間となる 乗っ取りの被害に合いやすい MFA無し 脆弱なPW
23 ユーザー管理 各 AWS アカウントで個別にユーザーを管理している場合の課題 AWS アカウント AWS アカウント AWS
アカウント 各アカウントにユーザー作成して 管理するのが⼿間となる 乗っ取りの被害に合いやすい MFA無し 脆弱なPW 異動・退職により利⽤していない (乗っ取り被害の可能性を⾼める)
24 ユーザー管理 ユーザーの⼀元管理⽅法を整備 組織内の ID プロバイダーと統合 既存 ID とセキュリティレベルを統⼀、ユーザー削除漏れの防⽌ ユーザー払い出しフローの整備
25 セキュリティ対策
26 セキュリティ対策 AWS レイヤーのセキュリティ対策を検討して実装 ・予防的統制 ・発⾒的統制
27 セキュリティ対策 予防的統制のイメージ ガードレール ⼤きいサイズの EC2 インスタンスの起動 DNS ドメインの購⼊ 東京、⼤阪、バージニア北部リージョン以外の利⽤
利⽤可能な サービスと アクション ガードレール 利⽤禁⽌ 利⽤禁⽌ 「⾃由」に利⽤できる範囲
28 セキュリティ対策 発⾒的統制のイメージ 望ましくない設定や意図していない設定に 気づく仕組みを導⼊ 例)悪意のあるサーバ(IP アドレス)との通信 例)誤って S3 のデータをインターネット公開
危険な通信や不審なアクセスに 気づく仕組みを導⼊
29 ログ管理
30 ログ管理 ログの集約(保全)の検討 イベントログの集約例
31 ログ管理 ログの集約(保全) × アカウント乗っ取り後に攻撃者により ログ記録停⽌やログ削除が実⾏される 場合がある 隔離したログから攻撃者の⾏動を 調査できる
32 ログ管理 ログの集約(保全) イベントログの集約例 × アカウント乗っ取り後に攻撃者により ログ記録停⽌やログ削除が実⾏される 場合がある 隔離したログから攻撃者の⾏動を 調査できる
SIEM や BI ツール等を利⽤した ログの分析や⾒える化ができる
33 コスト管理
34 コスト管理 組織内の利⽤料の⽀払いや費⽤計上のルールを定める ・アカウントを⼀元管理した際の請求フロー 例えば、CCoE が⼀括払いをして組織内の他部⾨に振り替えるのか 各部⾨がそれぞれ⽀払い処理をするのか ・Reserved Instance (RI)
などの前払いサービスの費⽤計上ルール 例えば、前払い分を毎⽉の⽀出に振り替えるなど
35 AWS のクラウド統制サービスの紹介 (発表者交替)
36