AWS public sector summitのまとめ

1. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
松本照吾(matshogo@)
アマゾン ウェブ サービス ジャパン株式会社
パブリックセクター コンサルティング本部
シニアセキュリティコンサルタント
AWS Public Sector Summit Re:cap
（セキュリティ観点から）
のRe:cap

2. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
Public Sector Summit 2018とは
Amazon Web Services（AWS）
がグローバルで展開している
公共機関のお客様向けのイベ
ント
世界各地で開催されるが、今
年の最大規模のものとして米
国ワシントンD.C.のWalter E.
Washington Convention Center
にて6月20，21日に開催され
た。

3. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
開催概要
参加者数：
14,000名以上
Break out session数：
100以上
セッションの概要：
政府系機関、自治体、教育、医療等
の分野におけるお客様の事例紹介
AWSの技術者による技術紹介
Amazonやクラウドの文化、組織変革
その他Pre-dayにおけるハンズオン

4. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
どんな話があったのか？
• 世界初のクラウド学位（Northern Virginia community
college）
• 米国陸軍のサイバーセキュリティ共通プラットフォーム
• 米国証券取引委員会（SEC)の取引データ監視
• City on a Cloud Award
• Alexaを使った市況通知（ジョーンズクリーク市）
• 英国NHSのCloud based call center
• などなど
• A

5. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
GovCloudの存在
2011年に西海岸にOpen
ITARをはじめとする規制対応
米国市民のみの論理/物理アクセス
「利用前に、パスポートもしくはグリーン
カードを見せてください」

6. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
GovCloudの存在
2018年6月13日に東海岸に
二番目のリージョンがOpen
（Update!)

7. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
特別なリージョンでないと政府機関では使えないか
No!!!
米国においても多くの政府機関が通常リージョンを使用
シンガポール、豪州、英国など世界各国の政府機関は通常リー
ジョンを使用
GovCloud登場前でも米国の100以上の機関が利用
世界各国の政府機関の要件の95％以上は、
商用クラウドで十分に満たすことができる

8. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
Message from Key Note

9. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
“The cloud, on its weakest day, is more secure,”
Sean Roche, Associate Deputy Director of
CIA for Digital Innovation
たとえ最弱な日でも、クラウドはよりセキュアだ。
“transformative”

10. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
Key take away from Break out sessions

11. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
United States Department of Veterans Affairs(VA)におけ
るDevSecOps事例
https://www.youtube.com/watch?v=S4Ki7gUat1g
https://www.slideshare.net/AmazonWebServices/successfully-implementing-devsecops-in-the-cloud

12. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.

13. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
DevOps、MicroServiceは自然な移行
人手の作業の排除
“doctrine/document-managed”の支援
DevOpsにしていくことで、一日に６回の継続的なデプロイ

14. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
DevOpsのスピード感に間に合わない既存環境
スキャン対応などはSOCが対応
〇半期ごと、〇か月ごとでは、自分たちの
Feedbackサイクルに間に合わない。
ツールが対応してない
レガシーなやり方では間に合わない

15. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
DevSecOpsの柱
1. マイクロサービスアーキテクチャ – integrated via API
2. Infrastructure as a Code – integrated via API
3. Security Policy as Code – integrated via API
4. 構成管理の自動化
5. 継続的インテグレーション/継続的デリバリ
6. 継続的な軽量/正しい（Lightweight/Rightweight）ガバナンス
7. インテリジェントな自動化されたログ管理、モニタリング
8. 自動化されたイベント管理、インシデントレスポンス
単なる ツールによるSecure CI/CDがDevSecOpsではない

16. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
利用しているツール
CI Pipeline
- 依存性チェック Jenkins / Travis / Circle
- CI for each pull requestのCIツール、最近はGitHub.comも
- bundler-audit
- 静的コード解析
- Robocop
- Brakeman
CD Pipeline
- Immutable deployment
- Bake an app image using Ansible
- Use the latest Amazon Linux AMI and run `sudo yum update`
- Deploy images into auto scaling group.
一日に5，6回のデプロイ＝一日に5，6回のOS Update：
MeltdownやSpectre対応はまったく問題なし

17. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
全てが順調なわけじゃないけど、継続的に。
レガシーシステムでは次のような問題
が発生
互換性の問題（Java6、Solaris11）
Open SSLの脆弱性(Logjam attack：2015)
に対して三段階の対応
デグレード
Proxy
完全移行（←今はここ）

18. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
セキュリティ部門とのコミュニケーション
まずは既存の要求を満たしてみせる。
“メジャーなアップデートがあった時は適宜“
メジャーって何？
適宜って何？
答えがないあいまいな定義を落とし込む

19. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
空軍でもDevSecOpsに。
環境構築とデプロイ：20分以内に
ソフトウェアテストサイクル：
80時間から3時間に
Deploy from
USDL
Access from
USDL
VIC
Factory
VIC
SUT
VIC
SUT
Deploy & Destroy VIC Deploy & Destroy VIC
Test Logs
Release Package
Applications Deploy Code Documentation
DevOps
Build
VDI Workstations
USDL

20. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
移民局によるDevSecOpsへのCloud Journey
https://www.slideshare.net/AmazonWebServices/innovating-government-building-a-culture-of-devsecops-for-
rapid-and-secure-mission-services
https://www.youtube.com/watch?v=N5RgaYMCLI4

21. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.

22. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
ちゃんとセキュリティと握手を！
対話のためにsmall Teamに品
質管理やセキュリティ等の
チームを招く

23. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
We do provide the American dream to a lot of people
Infrastracture as codeと組織変革
セキュリティやウォーターフォールプ
ロセスを変えていくには、対話、協力、
そして自動化（単なるツールではな
い）

24. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
まずはこれを実践していこう！
自分たちのソフトウェア開発ライフ
サイクルを理解
• 開発部門とセキュリティ部門でな
るべく多く話し合う
管理策（必要な実装）を集める
• CI/CDパイプラインの可視化
• 変更管理と実装状況の理解
人手によるアクションの文書化
• 開発と運用チームの協力による
データ収集が不可欠
人間によるアクセスの排除
• 機微な情報へのアクセスを80%減
らすゴールセッティング
デプロイワークロードのゴール設定
• 自動化によってマニュアルオペ
レーションのワークロードを何
パーセント減らすかを可視化

25. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
今回の資料はすべて視聴、閲覧できます。
https://aws.amazon.com/jp/summits/public-sector-summit-washington-dc-2018/

26. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
かんたんなまとめ
DevSecOpsなんて人類には早すぎる
→そんなことはない。でも、組織や文化、とても大事
サミットが想像以上に大きな規模
→アメリカの本気を感じた。
民間以上にセンシティブな情報を扱っている公共機関（政府、
医療）等の事例インパクトは大きい
→興味のある方、そのようなお客様いましたら。。。

27. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
June 11-12, 2019,
at the Walter E. Washington
Convention Center in Washington, DC

28. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.

29. © 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ありがとうございました！

30. © 2018, Amazon Web Services, Inc. or itsaffiliates. All rights reserved.
AWSの現在、技術、文化を学びたい皆様のために
https://aws.amazon.com/jp/about-aws/events/aws-innovate/