Amazon Web Services ブログ

AWS Japan Staff

Author: AWS Japan Staff

Amazon S3 セキュリティベストプラクティスの実践(権限管理のポリシー) – 後編

はじめに AWS では、サービス毎にセキュリティのベストプラクティスを公式ドキュメントとして提供しています。本記事では AWS を利用したシステムのセキュリティの検討や実装に関わる皆様を対象に、AWS の代表的なストレージサービスである Amazon Simple Storage Service (S3) を題材にとりあげて、公式ドキュメントで紹介しているベストプラクティスの実装方法をできるだけ具体的に解説したいと思います。 前編では、4つのポリシータイプとACLを中心に、S3 のセキュリティベストプラクティスを紹介しました。後編となる今回は2つのモデルケースを例に4つのポリシータイプと ACL、パブリックアクセスブロックの設定パターンを解説していきます。 ご紹介する4つのポリシータイプと用途 アイデンティティベースのポリシー   プリンシパル (IAM ユーザ、ロール、グループ) の権限を定義 リソースベースのポリシー (注釈1) リソースへアクセス可能なプリンシパルや、利用条件を定義 VPC エンドポイントポリシー   プライベートな仮想 NW から AWS サービスへのアクセス条件を定義 サービスコントロールポリシー  AWS Organizations にて組織やアカウントの最大使用アクセス権限を定義 注釈1:リソースベースのポリシーは様々な AWS リソースで利用可能です。アタッチされるリソースによって別名で呼ばれることもあり、KMS の暗号鍵にアタッチするキーポリシーや、S3 バケットにアタッチするバケットポリシーなどがあります。各サービスの対応状況は、ユーザーガイドで調べることができます。 外部公開用データのレポジトリとして Amazon S3 を使用する Amazon S3 はスケーラブルなデータストレージサービスです。静的な Web ホスティングサービスとして使用したり、AWS のコンテンツデリバリネットワーク (CDN) である Amazon CloudFront と組み合わせて、様々な地域にデータを公開するプラットフォームとして利用することができます。このような利用シーンを想定して外部公開用 […]

Read More

AWSも参加した調査研究として(社)行政情報システム研から「パブリッククラウド活用」の報告書が発表されました

──── シス研の調査研究報告書 AWSも参加した調査研究の成果として、行政情報システム研究所(以下、愛称の「シス研」)より、『行政機関におけるパブリック・クラウドの活用に関する調査研究 報告書』が公開されました(以下、『報告書』。2020年6月16日より掲載)。この報告書には、いくつもの有益な提言が含まれています。 今回のブログでは、AWSジャパン・パブリックセクターより『報告書』の概要と、読み取られるべきインパクトについて解説します。 画期的な『行政機関におけるパブリック・クラウドの活用に関する調査研究 報告書』 行政情報システム研究所(AIS=institute of Administrative Information Systems)は、行政機関と企業、社会一般との接点に位置する一般社団法人として、行政の情報化・電子政府の実現及びこれに伴う社会の発展に貢献するため、各種事業を展開する一般社団法人です。 今回の『報告書』の冒頭から、調査研究の狙いに関しまして以下、抜粋します(強調は、ブログ筆者)。 「>本調査研究は、行政機関におけるパブリック・クラウドの活用及び関連する調達・契約手法に関して、諸外国政府での先行事例を調査・分析するとともに、我が国政府及び当研究所会員企業の協力を得て、課題及び解決策の検討を行うことで、現場の実務で役立つハウツーやノウハウ及び中長期的に講ずべき施策を抽出・提示することを目的として行うものである。」 「なお、本調査研究は、[・・中略・・]内閣官房 IT 総合戦略室、総務省行政管理局、及び会員企業からは研究会への参画を、自治体、各国政府、専門家各位には、インタビューや資料提供の協力をいただいた。この場を借りて深く感謝申し上げたい。」 先行する多くの「調査研究」「レポート」に比べて、今回の調査研究は2つの点において画期的であると言えます。まず、1)先行する多くの調査研究は、単に「クラウド」に関するものであるのに対し、今回のシス研の報告書は「パブリック・クラウド」に調査スコープを明確に限定していること、また、2)パブリック・クラウドの活用シーンだけではなく、その前段の「調達・契約手法」にまで整理を果敢に試みたこと──という2点において、この調査報告書を高く評価したいと思います。今回の調査研究に参加したシス研皆様や内閣官房・総務省からの参加者をはじめ関係者皆様と議論ができたことは、AWSジャパンとしても多くの学びと発見がありました。 以下、本編・資料編を併せると130頁を超える大部の資料でありますため、今回の報告書のハイライトを幾つかご紹介させていただきます。 【結論】パブリッククラウドは、政府・行政機関にとって既に実用的な選択肢──と位置づけ 2018年に内閣官房IT総合戦略室から「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(2018年6月) が発出され、「政府情報システムのシステム方式について、コスト削減や柔軟なリソース の増減等の観点から、クラウドサービスの採用をデフォルト(第一候補)と」するべく方針が示されたあとも各府省の現場では、”果たして行政機関・政府情報システムにとってクラウドは安全なのか、最適なのか”、という議論がなされてきました。 今回の『報告書』は、こうした論争に終止符を打つものです。 行政機関にとって、【結論】「パブリッククラウドは、既に実用的な選択肢となっている」旨、報告書のサマリーである「概要」においても明記され、本編の「まとめ」(p.50)のセクションにおいても「本調査研究を通じて、パブリック・クラウドは既に行政機関において実用的な選択肢たり得ることが明らかになった」との記載で、報告は結ばれています。 内容紹介①:「パブリック・クラウド特有のリスクは確認できない」と明言 また、今回の『報告書』では、「クラウド導入に対する心理的抵抗」「クラウド移行に伴うリスクへの懸念・不安・負担感」が各調達現場には今現在においても蔓延していると指摘しながらも、それらは新しい技術体系一般に対して言えるものであり、今回の調査の結果として「パブリック・クラウド特有のリスクは確認できない」と明言しています(『報告書』本編 p.32 以降も同様に、断りが無い限り、ページ番号のみの引用は”本編”を指す。) これまで、さまざまな「リスク」が折に触れ語られてきましたが、クラウドはそれらを低減しこそすれ、特有のリスクを伴うものでは無い旨を明記いただいたことは、多くの行政機関にとって、今回の『報告書』がクラウド利用に向けた大きな後押しとなるものと考えます。 内容紹介②:現行の会計法規の枠内で、クラウドの特有の従量課金などのメリットは享受可能と整理 これまで、パブリッククラウドのメリットの中核であるはずの「従量課金」に対し、しばしば「現行の会計法規」との整合性を不安視する意見が出されてきました。 今回の『報告書』では一段踏み込んだ整理が行われ、諸外国政府機関と同様、「複数年の運用を通じて見積の精度を高めていく」、あるいは初年度に関しても 見積もり時点との発生差額を「補正するための手段(年度途中での契約変更や上限価格付従量契約等)を検討する」、「 技術的対話の実施」、「調達仕様書の記載を[クラウドネイティブに]適正化し、[予算の意図せぬ大幅超過や想定外のサービスの大量追加など]トラブルの原因となるリスクを低減させる」────など、実用的な共存策および対応策が紹介されています。これらは、現行の法令改正など大幅な制度改正を何ら必要とするものでは無いため、すぐにでも試行を開始することが可能です。(「」書きの抜粋は、全て p.33から) 内容紹介③:クラウドの”使い始め”に天王山。政府職員へのトレーニングなど、利用開始の「入口」を簡素化することが有効 諸外国政府機関からのヒアリングからも語られているとおり、柔軟性に富むパブリック・クラウドでは「まずは使い始める」アプローチによりメリットを即座に体感することが可能です。 これまで、日本の多くの行政機関・公的機関においては、導入に先立って非常に多くの工数を費やした「事前の検討」が行われ、時間的かつ人的な行政リソースが浪費されてきた反省があります。 今回の『報告書』では、米国・英国・カナダの政府機関へのヒアリングをベースとし、クラウド利用を加速するためには「[政府]職員に多様な人材育成メニューを提供」すること、あるいは「コンソールを触り、クラウドを体感する研修もベンダーの協力を得て提供」するなどの、工夫を徹底していることなどが紹介されています(「概要」)。「トレーニングは政府機関が自ら行う場合に加えて、CSP[=クラウド・サービス・プロバイダー]が提供している研修コースを活用するという方法を採る場合もある」とする今回の『報告書』の提言を踏まえて(p.24)、AWSでは将来的には人事院・総務省・シス研・内閣官房IT室などの横断的な取り組みにより、日本の政府職員皆様にも海外政府と同様のトレーニング受講をいただけることが望ましいと考えています。(カナダ政府における、職員のクラウドスキル強化の取り組みに関しては、こちら。『報告書』本編のp.49でも紹介いただいています) 内容紹介④:「包括契約」のメリットに言及し、「調達・契約スキーム」の類型として記載 今回の調査研究『報告書』では、個別の調達に際しての契約を束ねた「包括契約」に関し、次のように定義しています。包括契約とは、「調達手続きの一部または全部の一元化を図ることにより、各機関が個別に調達することで重複して発生していたコストや手続きの負荷を軽減するとともに、政府全体として多様かつ革新的なIT製品・サービスを活用することにより、政府の提供するサービスをより効率的かつ質の高いものとすることを目的とする仕組み」──である、と。 また、そのメリットに関しても、「包括契約を導入することにより、多様なサプライヤー及びサービスへのアクセス、サービスの効率的な調達によるコストと調達サイクルの短縮化、機関間での契約条件の標準化、革新的かつ最新の技術・製品・サービス・ソリューションの活用、そして政府、サプライヤー双方のサービス品質の向上といった便益も得られる」旨、明記されています。( p.8) 従来の政府文書・行政文書では未済であった整理に関して定義の明確化を行い、併せて「包括契約」により獲得が目指されるべきメリットに関しても言及がある点、『報告書』のひとつの成果であると位置づけられます。 加えて、米国・英国・オーストラリア・ニュージーランドの海外文献調査をもとに、各国の政府機関では「包括契約を前提に、物品・サービスの簡易な発注が可能になっている」(「概要」)と、包括契約締結のメリットを追記しています。 日本政府においても、こうした「調達手続き」を「一元化」する構想は近年、検討が加速しています。例えば、昨年2019年12月に閣議決定された「デジタル・ガバメント実行計画」では(p.27)、以下のように「一元的なプロジェクト管理」の重要性が記載されています。  これまでの政府の情報システム投資は、各府省・業務ごとに情報システム化の要否を検討し、各府省における当該業務の担当部局が予算要求・執行を含め運用の主体として責任を持つことが前提となっており、政府全体でのIT ガバナンスについても、個々の情報システム単位での妥当性検証が中心であった。 企画、予算要求、執行、チェック、見直しというPDCA サイクルそのものが、基本的には、縦割りでの情報システムを前提に動いていたと評価することができる。 その結果、重複的な政府情報システムの整備・運用やオーバースペックでのシステム設計、予算・調達が政府情報システム単位に細分化されているため、事業者との交渉時に十分なスケールメリットを発揮できていないといった問題が生じている。こうした問題を解決し、政府情報システムの一層の改革を進め、データの標準化、政府情報システム間の互換性、円滑な情報連携、高度な情報セキュリティ対策等について、政府として統一性を確保しつつ効率的に実現していくことが必要となる。 そのため、グランドデザインに基づく横断的かつ業務改革(BPR)を意識したサービス視点での政府情報システムの整備・運用を実現する観点から、政府情報システムの統一的管理のための取組を抜本的に強化する。 具体的には、全ての情報システムを対象として、予算要求前から執行の段階まで年間を通じたプロジェクト管理(以下「一元的なプロジェクト管理」という。)を、政府CIO の下で行う。特に、①予算要求前(プロジェクトの計画段階)、②予算要求時(プロジェクトの具体化段階)、③予算執行前(詳細仕様の検討段階)の3段階について、一元的なプロジェクト管理を実施する 日本の会計法令は、IT製品やクラウドなど新しい商材が普及してきた過去数十年間においても、大きな変更が加えられないまま現在に至っています。今回の調査研究では中央省庁の各機関を横断する「包括」の類型だけではなく、中央省庁+自治体+独法など各種公的機関をも包含する「包括契約」の類型にも触れられています(p.8)。 AWSでは今回の研究成果を踏まえ、日本においても必ずしも会計法令の改正に踏み込まずとも、包括契約のもたらすメリットを追求することが可能であるものと整理しており、今後とも関係各所への提言を行っていきたいと考えています。 ❖参考:「アマゾン ウェブ サービスとオーストラリア連邦政府、 AWSクラウドの組織横断的な調達を目的とした、 政府包括契約を締結」 内容紹介⑤:行政機関と言えど、CSPに個別対応を期待しないことが原則である旨明記 政府機関向けの特別な契約条項の有無を、多くの政府機関から問い合わせいただいています。社訓として「Customer Obsession」を掲げるAWSにとっては全ての顧客が特別です。よって、民間企業であるか、政府機関であるかを問わず、100万を超える数の団体・顧客に適用されている「AWSの利用規約(カスタマーアグリーメント)」は、年々その記載内容が拡充され続けています。例えば、数年前に比べても、SLAに列記されるサービス数は増加し続けており、ユーザーが享受するベースラインでのサービスの充実度が向上しているものと言えます。 […]

Read More

7 月 1 日(水)開催:AWSome Day Online Conference で AWS クラウドの基礎を学ぼう!(チャット Q&A あり)

こんにちは! AWS Webinarチームです。 7 月といえば七夕ですね。 幼いころは、笹の葉についた短冊に願い事を書きました。みなさまの願い事はなんですか? AWS クラウドサービスを知りたい、基礎知識をつけたいという願いでしょうか? そんな願い事を内に秘めている方にお薦めするオンラインセミナーのご連絡です。 AWSome Day Online Conference を 7 月 1 日(水)15 時から配信いたします。 AWS クラウドの基礎を約 2.5 時間の短時間で学べるオンラインセミナーです。 新しくクラウドを始めようと思っている方、クラウドの基礎知識がぼんやりしてしてしまったので復習したいと 思っている方、どちらの方にもお勧めの内容となっております。ぜひこの機会にご登録・ご視聴ください。 当日は AWS エキスパートがチャット形式による Q&A 対応をいたします。 その場で、テクニカルに関する疑問点を質問を投げかける吹き出しに入力ください。チャット形式でお答えいたします。 ※入力した質問内容は他の視聴者には見えません。 日程:2020 年 7 月 1 日(水) 時間:15:00 開始 – 17:40 終了予定 費用:無料 主催:アマゾン ウェブ サービス 株式会社 詳細・ご視聴はこちらからお申込みください。 AWSome Day Online Conference とは? 「AWSome […]

Read More

【開催報告】「コンテナ × スポットインスタンス」 活用セミナー

スポットインスタンススペシャリスト ソリューションアーキテクトの滝口です。2020年6月10日にオンラインで開催された「コンテナ × スポットインスタンス」 活用セミナーでは、200名を超えるご参加人数という大盛況のもと、AWSのソリューションアーキテクトによる技術解説と、各種コンテナ技術を最大限に活用してスポットインスタンスをご利用いただいている3社のお客様から、実際の事例についてお話いただきました。 本記事では、お客様のご登壇資料を含む当日資料のご紹介、また参加者の皆様からいただいた当日のQ&Aの一部をご紹介します。 当日アジェンダと資料 12:00~13:00 Amazon EC2 Auto Scaling によるスポットインスタンス活用講座 講師:滝口 開資(アマゾン ウェブ サービス ジャパン株式会社 ソリューション アーキテクト) 13:00~14:00 具体的実装に学ぶ、Amazon ECS × EC2 スポットインスタンス、Amazon EKS × EC2 スポットインスタンスによる低コスト & 高可用アーキテクチャ 講師:Hara Tori(アマゾン ウェブ サービス ジャパン株式会社 シニアデベロッパー アドボケイト) 14:00~14:30 AWS Batchによる大規模バッチ処理でのスポットインスタンス活用 講師:宮本 大輔(アマゾン ウェブ サービス ジャパン株式会社 ソリューション アーキテクト) Containers + EC2 Spot: AWS Batch による大規模バッチ処理でのスポットインスタンス活用 from Daisuke Miyamoto   14:30~15:00 ECS×スポットインスタンス活用の秘訣 講師:田中 […]

Read More

金融業界におけるPrivateLink活用

今回のBlogではAWSクラウド利用による新しいビジネス展開の促進に貢献する、AWS PrivateLinkの機能概要と金融業界における利用事例についてご紹介します。金融機関にとっての喫緊の課題は、近年の日本の人口構成の変化や、特に最近のお客様の行動様式の変化に対応すべく、ニーズに合わせた新しいサービスをタイムリーに提供していくための仕組みづくりだと言われています。特にお客様との接点が、対面方式から非対面方式へ変化してきており、対顧客チャネルが実店舗からオンラインへ加速度的にシフトしていくことを意味しています。このオンラインチャネルにおいて、顧客満足度を上げるためにはよりよいカスタマーエクスペリエンス(顧客体験)の提供が欠かせません。また経営効率化の観点から、フロントラインのオンラインチャネル化に伴い行内・社内事務作業の機械化、自動化もますます必要性が増していきます。これらの課題解決のために最新テクノロージーの活用が求められることになりますが、迅速な対応にあたっては自社のみの技術だけでなく、外部のサービスを効率的に活用し、それを組み合わせることで顧客のニーズに合った独自のサービスを迅速に提供することも今後の新しいアプローチといえるかと思います。今回は、このような課題を抱える金融機関と、金融機関にサービスを提供されているAWSパートナー様にとってPrivateLinkがどのように役立つかについて述べさせていただきます。

Read More

認知科学と学習 3: エラボレーションを使って概念の理解を強化する

このブログは、認知科学の原則を使って AWS クラウドの学習効果を高める方法に関するシリーズ記事の第 3 回(最終回)です。 このシリーズの前回と前々回では、プレゼンテーションや講義からの情報を受動的にインプットすることばかりに依存しないということが、いかに重要であるかについてを取り上げました。長期的な学習効果を強化していくためにはインプットばかりでなく、その情報を能動的に 記憶から引き出す(または思い出す) よう、セルフテストに挑戦することが大切です。またこの考え方をふまえ、 時間間隔を空けた反復学習 を実践することで、学習をより効率的かつ効果的にする方法についてもご紹介しました。 どちらの戦略でも強調されているのは、学習プロセスにおいては記憶が重要な役割を果たすということです。ある分野についてのプロフェッショナルになるためには、その分野に関する主要な概念や事実といった強固な基礎を身につけることから始める必要があります。たとえば機械学習 (Machine Learnning: ML) について言えば、そもそも特徴量エンジニアリングとは何かを知らなければ、ML モデルで特徴量エンジニアリングを実践することは不可能です。 しかしこれまでに説明してきたことを鑑みると、キーとなる情報を記憶するためにいたずらに反復学習を行うことが正しいとは限りません。情報に対する理解を深めるのに役立つテクニックがいくつかあります。そのうちの 1 つはエラボレーションと呼ばれるものです。 エラボレーションとは エラボレーションとは、学習中の新しい情報を既存の知識と関連付けていくことで、新たにインプットしている情報に詳細を付け加えていくプロセスのことです。エラボレーションのプロセスでは What (何を) 学習しているかよりも、学習中のトピックの背後にある How (どのように) や Why (なぜ) により重きを置きます。ここでは簡単な例を使って、この概念をより具体的につかんでいきましょう。 エラボレーションの実践 機械学習を例にとった場合、おそらく最初に直面するハードルの 1 つは、この分野特有の用語や概念についての語彙を理解することでしょう。そのためまず Demystifying AI/ML/DL や What is Machine Learning? といったトレーニングを受講し、そこに出てくる用語や概念について時間差学習によって小刻みにセルフテストを行います。 機械学習のタイプの違いを理解しているかを確認するセルフテストの問題の 1 つとして、たとえば以下のような問題があったとします(正解は1)。 次のうち、教師あり学習が最も適しているのはどれか答えなさい 画像内の鳥を特定する 購買傾向に基づいてある集団をより小さな集団にグループ化する データセット内の特徴量の数を減らす クレジットカード取引データ内の異常を特定し、不正としてラベル付けする この問題やその他の同様の問題に正解することはさほど難しくありません。つつまり、回答にあたって教師あり学習ついて深い理解が必要な問題とは言えません。フォローアップの問題に挑戦することでエラボレーション、つまりこのトピックに関する詳細を付け加えていきます。こうすることで、より深い理解が得られます。 以下に示すのは、この状況またはその他の同様の状況でフォローアップエラボレーションとして活用できる問題の例です。 「画像内の鳥の特定」が、どのように教師あり学習の良い例であるか説明しなさい 他の選択肢が、教師あり学習に適していないのはなぜですか 正解の選択肢に加えて、教師あり学習の適切なユースケースを他に挙げなさい 正解の選択肢が、教師なし学習の例でないのはなぜですか   エラボレーションが脳に与えるインパクト エラボレーションの問題が学習に大きな効果をもたらすメカニズムは、脳が情報を最も効果的に保存および取り出す仕組みと関連しています。長期的な観点では、脳内にある他の情報と密接に接続された情報(大きく強固に張りめぐらされたクモの巣状のニューロンをイメージしてください)は、そうでない情報、つまり他の情報との関連付けが乏しく接続の弱い状態で保存された場合と比べて、はるかに簡単に記憶から取り出せるようになります。エラボレーションの問題に取り組み、学習中のトピックに詳細を付け加える訓練を実践すると、先に述べたニューロン同士の密接な結合の形成につながります。 では、この エラボレーション の原則を AWS クラウドの学習に活用するにはどうしたらよいでしょうか。以下にいくつかのアイデアを示します。 フォローアップ問題に挑戦する。反復学習 (小テストの問題に解答する、メモカードでセルフテストをする、難しい ハンズオンラボ […]

Read More

AWS Shield の脅威ランドスケープレポートが利用可能になりました

AWS Shield は、アプリケーションの脆弱性、不正なボット、分散サービス妨害(DDoS)攻撃から AWS で実行されているアプリケーションを保護する、マネージド型脅威保護サービスです。AWS Shield の脅威ランドスケープレポート(TLR)は、AWS Shield によって検出された脅威の概要が説明されています。このレポートは、AWS のお客様に代わって保護を構築するために、脅威状況を継続的に監視、評価している AWS 脅威リサーチチーム(TRT)によって作成されたものです。これには、 AWS WAF の AWS マネージドルール や AWS Shield Advanced など、サービスのルールと緩和策が含まれています。この情報を使用して、外部の脅威に関する知識を広げ、AWS で実行されるアプリケーションのセキュリティを向上させることができます。 2020 年第 1 四半期を対象とする最新のレポートから、調査結果の一部をご紹介します。

Read More
Weekly AWS

週刊AWS – 2020/6/15週

こんにちは、AWSソリューションアーキテクトの小林です。今週も週刊AWSをお届けいたします。 今回の個人的イチオシアップデートは、やはりAWS Snowconeでしょうか。いろいろなお客様と会話していると、AWSへのデータ移行に回線を利用するのは難しいけれども、Snowball Edgeを使うのはオーバーに感じる、というご相談を頂くケースがありました。Snowconeはこういったケースにピッタリの8TBのストレージで、筐体も小型軽量ですので便利にご利用いただけるお客様が多いんじゃないかな?と期待しています。東京リージョンではまだオーダーいただけませんので、もうしばらくお待ちください。 それでは、先週の主なアップデートについて振り返っていきましょう。

Read More
AWSではじめるデータレイク

「AWSではじめるデータレイク」出版記念データレイク解説セミナーの資料公開

去年よりAWSのメンバー4名(志村、上原、関山、下佐粉)でデータレイクの基礎からアーキテクチャ、構築、運用管理までをカバーした書籍「AWSではじめるデータレイク」を執筆してきたのですが、7月出版の目処がたったことを記念して、5月末から毎週木曜にデータレイクに関するWebセミナーを開催してきました。 幸いにも大変多くの方にご参加いただくことができました。ご参加いただいた方にはあらためてお礼申し上げます。 一方で、以前の回に出られなかったので資料だけでも公開して欲しい、というご要望をたくさん頂いていました。そこで今回第1回から第3回の資料を公開させていただく事になりました。 ※ 2020/06/25更新:第4回の資料を追加公開しました

Read More

SAPワークロードにおけるコストの削減、信頼性と可用性の向上、性能の向上

AWS上でSAPを稼働しているアクティブなお客様は5,000を超えています。私たちは常に、お客様のコストを削減し、信頼性と可用性を向上し、性能を向上する方法を検討しています。このブログでは、SAPのお客様に大きな影響を与える最近の素晴らしい発表をいくつかご紹介します。

Read More