Amazon Web Services ブログ

Category: Learning Levels

金融機関が機密性の高いデータのためにAWS のサービスを承認する方法

本投稿は ワールドワイドで金融業界を担当している プリンシパルソリューションアーキテクト の Ilya Epshteyn による寄稿を翻訳したものです。 グローバル展開されている金融事業グループの中でプリンシパルソリューションアーキテクトとして、私が最もよく聞かれる質問の1つは、特定の AWS サービスが 金融サービスで利用可能かどうかです。金融サービスのような規制された業界では、クラウドへの移行は単純なリフト&シフト作業ではありません。代わりに、金融機関は、 一般的にホワイトリストと呼ばれる秩序だったサービスごとの評価プロセスを使用して、クラウドサービスが規制上の義務にどのように対応できるかを実証しています。このプロセスが明確に定義されていない場合、クラウドにデータを移行する作業が遅れる可能性があります。 この記事では、最も機密性の高いデータに対するクラウドサービスのホワイトリスト化を簡素化するため、金融機関が焦点を当てるべき 5つの重要な考慮事項 で構成されるフレームワークについてご説明します。また、⾦融サービス組織がこの作業をする上で役⽴つ重要な AWS 機能についても概説します。 5 つの重要な考慮事項は、以下の通りです: コンプライアンスの達成 データ保護 コンピューティング環境の隔離 API による監査の自動化 運用上のアクセスとセキュリティ 私がこれまで関わってきたビジネスリーダーやテクノロジーリーダーの多くにとって、俊敏性と素早い変革がクラウド化の最大の推進要因です。金融サービス機関はクラウドに移行することで、パーソナライズされたデジタルエクスペリエンスの開発、データサイロの打破、新商品の開発、既存商品の利益率の向上、グローバルなリスクとコンプライアンス要件への積極的な対応を行いやすくしています。幅広い AWS サービスを使用する AWS のお客様は、クラウド導入の段階を進むにつれて俊敏性を高めることができるようになります。幅広いサービスを使用することで、組織は差別化につながらない面倒な部分を AWS に任せて、コアビジネスと顧客に集中することができます。 私の目標は、金融サービス機関が(本番環境とミッションクリティカルなワークロードの両方で)自社の極めて機密性の高いデータをクラウドに移行することに対し、ガイドを提供することです。以下の考慮事項は、金融サービス組織がクラウドサービスへの準備状況を判断し、クラウドで成功を収めるのに役立つでしょう。 1. コンプライアンスの達成 ホワイトリストのプロセスを使用する金融機関にとっての最初のステップは、クラウドサービスプロバイダー (CSP) のサービスの基盤となるコンポーネントが、基準となるコンプライアンスのベースラインを満たせるようにすることです。これについて確信を持つための重要な前提条件は、 AWS 責任共有モデルを理解することです。責任共有とは、AWS 上でアプリケーションが安全に機能するためには、CSP としてのAWSおよびお客様との両者でのアクションが必要であることを意味します。AWS のお客様は、クラウド 内 のセキュリティに責任があります。お客様は、コンテンツ、アプリケーション、システム、ネットワークのセキュリティを制御および管理します。 AWS は、 クラウドの セキュリティを管理し、サービスと機能の適切な運用の提供および維持し、AWS のインフラストラクチャとサービスの保護、運用上の優秀性の維持、関連する法的および規制要件を満たします。 責任共有モデルのAWS 側への信頼を確信するために、お客様は、独立した第三者監査人が作成したAWS System and Organization Controls […]

Read More

自宅で学ぼう!AWS 初学者向けの勉強方法 6ステップ!

こんにちは、AWS トレーニングの講師を担当しているテクニカルトレーナーの西村航です。 皆さん、もしくは皆さんの周りでこんな方はいませんか。「在宅勤務中に AWS を勉強するように先輩から言われているけど、どこかに勉強方法がまとまってないかな?」という悩みを抱えている方、または「同僚や部下に AWS の自宅での勉強を促しているけど、ちょうど良い無料の教材とか無いかな?」という悩みを抱えている方。 本記事は、そういった自宅で勉強する際の悩みを抱えた AWS 初学者の方や AWS 初学者を育成する立場にある方を対象にした記事になります。オフィスで勉強する場合と違って、自宅で勉強する場合は「周りの詳しい人にちょっと聞く」ことが難しいこともあるかと思います。そのため、疑問点やハマりどころに直面した際にどこのサイトをチェックすればいいのかなどの具体例も含めて、スモールスタートしやすい無償の勉強方法を中心に記載してみました。 それでは、私がこれまでに実施したトレーニングで複数のお客様からいただいた質問をベースに、自宅でもできる AWS 初学者向けの勉強方法を6ステップで順番にお話しします。   ステップ1. まず最初に何をするべき? まず最初は、AWS が選ばれる理由や、ビジネスでの活用方法やビジネスにもたらす効果を事例ベースで学びましょう。AWS でどういうことができるのか、クラウドのメリットとは何なのか、を理解することで、「なぜ AWS を自分は勉強するのか」という勉強の理由をハラオチさせることができます。 また、皆さんがよく使う動画視聴サービスや EC サイトなど普段利用しているアプリケーションの裏側の仕組みも知ることができるため非常に面白いです。それでは、オススメのリンクを3つ紹介します。 1. AWS のクラウドが選ばれる10の理由 ★西村イチオシ AWS がお客様に選ばれる理由に関して説明されています。図や表を用いて読みやすく記載されています。「必要な時に、必要なだけ、低価格で IT リソースを提供」「過去10年間で70回以上の値下げを実施」など AWS のポイントがシンプルな言葉で説明されていて、分量もちょうど良いです。 2. 日本国内のお客様の導入事例 多種多様な業種や企業規模のお客様がどのようにクラウドを活用いただいているのかが網羅的にまとまっています。例えば、 エンタープライズ企業  や  スタートアップ企業 などの規模別でも見ることができますし、 ウェブ・モバイルアプリケーション  や バックアップ・災害対策 などの利用用途別でも見ることができます。 お客様の AWS の活用方法や、お客様のビジネスへの効果などが記載されているため、ビジネスの現場での AWS の活用シーンがイメージしやすくなります。なお、分かりにくい単語に関しては AWS の用語集 を確認することで理解が深まります。 3. セッション資料・動画一覧 – AWS Summit 2019 ( Tokyo / Osaka ) 当日のセッションが資料または動画で視聴できます。特にお客様事例セッションは、お客様のシステムにかける”熱意”が伝わってきますし、ビジネス上の課題を AWS でどのように解決していくのかのストーリーが分かりやすく、「AWS を勉強してみよう!」という気分になります。なお、2019年のリンクを記載していますが、2018年以前の AWS Summit の資料も公開されていますので、合わせてチェックしてみましょう。     ステップ2. AWS サービスの全体像を掴むには? 先ほどのステップでは、AWS が選ばれる理由やビジネスでの活用例に関して説明しましたが、資料に目を通してAWS が提供するサービス数の多さに驚かれた方もいらっしゃると思います。 AWS のクラウドが選ばれる10の理由 でも記載されている通り、AWS はお客様の満足度を何よりも大事にしています。そのため、サービスの機能改善は90%以上がお客様の要望をもとに実装されていますし、165を超えるサービスが提供されています。 とは言いつつも、サービスの多さゆえにサービスの全体像を理解するのが少し難しい、というのが初学者の方が最初に直面する壁です。その壁を乗りこえるためには、AWS のサービス群の全体を俯瞰しながら理解していき、点と点を線でつないでいきましょう。オススメの勉強方法は以下の2つです。 1. AWSome Day AWS に関する基礎知識を 1 日で体系的に学ぶ無償のオフライン/オンラインのトレーニングイベントです。オフライン開催は日程など含めて調整中ですが、自宅から視聴できるオンライン開催もありますのでホームページでスケジュールをチェックしてみましょう。 2. AWS クラウドプラクティショナーの基礎知識 (第2版) ★西村イチオシ AWSトレーニングポータルでは、何度でも視聴できるオンデマンドの デジタルトレーニング が無料で提供されています(様々な言語で視聴でき、70を超えるコースが日本語化されています)。その中でも本コースは、先ほど紹介した AWSomeDay と同等の内容で、AWS を全体的に理解したい方を対象としている基礎レベルですので、技術職の方に限らず営業職の方など含めてオススメのコースとなっています。 ちなみに、AWSの無料デジタルトレーニングで Exam Readiness と検索すると、各認定試験の試験準備コースも視聴できます。 […]

Read More

産業用IoT – コンディションベースのモニタリングから品質予測まで、AWS IoTサービスで工場のデジタル化を実現

産業用IoT(IIoT)は、産業用機器やオートメーションネットワーク(通常はOT、オペレーションズテクノロジーと呼ばれる)と情報技術(IT)の間のギャップを埋めるものです。ITでは、機械学習、クラウド、モバイル、エッジコンピューティングなどの新技術の利用が一般的になりつつあります。IIoTは、機械、クラウドコンピューティング、分析、人を結びつけ、産業プロセスのパフォーマンス、生産性、効率性を向上させます。これにより、顧客は品質予測とメンテナンスのためにIIoTアプリケーションを利用したり、どこからでも操作を遠隔監視することができます。 しかし、IIoTの価値を実現することは容易ではなく、下記のような製造業の方々を妨げる3つの要素があります。 データの収集頻度が低すぎる データにアクセスするのが難しい 個々に収集したデータをつなぎ合わせることができない この投稿では、産業企業が品質予測を使用して機器設定の調整をしたり様々な原材料を調整したり、さらには追加の労働者へのトレーニングなどを行うことによって工場の生産品質を向上していく方法について探っていきます。 AWS IoT サービスを活用することで、鉱業、エネルギー・公益事業、製造業、精密農業、石油・ガスなど、さまざまな業種の産業企業は、運用データに基づいて推論を行い、パフォーマンス、生産性、効率性を向上させることができます。 業界の現状と課題 鉱業、エネルギー、製造業、農業、石油・ガス、またはその他の産業市場セグメントのいずれであっても、過去10年、20年、あるいは30年に渡って、十分に機能してきたレガシー機器を持っています。多くの産業企業は、産業用 PC(IPC)、プログラマブルロジックコントローラ(PLC)、またはリアルタイム分散制御ネットワーク(fieldbuses)を接続した大規模分散制御システム(DCS)、および監視制御・データ収集(SCADA)システムなどの運用技術に多額の投資を行ってきました。これらの運用は、数十年続くように設計、導入され深く定着しており、置き換えることは非常に困難です。 次の図は、ISA-95 産業用エッジアーキテクチャと上記の要素がどのように関連しているかを示しています。 図1 – ISA 95モデルによる自動化ピラミッド(出典:researchgate.net) IoTや機械学習、コンピュータビジョンのような新しい技術の恩恵を受けようとすると、IoTアプリケーション用に設計されていない既存の機器やシステムを適応させなければなりません。 あらゆるIIoTアプリケーションの最初の課題は、様々な製造現場の様々なデバイス(センサー、アクチュエーター、電気モーター)からデータを収集するためにレガシー機器を接続することです。多くの場合、異なる産業プロトコルを接続したり、装置を新たに追加することで新しいテクノロジーを古いシステムに追加し、測定やリモートコントロール、接続を行なっていきます。 2番目に、そして最も重要な課題は接続性と一緒に考える必要があるセキュリティです。デバイスとそのデータの安全性を確保しなければなりません。生産環境で機器やシステムに障害が発生すると、コストのかかるダウンタイムが発生し、ビジネスに影響が出る可能性があります。産業用の接続デバイスがクラウド接続されていない場合でも、最高のパフォーマンスで動作するようにしなければなりません。データ収集プロセスは、デバイスの操作を妨害してはならず、遠隔操作や更新操作は、許可されたオペレーターのみから安全な方法で行われるようにしなければなりません。 データの安全性を確保したら、洞察力を得るための3番目の課題がやってきます。データは工場の異なる「フロア」(ISA-95 アーキテクチャの異なるレベル)に固定されます。すべての生データから洞察を得るためには、これらのデータが異なるデバイスや製造現場、時系列、フィールドバス、システム、またはデータベースからのものであるかどうかに関わらず、データを接続することが重要です。 どのように動作するか AWS IoTは、企業がビジネス目標を達成するための課題を克服するのに役立ちます。 まず、AWS IoTを利用することで、小型のマイクロコントローラからより強力なゲートウェイデバイスまで、あらゆるタイプのデバイスを簡単に接続、管理、更新できます。既存のハードウェアをオーバーホールしたり交換したりすることなく、シンプルなセンサーを導入してプロセスを監視したり、主要なパフォーマンス指標を追跡したりすることで、プログラマブルロジックコントローラ(PLC)や監視制御・データ収集(SCADA)システムなど、製造現場にある既存のレガシー機器を統合できます。 2番目に、AWS IoTには組み込みのデバイス認証と認証機能を提供して、IoTデータとデバイスを保護し続けます。また、デバイスに関連するセキュリティポリシーを継続的に監査したり、デバイスの異常な動作を監視したり、何かおかしいと思ったらアラートを受信したりすることができます。また、デバイスの電源を切ったり、セキュリティ修正プログラムを適用するなどの是正措置を取ることもできます。 3番目に、AWS IoTは、接続されたデバイスが断続的なインターネット接続で動作できるようにし、予期しないダウンタイムのリスクを軽減します。インターネット接続が可能になるまでも、機械学習モデルやソフトウェアコードを実行したり、データをローカルに保存したりすることができます。 AWS IoTは「プラグアンドプレイ」機能を提供しているため、IoTアプリケーションを数千から数百万台のデバイスに拡張することができます。AWS IoTを利用することで、デバイスのインベントリの整理、デバイスの監視、デバイスソフトウェアのOTA(Over-the-Air)アップデートを含む様々な場所でのデバイスのリモート管理が可能になります。 次の図では、様々なAWS IoTサービスがどのように連携してIIoTを実現しているかを示しています。 図2 – AWS IoT産業用リファレンスアーキテクチャ デバイスが安全に設置されると、AWS IoTはIoTデータの分析を簡単に実行できます。AWS IoTは、IoTデータの収集、処理、分析を迅速かつ簡単に行うことができるため、運用に関する洞察を得ることができます。AWS IoTはAmazon SageMakerと統合されているため、産業用IoTデータに対して機械学習モデルを構築でき、これらの機械学習モデルは、クラウド上で実行したり、デバイスのローカルにデプロイできます。Amazon QuickSightを利用することで、データを可視化して探索し、チーム間で洞察を共有できます。 次のセクションでは、さまざまなAWS IoTサービスが最も重要な産業用ユースケースをサポートするためにどのように価値を提供するかについて詳しく説明します。 アセットの状態監視 予知保全 品質予測 産業用ユースケースとアーキテクチャのウォークスルー アセットの状態監視 アセットの状態監視では、機械や設備の状態を取得することで、現場や工場のアセットがどのように機能しているかを把握することができます。一般的に、温度、振動、エラーコードなどのデータは、機器の使用状況が最適かどうかを示しますが、技術者が機械を物理的に検査する必要があるため、手動で取得することは困難です。AWS […]

Read More

面白法人カヤックにおけるビルディングブロックとしてのAmazon ECSの活用とサービス間連携の工夫

開発者がアプリケーションを開発・パッケージング・デプロイするための強力な手法として、コンテナ技術はその代表的な1つに挙げられます。そしてそのようなコンテナ技術における様々なユースケースをサポートすべく、AWSではAmazon Elastic Container Service (Amazon ECS) に代表される多様なサービスを提供しています。
面白法人カヤック の技術部/インフラエンジニアである 藤原 俊一郎 氏にゲスト投稿いただき、Amazon ECS をはじめとした各AWSサービスをビルディングブロックとして組み合わせて利用していく上での課題と、その解決策の実例を紹介します。

Read More

AWS Fargate と Prowler を使用して、AWS サービスに関するセキュリティ設定の検出結果を Security Hub に送信する

このブログ記事では、オープンソースのセキュリティツールである Prowler を AWS Security Hub と統合する方法を紹介します。Prowler は Amazon Redshift、Amazon ElasticCache、Amazon API Gateway および Amazon CloudFront などのサービスに関する多数のセキュリティ構成チェックを提供します。Prowler と Security Hub を統合すると、既存の Security Hub 連携、またはコンプライアンス標準で現在ではカバーされていないリソースに関する情報が提供されます。Prowler チェックを使用することで、Security Hub で既に提供されている既存の CIS AWS Foundations コンプライアンスや、パートナーソリューションから取り込むコンプライアンス関連の検出結果を補うことができます。 この記事では、Docker を使用して Prowler をコンテナ化し、サーバーレスコンテナサービス AWS Fargate でホストする方法について説明します。Prowler を Fargate で実行すると、インフラストラクチャのプロビジョニング、構成、拡張が不要になり、必要なときにのみ実行されます。コンテナはアプリケーションのコード、設定、および依存関係をどこでも実行できる1つのオブジェクトにパッケージ化する標準的な方法を提供します。サーバーレスアプリケーションは、サーバーのプロビジョニング、スケーリング、および管理を必要とせずに、ユーザーが定義したイベントに応じて自動的に実行およびスケーリングされます。

Read More

AWS Config ルールの評価結果を Security Hub にインポートする方法

2019年6月の re:Inforce 2019 で、AWS は AWS Security Hub の正式リリースを発表しました。AWS Security Hubは、お客様がコンプライアンスチェックとセキュリティの評価結果を AWS アカウント間で共有し、一元的に表示、管理できるセキュリティサービスです。AWS Security Hub は AWS Guard Duty、Amazon Inspector、Amazon Macie、および 30 以上の AWS パートナーセキュリティソリューションからセキュリティ検出結果をインポートできます。 デフォルトでは、Security Hubが有効になると、CIS AWS Foundations がお客様のアカウントにデプロイされます。 CIS AWS Foundations は、AWS アカウントを強化するためのセキュリティ設定のベストプラクティスのセットです。Security Hub が CIS AWS Foundations に含まれているルールでコンプライアンスチェックを実行するためには、AWS Security Hub を有効にしたアカウントと同じアカウントで AWS Config を有効にする必要があります。 AWS Security Hub を有効にする前に、独自の AWS Config ルールを作成したことがある場合は、それらを AWS Security […]

Read More

AWS Security Hub PCI DSS v3.2.1 コンプライアンス標準の使用方法

2020年2月13日に、AWS は、AWS Security Hub に Payment Card Industry Data Security Standard (PCI DSS) バージョン 3.2.1 要件の部分的なサポートを追加しました。 この更新により、PCI DSS の要件のサブセットを検証でき、継続的かつ自動化されたチェックを実施することにより、進行中の PCI DSS 準拠の活動を支援します。新しい Security Hub コンプライアンス標準により、AWS リソースを積極的に監視することも容易になります。これは、カード会員データの保存、処理、または送信に関与する企業にとって重要です。また、Security Hub コンプライアンス標準のセキュリティスコア機能もあり、PCI DSS 評価の準備をサポートできます。

Read More

AWS Security Hubによる自動対応と修復

AWS Security Hub は、複数の AWS アカウントにわたるセキュリティとコンプライアンスの状態を可視化するサービスです。AWS のサービスおよび APN パートナーソリューションからの検出結果を処理することに加えて、Security Hub にはカスタムアクションを作成するオプションがあり、お客様は特定の検出結果に対して特定の対応と修復アクションを手動で呼び出すことができます。カスタムアクションは特定のイベントパターンとして Amazon CloudWatch Events に送信されます。CloudWatch Events ルールは、Lambda 関数や Amazon SQS キューなどのターゲットサービスをトリガーできます。 特定の検出結果タイプにマッピングされたカスタムアクションを作成し、そのカスタムアクションに対応する Lambda 関数を作成することにより、これらの検出結果のターゲットを絞った自動修復を実現できます。これにより、お客様は特定の検出結果に対して何の修復アクションを呼び出すかどうかを明確にできます。お客様は、これらの Lambda 関数を、人が介在しない完全に自動化された修復アクションとして使用することもできます。 本ブログでは、カスタムアクション、CloudWatch Events ルール、および Lambda 関数を作成する方法を紹介します。これらによって、CIS AWS Foundations ベンチマークの十数個のコンプライアンス検出結果を修復できます。また、検出結果を課題管理システムに送信し、セキュリティパッチを自動化するユースケースについても説明します。このソリューションをお客様がすぐにご利用できるように、AWS CloudFormation から必要なコンポーネントの大部分をデプロイします。

Read More

AWS CodeDeploy が Amazon ECS の線形デプロイと Canary デプロイをサポートするようになりました

 AWS CodeDeploy は、Elastic Container Service (Amazon ECS) のブルー/グリーンデプロイサポートを拡張し、AWS Fargate または Amazon Compute Cloud (Amazon EC2) でホストされるアプリケーションの Canary および線形デプロイを含めます。 ブルー/グリーンデプロイは、アプリケーションバージョンの変更による中断を最小限に抑えるために、AWS CodeDeploy が提供する安全なデプロイ戦略です。これは、グリーンと呼ばれる新しいアプリケーション環境と、ブルーと呼ばれるライブトラフィックを処理している現在のアプリケーションを作成することによって実現されます。これにより、ライブトラフィックがブルーからグリーンにルーティングされます。その後、ブルーのリソースがオフになる前に、グリーンの環境を監視およびテストするための一定期間が許可されます。 Amazon ECS のブルー/グリーンデプロイを最初に立ち上げた後、多くのお客様は、アプリケーションの更新によって一定期間にわたって変化するトラフィックの量を制御することに関心を示しました。  CodeDeploy を介した線形デプロイと Canary デプロイでは、新しいアプリケーションバージョンへのライブトラフィックの露出をトラフィック全体のパーセンテージに制限することで実現し、残りのトラフィックをルーティングする前にパフォーマンスを監視します。Amazon CloudWatch アラームを設定することもできます。問題が検出された場合、CodeDeploy は自動的にトラフィックルーティングを元のバージョンに戻します。  CodeDeploy は、ALB の加重ターゲットグループを使用してこれを実現します。 この記事では、Fargate でホストされる Amazon ECS の新しい線形デプロイと Canary デプロイを構成する方法を示します。 今日は次の内容を行います。 CodeDeploy をコントローラとして ECS サービスを作成する 新しい線形構成を使用して新しいデプロイグループを作成する 1 分ごとにトラフィックの 10% をルーティングするためのプリセット線形デプロイ構成を使用して、CodeDeploy ブルー/グリーンデプロイをトリガーします。 現在、次の事前定義された線形および Canary […]

Read More

Amazon Connect を使用して内線番号ベースのダイヤルソリューションを構築する方法

本投稿は Connect Specialist SA の Sayed Hassan による寄稿を翻訳したものです。 コンタクトセンターでは、発信者が特定のエージェント(担当者)に直接かけられるよう、各エージェントに内線番号を割り当てることが一般的に行われています(訳注:米国の場合)。これにより、各エージェントに 直通電話番号(ダイヤルイン) を割り当てる必要性が低減されます。応答可能なエージェントに顧客がランダムに割り当てられるのではなく、希望するエージェントと直接話したいアカウント管理シナリオでは、顧客がエージェントに直接かけられるようにするのが一般的です。本投稿では、このようなビジネス上のユースケースを解決するために、Amazon Connect を使った内線番号ベースのダイヤリングの仕組みを見ていきます。 内線番号ベースのダイヤルソリューションを構築するには、Amazon Connect、AWS Identity and Access Management (IAM) ロール、Amazon DynamoDB テーブル、AWS Lambda 関数を含む AWS サービスを使用します。 概要 このソリューションを構築するには、次のステップを実行します。 1.   内線番号とエージェントID間のマッピングを保持する DynamoDB テーブルを作成します。 2.   Lambda 関数が DynamoDB 内のエージェント ID を参照できる IAM ロールを作成します。 3.   実際の検索用の Lambda 関数を作成します。 4.   Amazon Connect に Lambda 関数を追加します。 5.   Lambda 関数を実行する問い合わせフローを作成します。 前提条件 このソリューションを構築するには、Amazon Connect インスタンスをプロビジョニングし、エージェントを作成する必要があります。詳細については、Amazon […]

Read More