Amazon Web Services ブログ

AWS 利用標準化ガイドライン策定のベストプラクティス

組織で横断的に AWS の展開を進めていくにあたり、クラウド環境の統制、セキュリティ対策、品質の確保にお悩みではありませんか?

組織で AWS の利用を拡大する際には、それぞれの環境において確実に統制を効かせ、適切なセキュリティ対策を行い、品質のばらつきを抑えることが欠かせません。その際に有効なアプローチが AWS 利用標準化ガイドライン(以下「ガイドライン」と記載)の活用です。本ブログではガイドラインを策定し、有効に活用するためのベストプラクティスをご紹介します。

 

はじめに

多くの企業や政府機関において、クラウドの活用を加速する動きが加速しています。しかし、その過程において以下のような課題に直面するケースがあります。

  • 設計・運用方針がバラバラで統制が取れていない
  • セキュリティ対策が十分に実装されていない
  • 担当者によって品質にバラつきがある
  • 基盤機能が重複しており非効率
  • 情報セキュリティ基準など社内規定がクラウドを想定していない

上記の課題に対する施策としてお客様の AWS 環境で遵守すべきルールや、システムを開発・運用するにあたり標準となる事項を定めたガイドラインによって、利用目的や組織に沿った統制をかけながらクラウドの利用拡大に向けた足がかりを作ることができます。
我々 AWS Professional Services ではさまざまなバックグラウンドを持つお客様においてガイドライン策定をご支援してきました。その中で培った効果的なガイドラインを策定し活用するためのベストプラクティスを以下の5つの STEP でお伝えします。

STEP1:位置付け・目的を明確にする
STEP2:対象範囲を定める
STEP3:統制の方針を定める
STEP4:ガイドラインの運用を定める
STEP5:共通基盤を整備する
 

ガイドライン策定のベストプラクティス

STEP1 :位置づけ・目的を明確にする

ステークホルダーの確認

ガイドラインを有効に活用するためには、クラウドの活用およびシステムの設計・開発・運用における関係者を適切なタイミング・役割で巻き込むことが重要です。クラウドの推進を行う CCoE(Cloud Center of Excellence)やシステムを構築する開発者だけでなく、運用部門、インフラ共通基盤部門、セキュリティ部門など様々なステークホルダーと連携を行う必要があります。また、各ステークホルダーの役割やタスクを整理し、必要に応じて検討の段階から巻き込み同意を形成します。

<ステークホルダーの確認と整理イメージ(例)>

担当者 役割 タスク 部門や担当
1.CCoE クラウド活用の推進および運営の中心
  • ガイドラインの整備と啓蒙活動
  • クラウド環境の運営におけるステークホルダー間の調整
 クラウド推進担当
2.セキュリティ クラウド環境におけるセキュリティの維持
  • 遵守すべきセキュリティポリシーの定義
  • セキュリティ機能の構築・運用
  • セキュリティ遵守状況のチェック
  • セキュリティインシデント発生時の対応
  • サイバーセキュリティ担当
  • CSIRT
3.共通基盤管理 クラウド環境におけるシステム横断的な共通基盤・機能を提供する
  • 共通基盤の構築・運用
    • クラウド環境と外部の接続(ユーザー接続、オンプレミス、インターネット、外部ベンダーなど)
    • システム間接続
    • 認証基盤
    • 運用機能

など

 インフラ共通担当
4.システム担当 クラウド環境上で稼働するシステムの構築・運用
  • システムで利用する AWS リソースの構築・運用
  • アプリケーション構築・運用
 各システム所管部門
5.運用 クラウド環境における運用管理
  • システム稼働状況の監視
  • 運用タスクの実施
 運用管理担当
6.経理・財務 AWS利用コストの配分および適正化
  • コストの配分方針、購入オプション等検討
  • コスト状況のチェック
  • AWS への利用料の支払い
 経理部

スコープを明確にする

ガイドラインのスコープを明確にし、ステークホルダーと共有します。ガイドラインを作成することはゴールではなく、ガイドラインを活用し AWS 上で(または AWS サービスを活用して)システムを設計・開発・運用することが目標となります。そのために、ガイドラインの目的、適用範囲、対象読者、含める内容、利用方法等を明確にし、関係者で共有することが重要です。

<ガイドラインのスコープ整理(例)>

目的 以下を達成するために AWS 利用における指針や最低限の共通ルール・標準設計を定めるもの

  • 各システムが AWS 上に構築する環境において遵守すべき統制やセキュリティ対策を徹底する
  • 設計品質を一定レベルに保ち効率的な構築作業を推進する
適用範囲
  • 当ガイドラインは全社の AWS を利用するシステムにおいて適用するものとする
対象読者
  • AWS を利用したシステムの開発/設計/運用に関わるメンバー、またはそのプロジェクトに従事するパートナー
  • AWS へのシステム移行を計画するメンバー、担当者
含める内容
  • AWS 環境におけるシステム設計を行う前提となる設計標準をアーキテクチャー、セキュリティ、運用機能の観点から提示し、守るべき規約を定める
  • AWS 環境におけるシステム設計者に対するベストプラクティスや設計方針を提示する
利用方法
  • システム設計時に、当ガイドライン記載の設計方針を把握し、原則としてこれに従い設計する
  • システム設計のレビュー時に、当ガイドラインの方針、規約に則っているかを確認する
  • 特にネットワークおよびセキュリティに関する最低限の設計ルールは、当ガイドラインに従った設計・運用を計画することを必須とする
  • 新規に参画したメンバーや AWS 環境へのシステム移行を計画するメンバーに AWS 環境における設計のベースとなっている考え方、守るべき基準を周知する

社内規定との関連

社内セキュリティ規定、運用規定、ネットワーク規定などクラウドの運用に影響する社内規定との関連やガイドラインの位置づけを明確にし、整合性を確保します。また、既存の社内規定がクラウドの利用を想定していない、あるいは十分に考慮されていない場合には、既存の社内規定を改訂する、あるいはガイドラインでクラウドの利用を前提として規定を補います。そしてガイドラインを社内の規定や開発プロセスに組み込むことで、AWS 環境におけるシステム開発プロジェクトで確実に適用されることを仕組み化します。

<社内の文書体系との関連(例)>
 

STEP2 :対象範囲を定める

ガイドラインのスコープや AWS 活用を進める上での関心事に合わせ、取り扱う範囲を定めます。対象範囲は遵守すべき統制を定義する、システムの構成ルールを定める、標準的な設計方針により品質の均質化を図るなど、目的に沿って範囲を見定めます。
以下に AWS Professional Services がガイドライン策定のご支援の中でベースラインとして用いているガイドラインの章立てをご紹介します。

<ガイドラインの章立て(例)>

No 項目 含める内容 関連する AWS サービス
1 標準化ガイドライン
  • ガイドラインの目的
  • ガイドラインの対象範囲
  • ガイドラインの運用
2 アカウント設計
  • AWS アカウントの構成
  • アカウントの展開方法
  • 組織・アカウント単位で行う統制の方針
 AWS Organizations, AWS Control Tower
3 ネットワーク設計
  • AWS 環境内のネットワーク構成
  • オンプレミス環境との接続
  • インターネット接続構成
 Amazon VPC, AWS Transit Gateway, AWS Direct Connect, Amazon Route 53
4 アイデンティティ管理とアクセス管理
  • AWS 環境における認証・認可
  • 権限設計の方針
  • ユーザー管理
 AWS IAM, AWS IAM Identity Center( 旧 AWS SSO)
5 発見的統制
  • セキュリティ監視
 AWS CloudTrail, AWS Config, Amazon GuardDuty, AWS Security Hub, Amazon Inspector
6 インフラストラクチャ保護
  • データ漏洩対策
  • インバウンド通信の保護
  • アウトバウンド通信の制御
 AWS Shield, AWS WAF, AWS Network Firewall
7 データ保護
  • データの管理方法(アクセス制御, 保管設定)
  • 保管データの暗号化
  • 通信データの暗号化
 Amazon S3, Amazon Key Management Service(KMS), Amazon Certificate Manager(ACM)
8 監視
  • AWS サービス稼働状況の監視
  • リソースの稼働状況の監視
 Amazon CloudWatch, AWS Trusted Advisor, AWS Health
9 ログ管理
  • 取得するログ
  • ログの保管・管理
 Amazon CloudWatch, Amazon S3
10 インシデント対応
  • インシデント発生時の運用
 Amazon EventBridge, AWS Config
11 災害対策とバックアップ/リストア
  • 災害対策
  • バックアップ/リストア
 AWS Elastic Disaster Recovery, AWS Backup
12 インフラプロビジョニング
  • リソースのプロビジョニング方法
  • AWS サービスのコード化
 AWS CloudFormation, AWS Cloud Development Kit(CDK)
13 運用管理
  • インスタンス管理
  • 運用ジョブの実行形式
  • タグの管理
  • サポートの利用
 AWS Systems Manager, AWS Support
14 コスト管理
  • コスト管理
  • コスト最適化
 AWS Billing and Cost Management, AWS Compute Optimizer

STEP3:統制の方針を定める

ガイドラインは全社や部門など対象とする範囲内で統制を効かせることが大きな目的となります。そこで、ガイドラインで定める統制の考え方について方針を定めます。統制の考え方としては、大きく以下に述べるレギュレーション型とガードレール型の2通りの考え方に大別されます。

  • レギュレーション型:許可すること、禁止することを細かくルールとして定義し、事前に承認された利用のみを許可する
  • ガードレール型:ポリシー違反につながるアクションを禁止する(予防)、あるいはポリシー違反を検出しアラートを提供(検出)するルールを環境に適用することで統制を実現する

AWS では新サービスの提供や機能改善が頻繁に行われるため、レギュレーション型で細かくルールを設け事前に承認を与えることを前提とすると管理負荷が高くなることがあり、AWS の活用範囲が広がるにつれてルールの管理がボトルネックとなるケースも散見されます。クラウドが提供する価値を活かし柔軟かつスピード感を維持するため、最低限の規制と権限移譲をセットで進めるガードレール型の統制をできる限り取り入れることを推奨しています。
 

STEP4 :ガイドラインの運用を定める

執筆・レビュー

ガイドラインは広い範囲をカバーし、ステークホルダーも多岐に渡るため、執筆とレビュー、承認のプロセスを事前に明確にします。まず、執筆、レビュー、承認の担当者とその役割を以下のように定義します。

<役割の定義(例)>

  • 執筆:クラウドを推進する部門( CCoE )のメンバー
  • レビュー:セキュリティ部門、運用部門などステークホルダー
  • 承認:クラウドを推進する部門の責任者

また、レビューに向けてレビュー観点を明確にし、担当者間で認識を合わせます。

<レビュー観点(例)>

レビューの種類 レビュー観点
執筆時チーム内レビュー
  • 検討不足、調整不足による残項目が残っていないこと
  • 実装、運用のフィージビリティが確認されていること
  • 言葉での解説が困難な場合、図や絵を用いて説明されていること
  • 参考となる技術情報、設計のポイント、決定した理由が明記されていること
  • 想定読者の知識レベルと合っていること(必要に応じて補記やリファレンスがあること)
  • 「必須」「推奨」「任意」など定義されている項目のレベル感が明確であること
  • 利用者側で選択の余地がある記載の場合、選択基準が明確になっていること
  • 将来的に決定すべきこと、暫定として仮置きしたことが明確になっていること
ステークホルダーレビュー セキュリティ担当、共通基盤担当、各システム担当、運用担当、経理・財務担当など、それぞれの担当領域に関連して以下の観点でレビューを行う

  • 担当する関連する規定・ドキュメントとの整合性がとれていること
  • 担当する領域における役割が明確に定義されていること
  • 責任範囲について合意が形成されていること

展開・運用

ガイドラインは社内のポータルサイトなどアクセスしやすい場所に最新版を公開します。また、フィードバックを受け付ける窓口と方法を周知し、質問や要望を吸い上げる仕組みを展開します。
さらにガイドラインの理解を促すため、利用システムの担当者やステークホルダーを対象とし説明会を開催します。説明会は AWS の利用システムの担当者には使用開始時に必ず実施するなど適切なタイミングで開催し、ガイドラインを確実に浸透させる手段として継続的に用います。

ガイドラインはお客様における AWS の利用状況や AWS サービスのアップデートに合わせ、継続的にメンテナンスを行います。そのためガイドラインの運用に関わる担当者と役割を明確にし、半年に一度は改訂版をリリースするなど運用ルールを定めます。

<ガイドラインの運用ルール(例)>

項目 内容
ガイドラインのオーナー 標準化ガイドラインの運営は、CCoE が担当し、ガイドラインの管理・更新、社内への展開を実施する
ガイドラインの展開
  • ガイドラインの最新版は社内ポータルに掲載・周知し、ステークホルダーから常に参照可能な状態とする
  • AWS の利用を開始するシステムの担当者に対して説明会を開催するとともに、定期的に CCoE にて開催する勉強会にて展開を行う
ガイドラインの改訂
  • ガイドラインは継続的に CCoE が主幹となり更新を行う
  • AWS 上の利用システムの変化、 AWS サービスの Update、設計のベストプラクティスの変化等により内容が陳腐化することを防ぐため、随時見直しを行い、少なくとも半期に一度改訂版の展開を行う
ガイドラインへの要望・フィードバック ガイドラインの内容に関するお問い合わせ・要望は CCoE が展開するチケット管理システムにて受け付ける

 

STEP5 :共通基盤を整備する

ガイドラインではアカウントの展開、ログ集約、セキュリティ監視、共通運用機能、外部接続など、システム横断的に利用する共通機能の提供方針が含まれます。そこで、あらたに作成する、あるいは既存機能の拡張など共通基盤を整備するタスクが通常発生します。複数 AWS アカウントを利用するエンタープライズのお客様を想定した共通機能の例を以下にご紹介します。提供範囲はガイドラインの中で定義します。

<共通基盤の整備タスク(例)>

カテゴリ 作成対象(例)
共通基盤アカウント
  • 管理アカウント
  • ログ集約アカウント
  • セキュリティ監視アカウント
  • 外部接続アカウント
  • 認証アカウント

など
アカウント横断共通機能
  • AWS アカウント払い出し
  • 社内ユーザー管理基盤と連携した認証
  • VPC 間接続
  • 外部接続
    • オンプレミス接続
    • インターネット接続
    • AWS サービス接続 など
  • セキュリティ監視/通知
AWS 環境共通運用手順
  • AWS 環境の利用開始(Organizations の作成)
  • 利用ユーザーの登録・削除
  • 各種 AWS リソースの作成
  • セキュリティインシデント発生時の運用フロー

迅速に AWS 環境の利用を開始するため、ガイドライン作成と並行し共通基盤の整備を進めることをおすすめします。完全な形でなくとも、より早期に運用をスタートし、改善点をブラッシュアップしていくことが効率的です。

AWS 環境を利用するシステムの利用開始にあたり、AWS アカウントを払い出します。統制を徹底し、素早くベースラインの環境を提供するため、AWS Control Tower の活用などによりあらかじめ統制をガードレールとして適用したり共通基盤の機能を組み込んだ landing zone を整備しておくことが効果的です。
 

最後に

本ブログでは、AWS 利用標準化ガイドラインを作成・有効活用するための5つの STEP をご紹介しました。クラウドの展開は適切に統制を効かせ、セキュリティおよび設計の品質を担保することが重要です。ガイドラインによって遵守すべき統制を定義し、設計のベースラインを定めることは有効なアプローチです。
ガイドラインを実効性があるものとするためステークホルダーと位置付けや目的の共通認識を形成し、AWS の進化や組織の成熟度に合わせて継続的にガイドラインのメンテナンスを行う体制と運用を整備します。
ガイドラインの方針を具現化する共通基盤を整備し、利用システムに環境を速やかに提供し、本格移行をスタートさせます。
AWS Professional Services ではお客様のクラウド移行を加速させるガイドライン策定におけるノウハウやクラウド活用におけるベストプラクティスを多くのお客様のご支援を通じて蓄積しています。お客様が抱えておられる課題に応じて、必要とするご支援を各種取り揃えておりますのでご期待ください。
 

このブログの著者

野田 隼平(Jumpei Noda)
プロフェッショナルサービス本部 インフラストラクチャーアーキテクト

 
 
 
 
阿部 朝彦(Tomohiko Abe)
プロフェッショナルサービス本部 カスタマーデリバリーアーキテクト