【週刊 Ask An Expert #56】セキュリティのレビューをしてほしい – 先週の #AWSLoft で受けた質問をざっくり紹介！

こんにちは、スタートアップ ソリューションアーキテクトの塚田 (Twitter: @akitsukada) です。

最初にちょっとスタートアップなみなさんに耳寄りのお知らせを一つさせていただきます。みなさん、5/11 ~ 5/12 の AWS Summit Online には登録しましたか？今年は、基調講演、個別セッションに注目のスタートアップから登壇いただく他、スタートアップのための特設コンテンツである「スタートアップZone」もご用意しています。もちろん、AWS の Startup SA によるテクニカルセッションもお届けします！

AWS Summit Online 2021 スタートアップ向け詳細および参加登録はこちらから！

5/11 (火) Day 1 基調講演 「テクノロジーが変えるこれからの日本社会」

• 株式会社ディー・エヌ・エー 代表取締役会長　南場 智子 氏
• 株式会社RABO 代表取締役社長　伊豫 愉芸子 氏
• アマゾン ウェブ サービス ジャパン株式会社 代表取締役社長　長崎 忠雄
• アマゾン ウェブ サービス ジャパン株式会社 事業開発本部 事業開発統括本部長　佐藤 有紀子

5/12 (水) Day 2 基調講演 「ビジネス変革に必要な柔軟性」

• 中外製薬株式会社 執行役員 デジタル・IT統轄部門長　志済 聡子 氏
• 株式会社Studio Ousia Chief scientist　山田 育矢 氏
• AWS グローバル インフラストラクチャ＆カスタマーサポートシニアバイスプレジデント　ピーター・デサンティス
• AWS BI & アナリティクスサービスバイスプレジデント　ドロシー・リー

スタートアップ Zone

• カルチャー無き Startup に成長なし！？～ LayerX 代表取締役 CTO と企業カルチャーの核心に迫る～
  株式会社LayerX 代表取締役 CTO　松本 勇気 氏
• re:Cap for startups シリーズ
  アマゾン ウェブ サービス ジャパン株式会社 Startup Solutions Architects
  針原 佳貴, 野口 真吾, Torgayev Tamirlan
• フェイズ別スタートアップの技術選定
  アマゾン ウェブ サービス ジャパン株式会社 Startup Solutions Architect
  齋藤 祐一郎 “koemu”

Featured セッション

• 5 月 12 日 (水) CUS-02
  実践的 AWS アーキテクチャ〜 LayerX INVOICE の高速開発を支える技術〜
  株式会社LayerX 取締役 DX事業部長　榎本 悠介 氏
  株式会社LayerX CTO室 リードエンジニア　高江 信次 氏
• 5 月 12 日 (水) CUS-03
  AWS と KARTE で作る User State Driven System
  株式会社プレイド Head of Engineering　竹村 尚彦 氏
• 5 月 12 日 (水) CUS-08
  コロナ禍で急拡大したオンライン診療を支える MedTech スタートアップ～ MICIN の挑戦～
  株式会社MICIN SVP / DM of Telemedicine / Head of Engineering and Design 塩浜 龍志 氏

テクニカルにもビジネス的にもスタートアップ企業におけるカルチャーなども、最新のスタートアップ事例を知ることができる機会をご用意しています。後から動画を見られるようにするためにも、ぜひ参加登録していただければと思います。

✄—————————ｷ ﾘ ﾄ ﾘ —————————✄

さてそれでは本題に戻り、今週も Ask An Expert を振り返っていきましょう。あなたも気軽に ? Let’s Online Ask An Expert！

週刊 Ask An Expert #56 (2021/04/19〜2021/04/23)

Q. Batch 処理基盤の構成、負荷試験の方法について相談したい。

いくつか状況をお伺いしました。

• ECサイトであり、テレビ放映などがあるとスパイクアクセスが発生する
• Amazon EC2 は C5.12xlarge を計4台で構成している
• Apacheのpreforkモデルなので、アクセスが増えてくるとメモリがいっぱいになることもある（将来はイベントドリブンなアーキテクチャにするか、nginxに変えていきたい）
• Amazon Aurora は db.r5.8xlarge のWriter 1台、Reader 1台を利用

その上で、以下の内容をお話しました。

• バッチ処理については、まずは 15 分以内で終わるものであれば Amazon EventBridge でスケジューリングして AWS Lambda を使い、それ以上かかるものであれば Amazon ECS on AWS Fargate で書いてみる方向で検討されるとのこと。

参考：AWSサービスで実現するバッチ実行環境のコンテナ/サーバレス化

• 負荷試験を行う方法・構成は、AWS Solutions から以下のテンプレートをご紹介。
  AWS での分散負荷テスト

AWS での分散負荷テスト ソリューション アーキテクチャ

• また、負荷テストを実施する際にはテスティングポリシーを確認いただき、適宜申請いただくようお願い。
  • Amazon EC2 Testing Policy
  • DDoS シミュレーションテストポリシー
• Web サーバー を稼働させる EC2 インスタンスでメモリが懸念されるのであれば、R 系のメモリ最適化インスタンスの利用を検討いただく。

Q. AWS Step Functionsで、毎日定時に複数の処理を一連で行うようなワークフローを定義している。処理A, B, C… の実行履歴やメタデータをAmazon DynamoDB上で管理することを考えているが、処理ごとにテーブルを作ると基本的なスキーマが類似してしまう。よりよい実装方法はあるか？

テーブルを分けた場合、処理ごとに独自の属性情報もあるものの、以下の情報はどのテーブルにも持つことになり非効率に感じるとのことでした。

• executeDate
• executeStatus
• errorCode
• createdAt
• updatedAt

お話を伺うと、RDB の考え方で設計をされているように思われたため、DynamoDB ではアクセスパターンを元にテーブルを設計するよう、以下の資料を画面共有しながらご案内しました。

Amazon DynamoDB のベストプラクティス | Amazon DynamoDB 開発者ガイド

AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern

【イチから理解するサーバーレスアプリ開発】 サーバーレスアプリケーション向きの DB 設計ベストプラクティス 20190905版

Q. セキュリティ面を強化したく、レビューをしてほしい。

漠然とした不安をお持ちで、しかしどこから手を付けていいのかわからないとのことだったので、まずは一緒に AWS Trusted Advisor を見て警告が出ている項目を確認し、内容を解説させていただきました。

AWS Trusted Advisor はセキュリティやコストの最適化余地などについてアドバイスをくれる

また、ベストプラクティスに則ったセルフチェックをする方法として AWS Well-Architected Framework をご紹介し、考え方やチェック項目などを解説したドキュメントをご覧いただくようご紹介しました。

以下の Well-Architected Framework セキュリティの柱の解説ワークショップ動画を見ながらチェックを進め、対策を考えていただくのもおすすめです。

（以下、動画説明欄より引用）

【AWS Well-Architected Frameworkとは】

AWS Well-Architected フレームワークでは、クラウド上でワークロードを設計および実行するための主要な概念、設計原則、アーキテクチャのベストプラクティスについて説明しています。いくつかの基本的な質問に答えると、自分のアーキテクチャでクラウドのベストプラクティスがどの程度実践できているかを知り、改善のためのガイダンスを得ることができます。

【Agenda】

1. AWS Well Architected Framework 概要説明
2. Well Architected Tool 解説
3. Well Architected Tool 入力ハンズオン
4. Q&A 5. まとめ

【動画詳細】

• 0:00:05​-　イントロダクション（講師紹介、Agenda）
• 0:02:45​-　AWS Well-Architected Framework (W-A) とは？
• 0:12:58​-　Well Architected Tool の開始
• 0:24:01​-　SEC 1. ワークロードを安全に運用するには、どうすればよいですか？
• 0:50:43​-　SEC 2. ユーザーIDとマシンIDはどのように管理したらよいでしょうか？
• 1:09:18​-　SEC 3. 人とマシンのアクセス許可はどのように管理すればよいでしょうか？
• 1:26:54​-　SEC 4. セキュリティイベントをどのように検出し、調査していますか？
• 1:39:28​-　SEC 5. ネットワークリソースをどのように保護しますか？
• 1:50:31​-　SEC 6. コンピューティングリソースをどのように保護しますか？
• 2:01:54​-　SEC 7. どのようにデータを分類していますか？
• 2:09:19​–　SEC 8. 保管時のデータをどのように保護していますか？
• 2:20:58​-　SEC 9. 転送時のデータをどのように保護していますか？
• 2:27:46​-　SEC 10. インシデントの予測、対応、復旧はどのように行いますか？
• 2:42:23​-　Q&A
• 2:54:40​-　まとめ （Next Action）

週刊 Ask An Expert まとめ、今回はここまで

最後までお読み頂きありがとうございます。

冒頭に書いたように、執筆者の独断により興味深かった質問を選び、かつざっくり要約して記載しています。実際にはより具体的な質問をより多く頂いていますが、様々なご相談があることが伝わっていれば幸いです。まだ Online Ask An Expert をご利用になったことがない方も、ぜひ一度お気軽にご利用ください。

※ 来週、再来週はゴールデンウィーク ＆ AWS Summit 週間のため、 Ask An Expert がお休みになります。

※ Online Ask An Expert のご利用方法、簡単 4 ステップはこちらからご確認いただけます。

https://www.youtube.com/watch?v=9ffZcQ9y-fI
 

このブログの著者

塚田 朗弘（Aki Tsukada）
Head of Startup Solutions Architect, Japan.
AWS Amplify や AWS Chalice が好き。
これまでの執筆記事はこちら。

Twitter: @akitsukada