AWS導入でのもうけどこ！

株式会社スカイアーチネットワークス株式会社スカイアーチネットワークス

浅尾元

アジェンダ

•クラウド導入の課題•クラウド導入の課題•もうけどこ•もうけどこ•まとめ

2

クラウド導入の課題

サーバ管理者もいないのに…..便利だと噂だが……

こんなにいろいろ用意

サーバ管理者もいないのに…..

こんなにいろいろ用意するのはタイヘン

インフラ担当はもう大変（いない）

予算も時間もないよー

こんなに勉強している時間

予算も時間もないよー

便利そうだけど使い方が分かんない

がないよー

3

セキュリティリスクの課題

データの分散 共有データの分散 共有

A社 B社 C社

仮想化 アウトソーシング

ハイパーバイザ

仮想OS

ブラックボックス

OS

4

補足：オンプレとクラウドの課題比較

オンプレミス クラウド

初期コスト 必要 不要初期コスト 必要 不要

利用コスト 余剰リソースにも発生 利用分のみ

災害対策 コスト高 コスト低災害対策 コスト高

（ハードウェア発注、設定、運用を物理的に行う必要あり）

コスト低（稼働していない時間は無料）

調達期間 数週間～数か月 数分調達期間 数週間～数か月 数分

ロケーション変更 時間がかかる 短期間で対応可能

サーバーのスケール対応 時間とコストがかかる すぐに対応可能サーバーのスケール対応 時間とコストがかかる すぐに対応可能

自社ネットワーク内での利用 可能 可能

専用線による社内サーバーとの接続 可能 可能

第三者機関認証 自身で取得 事業者で取得

5

もうけどこもうけどこもうけどこ

6

クラウド移行への課題整理

1. コストの意識(システム構築・移行)1. コストの意識(システム構築・移行)クラウド = 低コストとはならない

×2. リスクの認識(セキュリティ対策)A社 B社 C社

×××2. リスクの認識(セキュリティ対策)クラウド = 安全/安心とはならない

Blackbox3. 責任分界点の確認(運用管理対策)クラウド = 管理をしなくて良いとはならないクラウド = 管理をしなくて良いとはならない

7

1. コストの意識(システム構築・移行)

• クラウドにより、インフラ調達が大幅に短縮された。• DevOpsでは、環境構築を短縮したい• DevOpsでは、環境構築を短縮したい

インフラ調達 環境構築これまで インフラ調達 環境構築これまで

環境構築インフラ調達

工期短縮

クラウド

環境構築インフラ調達

工期短縮

課題解決課題解決

8

もうけどこ

課題

インフラ調達時間は激減したがインフラ調達時間は激減したが

環境構築工数は変わらず環境構築工数は変わらず

• ミドルウェア設定• ミドルウェア設定• 監視/バックアップ• クラウド仕様の確認• 情報システムへの記録 etc…• 情報システムへの記録 etc…

9

課題解決

属人化 自動化属人化 自動化Infrastructure as Codeの考えに則り再現可能なコード化する

■誰でもどのように作成されているかを追える■誰でもどのように作成されているかを追える■脆弱性対応時などに迅速に差分適用・修正を実施しやすい■人に依存しないので、引き継ぎの時間短縮■人に依存しないので、引き継ぎの時間短縮

10

クラウド利用例

自社アプリをクックブックやレシピ化しクラウド展開を自動自社アプリをクックブックやレシピ化しクラウド展開を自動化、コンテナによりアプリケーションのポータビリティ（移植性）やインターオペラビリティ（相互運用性）を高める手段として活用できる

クックブック

ミドル、言語インフラ

選択自由

人事ERP

大企業

人事ERP

財務ERP

クックブック

アプリ

【従来】

選択自由

コンテナ人事ERP

中企業

会計ERP

大企業ERP

etcミドル

アプリミドル【従来】

Docker

レシピ集

中企業

クラウド

ミドル

クラウド

Docker

11

2. リスクの認識(セキュリティ対策)

• システムのセキュリティリスクを分散• ソリューション組み合わせで対応スピードとコストの削減

セキュリティ設計 インフラ

• ソリューション組み合わせで対応スピードとコストの削減

これまで

範囲拡大負担軽減

これまで

セキュリティ設計 インフラ+オプション

範囲拡大負担軽減

クラウド

セキュリティ設計 インフラ+オプション+SaaS

範囲拡大負担軽減

課題解決課題解決

12

もうけどこ

課題

インフラ調達時間は激減したがインフラ調達時間は激減したが

セキュリティ設計が必須セキュリティ設計が必須

• どこを誰が守るか明確？ AWSが取得しているセキュリティ基準• どこを誰が守るか明確？• インフラ/OS• ミドルウェア/アプリケーション• SLA etc…• SLA etc…

13

課題解決

セキュリティ診断

• ツールやサービスの利用• 脆弱性診断• 脆弱性診断

ネットワークレイヤー

•セキュリティポリシーに基づき、侵入検知・防御 （IP制限）

•ブラックリスト実装

• Firewall

• IPS• IPS

システム（アプリケーション）レイヤー最適なパートナー システム（アプリケーション）レイヤー

•要求仕様に基づき、セキュリティ・プログラミング

•ホワイトリスト定義

• システム

• ファイル改ざん検知

• ログ監査

14

クラウド利用例

成功するエンタープライズ セキュリティソリューションは、

必要な機能例 ソリューション

成功するエンタープライズ セキュリティソリューションは、クラウド上のマーケットプレイスやSaaSで利用可能です。

必要な機能例 ソリューション

ステートフルファイアウォール(whitelist) Security Group

非ステートフルトラフィックコントロール(blacklist)

VPC Network ACLs(blacklist)

ネットワークレイヤーファイアーウォール Sophos UTM

SaaS WAF Incapsula,Imperva, Prolexic

In-VPC,auto-scaling WAF Alert Logic Threat ManagerIn-VPC,auto-scaling WAF Alert Logic Threat Manager

Network IDS Alert Logic Threat Manager

Host-based IPS Trend Micro Deep SecurityHost-based IPS Trend Micro Deep Security

ファイアウォールの集中管理 Dome 9 SecOps for AWS

15

3. 責任分界点の確認(運用管理対策)

• 負担軽減と管理領域の拡大• 標準化推進、対応スピードの向上、コスト削減

人 自動化

• 標準化推進、対応スピードの向上、コスト削減

これまで

範囲拡大負担軽減

これまで

人 自動化

範囲拡大負担軽減

クラウド

人 自動化

範囲拡大負担軽減

課題解決課題解決

16

もうけどこ

課題

インフラ調達時間は激減したがインフラ調達時間は激減したが

運用管理工数は変わらず運用管理工数は変わらず

• 監視設定漏れ• 監視設定漏れ• パラメータチューニング漏れ• 変更情報の共有漏れ• etc…• etc…

17

今までの解決方法

■構築工数短縮■構築工数短縮

• イメージ化• 起動時シェルスクリプト• 起動時シェルスクリプト

■設定漏れ/ミス 防止策• ダブルチェック• ダブルチェック• サーバ情報の定期確認・自動チェック• サーバ情報の定期確認・自動チェック

18

課題解決

属人化 ツール化属人化 ツール化プログラムブルの考えに則りサービス視点でツール化するプログラムブルの考えに則りサービス視点でツール化する

■プロアクティブな運用に人を実施しやすい■プロアクティブな運用に人を実施しやすい■一連の作業指示を自動化し人に依存しない■サービスレベルに合わせた管理運用が容易■サービスレベルに合わせた管理運用が容易

19

クラウド利用例

管理視点でデータ保護 / 可用性の確保 / セキュリティ対策を実施→PaaS,SaaSを活用する事で管理コスト削減策を実施→PaaS,SaaSを活用する事で管理コスト削減監視・ログ管理からアラート機能をいろいろな側面から監視し、さまざまな方法でアラート通知を受け取れます。視し、さまざまな方法でアラート通知を受け取れます。

S3

Common image

3

入稿データ

Security Group

WEB

EBSスナップショット保管

FTP受信用

EBS EC2

Security Groupフェイル

RDS DB RDS DB オーバー

20

事例：ワークスアプリケーションズ様

設立：1996年7月資本金：36億円従業員数：2,861名（連結）事業内容：大手企業向けERPパッケージソフト「COMPANY」の開発・販売・サポート売上高：320億円（連結）売上高：320億円（連結）

21

DevOpsツールで実現

22

クラウド活用イメージ

監視 Zabbix監視

品質管理

Zabbix

Serverspec

アプリケーションChef

ミドルウェアChef

AMI

OS

インフラ AWS CloudFormation23

クラウド活用事例

__ __構築AWS CloudFormation

構築＆構成管理Chef

PDCA

__構成テスト監視

PDCA

__ ServerspecZabbix

24

クラウドオーケストレーション

AWS CloudFormationElastic LoadBalancing

Amazon EC2

Balancing

Infrastructure Configuration

Auto Scaling

Amazon EBS

Deployment

Monitoring Data

Amazon VPC

Amazon S3Software Configuration Management

システム

Amazon RDS

Monitoring Data

Configuration Test

構成管理システム

構築

品質管理システム

管理

CloudWatch

Monitoring

Monitoring Data

25

マルチクラウド

履歴管理

【実践事例1】パッケージの定型化

松 竹 梅

Virtual Private Cloud Virtual Private Cloud Virtual Private Cloud

共通

26

【実践事例2】パッケージの拡張化

Virtual Private Cloud Virtual Private Cloud

AMI

27

工数削減

28

ま と めま と めま と め

29

クラウドのもうけどこ

『 コード化・ツール化 』『 コード化・ツール化 』とと

『 クラウド展開 』『 クラウド展開 』

30

使⽤料使⽤料

0円

システム構築手順をコード化して、システム情報

品質管理システムの正常性をコードベースで自動チェック

柔軟な構成管理コードベースのインフラ構築 AWS

CloudFormationシステム情報 ドベースで自動チェック

システム管理定型監視はリソースモ

構築CloudFormation

履歴管理 マルチクラウド定型監視はリソースモニタリングの選択だけ

履歴管理 変更履歴の充実管理 マルチクラウド順次対応予定

【ダウンロードURL】 https://github.com/skyarch-networks

31

【ダウンロードURL】 https://github.com/skyarch-networks【お問い合わせ先】 株式会社スカイアーチネットワークス 営業本部

株式会社スカイアーチネットワークス

〒105-0001 東京都港区虎ノ門4-2-12 虎ノ門4丁目MTビル2号館 5階TEL 03-6743-1100 FAX 03-6743-1101info@skyarch.net http://www.skyarch.netinfo@skyarch.net http://www.skyarch.net

All material contained within this presentation is the confidential And proprietary information of Skyarch Networks Inc. Copyright 2015.本資料(添付資料を含む)に掲載されている情報(ページデザイン等のビジュアルを含む）は全て株式会社スカイアーチネットワークスの知的財産です。この中の情報を再利用したものも全て株式会社スカイアーチネットワークスの知的財産権に属します。コンテンツの複製、社外への公開、社内利用への転用知的財産権に属します。コンテンツの複製、社外への公開、社内利用への転用は全て、株式会社スカイアーチネットワークスの許諾を必要とする旨、ご理解をお願いします。(Copyright 2015)

32