この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、崔です。
今回は、2020年9月8日から9月30日の間で開催されているAWS Summit Online のセッションで「[Startup Talks] 機微情報の取り扱いにおけるAWSの活用事例」を視聴しましたので、レポートをお届けします。
セッション情報
スピーカー
hachidori 株式会社
CASTPLATFORM事業本部
開発部長 高井 求 氏
概要
hachidori株式会社ではアルバイトのトータルサポートプラットフォーム『CAST PLATFORM』を開発・運営しています。
『CAST PLATFORM』ではマイナンバーの情報を取り扱うことがあるため、この機微性が特に高い情報をAWSを活用する中ででどのように管理しているかを実例を踏まえてご紹介します。
またサーバーコスト削減の取り組みのために、実施した内容と結果もご紹介します。
資料
レポート
プロダクト紹介 CAST
シフト管理を効率化することをメインに、勤怠等の付随する必要な業務をワンストップで提供するサービス
CASTの構成図
- AWSのアカウントをメインアカウント、機微情報アカウント、監視用アカウントの3つに分けている
- システムの中で取り扱うマイナンバー情報については、機微情報アカウントで取り扱うことにしている
- そのため、データベースやS3のアカウントを分けている
- メインアカウントで取り扱った場合
- APIキーが流出すると、ログ出力を止められた上で、マイナンバー情報にアクセスされる可能性がある。アクセス履歴を追えなくなる。
- キーをコード内で持つと、攻撃やミスで流出する恐れがあるが、KMSを利用することで回避
- GuardDutyとCloudTrailを有効にして、ログを監視用アカウントのS3に集約している
サーバーコスト削減の取り組み
Savings Plans と Reserved Instance を最大限活用することで、コスト削減を実現した。
適用率が80%を超えて、25%のサーバー費を削減できている。
- 気をつけていたこと
- AWSコストを常に監視し、週に1回は必ず異常値がないか確認していた
- プロダクトのロードマップとシステムの把握を行い、リファクタリングや効率化を検討していた
- AWSのRI、SPに関するドキュメントをしっかり把握
今後使いたいAWSのサービス
- ECSとECR
- 開発効率とデプロイ高速化のため
- SageMaker
- AIを使って、今よりもっと効率的に解決したい
所感
システムの中でマイナンバー情報といった機微情報を取り扱う必要があるとのことで、対象のデータベースやS3バケットを別アカウントで管理されていました。
機微情報を扱う際には、今回のケースのように、アカウントを分割し権限を管理するなどの対応も有効ですね。
18
