Fin-JAWS 第7回～ re:Invent 2019 ラスベガス現地スペシャル～（リモート枠あり）レポート #finjaws7 #finjaws #jawsug #reinvent

Fin-JAWS 第7回～ re:Invent 2019 ラスベガス現地スペシャル～（リモート枠あり）のレポートです。濃いLTの集まりでした！

AWS re:Invent 2019

#JAWS-UG

#レポート

#セキュリティ

#AWS

臼田佳祐

2019.12.05

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

Fin-JAWS 第7回～ re:Invent 2019 ラスベガス現地スペシャル～（リモート枠あり）が開催されましたのでレポート致します。

Fin-JAWS 第7回～ re:Invent 2019 ラスベガス現地スペシャル～（リモート枠あり） - Fin-JAWS (金融とFinTechに関するJAWS支部) | Doorkeeper

タイトルの通り今回はリモート枠もありました！

ちなみに私は前枠でやっていた弊社イベントDevelopers.IO in Las Vegasに登壇した都合で既にベロベロです。ご容赦くださいｗ

レポート

スポンサーLT 「クラウド環境向けF-Secure Cyber Security ご紹介」エフセキュア株式会社河野真一郎さん

F-Secureは昔からアンチウイルスをやっている会社
アジェンダ
- Securityコンサルティング
- CI/CD環境脆弱性診断
- マルウェア対策
Securityコンサルティング
- F-Secure実はセキュリティのコンサルティングをやっている
- ヨーロッパでは一番使われている
- 特に金融系のお客様が多い
- 物理的なセキュリティもやる
  - IDカードを偽装したりもする
- AWS側もやる
  - 国内では個人情報をたくさん持っているエウレカさんの事例もある
CI/CD環境脆弱性診断
- 最近の流行りはコンテナ
- 継続的なデリバリーが行われる
- 毎回脆弱性診断すると高くなるのでCI/CDに組み込んで使える
- 詳細はブログで
マルウェア対策
- アンチウイルスはかなり安く、月単位でも提供している
- AWSオンプレミス含めてサーバ1,000台PC12,000台以上に導入しているお客様も
みんな使ってね！

LT#1 「Organizations SCPを使ったマルチアカウント管理とPermissions Boundaryの使いどころ」 NRIネットコム株式会社上野史瑛さん

AWS Organizationsの話
- 昔の構成
  - 本番と開発でアカウント分ける
- 最近の構成
  - マスターアカウントと監査やログ収集アカウントなどが発生
- マルチアカウントになると何が起きるのか
  - プロジェクトごとにAWSアカウントを払い出す
  - よく知らない人に強い権限を払い出しがち
- 権限管理がきつくなるのでSCPを利用する
SCP(サービスコントロールポリシー)とは
- OrganizationsではOUを作成できる
- OUは階層構造になっていてAWSアカウントも紐づく
- OU単位でSCPを使ってアクセス制御できる
SCP適用例
- アカウント内では全体管理者がIAM Userを作成
- ユーザも自分と同じ権限は作成できるようにする
SCP設定内容
- DenyするActionを書く
- Delete止めるとか
- GuardDuty止めるのを止めたりする
- 管理者自身の権限はいじれないようにする
Permissions Boundary
- 使い所
- SCPだけではだめなのか？
  - 自アカウント内のみ設定が可能でSCPが使えない場合
  - アカウント内で権限を複数に分けたい時
- アカウント内で権限を複数に分けたい場合
- SCPと同じでIAMといっしょに評価される
- ポリシー設定内容
  - CreateRole等をDenyしている
  - Permissions BoundaryをつけないといけないようにConditionで設定する
  - Permissions Boundary自体は管理者しか変更できないようにする
- 運用がめんどくさいのでSCPだけになりがち
まとめ
- SCP、Permissions BoundaryともにIAMと両方評価される
- アカウントで細かい管理をするかどうかで使い分けできる

LT#2 「金融システムにおける"まいうー主義"」住信SBIネット銀行株式会社浦輝征さん

※(編集注)忖度して書いてます
DBサーバ群をAWSへマイグレーション中
- AWS側がいい感じだった
- 性能とかコストとか
- 切り替えは五分くらいの感覚
BaaSをやっている
- AI審査のサービスを2019年から提供している
最近はまっていること
- Quoraにはまっている
- 動物の肉はなぜ美味しいのでしょうか？という質問の回答が面白かった
  - ドードーという動物は16世紀に絶滅した
  - まずい肉
  - 牛(昔はAurochs)は残っている
  - ドードーは卵をすぐ豚などに食べられていた
  - 人は守らなかった
  - Aurochsは子供のうちから捕まえて育てていた
- 最高の生存戦略は他社にとって美味しいことではないか
AWSは美味しいと思う
AIは美味しい？
- AIの研究開発を行っている
- 銀行は信用情報でゼロサムに判断
- AIを使うとこれまで貸せなかった人に貸せる
勘定系システム
- 金融ではITのコストの大部分は勘定系になっている
- でもお客様のユーザ体験にはつながっていない
- そこにお金を取られているのは美味しくない
- 構造を変えなきゃいけない
Amazon Connectは美味しい？
- 美味しいと思っている
- 新しいサービスのコンタクトレンズは沈黙を感情分析したりできる
美味しいものはユーザ体験につながるもの
美味しくないものは顧客に直接関与しないものだと考えている
- ERPもどちらかというと美味しくない
美味しくないものから美味しいものに経営資源を移していきたい
優秀な銀行のエンジニアが必要なので、ぜひユーザ企業に転職しよう！

LT#3 <みずほ>が考えるクラウド活用の仕組み〜Landing Zoneとその先〜株式会社みずほフィナンシャルグループ山泉亘さん

<みずほ>とクラウド
- 失敗できる体力と体質がやっぱり大事
  - 新しいことは簡単にやりたい
  - 良いかどうかを判断する能力も必要
- みずほでもマルチアカウントにしている
- 共通に使う部分はそれである
- いわゆるLanding Zone
  - ログや監視アカウント
- 苦労もある
  - 何かあったら金融庁から怒られる
  - クラウドは外に任せないといけないので評価しないといけない
  - サービス毎やらないといけない
  - 本当はクラウドネイティブにやっていきたいけど簡単ではない
  - 自由とガバナンスの天秤になっている
  - 人材確保も大変
  - CCoEという役割が必要になる
ビジネス課題と技術を紐付けることをやっていかないといけない
自分の領域だけやればいい時代は終わった
超えていかないといけない
そういう人を募集しています
テクノロジーが解るのは最低限で、ビジネス課題とつなげていかないといけない

スポンサーLT 「Understanding new AWS WAF 7 minutes」株式会社サイバーセキュリティクラウド渡辺洋司さん

簡単にサービス紹介
- クラウド型WAFの攻撃遮断くん
- AWS WAF自動運用WafCharm
- AWS WAFのマネージドルールを提供
WAFとは
- L7を防御する
AWS WAF
- AWSが提供するWAF
- CloudFront / ALB / API Gatewayにインテグレーション
- サーバを置かなくていい
AWS WAFマネージドルール
- 低価格で簡単
- ルール更新はベンダーがやる
- WAFとしての機能を十分に果たせる
- 運用上の課題
  - サポート対応がusuda.keisuke@classmethod.jpだけ
  - マネージドルール以外の相談はサポート外
  - 誤検知の気付きが遅れる
  - 誤検知後のチューニングができない
WafCharm
- ログを分析してWAFのルールを入れ替えたりする
new AWS WAFとは
- 新旧の名前
  - 新しい方がAWS WAFになった
  - 古いのはAWS WAF Classicに変更された
- Classicはルールが10個までだった
  - 新しい方は沢山行ける
- Web ACL Capacity Unitsが導入された
  - ルールの条件の処理コストの重み付け
  - WebACL全体で1500WCU(デフォルト、上限緩和可能)に収まるように設定する必要があり
  - デコードなども計上される
  - 100-200ルールくらいいける
AWS Managed Rules
- AWSもマネージドルールを出した
- new AWS WAFではPartner Managed Ruleは現状2社のみ
ルールの記述が柔軟に
- 条件式がこれまでANDのみだったがORでの評価が可能になった
- 課金も抑えられる
Managed Rules Level Control
- 個別ルールの名前を見ながら調整できるように
ルール記述がJSONで容易になった
- まとめて1回のAPIで済む
課金はルール単位のまま
- 誤検知した際に手間なので分離したルールを使うことも大事
- 困ったら相談してね

LT#4 「日本ユニシスグループのFintechとクラウドインフラストラクチャ」ユニアデックス株式会社内ヶ島暢之さん

リレーションを利用してユニアデックスのお客様に価値を提供する役割
アメリカにも支社あり
日本ユニシスの金融への取り組み
- Eltropyはシリコンバレー駐在から恥あったコミュニケーションプラットフォームビジネス
- 日本にも展開している
データの活用やAIの活用、運用のスタートアップとリレーションを構築中
今年のre:Inventで思ったこと
- 環境のローカリティ、手間の削減、データのあり方に注目している
- Local Zone面白そう
- SageMaker AutoPilot気になる
- スタートアップ企業の補完性、エコシステムとの関係は気になる
- Wavelengthに注目
- Outposts等のエッジも気になる
- k8sどうするか、データのコンプライアンスどうするか

LT#5 「Transit Gateway Multicast」株式会社QUICK 小出淳二さん

QUICKのサービスとか
- 銀行、証券会社向けに株価とか出してる
構成
- 端っこでマルチキャストしている
リアルタイム株価配信をしているので遅延や更新停止は許されないサービス
Transit Gateway Multicast
- 違う複数のVPCにマルチキャストできる
- マルチキャストは設計構築運用が超大変
- マルチキャストをAWSで受信できると間が省略できる…かも？
これから何やっていく？
- PoCやるかも
- 品質とか気にしている

LT#6 Japan Digital Design株式会社小野雄太郎さん

目指すところ
- クラウドネイティブに内製化できる組織
- エンジニア中心組織を目指す
  - 柔軟な働き方を取り入れている
  - 副業先として受け入れできる
  - 人権確保
    - メモリ32GBのPC割り当てられる
DATA分析基盤を作ってみた
- オンラインで完結する中小企業向け融資
- 取引履歴から与信スコアを付与
口座取引履歴をクラウドで活用
今回の発表で嬉しかったこと
- AWS SSOのAzureAD対応
  - SAMLで認証したユーザがSSOで使えるようになった
  - SCIMでユーザプロビジョニングできるようになった
  - SCIM Provisioning
  - MFAとか、権限管理もやりやすく
- ガバナンス
  - データ漏洩したら大変
  - CloudFormationとService Catalogでいろいろ作っている
  - テンプレートをGithub公開予定！
  - みんなでもっとセキュアに！
さらに
- 新しいセキュリティポリシーを自分たちで作っている
  - Excelに○をつけたって情報は守れない！！
- 事前承認ではなく、Continuous Monitoring
- 公開したい！
  - 公開してリスクになるポリシーはポリシーではない
金融の新しいあたりまえを創造し、人々の成長に貢献する

LT#7 「AWS re:Invent 2019 All Update」AWSJ 滝澤さん

12/4の午前中までで59個の機能が発表された
0日目から
- いっぱいありました
- EC2 ImageBuilder
  - 簡単に作れる
- DeepComposer
  - 金融でもいいかも？？？
  - 趣味でどうでしょう
  - 伴奏勝手につくので
  - GANは金融でも使うのでは
- SageMaker Operators for Kubenetes
- EMP
  - Windows Serverのプラン
- BYOLのWindows
- SiteWise
- Event Bridge Schema Registry
  - サーバレスやマイクロサービスで使って
- License Manager update
  - ライセンスの管理が大変なのでそれを肩代わり
- DeepRacer Update
  - 金融機関は関係ある(???)
  - みなさんも来年参加してください
- Transcribe Medical
- Braket preview
  - チャレンジをしたいなら簡単に試せる
- IAM Access Analyzer
  - 金融なら非常に重要
  - for S3が特に
  - 設定漏れで公開したら検知
  - 有効にして
Day2
- グラビトン2
- Inf1
  - ハードをガッツリやってる
- EKS on Fargate
  - いいとこどり
- S3 Access Points
  - アプリケーションごと権限つけれる
- Redshift DataLakeとか
- RA3
  - 3倍の性能
  - シャア
- AQUA
  - 他のクラウドデータウェアハウスに対して10倍高速化
- UltraWarm
- MCS
  - カサンドラ
- SageMaker Studio
  - いろいろ出たけどこれをまず抑える
  - 他の機能はここから使える
  - ダークモードも( ・∀・)ｲｲ!!
- SageMaker Graph Library
  - 画像じゃない
  - グラフネットワーク
- Fraud Detector
  - 詐欺とか不正検知
  - 機械学習の知識がなくても使える
  - 持っているデータを食わせればいい
- CodeGuru
  - コードレビュー
  - セキュリティ系のチェックもできる
- Contact Lens for Amazon Connect
  - 楽につなげるように
- Kendra
  - 自然言語で検索できる
  - 文書に対して適用できる
- Outposts GA
  - 自宅におけるかも？
  - 電源と重量注意
  - 意外と高いので気をつける
  - セキュリティ目的ではない
  - 低遅延が目的
  - エッジで処理したいときに使う
  - ネットワークつながってないといけない
- Local Zone
  - ロサンゼルスでも近くにAZ
  - 低遅延
- Wavelength
  - 低遅延
  - 5Gでエッジ寄せ
  - 日本ではKDDIも
- Transit Gateway Multicast
  - 重要
- TGW S2Sとか
  - グローバルのネットワーク管理をしていたらいい
- VPC Ingress Routing
- Compute Optimizer
Day3
- Chime Meeting Regions
- Fargate Spot
  - スポットインスタンス使える
  - 安くなる
- ECS Cluster AutoScaling
- Provisioned Concurrency for Lambda Functions
  - コールドスタートさよなら
- Step Functions Express Workflows
- EBS-Optimized Bandwidth Instance
  - 作り直すと既存でも改善
- EBS Direct API
  - ブロックにアクセス
- Detective
  - 潜在的なセキュリティ問題疑わしいアクティビティの検知
- A2I
  - ML予測の人間によるレビューに必要なワークフローを簡単に構築できる
- RDS Proxy
  - 同時接続数のコントロール
  - 接続数あ少なくなるようにする
  - サーバレスと組み合わせたり
- RDS on Outposts
- Rekognition カスタムラベル
- Service Ready Program
- Global Startup Program
- APNコンサルティングパートナー
- Public Safety & DR
- リテールコンピテンシー