はじめに

海外の様々な講演を日本語記事に書き起こすことで、隠れた良質な情報をもっと身近なものに。そんなコンセプトで進める本企画で今回取り上げるプレゼンテーションはこちら！

re:Invent 2025 の書き起こし記事については、こちらの Spreadsheet に情報をまとめています。合わせてご確認ください

📖 re:Invent 2025: AWS re:Invent 2025 - Solving the Cloud Privilege Problem at Scale: A Fiserv Case Study (COP213)

この動画では、金融サービス企業Fiservのクラウドセキュリティ担当者が、Sonrai Securityとのパートナーシップについて語っています。Fiservは企業買収により数千のマルチクラウドアカウントを抱え、IAM管理とAIサービスのコントロールに課題を抱えていました。AWS re:InventでSonrai Securityと出会い、30分のセットアップでPOCを実施。過剰な権限を持つIAMユーザーとロール、使用されていないゾンビアイデンティティ、AIサービスの制御、サードパーティアクセス、リージョン管理などの機能を活用し、1,000以上のアカウントで1,000時間以上の作業時間を節約しました。アカウントあたり38〜40行のポリシーコードの自動化により、大幅な効率化を実現した事例が紹介されています。

https://www.youtube.com/watch?v=m9fTQ9LVj3w
※ こちらは既存の講演の内容を最大限維持しつつ自動生成した記事になります。誤字脱字や誤った内容が記載される可能性がありますのでご留意下さい。

本編

Fiservが直面したマルチクラウド環境の課題とSonrai Security発見までの道のり

ようこそ。ハッピーアワーの時間で、夕食の予定もあると思いますので、そのことを念頭に置いておきます。私がここに立っている主な理由は、ブース435を訪れて Sonrai Security をチェックしてみることをお勧めするためです。ありがとうございました。

こちらがアジェンダです。私たちは過去1年間 Sonrai とパートナーシップを組んでおり、このプレゼンテーションはそのパートナーシップと、私たちが価値を見出したことについてのものです。そして、皆さんも同様のことができることを願っています。4つのシンプルなステップで進めていきます。まず、Fiserv の課題は何だったのか、なぜ私たちはソリューションを探していたのか。次に、ツールについて、そしてこのプロセスを進めようとするときにどのような感じがするのかについて話します。その後、ターニングポイント、つまり Sonrai で実際に違いを生み出したことは何か、そしてなぜ前に進むことを選んだのかについて議論します。そしてもちろん、結果についてです。

Fiserv は金融サービス企業です。私たちはグローバルであり、おそらくアメリカのすべての世帯に何らかの形で関わっていますが、それが物理的に本当かどうかは確かではありません。私たちは成長し、合併し、継続して企業を買収・合併しています。長年にわたり、これにより私たちはマルチクラウドになり、グローバルに管理しなければならない数千のアカウントを抱えるようになりました。別の企業を統合したり、別の製品を購入したりするたびに、私が「permissions tornado」と呼ぶものが発生します。IAM は難しく、私たちはこれを知っています。なぜなら AI がすべてのハイプであり、私たちは規制業界で働いているため、常にクラウドをコントロール下に置いていることを証明する必要があるからです。

特に AI の台頭に伴い、私たちが実装しようとしていたことの1つはコントロールです。誰もが AI について何をしているのかを知りたいのです。実は私たちはいくつかのコントロールを実装しようとしましたが、SCP の継承についての仮定が間違っていることが判明しました。実は私たちは障害を経験しました。これは昨年の中頃、AWS re:Invent の直前に起こりました。ちょうど re:Invent で起こったのですが、そこで私はノベルティグッズを探していました。その過程で、私は Sonrai Security に出会いました。zombie hunter という何かがあり、私はそれに惹かれました。私は近づいて、私たちが何をしているのかについて少し雑談をしました。彼らは SCP の作成とデプロイメントを自動化していると言いました。その時点で、私は探していた Tシャツとステッカーのことを忘れてしまいました。番号を交換し、2回目のミーティングを行い、彼らと POC を実施しました。それは素晴らしいものでした。

CloudFormation テンプレートがいくつかあり、セットアップに約30分かかったと思います。私のパートナーの Ryan がそれをセットアップしました。分析には数日かかりました。その数字を見たとき、それについてはもう少し後で説明しますが、これは単なる私たちの直近のニーズ以上のものがあることは明らかでした。私たちは、この関係を継続し、購入を検討しようと言いました。その後、実際の質問に対処する必要がありました。別のツールが必要なのか。なぜこのツールなのか。既に同じことをするツールを持っていないのか。誰がそれの費用を払うのか、導入後も運用を続けるのか。これはサイバーツールなのか。クラウドインフラストラクチャツールなのか。それは何なのか。

私たちにとって、POC を実施したという事実が重要でした。皆さんにも POC を実施することをお勧めします。なぜなら、私たちのデータがそこにあって、ビジネスパートナーや特に経営陣とのデモを簡単に行うことができたからです。Sonrai が他のどのツールにも、どのような方法にも存在しない何かを提供していることが分かったとき、さらにそれ以上のものを提供していることが分かったとき、私たちは先に進むことを決めました。なぜこのすべてを持ち出したのかというと、これはすべてが進行しているときに時々感じるような感覚だからです。もう一つのミーティング、もう一つの質問、もう一度やるのか？ソリューションがあなたのニーズを解決するのであれば、それだけの価値があります。それが私たちがそうした理由です。

Sonrai Securityの主要機能と導入による具体的な成果

ここで私はほとんどの時間を費やすつもりです。実際に説明するつもりです。

興味を持ってブース 435 に行くのに十分なだけ説明するつもりです。私のアジェンダを覚えていますか？上部に表示されるのはスコープで、小さなドロップダウンメニューがあります。これをルート組織、任意の組織単位に適用することができます。または個別のアカウントまで掘り下げることができます。どのスコープを選んでも、これらの数字はそのスコープに基づいて変わります。

これらはヒーローカードです。あなたがそれらに対してアクションを取るなら、あなたはヒーローだと思うからです。最初のものは過度な権限を持つ IAM ユーザーとロールです。ここでは、おそらくワイルドカードで書かれたすべてのポリシーを表示します。それらは過度に権限を与えられていますが、特に、それらは使用されていません。したがって、それらは過度に権限を与えられているだけでなく、単に使用されていないため、フラグが立てられています。そのボタンをクリックすることでアクションを取ることができます。それはいくつかのことをステージングして、いくつかのことを行います。すべての詳細は言いません。それは彼らの仕事です。しかし、それが行うことは、それらが使用されるのを防ぐことです。誰かがそれらを使用しようとすると、アラートが発動し、人々がそれを必要とする場合、その権限を与えるために取ることができるワークフローがあります。それはすぐにあなたにその制御層を与えます。

2 番目のもの、私がそれらのステッカーを探していた全体的な理由は、ゾンビハンターです。ゾンビは使用されていないアイデンティティを表します。それは権限自体についてではなく、単にそれらが使用されていないということです。それはあなたのアカウントのジャンクです。私が言及した保護と同じように、ゾンビを隔離することができます。そのため、四半期ごとに実行されるようなことが起こるたびに、ワークフローがトリガーされます。その後、誰かがアクションを取り、「ねえ、このアラートを見ました。これは何ですか？本当に必要ですか？」と言ってあなたに連絡することができます。アクション、オートメーション、そしてその背後にあるワークフローがあります。これらは私たちのシステムにはなかったものです。私たちは AWS Control Tower より前のものです。いわば私たち自身の control tower を持っています。このタイプのものはそれに組み込まれていません。少なくともこのような方法では。

3番目のものが、私たちが最初から本当に探していたものです。新しいサービス、新しいAIサービスが出てきていて、これを使ってそれらをオンにしたりオフにしたりできます。何千、何万というアカウント全体で、どのくらい使用されているか、使用されていないかを見ることができるのは素晴らしいことでした。そして、どのレベルにでもドリルダウンできます。アプリ開発チームの1つと協力するときはいつでも、これを引き出して、彼らがそこに持っているジャンク、過剰な権限のようなもの、そしてそのサービスが必要かどうかを示す別のデータビューを取得できます。今、これをAI Center of Excellenceの一部として使用しています。チームがAIプロジェクトを持っているとき、彼らは来て承認を得ることができ、その後、これを使ってそれらのサービスをオンにします。

Third parties機能は、実は最初にそれを見たときはそこにありませんでした。それは彼らが追加していたものです。良いところは、1つの場所で任意のアカウントに行って、誰が私たちとパートナーシップを結んでいるかを見ることができるということです。うまくいっていることを願いますが、通常はベンダー、SaaSベンダー、Snowflakeのようなデータベース接続などを持っている関係のある人たちです。しかし、そこからドリルダウンしてポリシーを見ることもできます。これも、すべての情報を見ようとするためのものです。クエリまたは何かを通じた自然な方法は、はるかに難しいでしょう。ここから、このコンソールだけで、本当にドリルダウンできます。そして、アクションを取ることを選択した場合、それをブロックできます。

それで次はRegionsです。Regionsは、その名前の通り、新しいRegionが出てくるたびにです。AWSはIndiaのような良い例を持ってきます。長い間、そこには1つのRegionしかありませんでした。銀行業では、ディザスタリカバリーのために2つが必要です。私たちはいつもその他のRegionで苦労してきました。Regionが立ち上がるとき、「このアプリケーションは実際にそこにある必要があるのか」と言うことができるようになりました。その方法でそれを制御できます。下部を見ると、サービスが表示されます。下部またはサービスレイヤーの数字をクリックすると、それを使用している人数が表示され、機密権限にドリルインすることもできます。

これがSonrai Securityが私たちのためにしてくれたことです。彼らはいつもIAMで働いている人がいます。それはフルタイムの仕事であり、彼らはそれを非常に簡単にしてくれました。今、私たちは推測する必要がありません。彼らの機密権限を取得して、再度保護することを選択できます。すべてのポイントは、右上隅の遠い角にあるアクションを取るときです。デプロイボタンが表示されます。ステージングされているものを見るために連れて行ってくれます。そこからデプロイできます。彼らにそれがどのように機能するかを正確に説明させます。

コード行と節約時間を指摘したいです。これは本質的に、私たちのポリシーがアカウントあたり約38〜40行であり、1,000以上のアカウントがあるという事実を指しています。それは、コピーして貼り付けて、情報を変更して、デプロイする必要がなかったコード行です。アカウントあたり1時間と計算すれば、1,000時間以上節約できました。数字はおそらくそれよりもはるかに多いですが、このツールがどのように費用対効果を発揮できるかを見る方法です。

それでは、時間が来てしまったので失礼します。皆さん、ありがとうございました。私に話しかけていただくことができます。Sonrai Security のチームはブース 435 にいます。お時間をいただき、ありがとうございました。

---

※ こちらの記事は Amazon Bedrock を利用し、元動画の情報をできる限り維持しつつ自動で作成しています。