🗂

Fin-JAWS #31に参加しました

2023/05/11に公開

AWS

JAWS

tech

Fin-JAWS #31

先日Fin-JAWSの31回目がAWSJ目黒オフィスとオンラインのハイブリッド開催されました。
久々のオフライン開催ということで私も参加してきたので、簡単に感想をまとめておきます。

登壇者はこちら

タイトル	名前	所属
AWSJから金融向けリファレンス最新動向	AWSJapan	野上忍さん
AWS金融パートナから見た金融向けリファレンス〜リファレンスを活用した全社ベースライン構築事例〜	シンプレクス株式会社	岸野秀昭さん
2023年の動向	ウィズセキュア	河野真一郎さん
そのリファレンス誰のため？ユーザ活用に向き合う	みずほリサーチ＆テクノロジーズ株式会社	今西貴洋さん
CDKの歩き方	Fin-JAWS 運営	米澤拓也さん
DBから見た金融向けリファレンス	野村総合研究所（NRI）	朝日英彦さん

『AWSJから　金融向けリファレンス最新動向』AWS Japan　野上さん

昨年リリースした金融リファレンスアーキテクチャについて、リリースのきっかけと今後のリリース予定をお話しいただきました。

責任共有モデルの顧客が責任を負う範囲について、FISC策定などに関わってきたAWSがベストプラクティスとして提示することで、金融グレードのセキュリティ・高可用性を実現できる設計をユーザーが主体でできるようにすることを目的としてリリースしている。
これを使うことで、金融ワークロードをAWSに移行する際の負荷を少しでも下げられるような内容になっている。

これまで金融業界であげられていた課題とその解決策として、

FISC基準への対応
BLEA for FSIや金融ワークロードのサンプルで解決する
基本的にControl Towerを利用することで監査用の環境などが一式作成できる
Control Towerのガードレールと金融業界向け基準との対比
どのガードレールがどの基準に沿っているか明示する
IaCの導入
BLEA（CDK）での導入サポート
ベストプラクティスへの対応
W-Aへの対応マップにFISCに特化したWell-Architected Framework FSI Lens for FISCを提供
アーキテクチャのベストプラクティス
金融業界の基本的なワークロードをリファレンスアーキテクチャとして提供
勘定系、顧客チャネル、オープンAPI、マーケットデータ

今後の最新動向（ロードマップ）

より使いやすく
各種BLEAテンプレートの充実
　データ分析ワークロードの提供：データレイク・BI
　勘定系のレジリエンス向上・実践的アプリの提供・フェールオーバーの検証
　CTを前提としない柔軟な構成
よりセキュアに
Control Towerの新機能への対応
Policy as Code：デプロイ前に環境検証ができるように、シフトレフトなアプローチ
より馴染みやすく
Workshopの提供：４月リリース済み

感想

金融業界で働く身として、この金融向けリファレンスアーキテクチャが出たことはとても社内政治的にも助かった部分があり、今回はさらに今後の更新予定等も聞けたので非常に参考になりました。
特にワークショップが出ていたことは初耳でしたが、こういったところから、AWS活用をより推進できそうだなと感じました。

『AWS金融パートナから見た金融向けリファレンス〜リファレンスを活用した全社ベースライン構築事例〜』岸野さん

レビューから関わった目線でリファレンスへの評価をお話いただきました。良い点としては、

実装まで組み込んでいる
FISC準拠への対応表
マルチアカウント前提

以上のことから、クラウドジャーニーのあらゆるステージで参照すべきリファレンスである。

岸野さんの利用事例としては、

全社ベースラインに適用・参照
FSI Lens for FISCを使ってワークロード評価
CDKライブラリへサンプルアプリ統合：再利用可能なテンプレートに

ベースラインに適用した部分、しなかった部分としては、

Control Towerを採用
BLEAではなく、Organizationsとの連携で実現
独自に監視・レポートをデプロイ

絶対に操作させないレベルを決めてガードレールにしつつ、各アカウントでセキュリティを有効化し、予防的統制と発見的統制をそれぞれ実装している

今後の課題と利用時の注意として、

セキュリティ運用まで踏み込んで欲しい
コスト観点の落とし穴：Config無効化できない→CDKの時にイベントが増えて費用が増える→構築中はCT配下に入れない
WAの日本語未対応

感想

実際にリファレンスアーキテクチャをどう使っているのかを聞くことが出来てとても参考になりました。
全面的に取り入れるのではなく、あくまでもベストプラクティスとして必要な部分と既存環境とのバランスを上手く合わせていく活動を自社でもやっていかないといけないなと強く感じました。

『2023年の動向』河野さん

サーバレスのセキュリティ対策がよく問い合わせがある
脅威分析→侵入テスト（アタックマッピングテスト）を基本的には実施

2023年の動向

AIに関わるサイバー攻撃
マルウェア作成時にAIを利用
クラウドに特化した攻撃が主流
2038年問題はあと15年(2000年問題からもう23年も経ってるよ笑)

感想

河野さんらしい、とてもスピーディながら頭に残るLTでした。
AIの動向は金融のみならず世界全体の脅威にもなりうるので、しっかりと動向を掴みながら付き合っていかないといけないなと思いました。
今回は差し入れまで準備していただき、本当に感謝しています。ありがとうございました！

『そのリファレンス誰のため？ユーザ活用に向き合う』今西さん

もともとの課題感

セキュリティ要件の漏れのない実装と「客観的な説明」
理解して設計・実装できる「エンジニアの不足」

金融リファレンスアーキテクチャの良いところ

「公式」であること
モダンサービスが活用されていること

利用時に一番大事なことは「ペルソナ設定」
リファレンスとテンプレートは「誰が」使うかを定義する事が大事
　自社のビジネス部門、情シス部門、子会社エンジニア、委託先SIerなど明言できているか

架空のケースを元に、活用事例を考える
ユーザー像を想定していないと、活用場面を見落とす
　統制と標準化の目的は？ビジネス価値・スピード向上・品質改善など
ユーザーを明確に定義して使ってもらう、自分が使うのではない！

感想

ペルソナ設定をしてリファレンスを定義することを自社でやったことがなかったので、これはぜひ実践しないといけないなと感じました。
開発部門と情シス部門では見るべき観点も違うし、技術力も違うので、ベースにリファレンスアーキテクチャを置きながらも、その現場にあったものを社内で検討する活動が重要だなと思いました。

『CDKの歩き方』米澤さん

BLEA(CDK)をどう読み解いていくか
型補完のためにもTSを使うべし

BLEA内には外部パッケージ（LINTやPrettierなど）がビルトインされている
そのパッケージが何かやCDKスタックの書き方等、全体としてCDKのお勉強としてもとても良い

感想

CDKやTerraformなどIaCの導入が進まない一つの理由として、学習コストがあると思いますが、学習コンテンツとしてBLEAを使うというのが新しいなと思いました。
金融業界・SIerというがんじがらめの中でも、使える場面ではどんどん利用できるように社内の啓蒙を進めたいと思います。

『DBから見た金融向けリファレンス』朝日さん

勘定系のワークロードを元にDB構成を考える
ベストプラクティスができるに越したことはないが、その前段階としてやるべきことは？
高可用性の実現
AuroraグローバルDBがベストプラクティス（ただし、AuroraはMySQL or PostgreSQL）
Oracleだったらどうするの？
Re-Host、Re-Platformなどが言われている
今回はRe-Platformを考えて、RDS for Oracleを利用
マルチ-AZやスナップショットをリージョンコピーなどで可用性を考える必要がある
マネージドの機能強化はされているが、必要なRPO／RTOに沿った構成を考える
ベストプラクティスを採用できなくても、参考にすることでそのレベルに沿ったアーキテクチャを組むことが可能

感想

DBを中心にリファレンスアーキテクチャを読むというところで、Oracleに依存しているシステムがまだまだ多く、そこがネックとなる場面を多く見てきたので、リファレンスアーキテクチャに照らし合わせて移行計画を立てていくというのが実務においてもとても近しく感じ、実践してみたいと思いました。

最後に

金融業界の事例を聞ける場面も多くはないので、とても参考になる会でした。
さらに、終了後の懇親会でも他社の動向をお聞きできたのがとてもいい経験になりました。
次回以降もぜひ参加したいと思います。

GitHubで編集を提案