ドコモさんのAWS運用ノウハウ紹介講演に行ってきたよ

はじめに

こちらの講演に行ってきました。
【NTTドコモ×AWS】徹底公開!ドコモのクラウド運用ノウハウ!! - connpass
せっかくなので感想メモを書いておきます。
問題なさそうなところだけ書こうと思いますが、もしも公開やめろと言われたら消します(;'∀')

"Well-Architected Framework"活用方法のご紹介

AWS クラウドサービス活用資料の内容とほぼ同じ。
https://d1.awsstatic.com/webinars/jp/pdf/services/20181211_AWS-BlackBelt-Well-Architected.pdf
クラウドの利用方法について統制を効かせるチームがないまま自由に使うのは非常に危険です。(特にセキュリティ面と無駄なコスト)
そういう場合はWell-Architected Frameworkを利用してセキュリティリスクなどのチェックをすることはとても大切だと思います。
あと、この資料の中にあるレビューの進め方は普段のレビューでも意識したい大切なことが書かれているなぁと感じます。
①レビューでは「誰も責めない」。監査ではなく話し合い。
②変更が困難な状況にならないように設計の初期段階のレビューを心がける。
③すべての関係者がレビューに参加できるように手配する。
④本番運用後も継続的にアーキテクチャをレビューする。
→新しいAWSサービスの機能が追加されてもっと効率的な設計が可能になることはままある。
 新しいEC2インスタンスタイプが出て、そっちの方がコストが効率的とか。

ドコモのCCoEの取り組みについて

ドコモさんのCCoEチームではクラウドを利用していて発生する以下の課題を解決することを目的としているらしい。

  • 内部統制
    社内基準を満たすようにクラウドでのポリシーを策定して浸透させる。
  • リテラシー向上
    初心者がクラウドで失敗しないように教育する。
  • アカウント管理
    管理者不明のアカウントがないように社内アカウントの一元管理。
  • コスト管理
    支払いの統一やコストを可視化して分かりやすくする。

具体的にやっていることは以下とか。

  • クラウド環境利用のためのガイドライン作成。
    AWSの考え方やお作法から構成・セキュリティの指針まで記載。
  • 自社セキュリティ基準に違反したものを検知、防止。
  • 社内AWSアカウントの取りまとめ
    請求書の支払いを取りまとめて、アカウント自体の管理はサービスの担当者に任せる。

あとはAWSの新機能を検証して事業部門のコンサルなどもやるらしい。
CCoEチームがAWSの機能を触って知識を持っていることが社内のクラウド導入を促進するポイント。

ちなみに500以上のアカウントでCCoEチームは10人程度らしい...。
すごい...きっと激務に違いない(-"-)

その他

あとの講演は自社サービスの宣伝でしたので省略。
ただ、セキュリティ統制のお話は面白かったので以下メモ。

セキュリティ対策の落とし穴
  • セキュリティ審査を必須とすると、審査を通す事が目的化される。
    審査はベースラインでサービスの特徴に応じた追加対策が必要。
  • マネージドポリシーのFull権限やReadOnly権限を多用してしまう。(その場しのぎ)
    ReadOnly権限にはGETも可能なポリシーもある。権限の管理やデータ暗号化なども考える必要あり。
  • 通信路のセキュリティ対策ばかり考慮してしまう。(セキュリティ対策の偏り)
    内部犯行の考慮も必要。セキュリティは全レイヤで考える必要あり。
トレードオフ
  • 「セキュリティ」は「コストや利便性」とのトレードオフ
  • 「統制」は「アジリティやフレキシビリティ」とのトレードオフ
  • ドコモさんではクラウドのアジリティ、フレキシビリティを最大限に活かし、ビジネスのブロッカーとならないようにゲートキーパーではなくガードレールの考え方。
「自動化」と「可視化」の重要性
  • ガードレールに収まっているかの検知は自動化する必要あり。
  • ガードレールに収まっていないリソースを可視化してサービス担当者に自律的に意思決定、リスクテイクさせる。
    →サービス担当者のクラウドリテラシーの向上も兼ねている。
  • 「自動化」と「可視化」がなければガードレールを強く狭くするほかなく、CCoEチームがクラウド利用のブロッカーとなってしまう。

おわりに

大変勉強になりました。ありがとうございます。
ドコモさんのような長い間AWSを利用している会社が自社内の取り組みやノウハウを公開されるというのは、後進のものからすると非常に参考になりますね。
運用部分は一度決めてしまうとなかなか変えづらい部分もあるかと思いますので、自社内の部門を横断して慎重に方針を決める必要があるなと再認識いたしました。