Confidential
re:Inforce にいってきた
小野 雄太郎
VP of Infrastructure
Technology and Design Division
Japan Digital Design, Inc.
1

Confidential
2017年10月02日 設立
三菱UFJフィナンシャル・グループ(持ち株会社)の直接子会社のひとつ
「銀行業高度化等子会社」
銀行および銀行持ち株会社は、他業禁止として子会社にできる業種が規制されていましたが、
改正銀行法(2017/04)によっていわゆるFinTech子会社が認めれられることとなりました

Confidential
要約すると...
Copyright (c) 2019, Japan Digital Design, Inc., All rights reserved. 3
三菱UFJフィナン
シャルグループ
持株会社
三菱UFJ銀行
34,000人
…
三菱UFJ信託銀行
7,000人
三菱UFJ証券ホー
ルディングス
三菱UFJモルガン
スタンレー証券
5,300人
Kabu.com
…
三菱UFJニコス
3,100人
… Japan Digital Design
< 100人

Confidential
取り組み
クラウドネイティブに内製化できる組織
柔軟な働き方を取り入れ、外部のエンジニアを直接雇用
まずは雇用体系をあたらしく
副業ができる、副業でできる、勤務体系
週5日勤務に限らず、週4日～週1日まで、多様な働き方を可能に

ConfidentialConfidential
小野 雄太郎
VP of Infrastructure,
Technology and Design Division.
週4日勤務
Japan Digital Designにてインフラストラ
クチャの設計運用等をメインに、パブリッ
ククラウドのみで構成されたプラット
フォームを実装中
これまでWindows Server, Visual Studio,
IPv6などを中心に、コミュニティ運営など。
ここ最近はAWSメイン
個人事業主で普通のIT屋さんもしています
Twitter: @chamreo
LinkedIn: linkedin.com/in/yutaro

Confidential
JDDでのクラウド利用
オンプレミス環境にサーバなし
‒ SaaS/IaaSのみ
• Office 365
• AWS/Azure/GCP
‒ クラウドネイティブな会社運営をめざし中
MUFGもビッグデータ分析・AI活用をするぞ!
‒ でも…、
データにアクセスできない、分析環境がない、人がいない…
そうだ、新しくできた Japan Digital Design でやってもらおう!
ほえっ? ( ﾟДﾟ)

Confidential
AWSで分析できるようにした
Copyright (c) 2019, Japan Digital Design, Inc., All rights reserved. 7
さくっと作ってAWSに載せたった
• 三菱UFJ銀行 3,400万 顧客口座
• 過去 10年分 の取引明細・顧客情報*
データ分析して、紙の書類なしで、中小企業向けの融資
ができるようにした

Confidential
re:Inforceに行くまで

Confidential
はじまりは re:Invent 2018
Copyright (c) 2019, Japan Digital Design, Inc., All rights reserved. 9
AWS CISOセッションを聞いていた
‒ 来年セキュリティのカンファレン
スやる!
‒ まじか!
っていうイベントがあるってよ
‒ re:Inventに来ていたメンバーに
Teamsでつぶやく
‒ > 予定確保した! (社長)

Confidential Copyright (c) 2019, Japan Digital Design, Inc., All rights reserved. 10
7か月後

ConfidentialConfidential Copyright (c) 2019, Japan Digital Design, Inc., All rights reserved. 11
BOSTON!

Confidential
参加セッション
FND306: How to secure your Active Directory deployment on AWS
SEP304: Cryptography in the next cycle
SEP204: Privacy, ethics, and engineering in emerging technology
SDD319: Ensure the integrity of you code for fast and secure deployments
SDD335: Cloud DevSecOps masterclass: Lessons learned from a multi-year implementation of
cloud automation at scale
SDD302: Methods of emergency privileged access
SDD301: Lean and clean SecOps using AWS native services cloud
SEP329: AWS event engineering at scale
SEP306-R1: Serverless AI-Powered Identity Management
GRC313: Using AWS Control Tower to govern multi-account AWS environment at scale

Confidential
Using AWS Control Tower to govern multi-account AWS environment at scale
Copyright (c) 2019, Japan Digital Design, Inc., All rights reserved. 13
AWS Control Towerを活用し、マルチアカウント環境を管理
アカウントをガードレールで保護 (箱庭化)
‒ 共通のCloudformation等により、最低限の保護を強制
‒ ダッシュボードで遵守状況をモニタリング
Service Catalogによるアカウント払い出し

Confidential
Ensure the integrity of you code for fast and secure deployments
Copyright (c) 2019, Japan Digital Design, Inc., All rights reserved. 14
DevSecOpsに対応していくために
‒ Automationは必須
• SecurityもAutomationに組み込む
Marketplaceの活用
‒ 使えるサービスは多くある

ConfidentialConfidential Copyright (c) 2019, Japan Digital Design, Inc., All rights reserved. 15
Ensure the integrity of you code for fast and secure deployments

Confidential
JDDは…
CloudFormation + Service Catalogによる環境テンプレート化
を進めている
• VPC作成テンプレート
• CIDRを指定すると指定した数のサブネットとともにVPCを作成
• デフォルトでNetwork ACLとSecurity Groupも作成されている
• Public Subnetの作成を指定するとACLの制限なども変わる
• Default IAMテンプレート
• 開発時に標準的に必要となるIAMロールを一括作成
• EC2インスタンスプロファイル向けロール
• KMS管理用ロール
• IAM管理用ロール
• etc
• ロールとカスタムポリシーをセットで提供することで、安易な
Administrator Role利用を抑制

Confidential
マルチAWSアカウント前提の時代へ
Copyright (c) 2019, Japan Digital Design, Inc., All rights reserved. 17
IAMがAWSアカウントに紐づくため、ガバナンスのために
マルチアカウント必須
• かといってIAMユーザーとアクセスキーは増やしたくない
• SAML連携によるSSOを実施
AWS Control Towerをはじめとしたマルチアカウント管理を
ベースに考えていくことが求められる
• 管理用サービスもマルチアカウント対応が必須

Confidential
DevOps 時代のIT Pro
Copyright (c) 2019, Japan Digital Design, Inc., All rights reserved. 18
DevOpsでIT Proの出番はなくなる!?
• 自動化されたデプロイフロー
• 開発スピードを重視したシステム構成

Confidential
Secure Development Life Cycle: DevSecOps?
Copyright (c) 2019, Japan Digital Design, Inc., All rights reserved. 19
Requirements Design Implement Verification Deploy
Training
Developer
InfraInfra
SecuritySecurity

Confidential
Secure Development Life Cycle: DevSecOps?
Copyright (c) 2019, Japan Digital Design, Inc., All rights reserved. 20
Requirements Design Implement Verification Deploy
Training
DevOps
InfraInfra
Security
仕事が
奪われる!?
Security

Confidential
Secure Development Life Cycle: DevSecOps?
Copyright (c) 2019, Japan Digital Design, Inc., All rights reserved. 21
Requirements Design Implement Verification Deploy
Training
DevOps
Infra = SecOps
SecuritySecurity
Infra = SecOps

Confidential
DevOps 時代のIT Pro
Copyright (c) 2019, Japan Digital Design, Inc., All rights reserved. 22
DevOpsでIT Proの出番はなくなる!?
• 自動化されたデプロイフロー
• 開発スピードを重視したシステム構成
Infraは、SecurityをIncludeしていく仕組みを作る
• 自然とセキュアな環境になっている
• アカウント払い出し
• 標準テンプレート
• イメージのアップデート
• etc
• IT ProはAutomationにSecurityをBuilt-Inしていく
• “Dev” + Ops = DevOps
• “Ops” + Security = SecOps

Confidential
Secure Development Life Cycle: DevSecOps?
Copyright (c) 2019, Japan Digital Design, Inc., All rights reserved. 23
Requirements Design Implement Verification Deploy
Training
DevOps
Infra = SecOps
Security
Infra = SecOps
Security
Security

Confidential
DevOps 時代のIT Pro
Copyright (c) 2019, Japan Digital Design, Inc., All rights reserved. 24
DevOpsでIT Proの出番はなくなる!?
• 自動化されたデプロイフロー
• 開発スピードを重視したシステム構成
Infraは、SecurityをIncludeしていく仕組みを作る
• 自然とセキュアな環境になっている
• アカウント払い出し
• 標準テンプレート
• イメージのアップデート
• etc
• IT ProはAutomationにSecurityをBuilt-Inしていく
• “Dev” + Ops = DevOps
• “Ops” + Security = SecOps
Securityは、LawOps/GovernanceOpsになるかも…?

Confidential Copyright (c) 2019, Japan Digital Design, Inc., All rights reserved. 25
まとめ

Confidential
re:Inforce いいぞ
Copyright (c) 2019, Japan Digital Design, Inc., All rights reserved. 26
AWSって開発者向けのメッセージが多かった
‒ Serverlessで簡単に! 速く!
re:InforceはIT Pro向けのメッセージが明確に
‒ Automation + Security!
re:Invent
‒ いかにクラウドを使って事業を伸ばしていくか
re:Inforce
‒ いかに事業を継続するためクラウドを使うか
IT Proだけでなく、事業責任者なども
参加するといいイベントだったと思う

Confidential Copyright (c) 2019, Japan Digital Design, Inc., All rights reserved. 27
Thank you