2019年10月に京都で開催された CTO Night & Day 2019 Fall Day1 モーニングセッションでの講演資料です

1. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Morning Session:
CTO のためのセキュリティ
for Seed 〜 Mid Stage

2. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
⾃⼰紹介
松⽥ 和樹 (Kazuki Matsuda)
アマゾン ウェブサービス ジャパン株式会社
スタートアップ ソリューションアーキテクト
• 前職 : 広告領域で BigData を扱うスタートアップ
• 現職 : スタートアップの技術⽀援をしつつ、⾏きたいところを物⾊
• #Container #BigData #DevOps #Elasticsearch #Aerospike
• 好きな AWS サービス : AWS Fargate, AWS Chalice

3. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
アジェンダ
• スタートアップを理解する
• ステージ別の考え⽅
• Exit 時にセキュリティは必要か︖
• 内部統制・監査とは
• まとめ

4. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
スタートアップを理解する

5. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
出典: http://stateofstartups.firstround.com/2018/

6. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
テクノロジーのトレンドに対する３段階評価 (2018)
Rank these technology trends from underhyped to overhyped:
過⼩評価 妥当 過⼤評価
出典: http://stateofstartups.firstround.com/2018/

7. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
スタートアップ企業の創業者の半数以上が
セキュリティを重要視していない
51.5%
※ 2017: 50.9%

8. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
創業者が何に時間を使っているか (2017)
As a founder, how do you allocate your time percentage-wise?
出典: http://stateofstartups.firstround.com/2017/

9. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
何を課題ととらえているか (2018)
What are the top three issues that keep you up at night?
優秀な⼈材の採⽤
顧客の獲得
収益の成⻑
追加の資⾦調達
企業⽂化
顧客の解約（チャーン）
競争
株式市場の反発
ライフワークバランス
ダイバーシティ
出典: http://stateofstartups.firstround.com/2018/

10. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
プロダクトが最優先事項であり、
⼈材の獲得と事業の成⻑に課題意識があり、
セキュリティを過⼩評価している。

11. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
ステージ別の考え⽅

12. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
資⾦(円)
⼈数
投資家
⽬標
ステージ シード アーリー ミドル レイター
~3000万 3000万~3億 3億~10億 10億~50億
~5⼈ 5⼈~20⼈ 20⼈~50⼈ 50⼈~
エンジェル VC VC・事業会社 VC・事業会社
製品開発 ユーザー増加 単⽉⿊字 年次⿊字
ビジネス
スケール仮説検証
サイクル 事業価値
最⼤化堅牢な
財務体質
イシュー
※ 企業や業種により前後するので参考程度

13. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
シード
⽴ち上げ直後で、プロダクトづくりに集中。
セキュリティは最低限で良い（と考えているところが多い）
- どこからでもサーバにアクセス出来る
- 簡単に AWS のコンソールに入れる
社員の労務管理でさえ、なかなか⼿が回っていない。
組織の体をなしていない。
コンセプト/プロトタイプ作り
プロダクトマーケットフィット (PMF)
組織運営
プロダクト
守るべきビジネスを作っている段階
Private Subnet など基本的な設定を押さえるところから

14. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Framework

15. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
AWS Well-Architected Framework (W-A) とは?
2015年 AWS re:Invent にて発表
毎年アップデート

16. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
AWS Well-Architected Framework (W-A) とは?
・AWS のソリューションアーキテクト(SA)とお客様が
⻑年にわたり数多くの経験から作り上げたもの
・AWS とお客様と共に、
W-A も常に進化し続ける
システム設計・運⽤の”⼤局的な”考え⽅と
ベストプラクティス集
Your team
TECHNICAL & BUSINESS
LEADS
Solutions
Architect

17. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
AWS Well-Architected Framework ホワイトペーパー
設計原則と(質問と回答形式)のベストプラクティス集
あくまでも設計”原則“なので、実装の詳細や
アーキテクチャパターンは扱っていない
コストの
最適化
セキュリティ 信頼性
パフォーマンス
効率
運⽤の
優秀性

18. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark
Well-Architected Tool

19. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
アーリー
プロダクト開発が⼀段落
重要な情報や組織がスケールし始める
漏れたり消えたりするとまずい規模のデータ、あるいは
取引先が増え、リスクに気づき始める。
知⾒のある社員は少なく、どこから⼿を付けるか迷う。
⼈が増えルールを決め始めるが、仕組みで制限する
のではなく、運用でカバーしている事が多い。
組織運営
プロダクト
簡単に始められ、実益のあるソリューションが求められる

20. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
ミドル プロダクトを充実化させる
外部からの攻撃も増えるため、対策が求められる。
セキュリティやコンプライアンスも機能の⼀部と認識
し始める。
- ⼆段階認証の実装
- 個人情報の開示請求対応
運用でガバナンスを効かせるのが難しい規模に。
自動化やシステム制御を検討し始める。
組織運営
プロダクト
プロダクトの価値向上に繋がる
ソリューションが求められる

21. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

22. © 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.
セキュリティ対策を⾃動化する
• よくいただく課題 😂
• 「セキュリティ、何をどこまでやればよいのか分からない、やったらやったで⼤変そう」
• 「セキュリティに不安があるのでレビューしてほしい」
• 本当にしたいことは何︖ 😳
• 効率よく過不⾜なくセキュリティに取り組みたい
• セキュアなシステムで事業とユーザーを守りたい
• 思考フロー 😌
1. まずマネージドサービスを使おう
2. キャッチすべきアラートやイベントを決めよう
3. イベントに対するレスポンスを考えよう

23. © 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.
0. セキュリティ要件はサービス運営者⾃⾝から出てくるもの
• 「何をすべきか」は各社・各ビジネスによって異なるため、
この資料では実装時の汎⽤的な考え⽅について述べています
• 「AWS が実施しているセキュリティ」ではなく、
「AWS 上でお客様が構築する環境のセキュリティ」について話します
2018 春期講習

24. © 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.
1. まずマネージドサービスを使おう
• 各種マネージドサービスで
⾃分の責任範囲を⼩さくする
• セキュリティ系マネージドサービスで
低コストに⾼機能を得る
Amazon
EC2
AWS
Fargate
AWS
Lambda
責任共有モデル | AWS
Amazon
GuardDuty
AWS Security
Hub
AWS Config
AWS
CloudTrail
Amazon
CloudWatch
Events

25. © 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.
1. まずマネージドサービスを使おう
• 各種マネージドサービスで
⾃分の責任範囲を⼩さくする
• セキュリティ系マネージドサービスで
低コストに⾼機能を得る
Amazon
EC2
AWS
Fargate
AWS
Lambda
※ 参考︓責任共有モデル | AWS
お客様の
責務
AWS の
責務
Amazon
GuardDuty
コンピューティング
サービスの例
AWS Security
Hub
AWS Config
AWS
CloudTrail
Amazon
CloudWatch
Events
集約/把握 対応
Action!

26. © 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.
2. キャッチすべきアラートやイベントを決めよう
• 何を検知できるのか、発⽣時にどう影響があるのか考える（例）
Amazon EC2
Attacker
AWS CloudTrail
AWS IAM
Amazon
GuardDuty
！
👀
AWS Config
！
Amazon GuardDuty Finding Types

27. © 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.
3. イベントに対するレスポンスを考えよう
• Amazon CloudWatch Events を起点に必要なアクションに連携（例）
AWS CloudTrail
Amazon GuardDuty
👀
AWS Config
！
！
Amazon
CloudWatch
Events
AWS
Lambda
AWS Step
Functions
Amazon
SNS
Admin Attacker
AWS CloudTrail
Workflows

28. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
レイター プロダクトに質が求められる
外部攻撃に加え、内部にも気を配る必要性が出てくる。
事業継続性なども求められるようになる。
組織運営
プロダクト
上記を保つためのプロセスや体制が求められる。
Exit に向けて専門組織を立ち上げ。
実際の質と同時に、外部による Confirm が必要になることも
セキュリティチェックシート、監査法人

29. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Exit 時にセキュリティは必要か︖

30. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Exit 時にセキュリティは必要か︖
バイアウトであれば要る（⾒られる）
• （基本）Due Diligence の項⽬にいる
• ロックアップ期間等はあるが、原則全員辞めると思って
デューデリに望むのが基本
• バイアウト先の企業に⼤きく依存する

31. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Exit 時にセキュリティは必要か︖
IPO （⾃体という意味）であれば要らない
• 監査法⼈が Go を出せば IPO ⾃体は問題ない。
• 監査法⼈が⾒るのは内部統制等のレポートのみで、セ
キュリティの実装状況が⾒られることはない。
• ただし、セキュリティインシデント等が発⽣した場合、
企業価値が⼤きく損なわれる。また、上場準備中のイン
シデントは監査法⼈の⽬を厳しくする。
クラウド等に理解のない監査法⼈を選ぶと、難航することも。。

32. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
内部統制・監査とは

33. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
内部統制の要素
• 統制環境
• 経営者を含む組織構成員の内部統制に対する意識そのもの
• リスクの評価と対応
• 統制活動
• 情報と伝達
• モニタリング（内部監査）
• IT 統制

34. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
IT 統制
• IT 全社的統制
• 企業グループ全体のITに関する⽅針やルール、体制を整備し、
ITに関するリスクを評価して対応策を講じる統制活動
• IT 全般統制
• システムそのものが健全に機能するかどうかを監査するので
なく、そのように適切に機能するための管理・体制のあり⽅
• 内外からのアクセス管理、外部委託に関する契約の管理
• IT 業務処理統制
• 意図した統制が取れるように設定されているかどうか
（全部ではないが）W-A でカバーされている範囲が多い

35. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
まとめ

36. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
まとめ
• スタートアップにとってセキュリティの優先度は低い
• セキュリティが IPO のブロッカーになることは少ない
• セキュリティインシデントがブロッカーになることはある
• 多くの⼯数を割かずとも、マネージドサービスを活⽤す
ることでに⾼品質なセキュリティを実装することが可能
• （全てではないが） Well-Aechitected Framework は
チェックリストとして有⽤