【GOJAS Meetup-04】SplunkケーススタディVol.3 発表資料 https://gojas.doorkeeper.jp/events/62151 AWSに関するお問い合わせ：https://www.serverworks.co.jp/contact/ サーバーワークスエンジニアブログ：http://blog.serverworks.co.jp/tech/

1. クラウドワークスタイル と Splunk
【GOJAS Meetup-04】SplunkケーススタディVol.3
株式会社サーバーワークス
コンサルティング部 ソリューションスペシャリスト
薄井 孝幸

2. ＜注⼒しているサービス＞
n 薄井 孝幸（うすい たかゆき）
n 所属
株式会社サーバーワークス
コンサルティング部
ソリューションスペシャリスト
n 現在の業務
l ITインフラのクラウドサービス活⽤コ
ンサルティング
l AWSサービスの最適化コンサルティン
グ
l AWSと組み合わせて活⽤するSaaSソ
リューション開発
l VDI（Amazon WorkSpaces）を活⽤した
働き⽅改⾰ソリューション開発
l CASB (Cloud Access Security Broker)を利⽤
したクラウドセキュリティの提案
薄井 孝幸

3. ⽬次
クラウドワークスタイル
クラウドワークスタイルとSplunkについて
まとめ

4. （おねがい）
弊社サーバーワークスを
ご存知のお客様は
⼿を挙げていただけますでしょうか。

6. サーバーワークスのビジョン

7. サーバーワークスのビジネス
l 2009年より、AWSに特化したインテグレーション事業を開始。
l 世界で20,000社を超えるAWSパートナーから上位0.3%のみが受ける最上位資格 ”APN
Premier Consulting Partner” に認定
AWS導⼊⽀援
AWS⾃動化ツールAWS運⽤サービス
導⼊コンサルティング
各種スターターパック
AWS構築サービス
24時間365⽇の運⽤代⾏
有⼈監視・障害対応
課⾦代⾏サービス
Cloud Automator
（運⽤業務⾃動化） ⽇本5拠点(+⼦会社1拠点)
US1拠点

8. サーバーワークスについて
20
1
0
2540
28
22
エンジニア
営業・バックオフィス
運⽤⼦会社（スカイ365）
Solution Architect
Associate
48
SysOps
Associate
39
SA Professional
23
DevOps Professinal
9
Developer
Associate
23
本社所在地 〒162-0824 東京都新宿区揚場町1-21
代表者 ⼤⽯ 良
設⽴ 2000年2⽉
資本⾦ 71,600,000円
株主 当社役員、株式会社テラスカイ（東証マザーズ上場）
従業員数 85名 (2017年5⽉現在)
事業内容 AWS専業のクラウドインテグレーター
営業所 名古屋・⼤阪・仙台・福岡
資格等 APN Premier Consulting Partner 2015/2016
APN MSP Program
APN Migration Competency(Delivery)
ISO27001（本社取得）
関連会社 株式会社スカイ３６５（北海道札幌市）
●会社概要

9. クラウドインテグレーターとしての取り組み

10. クラウド検討/導⼊/運⽤⽀援サービスのご紹介
l サーバーワークスでは、お客様のクラウド活⽤を最⼤限⽀援するため、利⽤開始前の検討⽀援、利⽤
開始時の導⼊⽀援、利⽤開始後の運⽤⽀援をサービスとして提供します。これらのサービスを活⽤い
ただくことで、お客様のクラウドサービスの利活⽤・最適化を強⼒に⽀援いたします
アセスメントを通じて、お客様の
サービス導⼊検討（導⼊プラン、
ユースケース整理、コスト算出）
の⽀援を実施
サービス利⽤開始前
の検討⽀援
クラウド
コンサルティング
サービス
お客様のITインフラへのサービス導⼊
（基本設計、初期設定、導⼊作業）など、
サービス利⽤開始の導⼊⽀援を実施
サービス利⽤開始時
の導⼊⽀援
クラウド
インテグレーション
サービス
サービス追加設定、トラブルシュー
ティング⽀援、ヘルプデスク対応な
ど、利⽤開始後のお客様のご要望に
柔軟に対応
サービス利⽤開始後
の運⽤⽀援
クラウド
マネージメント
サービス

11. ⽬次
lクラウドワークスタイル
lクラウドワークスタイルとSplunkについて
lまとめ

12. クラウドワークスタイル

13. サーバーワークスのワークスタイル

14. はたらきやすいファシリティ
リフレッシュルーム
カフェ的なエリア
フォンブース
私語厳禁！
集中エリア
教え・学ぶ
コラボレーション
エリア
わいわいガヤガヤ！
コミュニケーション
エリア
仕事の内容に応じて
⾃分で場所を選んで決めるスタイル

15. リフレッシュルーム

16. コミュニケーションエリア
ここで勉強会も
実施！

17. 畳（⼩上がり）
これでも
オフィスです！

18. コラボレーションエリア
電話やWeb
会議は
こちらで

19. カフェ席

20. コンセントレーション(集中)エリア
イヤホンOK
話しかけ禁⽌

21. BYOD制度 (Bring Your Own Device)
⾃分の好きなPCの⽅が
仕事がしやすいはず！
＼利⽤者には⼿当を⽀給／

22. 「時間や場所にとらわれない」はたらき⽅
徹底的な
クラウド化 BYOD制度×

23. 「時間や場所にとらわれない」はたらき⽅
徹底的な
クラウド化 BYOD制度×
クラウドワークスタイル
利⽤実績90％超

24. 徹底的なクラウド化

25. 2008年
社内サーバー購⼊禁⽌令

26. 2009年
AWS専業インテグレーターに転換
新規案件はAWSのみ

27. セキュリティの重要性
l クラウドのマーケットは突然⽴ち上がった
l クラウドセキュリティは容認されても、
中間業者（CIer）のセキュリティは別もの
l 最初の取り組みは「セキュリティ強化」だった

28. ISMS取得のポリシー
l 売上があがること
l 情報セキュリティ基本ポリシーに明記
l 優秀な社員のやる気を失わせないこと
l 攻守のバランスがよいこと
l ⾃分の好きな端末を使えること
l 持ち込んだ時に「損をした」気持ちにさせないこと

29. クラウドの組み合わせによる
セキュリティ強化

34. (G Suite)
⽇常的に利⽤するクラウド

35. ⽇常的に利⽤するクラウド
(G Suite)

36. onelogin が解決！
(G Suite)

37. OneLoginでできること
シングル・サイン・オン
ディレクトリサービス連携
多要素認証（MFA）
アプリケーション毎のＩＤ/パスワードを覚える必要が無く、
複数の業務システムへのサインオンを、ワンクリックで実現します
Active DirectoryやLDAPとOneLoginを連携させることで、アクセス権の集中管理が可能です。
PKI証明書やモバイルOTP（ワンタイムパスワード）を利⽤することで、
より強固なセキュリティを実現できます
コンプライアンス
ユーザーのログイン履歴、アプリケーションの起動履歴などを簡単な⼿順で把握することができます

38. シングル・サイン・オン
ひとつの認証情報で複数クラウドサービスを利⽤
OneLoginにログインするだけですべてのサービスにログイン可能

39. シングル・サイン・オン（例：AWS IAM ユーザー）
l OneLoginの機能で､ログインフォームに代理⼊⼒

40. シングル・サイン・オン（フォーム代理⼊⼒の設定⽅式）
l ユーザー設定
l エンドユーザー側で､パスワード設定が必要なサービスに利⽤
l 例:n⽇ごとにユーザーがログインパスワードを変更する必要がある｡
l 管理者設定
l 通常のID､パスワードを利⽤したログイン⽅式のサービスに利⽤します｡
l この設定では､管理者側がユーザー毎にID､パスワードを個別に設定できます｡
l この場合､管理者がパスワードをOneLoginに設定しているため､
ユーザーはパスワードを知らない状態で､サービスを利⽤することができます｡
l 共⽤アカウント(管理者設定)
l 管理者が設定した1つのID情報を共有してログインを⾏う設定です｡
l 利⽤例としては､複数名でアカウントを共有して利⽤したい場合に設定します｡

41. 様々なデバイスから利⽤可能
主要OS
ブラウザ
モバイル共に対応

42. 多要素認証
l OneLoginへのアクセスセキュリティ強化
l さまざまなモバイルアプリを利⽤可能

43. さまざまなMFAデバイスが利⽤可能
l OneLogin Protect
l Google Authenticator
l Symantec VIP
l YubiKey
l Etc…

44. ディレクトリ連携
l 既存のADのアカウント情報をOneLoginへ同期可能
l LDAP, Google Apps, or Workdayにも対応
l Active Directoryの場合リアルタイム同期が可能
Account Sync

45. Active Directory 連携（リアルタイム）

46. ディレクトリ連携によるIDの⼀元化
⽂書管理
メール
予定
CRM
Web会議
プロジェクト
管理
既存ディレクトリ
ID同期
SSO

47. OneLoginを利⽤して権限の⼀元管理が可能
グループ名称 社内システム Webサイト ⾃社サービス プロジェクト 開発環境
情報システム部 ◯ ◯ ◯ ◯ ◯
マーケティング × ◯ × × ◯
開発部 × × ◯ × ◯
技術部 × × × ◯ ◯
パートナー × × × × ◯

48. サーバーワークスの権限例（＃⼤幅に簡略化）
グループ名称
BIツール SFA/CRM Office App ファイル共有 カスタマー
サポート
クラウド
経営層 〇 〇 〇 〇 × ×
マネージャー 〇 〇 〇 〇 〇 ×
セールス 〇 〇 〇 〇 〇 ×
エンジニア 〇 × 〇 〇 〇 〇
パートナー × × 〇 × 〇 ×

49. コンプライアンス
l 集中監査型証跡
l すべてのユーザーの変更とアクティビティを記録
l 後追いで監査が容易

50. コンプライアンス（例：社内インフラ⽤AWSアカウント）
l ログイン証跡を⼀元的に管理可能
l いつ、だれが、どこで何を利⽤したか

51. クラウドワークスタイルは、onelogin が⽀えている！
(G Suite)

52. クラウドワークスタイルとSplunkについて

53. クラウドワークスタイルは、onelogin が⽀えている！
(G Suite)

54. コンプライアンス
l 集中監査型証跡
l すべてのユーザーの変更とアクティビティを記録
l 後追いで監査が容易

55. OneLoginを経由して
クラウドサービスにアクセスしているなら
データを 可視化 すると
⾯⽩いものが⾒えそう？

57. 欲しいと思ったらあるのが Splunk App & Add-On
l Using Splunk to Visualize OneLogin Events
l https://support.onelogin.com/hc/en-us/articles/210457943-Using-Splunk-to-Visualize-OneLogin-Events

58. Splunk Enterprise & OneLogin 構成図
Splunk
Enterprise
instance
Splunkアクセス
クラウドサービスアクセス
Splunk⇒OneLoginデータアクセス
【Splunk Enterprise環境】
・Amazon EC2：i3.xlarge
（4 vCPU, 30.5GB Memory, 0.95TB NVMe SSD）
・OS：Amazon Linux 2017.03.0
・Splunk：Splunk Enterprise 6.6.2
クラウドサービス

59. Spot Instance（i3.xlarge）の3か⽉動向

60. Spot Instance（i3.xlarge）の3か⽉動向

61. Spot Instance（i3.xlarge）の3か⽉動向
スポット価格が
安定的なインスタンスタイプを利⽤して
簡易な検証環境を稼働させましょう
＃g2,p2系のGPU系インスタンスのスポット価格を⾒ると（ｒｙ

62. Splunkで
OneLogin Eventの可視化をやってみた

63. データ可視化（OneLogin [弊社デモ⽤テナント]）
[OneLogin summary]
- GEO map of all events
- All events by app
- Logins by country
- Users count
- Events over time
- Failed logins
- Passwords changes
- Top 10 provisioning error messages
- Users created in the apps
- Assumed user per time
- Provisioned users
- Provisioning users failed
- Logins by app

64. ん？
なにか もの⾜りない感じ・・・

65. OneLogin Event Resource and Types
l OneLogin Event Resource and Types
l https://developers.onelogin.com/api-docs/1/events/event-resource
• OneLogin Event Type IDには
「535種類」のイベントタイプが定
義されている
• あくまで、IDaaSとして必要な
OneLogin/連携サービスのログイ
ンなどのイベントが⼤多数
• （⾯⽩いデータの可視化のため）
ユーザーのアクティビティをトレー
スするには、連携サービス側のログ
データが必要

66. Splunk Enterprise & OneLogin 構成図
Splunk
Enterprise
instance
Splunkアクセス
クラウドサービスアクセス
Splunk⇒OneLoginデータアクセス
【Splunk Enterprise環境】
・Amazon EC2：i3.xlarge
（4 vCPU, 30.5GB Memory, 0.95TB NVMe SSD）
・OS：Amazon Linux 2017.03.0
・Splunk：Splunk Enterprise 6.6.2
クラウドサービス

67. Splunk Enterprise & OneLogin 構成図（修正）
Splunk
Enterprise
instance
Splunkアクセス
クラウドサービスアクセス
Splunkデータアクセス
【Splunk Enterprise環境】
・Amazon EC2：i3.xlarge
（4 vCPU, 30.5GB Memory, 0.95TB NVMe SSD）
・OS：Amazon Linux 2017.03.0
・Splunk：Splunk Enterprise 6.6.2
クラウドサービス
Splunkデータアクセス

68. 欲しいと思ったらあるのが Splunk App & Add-On #2
• Splunk App for AWS
• https://splunkbase.splunk.com/app/1274/
• Splunk Add-on for Amazon Web Services
• https://splunkbase.splunk.com/app/1876/
• Splunk Add-on for Microsoft Cloud Services
• https://splunkbase.splunk.com/app/3110/
• Splunk Add-on for Salesforce
• https://splunkbase.splunk.com/app/3549/
• Box App for Splunk
• https://splunkbase.splunk.com/app/1807/
• Splunk Add-on for Box
• https://splunkbase.splunk.com/app/2679/
• Google Apps for Splunk
• https://splunkbase.splunk.com/app/2714/

69. データ可視化（AWS [弊社個⼈検証⽤アカウント]）
[Splunk App for AWS]
[Data Source]
AWS Config
Config Rules
CloudTrail
Inspector
CLoudWatch
CloudWatch Logs
Billing
S3
Kinesis
Metadata
[Overview]
Overview
Usage Overview
Security Overview
Insights Overview

70. Splunkを使ったAWSデータの可視化
Billing Reports
S3 Access Logs
CloudTrail Logs
ELB Access Logs
CloudFront Access Logs
Application Logs
Config Snapshots
& History Files
Other Service Logs
Kinesis
Stream
SQS
Lambda
RDS
Redshift
CloudTrail
SNS
S3
CloudWatch
Metrics
CloudWatch
Events
CloudWatch
Logs
EC2 System
Manager Events
ECS Container & Task
State Changes
EBS Volume & Snapshot
Notifications
EMR Cluster & Instance
State Changes
Auto Scaling Group
State Changes
CodeDeploy
Instance & Deployment
State Changes
AWS Console
Sign-In Events
AWS Health &
Trusted Advisor Events
KMS Events
Config
ElastiCache
Cluster Events
CloudFormation
Stack Events
CloudWatch
Alarms
ELB Metrics
CloudFront
Metrics
EC2 Metrics
EBS Metrics
ECS Metrics
DynamoDB
Metrics
EMR Metrics
Kinesis
Metrics
Lambda Metrics
API Gateway
Metrics
S3 Metrics
Route53 Metrics
SNS Metrics
RDS
Metrics
AWS
Add-on
DB
Connect
Native path (via AWS)
Push path (via Splunk HEC)
Pull path (via Splunk Modular Input or DB Input)
VPC Flow Logs
Lambda Logs
API Gateway Logs
Custom
Application Logs
API Gateway
Custom Events
DynamoDB
Table Updates
S3 Events
Cognito Events
Custom Config Rules
CodeCommit
Repo Events
IoT
v1.1

71. もっともっと
Splunk にデータ蓄積をして
可視化をしないと
潜在的なリスクが⾒えない

72. マシンデータを、すべての⼈に、アクセス可能に、
便利なものに、そして価値あるものに。

73. まとめ

74. まとめ
・クラウドサービスの徹底的な活⽤ではたらきかたを変えよう！
はたらきかたを変えるため、徹底してAWS, Splunk, OneLogin,
G Suite, Office365, Slack 等の優れたクラウドを利⽤すること
で、時間と場所の制約を開放。
・潜在的なセキュリティリスクの可視化のため、サービスのログ集
約、可視化を通じて、Splunkを最⼤限活⽤しよう！
クラウドサービスの活⽤と、セキュリティリスクの可視化は両⽴し
ていく必要がある。そのために、優れたマシンデータ集約、分析プ
ラットフォームのSplunkを活⽤して費⽤対効果があるセキュリ
ティ対策を実現！

75. 費⽤対効果の話がでたので

76. AWS Martketplaceで Splunk Cloud が提供開始！
l Splunk Cloud（＃AWS利⽤料の中にSaaSの利⽤料が含まれる）
l https://aws.amazon.com/marketplace/saas/pp/B06XK299KV

77. クラウドサービスの活⽤、
はたらきかた改⾰を実現したいお客様は
ぜひ サーバーワークス へ
ご相談ください

78. 株式会社サーバーワークス
コンサルティング部
ソリューションスペシャリスト
薄井 孝幸（うすい たかゆき）
Tel ：03-5579-8029
Mail：
URL :
ご清聴ありがとうございました
最後までご覧下さいまして、誠にありがとうございました
弊社ではAWS専業のクラウドインテグレーターとして、お客様のITインフラ環境の
クラウドマイグレーションおよびマイグレーション後の最適化の実施など、
幅広いご⽀援が可能です。お気軽にサーバーワークスまでご相談下さい
sales@serverworks.co.jp
https://www.serverworks.co.jp/