2024.12.19
システムの穴を運用でカバーしようとしてミス多発… バグが大量発生、決算が合わない状態から業務効率化を実現するまで
Startup Architecture Of The Year 2019 #1-7 株式会社クラウドポート(全1記事)
提供:アマゾン ウェブ サービス ジャパン株式会社
リンクをコピー
記事をブックマーク
若松慶信氏(以下、若松):株式会社クラウドポートの若松と申します。今日は「Fundsのアーキテクチャについて」という題でお話をさせていただきたいと思います。
まず最初に、会社およびサービスについてです。
資産運用をしたい個人とお金を借りたい企業を結ぶ、貸付ファンドのオンラインマーケット「Funds」というサービスを運用しています。第二種金融商品取引業者という、金融庁の管轄下にある会社として、株式会社クラウドポートが運営をしています。
次に、システムアーキテクチャの話をします。
アーキテクチャですが、まずネットワークとしてはこういったかたちになっています。
Public・Privateを含む3層のサブネットと、同じような構成を持つVPCをいくつか運用していまして、これらを共通のVPCを使って結合しています。
システムの全体像としてはこういったものになっています。
スライド真ん中の上側がWebサイトのアプリケーション、右側が社内環境、社内向けのオペレーションシステム。この2つで共通のAPIとworkerを使用しています。マネージドサービスとしてAmazon AuroraやAmazon ElastiCacheなどを使用しています。
続いてDevOpsですね。
DevOpsでは、サービスごとにプロビジョニングしたファイルを事前に用意しておいて、デプロイは、AWS CodePipelineを使ってビルドとデプロイを行っています。運営している最中のログやモニタリングの仕組みも準備しています。
若松:ここから、このアーキテクチャを採用している理由についてお話しします。
このアーキテクチャを採用している理由ですが、1つは金融サービスとして必要なセキュリティを実現するためです。金融庁も「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を掲げていまして、非常に重要視しています。これが1点目です。
もう1点なんですけれども、少人数の運用チームでも安全に運用できるようにするためです。弊社はエンジニアが3人なので、その3人の中でもトラブルを予想できるような技術ということで、ある程度枯れているものを中心に使用しています。
ここからWell Architectedな7つのポイントについてお話しします。ちょっとセキュリティなので細かいところもあるんですけれども。
まず1つ目が、3層サブネットとワークロードのSecurity Groupで、NACLで大まかなセキュリティを、Security Groupで細かいルールを設定することで、トラフィックを必要十分に制限しています。
2つ目に「本番」「ステージング」「QA」という3者の環境があるんですけれども、これらをVPCレベルで分類して、共通のGatewayVPCでPeeringにより接続しています。本番環境とその他の環境の間の接続を防止したり、オペレーションするにあたって接続可能なルートを最小限に限定するといったことをやっています。
3番目が、AWS WAFを使っているのとAWS GuardDutyの利用です。WAFは外からの侵入、GuardDutyに関しては、VPC内部のCommand & Controlなどの不正なトラフィックの検出・分析などに使っています。
4番目がIAM Roleでの認可管理というところで、これはサービスごとに必要十分な認可の付与。あと、クレデンシャルの管理を不要にして、漏洩などを防止しています。
5番目がストレージレベルの暗号化。KMSを使ってアプリケーションレベルの暗号化というのも行っていまして、データの保護レベルに応じた複数の暗号化手段を適用しています。
それから6番目なんですけれども、Auto ScalingのScheduled Actionを利用して、定期的にインスタンス数を増減させることで古いインスタンスをdrainするようなものを作っています。これは、アドホックな設定やエクスプロイトの定着防止という役割でこういったことをしています。
最後にログとメトリクスの記録。これはAmazon CloudWatchやAmazon S3のバケットに運用中のログを記録するというようなもので、あとから分析可能にしています。
若松:こういったポイントがあるんですけれども、アーキテクチャによるビジネスへの貢献というところで最後にお話しします。
金融サービスなので、インシデント発生時のビジネスへの影響度が非常に大きいと考えています。その中で、このアーキテクチャを適用することによって、まずインシデント発生自体のリスク軽減が挙げられるかなと思います。
実際にインシデントが起きてしまうと億単位の損害が出てしまうので、そういったリスクを軽減しています。あと、万が一インシデントが発生した場合の調査ですとか分析も可能にしています。
最後なんですけれども、顧客からのサービスに対する信頼獲得というところで、こちらは、アプリケーションレベルでいうと、2段階認証みたいなものが、けっこうお客様にとって安心して使用できるよという話を聞きます。
それをアーキテクチャレベルでもこういうことをやることによって、信頼を獲得できるのではないかなと思います。
ご清聴ありがとうございました。
(会場拍手)
司会者:はい、ありがとうございました。若松さん、おつかれさまでした。じゃあ審査員のみなさんから、誰かコメントや質問をいただければと思うのですが、いかがでしょうか?
松本勇気氏:今回のアーキテクチャについて、3人しか社員がいないと書いてあって、けっこう人への依存が激しいなと思ったんですけど。スタートアップで仕方ないかなと思っているんですが、どう割り切った監査の仕方をしているのか知りたいです。
若松:人によるオペレーションは最小限に絞るようにしています。例えばデプロイですと、CodeDeployなんですけれども、これもGitHubのPushをもとに、自動的に全部デプロイまでもらえるようにしています。属人性みたいなものは極力排除するというようなかたちでやっています。構成管理などもTerraformを使っています。
司会者:大丈夫でしょうか。すみません、時間が短くて。ありがとうございました。では、もう1回、若松さんに大きな拍手をお願いいたします。
(会場拍手)
アマゾン ウェブ サービス ジャパン株式会社
関連タグ:
2024.12.20
日本の約10倍がん患者が殺到し、病院はキャパオーバー ジャパンハートが描く医療の未来と、カンボジアに新病院を作る理由
2024.12.19
12万通りの「資格の組み合わせ」の中で厳選された60の項目 532の資格を持つ林雄次氏の新刊『資格のかけ算』の見所
2024.12.16
32歳で成績最下位から1年でトップ営業になれた理由 売るテクニックよりも大事な「あり方」
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
PR | 2024.12.20
モンスター化したExcelが、ある日突然崩壊 昭和のガス工事会社を生まれ変わらせた、起死回生のノーコード活用術
2024.12.12
会議で発言しやすくなる「心理的安全性」を高めるには ファシリテーションがうまい人の3つの条件
2024.12.18
「社長以外みんな儲かる給与設計」にした理由 経営者たちが語る、優秀な人材集め・会社を発展させるためのヒント
2024.12.17
面接で「後輩を指導できなさそう」と思われる人の伝え方 歳を重ねるほど重視される経験の「ノウハウ化」
2024.12.13
ファシリテーターは「しゃべらないほうがいい」理由 入山章栄氏が語る、心理的安全性の高い場を作るポイント
2024.12.10
メールのラリー回数でわかる「評価されない人」の特徴 職場での評価を下げる行動5選
Climbers Startup JAPAN EXPO 2024 - 秋 -
2024.11.20 - 2024.11.21
『主体的なキャリア形成』を考える~資格のかけ算について〜
2024.12.07 - 2024.12.07
Startup CTO of the year 2024
2024.11.19 - 2024.11.19
社員の力を引き出す経営戦略〜ひとり一人が自ら成長する組織づくり〜
2024.11.20 - 2024.11.20
「確率思考」で未来を見通す 事業を成功に導く意思決定 ~エビデンス・ベースド・マーケティング思考の調査分析で事業に有効な予測手法とは~
2024.11.05 - 2024.11.05