高 可 用 性 / セキュリティを 実 現 する 金 融 機 関 / Fintech における AWS 活 用 の 実 際 と 構 成 パターン アマゾン ウェブ サービス ジャパン 株 式 会 社 部 長 /シニアソリューションアーキテクト 瀧 澤 与 一 2016/6/2 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Agenda 金 融 機 関 におけるAWS 活 用 のオーバービュー AWS 活 用 の3パターン 1. 高 可 用 性 を 実 現 するパターン 2. 高 い 機 密 性 を 実 現 するパターン 3. FINTECHなど 新 しい 取 り 組 みでのAWS 活 用 パターン 2
金 融 機 関 におけるAWS 活 用 のオーバービュー
4 グローバルでの 金 融 機 関 におけるAWS 活 用
ソニー 銀 行 継 続 的 にAWSを 利 用 2016 年 は リスク 管 理 帳 票 管 理 をAWS 上 に 構 築 予 定 5
Innovation 6 Copyright 2012 Amazon Web Services
Trusted Advisor Redshift Identity & Access Management Amazon AppStream Dynamo DB GovCloud AWS OpsWorks CodeCommit Amazon SES Elastic Transcoder Amazon WorkMail Amazon EFS EC2 Container Service Import/Export Snowball AWS CodeDeploy Amazon Kinesis AWS Storage Gateway Amazon ElastiCache CloudHSM Amazon Config 1,896 Amazon Cognito Elasticsearch Service Amazon CloudTrail AWS Elastic Beanstalk EC2 Container Registry AWS CodePipeline Amazon Route 53 Lambda AWS CloudFormation AWS Device Farm AWS Data Pipeline Amazon SNS QuickSight AWS WAF CloudSearch * As of 30 Dec 2015 Glacier Amazon SWF WorkSpaces Amazon Machine Learning Amazon API Gateway AWS Direct Connect AWS KMS WorkDocs Amazon Inspector RDS for MariaDB AWS IoT Directory Service CloudWatch Logs AWS Service Catalog Amazon RDS for Aurora AWS Mobile Hub Mobile Analytics AWS Import/Export
加 速 する 機 能 拡 張 改 善 のスピード 2015 年 に 合 計 722の 新 機 能 またはサービスの 追 加 2016 年 は 4/ 末 時 点 で313もの 新 しい 機 能 とサービスを 発 表 機 能 追 加 はAWSが 実 施 仮 想 化 基 盤 への 適 用 作 業 が 不 要 バージョンアップ 費 用 が 不 要 722 159 48 82 2009 2011 2013 2015 8
世 界 中 に 広 がるAWSの 拠 点 33のアベイラビリティーゾーン(データセンター 群 ) 12 のリージョン 1. US EAST (Virginia) 2. US WEST (N. California) 3. US WEST 2 (Oregon) 4. EU WEST (Ireland) 5. JAPAN (Tokyo) 6. South America (Sao Paulo) 7. Singapore 8. Sydney 9. GovCloud 10. BJS 1 (Beijing China) limited preview 11. EU (Frankfurt) 12. Korea 54のエッジロケーション データ 保 管 先 を 明 示 的 に 指 定 可 能 9
70 以 上 のAWSサービス Support Professional Services Partner Ecosystem Training & Certification Solutions Architects Account Management Security & Pricing Reports Technical & Business Support Virtual Desktop Sharing & Collaboration Business Email Enterprise Applications Analytics App Services Developer Tools & Operations Mobile Services Hadoop Real-time Streaming Data Data Warehouse Data Pipelines Machine Learning Queuing & Notifications Workflow App Streaming Transcoding Email Search Deployment DevOps Application Lifecycle Management Resource Templates Containers Event-driven Computing Identity Sync Mobile Analytics Push Notifications Platform Services Identity Management Access Control Resource & Usage Auditing Key Management & Storage Monitoring & Logs Administration & Security Compute (VMs, Auto-scaling, and Load Balancing) Storage (Object, Block, EFS, and Archival) CDN Databases (Relational, NoSQL, and Caching) Networking (VPC, DX, and DNS) Core Services Regions Availability Zones Points of Presence Infrastructure
金 融 機 関 のIT 環 境 自 組 織 のデータセンター 11
AWSを 利 用 すると 自 組 織 のDCを 拡 張 できます データセンター 12
従 来 の 考 え 方 負 荷 の 予 測 に 合 わせて サー バ 増 設 を 行 う サーバリソース サーバ 増 設 サーバ 増 設 サーバ 増 設 余 剰 リソース 実 際 の 負 荷 状 況 Time 13
でも 予 測 が 間 違 っていると 従 来 のIT 環 境 には 見 えないコストが 多 く かかっている リソースの 予 測 は 可 能??? プロジェクトの 遅 れ? 遅 れ 実 際 の 負 荷 状 況 Time 14
金 融 機 関 のクラウド 活 用 で 求 められている 3つのポイント 1. 高 可 用 性 金 融 機 関 が 求 める 高 い 可 用 性 障 害 に 対 する 柔 軟 な 対 応 2.セキュリティ FISC 安 全 対 策 基 準 への 対 応 や 自 組 織 内 のリスク 管 理 策 への 対 応 3.Fintech 新 しい 技 術 の 採 用 イノベーション 15
3つのパターン: 1. 高 可 用 性 を 実 現 するパターン
金 融 システム on AWSで 要 求 される 可 用 性 可 用 性 99.95%? 金 融 機 関 のシステムで 要 求 されるSLAは99.99% 以 上? 障 害 発 生 時 の 対 応 報 告 Amazon EC2 Auto-Scaling 自 動 化 17
耐 障 害 性 高 可 用 性 の 構 成 の 基 本 http://d36cz9buwru1tt.cloudfront.net/jp/architecturecenter/r efarch_faulttolerancehighavailability_5ar.pdf 18
障 害 発 生 時 の 対 応 体 制 お 客 様 の 運 用 管 理 システム お 客 様 のアクション 障 害 検 知 障 害 発 生 報 告 書 発 生 日 時 CloudWatch Service Health Dashboard CloudTrail Config 状 況 把 握 一 時 対 処 対 象 サービス 業 務 対 象 システム 被 害 状 況 等 19 AWSサポート ソリューション アーキテクト 原 因 分 析 恒 久 対 策 再 発 防 止 対 処 状 況 原 因 事 後 改 善 策
Auto Scaling 自動化 EC2インスタンスを負荷またはスケジュールに応じて自動増減 特徴 (http://aws.amazon.com/jp/autoscaling/) Desired Capacity 必要に応じて 追加される Capacity Amazon EC2インスタンス群を自動的にスケール 耐障害性の向上 インスタンスの異常を検知して 新しいインスタンスを起動 EC2インスタンスの起動料金の最適化 価格体系 (http://aws.amazon.com/jp/autoscaling/pricing/) Auto Scaling自体の利用は無料 Auto Scalingによって起動されるEC2インスタン スの起動料金 20
自動化による 障害発生時の対応 体制の簡略化 EC2インスタンスを負 荷またはスケジュール に応じて自動増減 お客様のアクション 性能不足検知 自動化 状況把握 対処 自動的に対応 Desired Capacity 必要に応じて 追加される Capacity 原因分析 不要 恒久対策 再発防止 そのほか ELB ロードバランサ によるヘルスチェックや EC2 Auto-Recovery 障害時の自動復旧 機能も利用可能 21 対応が不要に
AWS 上 でのシステム 構 築 のベストプラクティス Design for Failure 故 障 に 備 えた 設 計 をする 冗 長 にシステムを 配 置 する 地 理 的 さらに 電 源 やネットワークなどの 独 立 性 も 重 視 障 害 時 の 復 旧 がすぐに 行 えるように 備 える 伸 縮 自 在 性 を 実 装 リソースの 供 給 を ユーザーやシステムの 需 要 に 合 わせる 必 要 があれば 追 加 し 不 要 になったら 捨 てる 疎 結 合 なシステム コンポーネント 間 の 依 存 関 係 を 減 らす スケールしやすく さらに 全 体 的 に 効 率 のよいシステムにする 22
23
会 社 概 要 会 社 名 クォンツ リサーチ 株 式 会 社 Quants Research Inc. 所 在 地 東 京 都 港 区 新 橋 1-7-1 汐 留 メディアタワー9F 代 表 取 締 役 社 長 設 立 資 本 金 西 村 公 佑 2000 年 3 月 15 日 5,770 万 円 株 主 構 成 一 般 社 団 法 人 共 同 通 信 社 100% 社 員 数 52 名 ( 常 勤 取 締 役 除 く)2016 年 3 月 現 在 従 業 員 数 72 名 (パートナー 含 む) 24
ビジネス 領 域 投 資 情 報 Investment Information リアルタイム 情 報 フィード 各 種 公 開 情 報 分 析 評 価 システム Analysis and Evaluation System 金 融 資 産 分 析 金 融 商 品 評 価 企 業 分 析 金 融 システム 開 発 サイト 構 築 運 営 Site development and operated 自 社 サイト 運 営 メディアサイト 運 営 企 業 サイト 運 営 25
私 たちのミッション 金 融 工 学 + IT + 自 由 な 発 想 顧 客 と 共 に 新 たな 価 値 を 創 る IT 顧 客 新 たな 価 値 金 融 工 学 発 想 力 26
リアルタイム時価情報サービスプラットフォーム 日本の証券取引所の株価情報をはじめとして インデックス 為替 債券など多岐にわたっているリアルタイム時価情報 を取得 配信 時価配信 システム 株価ボード チャート 27
構築時の課題 同時複数クライアントに対してリアルタイムの株価配信を行う 自社のファシリティで対応することが難しい FISCに準拠するパブリック クラウド AWSを選定 28
AWS導入に向けて 時価データの リアルタイム性 と金融機関が求める 高可用性 を担保 DirectConnectの2重化 MultiAvailabilityZoneでのVPC 完全二重化構成 デュアルシステム 29
システム構成図 Availability Zone 大手証券会社 リアルタイム 株価ボード 証券取引所 Redis デュアルシステム オンライン証券 個人ユーザー リアルタイム 株価データ 配信ゲートウェイ 株価配信 Redis Availability Zone 30 既存データセンター リアルタイム 株価データ
システム構成図 Availability Zone 大手証券会社 リアルタイム 株価ボード サービス 証券取引所 Redis デュアルシステム オンライン証券 個人ユーザー リアルタイム 株価データ 配信ゲートウェイ 株価配信 サービス Redis Availability Zone 31 既存データセンター リアルタイム 株価データ
システム構成図 Availability Zone 大手証券会社 リアルタイム 株価ボード 切り離し 証券取引所 Redis デュアルシステム オンライン証券 個人ユーザー リアルタイム 株価データ 配信ゲートウェイ 株価配信 サービス Redis Availability Zone 32 既存データセンター リアルタイム 株価データ
構築する上で AutoScaling 取引時間帯 9:00-15:00 に応じたサーバ台数 性能を確保し かつ 非稼働時のコストダウンを実現 サーバ台数 Amazon EC2インスタンス数 トラフィック量 6:00 33 7:00 8:00 9:00 10:00 11:00 12:00 13:00 14:00 15:00 16:00 17:00 18:00
リアルタイム時価情報サービスプラットフォームのリリース後も AWS利用を促進中 リアル配信データのサービスとして マルチコンテンツ マルチクライアントに対して配信を行う Javascript版チャートへのデータ配信開始 スマートフォンアプリへのデータ配信開始 AWSの機能 サービスを活用することにより 更に可用性とコストダウンを実現したシステムを構築 Elastic Beanstalkを利用した QRサーチコンシェルジュ 証券投資専用の銘柄検索ツール の提供開始 34
現在の構成 QRサーチコンシェルジュ リアルタイム時価情報サービス プラットフォーム 35
証 券 会 社 でのAWS 採 用 時 価 配 信 システムでは 特 に9:00-15:00のトラフィック 処 理 が 重 要
3つのパターン: 2. 高 い 機 密 性 を 実 現 するパターン
金 融 システム on AWSで 要 求 される 要 件 FISC 安 全 対 策 基 準 第 8 版 追 補 改 訂 対 応 AWS 責 任 共 有 モデル サイバーセキュリティ 対 策 行 内 / 社 内 のID 管 理 機 密 情 報 の 管 理 AWSセキュリティ AWS IAM, AWS CloudTrail, AWS WAF, AWS Inspector,.. 38
FISC安全対策基準第8版追補改訂 2015/6 FISCシステム監査指針 改訂第3版追補 2016/5 のリリース 公益財団法人 金融情報システムセンター FISC 金融機関等コンピュータシステムの安全対策基準 解説書 第8版追補改訂 - 2015/6/末リリース クラウド技術の特性とリスクを正しく把握したうえで リスクを適切に管理し クラウド技術のポテンシャルを 最大限に活用可能に 公益財団法人 金融情報システムセンター FISC 金融機関等のシステム監査指針 改訂3版追補 - 2016/5/末リリース 39
金 融 機 関 におけるクラウド 利 用 に 関 する 有 識 者 検 討 会 報 告 書 FISC 主 催 で 議 論 した 金 融 機 関 でクラウドを 活 用 する 際 の 検 討 報 告 書 1. 日 本 の 金 融 機 関 が クラウド 技 術 の 特 性 とリスクを 正 しく 把 握 した 上 で クラウド 技 術 の 持 つポテンシャルを 最 大 限 に 活 用 していくためにはどうしたらよいか 2. 安 全 対 策 のあり 方 について どのようなものが 相 応 しいか 議 論 の 参 加 者 : 座 長 :NII 喜 連 川 先 生 学 界 金 融 界 実 務 界 (クラウド 事 業 者 含 む) 金 融 庁 をはじめとするオブ ザーバ クラウド 事 業 者 として アマゾンも 参 加 発 刊 日 :2014 年 11 月 4 日 金 融 情 報 システムセンター(FISC)ホームページにてダウンロード 可 能 40
FISC 安 全 対 策 基 準 第 8 版 追 補 改 訂 クラウドに 関 する 主 な 変 更 点 廃 止 運 108 クラウドサービスの 利 用 にあたっては 適 切 なリスク 管 理 を 行 うこと 改 訂 ( 新 設 ) 運 108 クラウドサービスの 利 用 を 行 う 場 合 は 事 前 に 利 用 目 的 や 範 囲 等 を 明 確 に するとともに 事 業 者 選 定 の 手 続 きを 明 確 にすること 運 109 クラウド 事 業 者 と 安 全 対 策 に 関 する 項 目 を 盛 り 込 んだ 契 約 を 締 結 すること 運 110 クラウドサービス 利 用 にあたって データ 漏 洩 防 止 策 を 講 ずること 運 111 クラウド 契 約 終 了 時 のデータ 漏 洩 防 止 策 を 講 ずること 運 112 クラウド 事 業 者 に 対 する 立 入 監 査 モニタリング 態 勢 を 整 備 すること 41
運108のポイント 事業者選定 基準 総合判断 厳格な管理 コントロール FISC 金融機関におけるクラウド利用に関 する有識者検討会報告書 P.57より引用 AWSの対応 公開情報に加え クラウド事業者に対し AWS は サードパーティによる証明 認 非公開情報の開示を求めリスク管理の状況 定 Service Organization Controls 1 等を評価 SOC 1 Type II レポートなどの関連す るコンプライアンスレポートを NDA に 従ってお客様に直接提供しています 公開情報に加え 当該クラウド事業者に 対する評判や実績を評価 外部の監査人による AWSの国内事例 各種監査レポートや http://aws.amazon.com/jp/solutions/c 事例公開により 客観 ase-studies-jp/ アナリストレポート 的に評価可能 http://aws.amazon.com/jp/resources/ analyst-reports/ 簡易な管理 42 主に公開情報をもとに評価 AWSの金融機関向け公開情報 http://aws.amazon.com/jp/aws-jpfisclist/
運108のポイント データの所在 基準 機密性 厳格な管理 簡易な管理 43 コントロール FISC 金融機関におけるクラウド利用に関 する有識者検討会報告書 P.57より引用 AWSの対応 当該クラウドサービスに適用される法令 が特定できる範囲で 所在地域 国 州 等 の把握が必要 インシデント発生時に立入が必要となる 場面では必然的に所在地の把握が必要 AWS は 日本を含む 複数の地理的リージョン に インスタンスを配置してデータを保管する柔 軟性をお客様に提供します データとサーバを配 置する物理的なリージョンは AWS のお客様が 指定します AWS のデータセンターでは複数のお客様をホス トしており 幅広いお客様を第三者の物理的アク セスにさらすことになるという理由から お客様 によるデータセンター訪問を許可していません このようなお客様のニーズを満たすために SOC 1 Type II レポート SSAE 16 の一環として 独立し 資格を持つ監査人が統制の存在と運用に ついて検証を行っています 重要なデータの保管 処理を扱わない場合 データ所在の特定は必要としない N/A すぐにでもAWSを利用可 日本を含むリージョン を展開 AWSの都合で データ を勝手に国外に移動し ません
運110のポイント データ暗号化等 基準 機密性 厳格な管理 コントロール FISC 金融機関におけるクラウド利用に関 する有識者検討会報告書 P.57より引用 機密性の高い個人データ等については 暗号化等による 蓄積 伝送データの保護 策は必要 暗号鍵は金融機関にて保管し 管理する ことが望ましい 個人データ以外の比較的機密性の高い データについては 暗号化等による蓄積 伝送データの保護策の策定が望ましい 簡易な管理 44 重要データを扱わない場合には暗号化等 による保護を必要としない AWSの対応 AWS がお客様に代わって保存するデータ はすべて 強力なテナント隔離セキュリ ティと統制機能で保護されています お客 様のデータの所有権はお客様が保持します したがってデータの暗号化を選択するのは お客様の責任となります AWS では S3 EBS SimpleDB EC2 など ほぼすべて のサービスについて お客様が独自の暗 号化メカニズムを使用することを許可して います VPC セッションも暗号化されま す また Amazon S3 は お客様向けの オプションとしてサーバー側の暗号化も提 供しています データの所有権 統制 権はお客様側 加えて 複数の暗号化 サービスを提供 暗号鍵をお客様で管 理可能 N/A すぐにでもAWSを利用可
運112 クラウド事業者に対する立入監査 モニタリング態勢を整備すること 主なポイント 有効性 効率性 信頼性 遵守性及び安全性 情報提出依頼のみで委託業務の適切性の検証が十分にできない場 合は クラウド事業者のオフィスやデータセンターへの立入監査 モニタ リングによる実地確認 立入監査等が実効的でない場合などは 第三者監査による代 替も可能 業務の重要度 費用対効果を踏まえた管理策 SOC1,SOC2等の第三 者認証の活用 45
セキュリティは 大 丈 夫?( 第 三 者 認 証 ) 多 数 の 第 三 者 認 証 の 取 得 や 保 証 プログ ラムへの 準 拠 をして います 46 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ AWSのセキュリティとコンプライアンス http://www.slideshare.net/amazonwebservicesjapan/aws-23722701
AWS責任共有モデル お客様のアプリケーション コンテンツ お客様 ネットワーク セキュリティ サーバー(OS) セキュリティ データ セキュリティ アクセス コントロール お客様自身で クラウドを コントロール可能 AWS 基本サービス コンピュート ストレージ AWS グローバルインフラストラクチャ データベース アベイラビリティゾーン エッジロケーション リージョン 47 ネットワーク AWSが クラウドの セキュリティを 担当
セキュリティは 大 丈 夫? ( 物 理 セキュリティ) Amazonは 数 年 間 にわたり 大 規 模 なデータセンター を 構 築 重 要 な 特 性 : 場 所 の 秘 匿 性 周 囲 の 厳 重 なセキュリティ 物 理 アクセスの 厳 密 なコントロール 2 要 素 認 証 を2 回 以 上 で 管 理 者 がアクセス 完 全 管 理 された 必 要 性 に 基 づくアクセス 全 てのアクセスは 記 録 され 監 査 対 象 となる 職 務 の 分 離 48 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ AWSのセキュリティとコンプライアンス http://www.slideshare.net/amazonwebservicesjapan/aws-23722701
セキュリティは 大 丈 夫? (ネットワーク) Distributed Denial of Service (DDoS) 対 策 : 効 果 的 かつ 標 準 的 な 緩 和 対 策 を 実 施 中 間 者 攻 撃 対 策 : 全 エンドポイントはSSLによって 保 護 起 動 時 に 新 しいEC2ホストキーを 生 成 IPなりすまし 対 策 : ホストOSレベルで 全 て 遮 断 許 可 されていないポートスキャニング 対 策 : AWSサービス 利 用 規 約 違 反 に 該 当 検 出 され 停 止 され ブロックされる インバウンドのポートはデフォルトでブロックされているた め 事 実 上 無 効 パケットの 盗 聴 対 策 : プロミスキャスモードは 不 許 可 ハイパーバイザ レベルで 防 御 49 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ AWSのセキュリティとコンプライアンス http://www.slideshare.net/amazonwebservicesjapan/aws-23722701
セキュリティは 大 丈 夫?( 論 理 的 セキュリティ) ハイパーバイザー(ホストOS) AWS 管 理 者 の 拠 点 ホストからの 個 別 のログイン 全 てのアクセスはロギングされ 監 査 されます ゲストOS(EC2インスタンス) お 客 様 による 完 全 なコントロール お 客 様 が 生 成 したいキーペアを 使 用 Firewall 機 能 の 標 準 提 供 AWS 標 準 機 能 としてInbound/Outboundに 対 する Firewall AWSのお 客 様 の 権 限 責 任 で 設 定 50 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ AWSのセキュリティとコンプライアンス http://www.slideshare.net/amazonwebservicesjapan/aws-23722701
セキュリティは 大 丈 夫?(データセキュリティ) データを 配 置 する 物 理 的 なリージョンはお 客 様 が 指 定 AWSは 法 令 遵 守 等 やむをえない 場 合 を 除 き お 客 様 のデータ を 指 定 されたリージョンからお 客 様 への 通 告 なしに 移 動 しない お 客 様 のデータが 権 限 のない 人 々に 流 出 しないようにするスト レージ 廃 棄 プロセスを 保 持 DoD 5220.22-M( 米 国 国 防 総 省 方 式 ) 3 回 の 書 き 込 みでの 消 去 を 実 施 固 定 値 補 数 乱 数 NIST 800-88(メディアサニタイズのための ガイドライン) 情 報 処 分 に 対 する 体 制 運 営 やライフサイクルに 関 するガイドライン 情 報 処 分 に 対 しする 組 織 的 に 取 り 組 み 上 記 の 手 順 を 用 い ハードウェアデバイスが 廃 棄 できない 場 合 デバイスは 業 界 標 準 の 慣 行 に 従 って 消 磁 するか 物 理 的 に 破 壊 する 51 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ AWSのセキュリティとコンプライアンス http://www.slideshare.net/amazonwebservicesjapan/aws-23722701
運 113 サイバー 攻 撃 対 応 態 勢 を 整 備 すること サイバー 攻 撃 に 伴 うシステムの 停 止 や 不 正 な 資 金 移 動 に 対 する 未 然 防 止 策 事 前 対 策 検 知 策 対 応 策 を 検 討 し 態 勢 を 整 備 することが 必 要 である また 以 下 に 示 す 例 の 他 に 各 金 融 機 関 等 でも 有 効 と 考 えられるセキュリティ 対 策 について 検 討 することが 必 要 である 未 然 防 止 策 事 前 対 策 検 知 策 対 応 策 教 育 訓 練 52
AWS WAF CloudFrontのエッジにてWebアプリケー ションを 攻 撃 から 保 護 する 機 能 を 提 供 リクエストURI クエリ 文 字 列 HTTP ヘッダ HTTPメソッドやIPアドレスを 判 定 条 件 (Conditions)として 設 定 できる 条 件 に 応 じて 許 可 拒 否 カウントを 選 択 費 用 1WebACLあたり 月 額 5ドル 1ルールあたり 月 額 1ドル 100 万 リクエストあたり0.6ドル http://aws.typepad.com/aws_japan/2015/10/waf.html
AWS Inspector 自 動 化 されたセキュリティ 診 断 サービス APIで 制 御 できるので 開 発 プロセスの 中 に 組 み 込 むことで 均 質 なセキュリティ 診 断 を 自 動 的 に 実 行 できる 内 容 についてはルールセットにより 制 御 が 可 能 診 断 対 象 のインスタンスにエージェント をインストールした 後 にInspectorを 起 動 して 利 用 する http://aws.typepad.com/aws_japan/2015/10/amazon-inspector-automated-security-assessment-service.html 54
CloudTrail KMSによるログファイルの 暗 号 化 CloudTrailが 生 成 するログファ イルをKMSの 鍵 を 利 用 して 暗 号 化 することが 可 能 に 読 み 取 りアクセス 権 があれば 復 号 化 は 透 過 的 に 行 われるため ユーザ 側 では 意 識 する 必 要 なし CloudTrailが 利 用 するKMS 鍵 を 設 定 したうえで ユーザに 対 し て 復 号 化 の 権 限 を 付 与 すれば 利 用 開 始 できる http://aws.typepad.com/aws_japan/2015/10/aws-cloudtrail-update-sse-kms-encryption-log-file-integrityverification.html
CloudTrail ログファイル 整 合 性 の 検 証 CloudTrailが 生 成 するログファイルに 対 して 削 除 や 改 ざん 操 作 が 行 われて いないかを 検 知 できるように ログファイル 整 合 性 の 検 証 機 能 を 利 用 するには 証 跡 ログファイルの 取 得 設 定 が 必 要 削 除 や 改 ざんを 検 知 する 場 合 はAWS CLIの aws cloudtrail validate logs を 利 用 する http://aws.typepad.com/aws_japan/2015/10/aws-cloudtrail-update-sse-kms-encryption-log-file-integrityverification.html
57
ジャパンネット銀行における AWS活用状況について 2016年6月2日 IT本部 開発二部 副部長 基盤開発第一グループ長 宮本 58 昌明
日 本 で 最 初 のネット 専 業 銀 行 名 称 株 式 会 社 ジャパンネット 銀 行 ( 英 名 :The Japan Net Bank, Limited) 設 立 開 業 2000 年 9 月 19 日 2000 年 10 月 12 日 1.WEB 取 引 量 約 10 万 取 引 / 時 間 2. 口 座 数 約 320 万 口 座 3. 預 金 残 高 約 6,000 億 円 4. 顧 客 デバイス 比 率 PC=6 割 /スマホ=3 割 /その 他 =1 割 5.データセンター メインセンター= 関 東 サブセンター= 関 西 6. 社 員 数 約 300 名 59
自 己 紹 介 IT 本 部 開 発 二 部 副 部 長 宮 本 昌 明 1998 年 株 式 会 社 日 本 総 合 研 究 所 入 社 2007 年 ~ 楽 天 株 式 会 社 へ 2009 年 ~ 株 式 会 社 ジャパンネット 銀 行 へ 開 発 一 部 IT 本 部 開 発 二 部 開 発 三 部 主 に 勘 定 系 アプリケーションなど システム 基 盤 全 般 主 にスマホアプリ WEBアプリなど [ 業 務 内 容 ] 所 管 は 勘 定 系 情 報 系 OAを 含 むすべてのシステム 基 盤 部 分 基 盤 開 発 ( 企 画 方 式 検 討 評 価 ~ 予 算 確 保 ~ 開 発 ~リリース) イノベーション(のネタ 探 し) 60
ジャパンネット 銀 行 のクラウド 活 用 状 況 OAシステムをAWSに 全 面 移 行 お 客 様 サイバー 犯 罪 対 策 アクセス 分 析 データセンター 基 幹 系 システム 銀 行 勘 定 系 システム 凡 例 クラウド 活 用 提 携 先 / 全 銀 / ATMセンター 等 対 外 チャネル 系 システ ム 事 務 拠 点 情 報 系 システム 行 員 OA 系 システム OAシステム メール/Webセキュリティ 仮 想 ブラウザ 環 境 市 場 リスク 管 理 61
ジャパンネット 銀 行 のクラウド 活 用 状 況 OAシステムをAWSに 全 面 移 行 お 客 様 サイバー 犯 罪 対 策 アクセス 分 析 データセンター 基 幹 系 システム 銀 行 勘 定 系 システム 凡 例 クラウド 活 用 提 携 先 / 全 銀 / ATMセンター 等 対 外 チャネル 系 システ ム 事 務 拠 点 情 報 系 システム 行 員 OA 系 システム OAシステム メール/Webセキュリティ 仮 想 ブラウザ 環 境 市 場 リスク 管 理 62
OAシステムのAWS 移 行 範 囲 と 概 要 全 社 員 が 利 用 するOAシステムをクラウド 化 被 災 時 対 策 も 安 価 に 完 了 旧 来 (オンプレ) 移 行 後 (クラウド) データセンター ( 関 東 ) ADサーバ 事 務 拠 点 A ファイルサーバ 5 台 AZ1 ADサーバ AZ2 ADサーバ Exchange サーバ ファイルサーバ 2 台 ウィルス 対 策 ソフト 管 理 操 作 ログ 取 得 バックアップ 事 務 拠 点 B ファイルサーバ 1 台 移 行 Exchange サーバ ウィルス 対 策 ソフト 管 理 操 作 ログ 取 得 バックアップ システム 監 視 Exchange サーバ ウィルス 対 策 ソフト 管 理 操 作 ログ 取 得 バックアップ システム 監 視 ファイルサーバ(S3を 使 用 ) 63 被 災 時 対 策 なし マルチAZにより 被 災 時 対 策 を 実 現
詳 細 構 成 とポイント(OAシステム) 事 務 拠 点 A 事 務 拠 点 B 専 用 線 正 WAN VGW I/N VPN 副 WAN Availability Zone 操 作 AD アクセス ログ ウィルス 対 策 メール Availability Zone BIGIP 正 BIGIP AD メール アクセス 正 ウィルス 対 策 監 視 BKUP BIGIP BIGIP 運 用 Syslog 副 正 センター 監 視 BKUP 操 作 BIGIP 運 用 ログ 副 Syslog 副 センター BIGIP BIGIP BIGIP BIGIP 中 継 BIGIP VPC endpoint BIGIP 中 継 BIGIP Cloud Trail Cloud Watch IAM S3 Glacier 64 1 正 WANが 専 用 線 副 WANがインターネットVPN 2マルチAZ 構 成 3サーバ 冗 長 構 成 の 実 現 スタンバイ 系 は 非 稼 働 運 用 でコスト 削 減 4Panzuraの 導 入
ファイルサーバのレスポンス 問 題 を 解 消 CIFS 通 信 (Windowsのファイル 共 有 プロトコル)のWAN 越 えは 不 適 事 務 拠 点 実 データ WAN CIFS 通 信 (WANには 不 適 ) Amazon EC2 Amazon EBS 当 社 構 成 キャッシュ 製 品 (Panzura)を 導 入 ファイルサーバはS3とした 事 務 拠 点 キャッ シュ 実 データ WAN Amazon S3 65 CIFSはLAN 内 のためレスポンス 問 題 なし (キャッシュにあればキャッシュを 参 照 ) HTTP(S)のため レスポンスが 良 い 安 価 なS3を 使 用
さいごに 当 行 の 全 行 員 が 利 用 する ActiveDirectory メール(Exchange) ファイルサーバ を 含 む 全 OAサーバをAWSに 移 行! クラウド 化 の 流 れはとまらない 基 幹 系 のクラウド 化 を 視 野 に 66
ご 清 聴 ありがとう ございました 67
全 体 計 画 1-2ヵ 月 3ヵ 月 目 ~ 6ヵ 月 目 ~ 基 盤 の 確 立 プロジェクトの 成 功 組 織 の 変 革 68
3つのパターン: 3. Fintechなど 新 しい 取 り 組 みでのAWS 活 用 パターン
70
金 融 機 関 の オープンイノベーションと FinTech AWS Summit 2016 株 式 会 社 三 菱 UFJフィナンシャル グループ デジタルイノベーション 推 進 部 シニアアナリスト 藤 井 達 人 71
デジタルの 進 化 人 工 知 能 モバイル IoT ソーシャル ビッグデータ クラウド ブロックチェー ン 72 72
2つの 大 きな 波 モバイルで より 便 利 に 手 軽 に 金 融 サービス への 新 規 参 入 増 EC Apple Google Amazon 流 通 小 売 ベンチャー 企 業 73 LINE 73
今 なぜオープン イノベーションが 必 要 とされているのか? 74 1999 年 インターネッ トバンキング 開 設 ドッグイヤー( 技 術 進 化 のスピード 加 速 ) 2004 年 手 のひら 静 脈 認 証 導 入 2008 年 じぶん 銀 行 (ネット 銀 行 ) 設 立 2012 年 スマートフォン アプリ 提 供 開 始 顧 客 ニーズの 多 様 化 製 品 やサービスのライフサイクル 短 縮 化 グローバル 化 による 競 争 構 造 の 変 化 達 ギ 成 ャ す ッ プ る が ま 拡 で に 大 許 容 さ れ る 時 間 は 短 自 社 で 達 成 できる レベル 競 争 に 勝 つため に 達 成 すべき レベル 縮 74
邦 銀 初 のFinTechコンテスト 開 催 三 菱 東 京 UFJ 銀 行 が 提 供 するサービスの 共 同 開 発 を 行 うことを 目 的 とするコンテス ト Fintech Challenge 2015 DEMO DAY(6/19) 各 チーム 個 別 発 表 http://www.bk.mufg.jp/fintech/ タッチ & トライ 75 75
2016 年 の 主 な 活 動 スタートアップ アクセラレータ の 運 営 銀 行 API ハッカソンの 開 催 アマゾンウェブサービスジャパン 株 式 会 社 にスポンサードいただいています 76 76
銀 行 APIハッカソンの 開 催 77 アイデアソン:3/4 ハッカソン:3/12, 13 77
FinTechの 捉 え 方 78 キーテクノロジー ビッグデータ&AI モバイル 生 体 認 証 ブロックチェーン IoT UI/UX スタートアップ 企 業 フィナンシャルアト ハ イス マーケットフ レイス 融 資 P2P 送 金 モバイル 決 済 ロボアドバイザー 78
FinTechがもたらすもの 顧 客 サイドの 不 便 不 満 既 存 金 融 サービスの 非 効 率 性 を 排 除 フィー 低 減 スピード 向 上 自 動 化 新 しい 顧 客 市 場 の 創 造 キーテクノロジー 79
ビッグデータ+AI+クラウドによる 変 革 クラウド 上 の 多 様 なAPI 新 しい 金 融 ビジネス AIの 根 幹 を 司 る 膨 大 な 知 識 データ 80
Trend Fintech サーバレスアーキテクチャ データ 分 析 大 容 量 コンピューティングリソース 81
岡 三 証 券 バーチャルトレード(サーバレス 構 成 ) 時 価 情 報 の 配 信 をサーバ レスで 実 現 82
AWS Lambda + API Gateway AWS API Gateway Mobile Apps API Gateway Cache AWS Lambda functions OS キャパシティ 等 インフラの 管 理 不 要 API Gateway バックエンドとしてLambda 既 存 Webシステムを 利 用 可 能 Websites Services Amazon CloudWatch Monitoring Endpoints on Amazon EC2 / Amazon Elastic Beanstalk Any other publicly accessible endpoint Lambda クラウド 上 で イベントをトリガー に 独 自 のコードを 稼 働 させる Computeサービス 83
三 菱 UFJトラスト 投 資 工 学 研 究 所 - ロボットファンド 国 内 株 式 の 資 産 運 用 において 経 済 ニュースからキーワード ( 景 気 上 がる/ 下 がるなど) を テキストマイニングで 抜 き 出 し 市 場 心 理 がポジティブであるか ネガティブであるかを 定 量 化 経 済 ニュースを 受 信 市 場 心 理 (ポジ/ネガ)を 判 定 売 買 する 株 式 銘 柄 を 選 定 84
データ 分 析 基 盤 自 動 化 された 簡 単 なクラスタ 管 理 を 実 現 セキュアなバーチャルプライベートクラウドで 85
パフォーマンス AWSは 10Gbのネットワークをサポート プレースメントグループを 使 い VM 間 の 遅 延 を 最 小 化 Enhanced Networking( SR-IOV ) 1M PPSの パフォーマンス 遅 延 の 最 小 化 (C3, C4, D2, I2, M4, R3インスタンスでサポート) 高 性 能 のインスタンスタイプも 提 供 X1インスタンス(x1.32xlarge) コア 数 :128 メモリ:2TB 86
まとめ 日 本 の 多 くの 金 融 機 関 がAWSを 採 用 しています 金 融 機 関 が 要 求 する 高 可 用 性 セキュリティを 実 現 できます 自 動 化 Design for failure バーチャルプライベートクラウド 高 性 能 なインスタンスタイプ FISC 安 全 対 策 基 準 第 8 版 追 補 改 訂 FINTECHへの 対 応 API 対 応 サーバレスアーキテクチャへの 発 展 が 可 能 です 87
ありがとうございました