AWSで変わるコスト構造とセキュリティの考え方

アマゾン データ サービス ジャパン

酒徳 知明

自己紹介

酒徳 知明(さかとく ともあき)エコシステム ソリューション部

ソリューション アーキテクト

• エンタープライズ パートナー様のご支援

• ISVパートナー様のご支援

• 好きなAWSサービス：運用管理、統合監視、自動化

アマゾンのビジネスモデル

成長

低コスト構造

低価格の商品提供

顧客の満足度向上

販売量増

売り手の増加

品揃えの増加

創業者ジェフ・ベゾスが起業時にレストランのナプキンに書いたオリジナルのコンセプト図

アマゾンの３つのビジネス

一般消費者様向けサービス

セラー様向けサービス

企業様向けサービス

Eコマース（Amazon.co.jp）

マーケットプレイス物流サービス提供

（Amazon Services）

クラウドコンピューティング

（Amazon Web Services）

AＷＳ(Amazon Web Services)の歴史

12006年米国で、クラウドストレージ＝Amazon S3クラウド仮想サーバ＝Amazon EC2のサービスを開始

1

1

2009年

2011年

仮想プライベートクラウドサービス＝Amazon VPCRDBサービス＝Amazon RDSを開始

世界で５番目のリージョンとして、日本に東京リージョン(データセンタ群)を開設

1現在世界11か所のデータセンター群と、52拠点を超えるエッジロケーション網で、40を超えるサービスを提供

なぜアマゾンがクラウドを？

アマゾン ウェブ サービスは

Amazon社内のビジネス課題を解決

するために生まれた

創業当時のアマゾン ECサイト

amazon.com, 1995

amazon.com, today

現在のアマゾン ECサイト

グローバル展開-アメリカ- カナダ-中国- フランス- ドイツ- イタリア-日本-スペイン- イギリス

数十億の商品1週間で5000万品の更新

Amazonのビジネス課題 No. 1

過去の注文履歴は全て保管したい

Amazonは過去の注文データを全て保管

Amazon S3 - 容量無制限で耐久性の高いストレージ

• 非常に耐久性の高い(99.999999999%)、オンラインストレージサービス

• 格納容量に制限がない

• ストレージ用サーバやディスクの運用から解放される

• 1GB約3円程度からの従量課金により低コストにデータを保存

• アクセスコントロール、暗号化などセキュリティ機能も万全

クラウドストレージ

なぜクラウドが注目されているのか？

初期投資不要 完全従量課金 柔軟なキャパシティ

市場投入スピード セキュア グローバル展開

コストを掛けず、いつでも、柔軟なインフラリソースを誰でも手に入れることができる

発電機所有が差別化要因だった時代の終焉

中央発電所＋送電網の出現がパラダイムシフトに

「発電機を持つ」ことは差別化要因ではなくなった

「電気を利用して何を創造するか」が大きな差別化要因に。

Gartner Magic Quadrant for Cloud Infrastructure as a Service

Gartner “Magic Quadrant for Cloud Infrastructure as a Service,” Lydia Leong, Douglas Toombs, Bob Gill, Gregor Petri, Tiny Haynes, May 28, 2014. This Magic Quadrant graphic was published by Gartner, Inc. as part of a larger research note and

should be evaluated in the context of the entire report. The Gartner report is available at http://aws.amazon.com/resources/analyst-reports/. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not

advise technology users to select only those vendors with the highest ratings. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all

warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

お客様のフィードバックに基づく

イノベーションのペース

2008 2009 2010 2011

Amazon EBS

Amazon SNS

AWS Identity

& Access

Management

Amazon RDS

Amazon VPC

Auto Scaling

Elastic Load

BalancingAmazon

ElastiCache

Amazon SES

AWS

CloudFormation

AWS Direct

Connect

AWS Elastic

Beanstalk

GovCloud

Amazon SWF

Amazon Route 53

Amazon Redshift

Amazon Glacier

Amazon

Dynamo DB

Amazon

CloudSearch

AWS Storage

Gateway

Amazon

CloudTrail

Amazon

CloudHSM

Amazon

WorkSpaces

Amazon Kinesis

Amazon Elastic

Transcoder

Amazon

AppStream

AWS OpsWorks

AWS Data

Pipeline

20132012

• 累計で900近いサービスと新機能の紹介• 35件以上のメジャーなサービス発表• 通算45回を超える価格改定

2014

Amazon

CloudFront

Amazon Cognito

Amazon Zocalo

Amazon Mobile

Analytics

AWS Directory

Service

Frankfurt Region

Amazon EC2

New Instances

T2

R3

アマゾンウェブサービス(AWS)の概要

AWS グローバルネットワーク

11のリージョン1. US EAST (Virginia)

2. US WEST (N. California)

3. US WEST 2 (Oregon)

4. EU WEST (Ireland)

5. JAPAN (Tokyo)

6. South America (Sao Paulo)

7. ASP 1 (Singapore)

8. ASP 2 (Sydney)

9. GovCloud

10.BJS 1 (Beijing China) limited preview

11.EU (Frankfurt)

EU (Frankfurt) RegionEC2 Availability Zones: 2

11 Regions (地域) | 27 Availability Zones(データセンター群)

アベイラビリティゾーン

各リージョン内には最低2つ以上のアベイラビリティゾーンが存在

• アベイラビリティゾーンは物理的に離れ、分離されたデータセンター

• 無停止電源(UPS), バックアップ電源など全て異なる電源供給元

• 冗長化されたTier-1ネットワーク

お客様のアプリケーション

ストレージEBS, S3, Glacier, Storage Gateway

コンテンツ配信CloudFront

ネットワークVPC, Route 53, Direct Connect

認証とログIAM, CloudTrail,

CloudHSM

監視Cloud Watch

Web管理画面Management

Console

デプロイと自動化Elastic Beanstalk,Cloud Formation,

OpsWorks

コマンドラインインターフェース

CLI

ライブラリ & SDKsJava, PHP, .NET,

Python, Ruby

グローバルインフラリージョン、アベイラビリティゾーン、エッジロケーション

AZRegion

コンピュート処理EC2, Auto Scaling, Elastic Load Balancing,

データベースRDS, DynamoDB, Redshift, ElastiCache

分析Elastic MapReduce, Kinesis, Data Pipeline

アプリケーションサービスAppStream, Cloud Search, SWF, SQS, SES, Elastic Transcoder

アプリケーションWorkspaces, Zacalo

モバイルMobile Analytics, Cognito, SNS

本日ご紹介する主要サービス

AmazonEC2

AmazonEBS

AmazonS3

AmazonRDS

Amazon Elastic Compute Cloud(EC2)

Amazon Elastic Compute Cloud

(EC2)

仮想サーバーサービス

• 時間課金で即時起動できる

• 通常と変わらず自由にOSの設定、SWの

インストールなど環境構築が可能• セットアップ後のマシンイメージも取得可能• 1時間単位の稼働課金

Xeon Ivy Bridge, HaswellProcessor搭載

全42モデル (2015.01.22現在)

• バランス, CPU, Memoryインテンシブモデル• GPU, 高速ストレージモデルなど

アプリケーション環境も簡単に準備

And more...

直接起動

セットアップ済みマシンイメージ

Internet

DMZ Subnet

Private Subnet

EC2

EC2

Amazon Elastic Block Store

• EC2にアタッチされるブロックレベルのストレージサービス

• 従量課金

• 利用したサイズ・期間による課金

• スナップショットによるバックアップ

• ハイパフォーマンスストレージ

Amazon S3 (Amazon Simple Storage)

• 非常に耐久性の高いオンラインストレージサービス

– 耐久性：99.999999999%

• データを書き込むと、３つ以上のデータセンターにデータを自動複製

• 格納容量が無制限

• 低価格

– １GBあたり約3円

• 3兆個以上のオブジェクトを格納

Amazon RDS(Relational Database Service)

• マネージされたOracle, SQLServer, MySQL, PostgreSQLのサービス

• バックアップやフェイルオーバーに対応したDBを数クリックで利用可能

• パッチ更新の自動化が可能

アベイラビリティゾーンA

アベイラビリティゾーンB

自動バックアップ

自動フェイルオーバ

パッチ更新

企業ユーザはどのようにAWSを活用しているか?

#1 開発・検証環境

ERPアプリケーションの開発環境調達のスピードとコスト削減

Oracle

開発・テスト環境5年で9割のコスト削減

固定資産管理からの解放

HPC

柔軟な開発環境を手に入れ待ち行列がゼロビジネススピード向上

基幹業務システムMission Critical system

#2 新規アプリケーション・サービス

個人情報を扱うため、セキュリティーが最優先事項

機会損失がないためIT部門が経営に貢献

データ解析基盤Data Analysis

Amazon Redshiftで安価なBI環境を実現し、

顧客のニーズや購買行動を迅速、正確に把握可能に

モバイルメディアMobile/Media

システム構築期間の短縮運用負荷と費用を削減規模に合わせた

システム拡張の柔軟性

顧客情報管理・検索システム

Customer Search

#3 既存のアプリケーションをクラウドで補強

月1.5億のアクセスログの集計負荷をAWS上に構築したETLサーバで軽減運用開始までの時間を

1/3に短縮

コンテンツ配信Content Delivery

メディアからのトラフィック

流入に対して安定的にコンテンツ配信

25%のレスポンス改善

高負荷なバッチ処理Batch Processing

４時間かかっていた処理を20分に短縮

EDI、ワークフロー、人事、WebサイトのAWS化をその後完了

アクセスログ集計Log aggregation

株価情報の配信や開発基盤に採用し、既存決済系システムと

連携需給に応じた柔軟性

3分の1のコストで、国をまたぐ

バックアップとDR環境を実現

既存のメインフレーム環境とハイブリッド連携価格と俊敏性

統一した管理体制の実現37%コスト削減

#4 既存のインフラをクラウドで補強

DR・バックアップDR/Backup

銀行業務の一部をAWSに移行

Banking system migration

株価情報配信Stock Info Delivery

ERP人事/会計システムは、2.5ヶ月の短期間で

AWSへの移行を実現自社マシンルーム撤廃

東芝メディカルシステムズのPACS医用画像保

存にAmazon S3用

医療機関として保管が義務付けられている診療データ（画像）を、安全な場所に保管。災害や院内システムトラブルに対応

プライベートクラウドから大規模ERP環境を移行

わずか2.5ヶ月で移行国を跨いだDR構成を

容易に実現50 - 60%のコスト削減

人事・会計システムを移行

#5 既存のアプリケーションの移行

#6 All-in すべてのITをクラウドで

1000台以上のサーバーをほぼ全てをクラウドへ移行5年間で40%のコスト削減

500台規模のプライベートクラウドを丸ごとAWSへ

業務システムの全インフラを数年かけてAWSに移行

基幹システムをAWSに移行その他の業務システムも

順次AWSに移行

クラウドのセキュリティ

AWSのセキュリティ方針

• AWSクラウドのセキュリティ

– セキュリティはAWSにおいて最優先されるべき事項

– セキュリティへの大規模な投資

– セキュリティに対する継続的な投資

– セキュリティ専門部隊の設置

• 共有責任モデルの採用

– AWSと利用者の2者でセキュリティを確保

セキュリティ エンハンスメント

利用者の統制

AWSの統制

共有の責任

利用者の統制

AWSの統制

共有の責任

Security OF the Cloudの管理

Security “OF”

the Cloud

ISO27001 PCIDSS SOC2SOC1FedRAMP FIPS140-2ITAR HIPAA

AWS コンプライアンスプログラム

AWS クラウド インフラストラクチャは以下の規制、標準、およびベストプラクティスに準拠するよう設計、管理されています

http://aws.amazon.com/jp/compliance/

Security “OF”

The Cloud

• 業界における認定と独立したサードパーティによる証明を取得します

• AWS のセキュリティと統制に関する情報をホワイトペーパーおよびウェブサイトコンテンツで公表します

• NDA に従いAWS のお客様に証明書、レポートなどの文書を直接提供します

AWSは、お客様が使用するAWS サービスに関連した統制、 およびそれらの統制がどのように検証されているかをお客様にご理解頂くことを支援致します。

Security “OF” the Cloud

Security “OF”

The Cloud

データセンターの安全性

物理セキュリティ• Amazonは数年間にわたり、大規模なデータセンターを構築

– 洪水などの環境的影響を考慮

• 重要な特性:– 場所の秘匿性– 周囲の厳重なセキュリティ– 物理アクセスの厳密なコントロール– 完全管理された、必要性に基づくアクセス

データ・セキュリティ

• 顧客データが 権限のない人々に流出しないようにするストレージ 廃棄プロセスを保持• DoD 5220.22-M（「National Industrial Security Program Operating Manual（国立産業セキュリティプログラム作業マニュアル）」）

• NIST 800-88（「Guidelines for Media Sanitization（メディア衛生のための ガイドライン）」)

Security IN the Cloudの管理

Security “IN”

the Cloud

Web Tier

Application Tier

Database Tier

80または443ポートのみをインターネット側で受け付ける

エンジニアがAP層にsshアクセスを行う

オンプレミスDBとの同期

Amazon EC2 Security Group（コンプライアンス）

その他のインターネット経由のアクセスは全てデフォルトで拒否

• 暗号鍵の作成、管理、運用サービス

– AWS管理コンソール、または API を使用した暗号化キーの一元管理

– 可用性、物理的セキュリティ、ハードウェアの管理をAWS が担当する完全マネージド型サービス

– 暗号化キーを保存および使用するための安全なロケーションを提供

Key Management Service(KMS)

データストレージの暗号化サーバサイド暗号化(SSE-KMS)クライアントサイド暗号化

データストレージの暗号化

Trusted Advisor

• お客様のAWS環境を精査し、推奨事項をお知らせしてくれるサービス

• 多数のお客様にAWSのサービスを提供してきた経験から得られたベストプラクティスを活用

• ４カテゴリに対しベストプラクティスを推奨

– コスト最適化

– パフォーマンス

– セキュリティ

– 耐障害性

アプリケーションの安全性

AWS グローバル インフラストラクチャ

リージョン アベイラビリティ ゾーン エッジ ロケーション

サーバ ストレージ データベース ネットワーク

クライアント サイド

暗号化サーバ サイド暗号化

ネットワーク

トラフィック保護

オペレーション システム / ネットワーク / ファイアウォール

プラットフォーム / アプリケーション / アクセス管理

お客様コンテンツ

APNパートナー様との協業Technology Partner (ISV/SaaS etc) : 123

日本電気株式会社

Direct Connect Partner

http://aws.amazon.com/jp/solutions/solution-providers-japan/

株式会社サイバー・コミュニケーションズ

ジェイズコミュニケーションズ株式会社

Consulting Partner (SI/MSP etc) : 101

日本電気株式会社

InfoCage SiteShellとの組み合わせ

セキュアなシステムも、InfoCage SiteShellと、

アマゾンで。