【技術書典18】「AWS、それぞれの戦い方」で「第2章ファイアウォールの戦略と継続的運用改善」を書きました

大林です。技術書典18（オフライン開催：2025/06/01、オンライン開催：2025/05/31～2025/06/15）で発表される 「AWS、それぞれの戦い方」ー認証基盤・ファイアウォール・データ移行との実践記ー に共著として参加しました。第 2 章の「ファイアウォールの戦略と継続的運用改善」を書きました。今回私が担当した箇所の紹介をしていきます。

techbookfest.org

「AWS、それぞれの戦い方」ー認証基盤・ファイアウォール・データ移行との実践記ーの章構成

第1章 Keycloak on AWSでIdPを自作しよう (執筆 : 西内渓太)
第2章ファイアウォールの戦略と継続的運用改善 (執筆 : 大林優斗)
第3章しくじり先生 S3 に熟成保存された大量データを移行&圧縮で月額コスト軽減してみた (設計編) (執筆 : 小山)

大林が担当したパートの目次

担当したパートの目次は、下記の通りです。

2.1 はじめに

2.2 AWS のファイアウォール系サービスの概要
　2.2.1 WAF 
　2.2.2 Network Firewall 
　2.2.3 Route 53 Resolver DNS Firewall
　2.2.4 Security Group 
　2.2.5 AWS Shield Advanced
　2.2.6 サービス概要のまとめ

2.3 ファイアウォールを更新する
　2.3.1 AWS サービスのみで作成する完全自動化パターン
　2.3.2 チャットツール起点とした自動化パターン
　2.3.3 AWS サービスのみで作成する半自動化パターン

2.4 マルチアカウントにおけるファイアウォールの運用
　2.4.1 環境を分離してリソースを運用することの意義
　2.4.2 マルチ環境における展開

2.5 ログの活用について
　2.5.1 ログを取得・保存する
　2.5.2 ログを分析する

2.6 セキュリティ文化の醸成
　2.6.1 勉強会と文化
　2.6.2 開発チームとの連携とガイドラインの作成

2.7 おわりに

私が担当した「ファイアウォール戦略と継続的運用改善」では、AWSファイアウォール系サービスの最適な活用方法と、その継続的な運用の改善に焦点を当てています。
前半では、AWS WAFやAWS Network Firewall、Security Group、Amazon Route 53 Resolver DNS Firewall、AWS Shield Advancedをレイヤーや用途ごとの特徴と使い分けを整理しました。また、それぞれの設計時の注意点を明確にすることで、組織にとって最適な構成を考える手助けになるよう意識しています。
後半では、運用フェーズにおける継続的な改善の取り組みについて紹介しています。AWS Firewall Managerによる一括管理、Amazon Security LakeとAmazon Athenaを活用したログ分析、Amazon QuickSightによる可視化、さらにSlackと連携した運用フローの自動化や承認フローの組み込みなど、実際の現場で役立つ具体的な手法を詰め込みました。
また、セキュリティを支える「人」にフォーカスを当てた社内文化の醸成についても触れています。属人化を防ぎ、ミスを未然に防ぐためのチーム内レビューや勉強会の重要性、若手のアウトプット文化の育成など、仕組みだけでなく「運用を育てる」ための視点も盛り込んでいます。
本章を執筆するにあたっては、単なるファイアウォールの導入だけではなく、「その後、どうやって改善を積み重ねていくか」という視点も重視しています。AWS環境の変化に対応しながら、どうすればセキュリティレベルを維持・向上させていけるのか。その実践的な知識を少しでも読者のみなさまと共有できればという思いで執筆しました。
AWSのファイアウォール運用に取り組んでいる方や、これから設計・改善に携わる方にとって、本章が少しでも参考になれば嬉しいです。