「AWS セキュリティ成熟モデル」と「Chaos Kittyから学ぶシステム運用の可視化」@Builders’ Fair | AWS Summit Japan 2025 新人参加レポート

「AWS Summit Japan 2025」に参加したJTPの新入社員によるレポート記事、第七弾をお届けします！今回のトピックはAWS Expoエリア内のAWS の最新テクノロジーを学ぶことができる「AWS Village」の中から、「Security」エリアで見た「AWSセキュリティ成熟度モデルに基づく効果的なセキュリティ対策」についての学びと、「Builders’ Fair」で展示されていた「Chaos Engineering と可視化を体験できる Chaos Kitty」をご紹介します！

皆さんこんにちは、JTPの新入社員です。6月25日と26日に開催されたAWS Summit Japan 2025に両日参加することができました。

今回、さまざまな分野のセッションやブースがある中で、私は「セキュリティ」に関するセッションを中心に聴講してきました。

1日目の基調講演時に、 「AWSにとってセキュリティは最優先事項です」という紹介があったように、セッションやブースの中でもセキュリティに関するものが多くあり、たくさんのことを学ぶことができました。

本ブースでは、AWSのセキュリティ成熟度モデルに基づく効果的なセキュリティ対策について紹介がありました。このモデルは、 フェーズ1からフェーズ4までの4つの段階に分かれており、段階が上がるにつれて対応方法の複雑さが増していきます。

今回紹介されていたのは、フェーズ1「クイックウィン」についてです。

クイックウィンのフェーズでは、脅威検知の有効化やログの取得など、すぐに対応できる施策がまとめられており、効果が絶大であるため、セキュリティ対策の第一歩として非常に重要です。

具体的には、以下のAWSサービスを利用した方法が紹介されていました。

• Amazon GuardDuty
  AWS内のデータを継続的にモニタリングし、脅威を自動で検知。Amazon GuardDutyを有効化することで、リアルタイムでの脅威検知が可能。

• AWS Security Hub
  検出した脅威から被害を受ける可能性のある箇所を特定し、セキュリティシグナルの相関付けを行う。これにより、設定ミスや脆弱性の優先順位付けができ、効率的な対応が可能。

• AWS Security Incident Response
  AWS Security Hubで検出された脅威に対して、事前定義された修復アクションを自動で実行。これにより、手動での対応が不要になり、労力を最小限に抑えることができる。

このように、複雑な設定を必要とせず、労力を自動化によって最小化することが、セキュリティ対策において非常に重要だと強調されていました。特に、フェーズ1の施策をしっかりと実施することで、組織全体のセキュリティの基盤を強化することができると紹介されていました。

今回、初めてこのようなイベントに参加しました。参加者の多さや基調講演前のDJパフォーマンス、 そして勢いよく渡されるノベルティなど全く経験したことがなく、不思議な感覚になりました。 いろいろなセッションを聴講し、座学だけでは学べない実際の事例に対する対策法や考え方を知ることができ、非常に有意義な体験となりました。特にセキュリティに関するセッションを中心に回りましたが、ほとんどの講演が満席で立ち見の人が現れるほど、セキュリティの重要性を再認識しました。 特に、2日目の最後のセッション 「ニコニコの大規模セキュリティ改革」（株式会社ドワンゴ主催）では、私自身当日参加でしたが、会場がぎっしりと埋まり、溢れるほどの人でセキュリティに対する関心の高さを実感しました。

AWS Summit Japan 2025 のブースでひときわ目を引く LEGO 製データセンター。緑に輝く電球が並ぶその名は「Chaos Kitty」。スタートボタンを押すと一瞬で赤色が灯り、モニターに映されたストップウォッチが動き出します。――さあ、あなたの運用スキルが試される時間です。

まずはChaos Kittyの遊び方。赤く光った電球が表すのは三層 Web アプリのどこかに仕込まれた“設定ミス”。例えば、Amazon VPCのSecurity Group が全開放になっていたり、Amazon S3 がパブリックに公開されていたりと、内容は毎回ランダムです。参加者は AWS Management Consoleにログインし、原因を突き止めて修復。すべての電球を再び緑に戻せたらゴールです。修復タイムはChaos Kitty リーダーボードページへ即反映され、会場には歓声とため息が交錯します。

このChaos(カオス)の仕掛け人は AWS Lambda。

動作フローは、

1. AWS IoT Coreによって開始ボタンが押され、クラウドがMQTT メッセージを受け取る

2. AWS Lambda が設定ミスを注入。変更は Amazon CloudTrail が監視し、Amazon EventBridge 経由で別の AWS Lambda がコンプライアンス判定を実施

3. 結果は Amazon DynamoDB で電球 ID と突き合わされ AWS IoT Core へ Publishされる

Chaos Engineering と可視化を体験できる Chaos Kitty のご紹介をもとに記載

――という流れでわずか数秒。まさに“光るダッシュボード”です。さらに監視面では Amazon CloudWatch Application Signals が自動で SLI/SLO を算出し、レイテンシやエラーレートを1画面に集約。赤い電球と同じ情報が数値でも俯瞰でき、現実の運用に直結するダッシュボード体験が得られます。

私は Security-Easyモードを選択し、スタッフの方にヒントをもらいながら5分かけてようやくクリア。息をつく間もなくそのスタッフがHardモードを始め電球が一気に赤に染まりました。 そして「Alexa, run my security playbooks!」と声を掛けました。すると赤だった電球が一斉に緑へ。裏ではAWS Lambda 連鎖が走り、誤設定を元に戻すAWS CloudFormation パッチと AWS Config 修復ルールが一気に適用されます。人間の5分を数秒で置き去りにする様子は、自動化推進の強烈な説得材料でした。

Chaos Kitty で学べるのは Chaos Engineering の考え方だけではありません。

• 可視化：電球＝メトリクスという直観的 UI に加え、Amazon CloudWatch Application Signals で数値も把握。

• 自動修復：手動復旧と比較し ROI を肌で体感。

• セキュリティ運用：変更検知→影響判定→復旧という一連フローの実践。

• IaC：最新版は AWS CDK で cdk deploy 一発。環境構築のハードルが大幅に下がり、自社アカウントでも即試せます。

新人研修で使えば「監視の大切さ」「権限設計の怖さ」をゲーム感覚で叩き込めますし、さらに顧客向けデモや営業資料の“動く事例”としても秀逸です。IoT 機材が手元になくても、 Web 版だけをデプロイして仮想環境で演習することも可能なので、遠隔研修にもフィットします。

緑と赤の電球が教えてくれるのは「普段から備えよ」というシンプルな真理。あなたも Chaos Kitty で、楽しく・熱く・そして安全にクラウド運用のスキルアップを体験してみませんか？

いかがでしたでしょうか？今回は新入社員として初めてAWS Summit Japan 2025に参加しましたが、どの講演も満員で、熱気がすごかったことに驚きました！

今回紹介したブースのほか、実際に講演を聞いたり、展示されているサービスを自分で体験することで、サービスをより深く理解し、実際の業務に活かせるアイデアを得ることができました。

皆様も是非次回のAWS Summit Japanに参加して、新しい発見を得てみてはいかがでしょうか！？