閉域網の開発環境にAWS QをVS codeに

閉域網の開発環境に Amazon QをVS code連携に 株式会社エネコム ITインテグレーション部 情報セキュリティビジネスチーム 濱本 常義

自己紹介 株式会社エネコム ITインテグレーション部情報セキュリティビジネスチーム マネージャー 1970年生まれ、54歳 濱本常義 同社２９年勤務、５年間は研究開発部門に所属、社内LAN構築、社内ネットワークポリシー策定、CATVインターネット実験参加、 社内セキュリティ監査業務に携わる。２０００年より、セキュリティ監査（ペネトレーションテスト含む）およびセキュリティコンサル ティングなどの業務に従事、現在は上記に加えて標的型メール訓練、ログ監視、CSIRT運用業務に携わる 経済産業省 学生22歳以下向けイベント、セキュリティキャンプ関係講師（2003～2024） Sechack365 第３回 広島 講師 情報処理安全確保支援士向け講習会 講師（2017年～ 広島、博多、高松を主に担当） マイクロソフトから多数の人に影響をあたえられる個人に与える賞 MVP(Most Valuable Professional)をWindows-Securityの分野 で12回受賞(2003～2014) 好きなAWSのサービス AWS CloudTrail、GuardDuty エネコム Copyright © 2024 Enecom, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp 2

ワタシたちの業務のオーバービュー インシデント対応支援 インターネット上の脅威 ログ監視 ログ分析 外部組織 やられとるで 経営層への 報告 情報提供 感 染 侵 入 社内調整 情報システム部門 社内ネットワーク セキュリティ製品＆ マネージドサービス エネコム Copyright © 2024 Enecom, Inc. SOC/CSIRT 運用支援 アラート監視 現状分析 影響調査 対策立案 対応支援 復旧支援 支援 通知 （メール） 監視 インシデント 対応 CSIRT CSIRTのセキュリティ部隊がセキュリティ製品の アラート通知を受け、初動対応から対策実施まで 必要に応じてリアルタイムに支援。 お客様は経営層への報告など重要事項に注力 Proprietary and Confidentiaｌ www.enecom.co.jp 3

自チームの特徴 残業なしで 平日９時-17時で帰れるCSIRT 楽しいメンバー エネコム Copyright © 2024 Enecom, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp 4

２０２３年度に導入した生成AI環境と当時のセキュリティの考え方 エネコム Copyright © 2024 Enecom, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp 5

今年は ちゃんとしたVisualStudio Codeから使える AWS環境で生成AIを開発環境に導入したい エネコム Copyright © 2024 Enecom, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp 6

「閉域網でのセキュアなプログラム開発環境」 プロンプト定義 あなたは、情報システム会社の情報企画担当です。以下の前提条件を考慮して、インターネットへのアクセスが制限された開発環境の安全 なインターネット接続の方法をAWS環境で考えてください。回答は日本語で出力してください 【前提条件】 ・当社では、開発環境のインターネット接続が原則禁止されている。 ・Proxyによる接続先をホワイトリストで制限するなど、本当に必要最低限の接続先とする ・昨今の生成AIや、インターネット前提のモダンな開発環境に対応できていないなどから、今後のプログラム開発のスピードアップ抑制やコスト 競争力の低下、そして新規採用時に新卒者に忌避されるなどの恐れがある。 ・接続先のサービスのユーザ管理は厳格に行い、定期的な棚卸、ログのチェックなどを日常的に行い、情報漏洩が起こらないように監視体制 を敷く 【AWS開発環境の条件】 開発支援はAmazon Q、クライアントはVS CodeでVSCodeに拡張機能「AWS Toolkit for Visual Studio Code」をインストールした プログラム開発支援としてください。AWS Toolkit for Visual Studio Codeの利用手順は詳細に記載してください。認証ログ、APIの利 用ログも監査用にできるだけ記録する設計にしてください。 https://www.perplexity.ai/search/anataha-qing-bao-sisutemuhui-s-D8jpwzqZRwmFT3yfsXEGfw#0 エネコム Copyright © 2024 Enecom, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp 7

• https://www.perplexity.ai/search/anataha-qing-bao-sisutemuhui-s-D8jpwzqZRwmFT3yfsXEGfw#0

単純化してまずはVS codeからAmazon Qを利用してみる VS Code AWS Toolkit for Visual Studio Code API 開発支援 AWSアカウント情報をAWS Builder ID！ 紐づけたらあっさり動いた！！ →ここ、極めて重要！！ エネコム Copyright © 2024 Enecom, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp 8

• https://aws.amazon.com/jp/visualstudiocode/?trk=ad553193-613c-4a84-acde-bf4fa6c173a5&sc_channel=el

セキュリティ対策の裏を標準ドキュメントから読み解く AWS CloudTrailを使用した Amazon Q Developer API コールのログ記録 https://docs.aws.amazon.com/ja_jp/amazonq/latest/qdeveloper-ug/logging-usingcloudtrail.html ・ Amazon Q に対するリクエスト、リクエスト元の IP アドレス、アカウント情報、リクエスト日時など の詳細をS3に保存可能 Amazon Q 開発者向けコンプライアンス検証 https://docs.aws.amazon.com/ja_jp/amazonq/latest/qdeveloper-ug/compliance-validation.html ・AWSのコンプライアンス設計思想に従った監査ログが取れる ここまで２日！！ エネコム Copyright © 2024 Enecom, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp 9

• https://docs.aws.amazon.com/ja_jp/amazonq/latest/qdeveloper-ug/logging-using-cloudtrail.html
• https://docs.aws.amazon.com/ja_jp/amazonq/latest/qdeveloper-ug/compliance-validation.html

先行して検証したPOC環境では・・・ •Azure API Management •APIゲートウェイサービス •APIライフサイクル管理機能 •セキュリティ、監視、ドキュメント 化の VS Code 統合ソリューション •Azure Log Analytics API 開発支援 •Azure Monitorの一部として提供 されるログ分析ツール •クラウドおよびオンプレミスの環境からのログデータの収集と分析 •カスタムクエリによるデータの可視化と洞察の獲得 接続 制限 •Azure OpenAI Service •MicrosoftのAzure上でOpenAIの言語モデルを利用可能にするサービス •ChatGPTなどの高度なAIモデルのセキュアな環境での利用 •Genie AI •Genie AIは、自然言語処理と機械学習を活用して、ユーザーの質問に対して 迅速かつ正確に回答するAIシステムである。 •多様なタスクをサポートし、効率的な情報提供を目指している。 いまだにAPIログと認証ログを紐づけられていない！！ エネコム Copyright © 2024 Enecom, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp 10

Amazon QをVS Codeで連携検証してみた所管 • ドキュメントが非常に充実しているのと、最初に認証ありきなのでセキュリ ティ対策を追っかけやすい。 • 先人の検証ドキュメントが充実してるので、参考になる情報源が多い • お願い事項 • CodeCommitがなくなってしまったので、代替でGithubを検討しなければいけ ない→代替策を！ • Amazon Qの早期日本語対応を！ エネコム Copyright © 2024 Enecom, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp 11

次のステップノーコードの生成AIアプリ開発プラットフォームdify.ai もAWS環境で作りたい Difyはオープンソースの大規模言語モデル （LLM）開発プラットフォーム RAGによるナレッジ機能を使用してエージェ ント形式のチャットボットから複雑なAIワーク フローなどをノーコードで開発可能。 OSSであり、オンプレでサービス立ち上げも 可能 OpenAI、Claudeなど多様なAIモデルに対 応 Gemini Flash 1.5なら1日1500回まで API使えるのでほぼ無償で使える https://github.com/langgenius/dify?tab=readme-ov-file エネコム Copyright © 2024 Enecom, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp 12

• https://github.com/langgenius/dify?tab=readme-ov-file

ご清聴、ありがとうございました [email protected] https://www.facebook.com/connect24h https://x.com/connect24h エネコム Copyright © 2024 Enecom, Inc. Proprietary and Confidentiaｌ www.enecom.co.jp 13

• https://www.facebook.com/connect24h
• https://x.com/connect24h