1 ポイント 投稿者 GN⁺ 2025-06-22 | まだコメントはありません。 | WhatsAppで共有
  • デンマークの人員管理会社Datapultは、AWSベースのインフラを欧州クラウドへ移行しながら ISO 27001 を維持し、月額2,000ドル規模のコストを大幅に削減したと明らかにした
  • 移行の背景には、CLOUD ActとFISA の下で欧州顧客のデータが米国政府の管轄権にさらされる可能性への懸念と、年間24,000ドルの請求額の負担があった
  • HetznerやOVHcloudのような 欧州所有のインフラ を使うことで、顧客や監査人に対してデータ所在地をより明確に説明できたという
  • AWS Lambda、RDS、CloudWatchの利便性は低下したが、Ansible、Prometheus、Grafana、Loki で自ら自動化と監視を構成した
  • AnsibleプレイブックをISO 27001 Annex Aの管理策と結び付けて 監査証跡資料 とし、削減したクラウド支出を事業に再投資した

AWS依存を減らした背景

  • Datapultはデンマークの 人員管理会社 で、従業員のスケジューリング、残業手当の給与調整、勤怠データの単一の信頼できる情報源として機能している
  • このサービスは単純なWebサービスより運用要件が厳しく、データは常に精算・集計され、失われてはならないという前提がある
  • 既存インフラはAWSから始まり、法的要件のかなりの部分も AWSベースのワークフロー に合わせて設計されていた
  • そのため移行はクラウドプロバイダーの切り替えではなく、法的要件と運用方法を同時に再調整する作業だった

AWSで大きくなったコンプライアンスとコストの負担

  • 1つ目の負担は コンプライアンス上の空白 だった
    • 米国のクラウドプロバイダーは、サーバーの物理的な場所に関係なく、米国政府の管轄権から完全に逃れることは難しいと判断した
    • CLOUD ActとFISAの下で欧州顧客のデータが潜在的にさらされる可能性があり、GDPR上の約束を弱めると見なした
  • 2つ目の負担は 月額2,000ドルのコスト だった
    • 年間24,000ドルの請求額は、実際の必要性に比べて過大だと判断した
    • RDSをマネージドPostgresインスタンスと自動化スクリプトで置き換えられるかを検討した
    • 同じ費用であれば、欧州内にレジリエンスのある専用ハードウェアを確保できると考えた

AWSを離れることで手放した利便性

  • AWSを離れると、マネージドサービスの利便性 は低下する
    • Lambdaのような深く統合されたサービス
    • RDSのワンクリックデプロイ
    • ISO 27001監査を円滑にする組み込みのコンプライアンスツール・エコシステム
  • マネージドサービスの快適さを手放した分、より高い水準の 統制と責任 を自ら担う必要がある
  • こうした変化は、多くのチームにとって不安や実行遅延の原因になり得る

HetznerとOVHcloudへの移行で得た効果

  • 欧州プロバイダーである HetznerとOVHcloud へ移行し、データ主権、コスト効率、運用統制の面でメリットを得た
  • データ主権の面では、欧州所有のインフラでホスティングすることで データ所在地 を明確に証明できたという
    • 顧客データがどこにあるのかを曖昧さなく説明できた
    • GDPR監査とISO 27001再認証において重要な変化だったと評価している
  • コスト面ではクラウドコストが 90%減少 した
    • 高価なマネージドサービスを、自動化されたセルフホスティングソリューションで置き換えた
    • 予算がより予測しやすく透明になったという
  • 運用面では、AWSの事前構築ツールを失った代わりに、社内の能力が強化されたと見ている
    • AnsibleベースのInfrastructure as Code構成を構築した
    • 以前より強いセキュリティ統制と監査可能性を確保したという

Ansibleとオープンソース監視で作った運用体制

  • Ansibleプレイブック を単なる設定自動化ではなく、コンプライアンスエンジンとして使った
    • サーバー設定の各行をISO 27001 Annex Aの管理策と直接結び付けられる
    • Infrastructure as Codeが自己文書化された監査証跡資料になる
  • CloudWatchなしでもエンタープライズ級の監視を構成できると見ている
    • Prometheus、Grafana、Loki の組み合わせを使用した
    • AWSで持っていた可視性を再現し、一部の面ではさらに改善したという
    • インシデント対応速度の向上に役立ったという
  • クリックで適用できる既成のセキュリティソリューションがないため、セキュリティを基盤から自ら設計する必要があった
    • Ansibleで自動化した security-by-design のアプローチを使った
    • ISMS、すなわち情報セキュリティマネジメントシステムをより堅牢で、開発者が従いやすいものにしたという

事業に残った結果

  • 米国の監視法に関連する コンプライアンスリスク を減らしたという
  • 欧州ホスティングを営業ツールとして活用し、ブランドへの信頼を強化した
  • クラウド支出の 90% を事業に戻したという

まだコメントはありません。

まだコメントはありません。