1. BLEAとは?
Baseline Environment on AWS(BLEA)は、AWSが提供するマルチアカウント環境構築のためのCDKテンプレート集です。セキュリティベストプラクティスに基づいたガバナンス基盤の構築を自動化し、AWS上に構築するシステムに必須なセキュリティサービスを統合的にデプロイすることができます。
組織のAWS利用開始時に必要な設定を標準化し、コンプライアンス要件への対応とセキュリティリスクを軽減することができます。BLEAではAWSのセキュリティ設定を広く薄く使っており、BLEA自体を深く理解する必要はありません。AWSの標準的な知識だけで理解できるように作られています。
BLEAで解決できる課題
セキュリティ設定の複雑さ
AWS上にシステムを構築する場合、複数のセキュリティサービスの個別設定が必要となりますが、BLEAを使うことで CloudTrail、Config、GuardDuty、Security Hubなどが事前に最適化された設定テンプレートで一括構築することができます。
ガバナンス要件への対応
複数アカウント・部門での統一的な管理ルール適用を行い、AWS Organizationsベースの統合管理基盤が構築できます。
運用監視の標準化
BLEAを導入することでCloudWatchダッシュボードやアラート設定を統一するため、各環境ごとに監視設定やアラート基準が統一されていないといった問題が解決できます。
コンプライアンス要件(日本の法規制対応)
日本の規制要件を満たす設定が自動適用されるため、個人情報保護法、金融庁ガイドライン等に対応できます。
BLEAの主要コンポーネント
セキュリティ基盤
- AWS Config
- CloudTrail
- GuardDuty
- Security Hub
ガバナンス
- Organizations
- Control Tower
- Service Control Policies (SCP)
監視、ログ
- CloudWatch
- CloudWatch Logs
- EventBridge
ネットワーク
- VPC
- Transit Gateway
- VPC Flow Logs
2. CDKとは?
CDK(Cloud Development Kit)の概要
AWS CDK(Cloud Development Kit)は、TypeScriptやPythonなどのプログラミング言語を使ってAWSインフラをコードで定義・管理するツールです。従来の手動でのAWSコンソール操作を自動化し、インフラ設定のGit管理ができるため、設定ミスの削減、環境の標準化、変更履歴の追跡が可能になります。最終的にはCloudFormationテンプレートとして出力されるため、再現性の高いインフラ構築ができるようになります。
従来のインフラ管理との比較
- *手動構築(現在) → CDK(目指す姿)
- AWSコンソールでクリック → コードで一括定義
- 設定ミス・漏れのリスク → 自動チェック・検証
- 環境ごとの設定差異 → 一貫した環境構築
- 変更履歴の管理困難 → Git履歴で完全管理
インフラ担当者がCDKを学ぶメリット
以下のようなメリットがあります。
作業効率化
- 従来: 手動で30分かかるVPC構築 → CDK : 5分で自動構築
- 従来: 環境ごとの設定差異確認 → CDK : コードで一元管理
品質向上
- 従来: セキュリティグループ設定ミス → CDK : テンプレート化で標準化
- 従来: 設定漏れによる障害 → CDK : 事前検証・自動チェック
チーム連携
- 共通言語: 開発チームとのコードレビュー・協働
- 知識共有: GitHubでのインフラ設定の透明化
3. TypeScript入門
なぜTypeScriptなのか?
AWS CDKでは、開発言語としてTypeScriptが選択されることが多いです。以下のような理由があります。
AWS CDKの標準言語である
AWS CDKはTypeScriptで開発されたということもあり、AWS CDKの言語として最もシェアが高いです。そのため、GitHub上のサンプルコードや ネット上での実装事例が多く存在し、トラブルシューティングや学習リソースにアクセスしやすいといったメリットがあります。
型安全性
TypeScriptの最大のメリットは型システムによる安全性です。コンパイル時にタイプミスや設定エラーを検出できるので、開発時のミスを防ぐことができます。また、安全なリファクタリングや設定変更が可能なので、インフラ設定の品質アップに繋がります。
開発支援
TypeScriptを使用することで、エディタのIntelliSense機能をフル活用できます。AWSリソースのプロパティ候補が自動表示され、パラメータの説明をエディタ内で直接確認できます。さらに、設定不備やエラーを入力中にリアルタイムで検出できるため、効率的に開発できます。
4. 学習リソース
インフラ担当者向けに、BLEAやCDK、TypeScriptを効率的に学習できるリソースを紹介します。
公式ドキュメント
実践的な学習サイト
- ハンズオン形式1: TypeScript の基礎から始めるAWS CDK開発入門
- ハンズオン形式2: AWS CDK Immersion Dayワークショップ
- サンプルコード集: AWS Samples
- BLEAサンプルコード: Baseline Environment on AWS
- BLEA利用方法: Baseline Environment on AWS - HowTo
コミュニティ
- BLEA最新情報: AWS公式ブログ - Tag : BLEA
- BLEA紹介記事: AWS環境にセキュアなベースラインを提供するテンプレート「Baseline Environment on AWS」のご紹介
5. まとめ
本記事では、BLEAの概要からCDKやTypeScriptについての解説を行いました。 次回は、実際にBLEAとSecurity Hubの統合を手動で設定する方法を解説します。
次回予告: BLEAとSecurity Hub統合(手動編)
- Security Hubの基本設定
- BLEAとの連携設定
- ダッシュボードの活用方法
- 手動設定からCDK化への準備
