JAWS DAYS 2025 に参加した

JAWS DAYS に初めて行ってきたので、軽く所感を書きます。

なお業務やほかのイベントの疲れが残っており、あまり集中できず2, 3時間で帰ってしまったので、自分のメモ程度に書いています。

イベントURL

JAWS DAYS 2025 https://jawsdays2025.jaws-ug.jp/

会場は池袋サンシャインシティですが、技術書典とは違う場所だったので微妙に迷いました。

セッション

2つだけ聞きました。 Xのタイムラインを追っていると面白そうな発表がいくつかあったので、スライドをチェックしたいところ。

AWSではじめるWeb APIテスト実践ガイド：品質とセキュリティを支えるためのポイント

資料公開されていました。

https://speakerdeck.com/yokawasa/a-practical-guide-to-testing-web-apis-on-aws

• 冪等性のうち、POST, PUT, DELETE あたりについては冪等性の確認のため2回とか実行したほうがよさそう
  • 確かにそうかもしれないと思ったポイントなので、これから書くテストコードなどでは考慮していきたい
• ネガティブテストのタイプが参考になった
  • ヘッダーパラメータが不正なケースとか、でかいデータのケースとか
  • HTTPヘッダーのセキュリティ設定についてはやらないとなぁと思いつつ、各ヘッダーが何を指しているのか？ を改めて核にしなければいけないなと思った
    • この辺りはプロジェクトの最初に決めて後は良しなにしているので、改めて理解を深めて活用していく必要あり
• AsyncAPI という非同期APIの仕様を記載できるフォーマットがある
  • https://www.asyncapi.com/
  • OpenAPI に似たようなもの（ざっくりトップページしか見てないので、詳細は不明）
  • 自動出力とかスキーマの読み込みとかどれくらいできるのか、詳細な技術的観点が気になる
  • SQS とかもかける
• Amazon Verified Permissions
  • https://aws.amazon.com/jp/verified-permissions/
  • 初めて聞いた
  • Zenn で記事書いている人がいたが、なるほどといった感じ
    • https://zenn.dev/ro_komatsuna/articles/aws_verified_permission
    • 微妙にめんどくさい実装がここに寄せられる
    • （マルチテナントとかでも行けるのかなー とかは気になるポイント）
• AWS でも負荷テスト、ぺネストレーションテスト、DDoSシミュレーションテストなど、ガイダンスやドキュメントが存在する
  • 該当するテストを実施する際は要注意

AWS Security Hub findings を開発者自らが修復するための仕組みと考え方

資料はまだ公開されていないようです(2025/03/04 05:00時点)

• 開発者自身が関心を高め、対応を進めていくための文化作りが必要
  • スピード感との両立
  • ビジネスとのバランス
• そのための Liver というシステムづくり
  • ちょっとこの辺り重要な部分を一部聞けておらずで、このあたりから理解があいまいになる
  • 覚えているのは属人的にすると得意な人がやりがちなので、それを協力して自主的に動いていけるような文化づくりが必要ということ
• 対応しないという理由は決めるものの、ビジネス的判断を含むので許容するかどうかは CTO が判断
• 開発者自身が責任をもってセキュリティに対しても向き合い、対応していくということが必要で、それは各社の状況に合わせて導入が必要

下記のレポートが参考になるかもです。 https://dev.classmethod.jp/articles/jawsdays2025-a8-report/

また過去の発表資料も参考になるかもしれません。 https://speakerdeck.com/kaminashi/developers-autonomously-report-aws-security-hub-findings-corresponding-mechanism-and-aws-re-invent-2024-presentation-experience

このあたりから調子がよろしくなかったので、あまり記憶が定かではなく、もし資料が公開されたら改めて見直したいと思います。

ブース

• セキュリティ関連のブースが多かったように思う
  • クラウドセキュリティの対策など
  • これからさらに生成AIが増えていくので、セキュリティの設定周りやコード自体の実装に対してもセキュリティの需要は高まりそうだなぁとか思った
  • 逆に汎用的にあれこれやっている会社の場合、AWS構築のうちどこに強みがあるんだろう… というのはちょっと引っかかった
• 割と営業職が強いイメージがある
  • これは AWS Summit の時も感じたことではあるが、サービスの導入に対しての説明が多い
  • 技術的な話を聞きたいので肌に合わない箇所がある
  • 受託、業務委託により問題の解決を目指すモデルの会社が多く参加しているから、というのもありそう
• 面白かったところ
  • DELTA社のCTO Booster
    • https://costcut.cloud/
    • 完全成果報酬制でコストダウンを実現するという仕組み自体が面白かった
    • その代わりそれなりのコストはかかる感じ
  • SHIFT社のクラウドマイグレーションサービス
    • https://service.shiftinc.jp/service/migration/
    • 検索するとほかにもいくつか見つかる
    • 資料ではAIを活用してPHPのバージョンアップ例が紹介されている
      • なかなか腰が重いところなので、こういうサービスがあると便利なのかもしれない
  • TiDB社
    • クラウドであれば無量枠が少しだけある
    • https://pingcap.co.jp/tidb-serverless-pricing-details/
    • 興味があったのでちょっと使ってみたい
• お祭りブース
  • 休憩スペース的に設けられていた
  • 本の交換コーナーとか、各地のお菓子とかあって面白かった

まとめ

初めて JAWS DAYS に行ってきましたが、そこそこ楽しめました。 儀重的な話をあまりできなかったので、懇親会参加したかったという思いがあります。 セッションももっと聞きたかったですね。とても疲れていて体調が整わなかったのは残念です（そのあとよく寝て回復しました）

改めてセキュリティ需要が高い印象を受けており、今後も需要は増え続けるんじゃないかなと思います。 クラウド固有のセキュリティ、ライブラリ特有のセキュリティなどありますが、そのあたりを学びつつ構築の際、応用できるよう学習を続けていきたいところです。

そのためにテストの拡充や、AWSないし周辺のサービスを利用しスピードと安全性を両立させていくことが求められそうだなと思いました。