個々のサービスは知っているのに全体像がつながらない、を解決する本を書いた。『 AWSの薄い本8 Organizationsと愉快な仲間たち』

　技術書典20で新刊として出した『AWSの薄い本８ AWS Organizationsと愉快な仲間たち』について、紹介します。

なぜ、この本を書いたのか

　SCPとIdentity Center、結局どっちから整備すればいいのか。Security Hubを有効化したのに、なぜ現場は整理できないのか。Control Towerを入れれば全部解決するんじゃないのか。こういう問いを、現場で何度も聞いてきました。自分自身も、同じことを考えていた時期があります。

　個々のサービスについては情報がある。公式ドキュメントもブログ記事も充実しています。ただ、それらを組み合わせたときの全体像がつながらない。SCP、Identity Center、Config、GuardDuty、Security Hub、Control Tower。それぞれを「点」として理解していても、Organizationsという骨組みの上で役割分担されているという「線」が見えないと、設定は積み上がるのに統制は回らない。そういう状態に陥りやすい。

　この本は、その全体像をつなげるために書きました。シリーズ8冊目にして、どう伝えるのかが大変だった本です。サービスの機能の説明をしても、結局は導入したもののになるので悩みました。結論は、Organizationsを骨組みにして、組織・人間の観点で説明することにしました。この構造で整理すると、全部つながりました。

設定手順の本ではなく、設計思想の本

　よくある誤解なのですが、この本はAWS Organizationsの設定手順書ではありません。設定の前に持っておくべき判断軸を整理した、設計思想の本です。

　手順は公式ドキュメントに書いてあります。足りないのは「なぜそう設計するのか」「どこから手をつけるのか」「理想形と現実解のどちらを選ぶのか」という判断の軸です。本書はそこに集中しています。

　もう一つ、この本の特徴は技術だけでなく組織の話を正面から扱っていることです。CCoEと情シスと事業部の役割分担、権限委譲の設計、責任分界の言語化。難しいのは技術ではなく、組織的な合意を形成すること。これは現場を見てきた実感です。

全9章の構成

第1章　なぜAWS Organizationsが肝になるのか
第2章　組織としてAWSを管理するとは何か
第3章　アカウント分割とOU設計の原則
第4章　IAM Identity Centerで権限をどう渡すか
第5章　AWS Organizationsのポリシーで統制を設計する
第6章　セキュリティサービスを「入れる」だけでは回らない
第7章　管理アカウントに集めすぎないための設計
第8章　コストを組織として管理する
第9章　AWS Control Towerと現実的な導入順序

　第5章では、SCPだけでなく2024年末にGAしたRCPや宣言型ポリシーを含めた、ポリシー全体像を整理しています。「SCPで全部やろうとして破綻する」という典型パターンを避けるための、役割分担の考え方です。

　第9章のControl Towerは、「入れれば解決する」のではなく「設計を標準的に実装するサービス」として位置づけ直しています。新規構築と既存環境の整備は別の問題で、多くの企業が直面するのは後者です。

こんな方に読んでほしい

AWSを複数アカウントで運用しているが、全体像がつながっていないと感じている方
SCPやIdentity Centerの個別機能は知っているが、組み合わせ方がわからない方
CCoEや情シスでAWSの統制設計を担当している方
「うちはまだそこまで必要ない」と思っている方

　最後の「まだ必要ない」と思っている方にこそ読んでほしいと思っています。アカウントが増えてから整理するのと、全体像を持った上で増やすのとでは、後からかかるコストが桁違いです。

シリーズの中での位置づけ

　この本は、2019年の『IAMのマニアックな話』、2020年の『アカウントセキュリティのベーシックセオリー』、2025年の『IAMのマニアックな話 2025』の流れを受ける「マルチアカウントと統制編」です。IAM本が個々のアカウント内の権限設計、アカウントセキュリティ本が単一アカウントのセキュリティ、IAM2025年本が組織としてのIAM、そしてこの本が組織全体の設計。4冊を通して読むと、AWSのセキュリティ設計が個から組織へと立体的につながります。

　もちろん、本書単独でも読めるように構成しています。