運用管理の課題解決をSaaSモデルで ●アマゾンウェブサービスジャパン エコシステム ソリューション部 部長

松本 大樹 氏

●野村総合研究所（NRI） クラウドサービス本部 クラウド運用ソリューション事業部

宮越 弘樹氏

モバイルアプリ開発に最適なAWS ●NRIネットコム Web ネット事業本部 Web インテグレーション事業部

佐々木 拓郎 氏

AWSへのWAF導入の悩みを解決 ●NRIセキュアテクノロジーズ MSS 事業三部

吉江 瞬 氏

エンタープライズ向けAWS活用事例・ソリューション紹介セミナー～基幹系からSNSマーケティングまでもAWSで～

contents

本格化するエンタープライズシステムのAWS移行運用管理の課題を解決する NRI のソリューション

アフターレポート

2

運用管理の課題解決をSaaSモデルで

　「クラウド は 今 や（企 業 I T の）ニューノーマ ル」――。これ は、アマゾン

ウェブ サービス ジャパンのエコシステム ソリューション部 部長 松本大

樹氏が、今回のセミナーで掲げたフレーズ だ。セミナーの最初のスピー

カーとして登 壇した 松 本 氏 は、この 一 文を裏 付 けるものとして、多くの

国内企業が「Amazon Web Services（AWS）」上で基幹業務システムや

戦 略システム の 構 築・運 用 に乗り出している事 実を明 示。エンタープラ

イズシステム のプラットフォームとして、AWS がいかに堅調な成長を遂

げているかをアピールした。

　同氏によれば、「SAP on AWS」（＝AWS 上で稼働する SAPアプリケー

ション）を導 入した日本 企 業 は すで に 1 0 0 社を超えているほ か、ソニ ー

銀行などの金融機関をはじめ、丸紅、ローソン、ファーストリテイリング

など、さまざまな業界の有力企業が AWS をエンタープライズシステムの

プラットフォームとして利用し始めているという。

　　こうしたかたちでエンタープライズシステムの AWS 移行が進むなか、AWS 上でのシステムの構築・運用

を巡り、いくつかの課題も浮上してきている。そうした課題の抜本的な解決に向けた具体的なソリューション

を示し、より広範な企業にクラウドのメリット、ないしは革新のパワーを享受してもらうこと――。それが本セ

ミナーの主題となっている。

　このテー マ のもと、松 本 氏 に 続き、野 村 総 合 研 究 所（N R I）のクラウドサ ービス本 部クラウド運 用ソリュー

ション事業部 宮越弘樹氏が演壇に上り、自社のソリューションを披露した。

　言うまでもなく、NRI は、日本最大手のシンクタンクであると同時に、国内有数のシステムインテグレーター

（SIer）でもある。エンタープライズシステム のクラウド化にも早くから取り組み、グローバル企業や金融機関

を中心に、AWS を活用したエンタープライズシステム の構築案件を数多く手掛けてきた。その実績から、同

社は「APN（AWS Partner Network）プレミアコンサルティングパートナー」の認定も受けている。また最近

は、AWS を活用した新しいサービス やソリューション の開発に力を入れており、「AWS × “ インテグレーショ

ン ”」「AWS × “ セキュリティ”」「AWS × “ モバイル ”」「AWS × “ ビッグデータ ”」の各カテゴリーに分類された各

種ソリューションを提供している。

　そんな NRI の AWSソリューション の中でも際立った特徴を持っているのが、2014 年 8 月にリリースされた

アマゾン ウェブ サービス ジャパンと野村総合研究所は 2015年 8月、Amazon Web Services（AWS）上でのエンタープライズシステム構築・運用を検討する企業に向けて、具体的な活用事例とソリューションを紹介するセミナーを開催した。セミナーでは、AWSにおけるエンタープライズシステムの運用管理／セキュリティ上の課題を解決するNRIグループのソリューションが披露され、注目を集めた。

アマゾン ウェブ サービス ジャパンエコシステム ソリューション部部長松本 大樹氏

3

本 格 化 す る エ ン タ ー プ ラ イ ズ シ ス テム の A W S 移 行

「mPLAT（ http ://mplat .nr i .co . jp/ ）」だ。これは、NRI の運用管理ツール「Senju Fami ly」をベース にした

SaaS 型運用基盤クラウドサービスである。

　「mPLAT は、オンプレミス の環境とクラウド環境が混在するエンタープライズシステム の運用を統合化し、

自動化するものです。『ベース』と呼ばれる基本構成だけで Senju Fami ly のほぼすべての機能を利用するこ

とができます」と、宮越氏は説明する。

　 同 氏 によれ ば、エンタープライズシステムを AW S で 運 用 するには、

「AW S だ けでできること」と「ユーザー側で 対 応 が 必 要 なこと」があると

いう（図1）。

　「例えば、AWS 側は EC2 ステータスチェックなど、ハイパーバイザー

側 からの 監 視 は で きま す が 、プ ロ セ スダ ウン 検 知 や アプリログ など

O S 側 からの 監 視 は、ユ ー ザ ー 側で 対 応しな けれ ば なりません。また、

AWS のイベント通知はメール に限られますから、メール以外の通知機

能 の 導 入もユーザー側で 行う必 要 があります。ところが、こうしたユー

ザー側の対応をすべて自前でやろうとすると、設計・構築・維持コスト

が 上 がり、導 入スピードも遅くなります。これで はクラウド の 恩 恵 が 得

られません」（宮越氏）

　その解決策として NRI が提供するのが、mPLAT なのだという。「従来

ならば独自に運用機能を設計・構築しなければなりませんが、mPLAT

で は メ ニュー から選 ん で 使うだ け に なりま す 。シス テ ム 運 用 基 盤 の

野村総合研究所（NRI） クラウドサービス本部クラウド運用ソリューション事業部宮越 弘樹氏

図1：AWS上でのエンタープライズシステムの運用管理でユーザーが対応すべきこと

カテゴリ AWSだけで出来ること ユーザー側で対応が必要なこと mPLATで対応可能なこと

監視ハイパーバイザー側からの監視

（EC2のステータスチェックなど）OS側からの監視が必要

（プロセスダウン検知、アプリログ監視）OSレイヤ監視、ミドルウェア監視、サービスレベル監視が可能

ジョブクラウドリソースの自動制御

（Lambdaなど）OS内でジョブ実行する仕組みが必要

（ジョブスケジューラの導入）OSレイヤでのジョブスケジューリング可能基幹システムで利用されてきた実績あり

イベント通知メール通知

（フィルタ機能、抑止機能なし）メール通知以外の通知機能導入

（作業時の通知抑止、バースト抑止など）作業時の一時抑止、バースト時の自動抑止、不要メッセージ抑止が可能

キャパシティ管理CloudWatchのデータを2週間保持可能

2週間以上保持が必要な場合、定期的にダウロード or 別の仕組みの導入 専用DBに最長3ヶ月間保存可能

ログ管理CloudWatchlogsでのログ収集＆ログ監視（OS内ログも可能）

長期的なログの保存（監査証跡など）CloudWatchLogsを使えないログの監視

多種多様な文字コードで監視可能正規表現と組合せ柔軟に監視可能

障害時運用EC2インスタンス単位で自動での再起動、停止/起動が可能

プロセス単位での復旧の仕組みが必要AZ障害時に備えて切替の仕組みが必要

AWSリソースの自動復旧機能OSレイヤでの自動復旧機能が利用可能

アクセス統制Mによるアクセスコントロールが可能

（承認の仕組みなし）OS内へのアクセス管理の仕組みが必要かつ、承認機能との組合せが必要

ワークフローと組合せて本番アクセス管理が可能

課金管理Total月額の確認、予想利用額の確認、Billingアラート

コスト削減を利用料請求を行うための、個人別やシステム別などに集計

専用ダッシュボードに、Tagをもとに自動集計した結果を表示

4

バージョンアップ、パッチ適用といった維持管理は mPLAT 側ですべて対応します。しかも、月額 25 万円から

というリーズナブル な料金で利用することが可能なので、運用のコスト最適化にも役立ちます」（宮越氏）

　従来、エンタープライズシステム の場合、高い運用品質を保つためにコストと時間を掛けて運用基盤を構

築する必要があった。AWSと mPLAT はそうした課題を一挙に解決するソリューションとして注目されている

という。

　「ある製造業のお客様では、AWS 導入のおかげでプラットフォーム自体のコストは大幅に削減できたので

すが、リソース の 管 理 担 当 者 が 不 明 確で、セキュリティルール も守られておらず、サービス停 止 のし忘 れ に

よって無 駄 なコストも発 生 するという課 題を抱えていました。そこで m P L AT を導 入し、サービス要 求プロセ

ス のセルフサービス化・自動化を図ったところ、人手によるオペレーションミス が排除されたほか、ガバナン

スを効かせたクラウドの利用が実現されたのです」（宮越氏）

　こうした mPLAT のサービス内容、実績が高く評価され、NRI は国内で初めて「AWS マネージドサービスプ

ログラム」の認定を取得したという。

モバイルアプリ開発に最適なAWS

　スマートフォンやタブレットのビジネス利用が進展するに伴い、エン

タープライズシステム のフロントエンドとしてモバイルアプリの提供に

乗り出す企業が増えている。

　「た だし、モ バイルアプリ開 発 に は 課 題 が 多 い ので す」と語るの は、

N R Iグ ループ で W e b ビジネスを展 開 する N R I ネットコム の W e b ネット

事 業 本 部 W e b インテグレーション事 業 部 佐々木 拓 郎 氏 だ。宮 越 氏 に

続きセミナー の 演 壇 に 立った 佐々木 氏 は、モ バイルアプリ開 発を巡る

課題について次のように説明する。

　「私は、数多くのモバイルアプリの開発・運用に携わってきましたが、

その 経 験 から、モ バイルアプリ開 発 に は 大きく二 つ の 課 題 があると考

えています。一 つ は、サ ー バ の 運 用・スケーラビリティで す。例えば、

アプリの 更 新 などをプッシュ通 知したときにユ ー ザ ー が 即 時 にレスポ

ンスしてアクセスが急増し、サーバ に負荷が集中するという課題があり

ます。もう一つは、モバイル端末の OS や機種の多様化によって開発・テスト工数が増大することです。とりわ

け、エンタープライズ向けのモバイルアプリは、古い OS を簡単に切り捨てることができず、開発・運用コスト

が肥大化しやすいのです」

　こうしたモバイルアプリの課題に対し、NRI ネットコム が解決策として取り入れたのが、AWS のモバイル向

けサービスだ。

　「AW S で は、I D 管 理とデータ同 期を行う『A m a z o n C o g n i t o』やイベントドリブンで の 実 行 が 可 能 なコン

NRIネットコムWebネット事業本部Webインテグレーション事業部佐々木 拓郎氏

5

本 格 化 す る エ ン タ ー プ ラ イ ズ シ ス テム の A W S 移 行

ピュートサ ービス『A m a z o n L a m b d a』、スケーラブ ル なアプリケーションバックエンド が 構 築できる『A P I

Gateway』など、数多くのモバイル向けサービスが用意されていますし、サービス拡充も随時行われています。

しかも、すべてがフルマネージドサービスなので、構築・運用の手間も最小限に抑えられるのです」（佐々木氏）

　また、従来のモバイルアプリでは、「クライアント＋ Web／アプリケーション・サーバ＋ DB」の 3 層構造の

アーキテクチャが一般的に採用されてきた。それを、「クライアント＋ AWS サービス」の 2 層構造のアーキテ

クチャにすれ ば、バックエンド の 開 発・運 用コストを最 小 化でき、スケーラビリティの 心 配も不 要 になると、

佐々木氏は説く（図2）。

　「要するに、AWS のモバイル向けサービスを利用することで、ビジネスロジックの開発にリソースを集中で

きるようになるというわけです」（佐々木氏）

　NRI ネットコムでは現在、AWS のモバイル向けサービスを活用し、組織としてモバイルアプリ開発のさらな

るスピードアップと高品質化に取り組んでいるという。

　「我々はすでに、ソース管理とビルドを一体化して自動的に実行したり、ビルド後のアプリ配布を自動化し

たりなど、開発プロセスを標準化・効率化・自動化する仕組みを築いています。また、アプリチームとデザイ

ンチームの緊密な連携をベースに、開発スタイルをウォーターフォール型からアジャイル型へとシフトさせる

ことで、ユーザーインタフェースとユーザーエクスペリエンスの向上も果たしているのです」（佐々木氏）

　さらに同 社で は、ソース共 有とレビューによって開 発 者 のスキル 向 上を図っているほ か、開 発 から属 人 性

を排除すべく、チーム内ローテーションも徹底させているようだ。こうした取り組みが功を奏し、NRI ネットコ

3-Tier アーキテクチャ 2-Tier アーキテクチャ

モバイル

モバイル

リクエストレスポンス

リソースの利用

トークン付与

権限要求

認証

AWS

AWS

ec2 S2

DynamoDB

AWSのリソース

Cognito

IAM Role

RDS

Identity Providers（Facebook,Google,Amazon,etc）

認証時の権限

未認証時の権限（ゲスト権限）

図2：3層構造のアーキテクチャから2層構造のアーキテクチャへ

6

ムでは顧客の要件や規模に合わせてコストパフォーマンス の高いモバイルアプリを提供できるようになった

という。

　その適用事例は多岐にわたり、例えば、大手生保など多くの企業に導入しているモバイル会議アプリや大

手 E C サイトの 会員ポイント管 理アプリ、通 信 会 社 の 電 話 帳アプリなど、多くの 実 績を積 み 上 げている。エン

タープライズシステム のモバイル化を推進する企業にとって、NRI ネットコム は良きパートナーとなるに違い

ない。

AWSへのWAF導入の悩みを解決

　 AW S などのクラウド・プラットフォームを活 用してエンタープライズ

システム を構 築 する際 に、大きな 課 題として必 ず 浮 上してくるの が セ

キュリティ対 策 だ 。セミナー 最 後 のス ピ ーカ ーとして登 壇した N R I セ

キュアテクノロジーズ の M S S 事 業 三 部 吉 江 瞬 氏 は、A W S に お けるセ

キュリティの考え方について以下のように説明する。

　「共 有 責 任 モデ ルという考え方 があり、A W S の セキュリティは A W S

が責任を持って対策されていますが、仮想レイヤより上の層のセキュリ

ティは、ユーザーが 責 任を持って確 保しな けれ ば なりません。つまり、

仮想レイヤ上の OS やアプリケーション（サービス）などに関しては、防

御とコスト、そして利便性の側面から、最適なセキュリティ対策を検討

する必要があるのです」

　そう語る吉 江 氏 が 特 に注 意を促 すの は、W e b アプリケーション へ の

攻撃だ。

　「SQL インジェクション やクロスサイトスクリプティング など、Webアプリケーション の脆弱性を狙った攻撃

は、従来のファイアウォール や IDS／IPS では防ぎきれません。Webアプリケーション の保護を目的に開発さ

れた WAF（Web Applicat ion Firewal l）の導入が不可欠と言えるでしょう」

　とはいえ、WAF 機能を備えたセキュリティアプライアンスを導入すれば、それでセキュリティが盤石になる

わけではない。

　「WAF をしっかりと運用していくのは容易ではなく、WAF を導入した企業の多くが、それを活用しきれてい

ないのが実状です。一方でサイバー攻撃の手法は日々進化しています。ですから、WAF を導入してもその運

用が適切でなければ、攻撃手法の進化に追随できず、WAF の防御効果も半減してしまうのです」（吉江氏）

　また、WAF が攻撃を検知してアラートを発しても、それに対する適切な判断と対処ができる体制がなけれ

ば、意味を成さない。同様に、WAF の誤検知／過検知によるサービス の停止を恐れるあまり、遮断設定の最

適化に二の足を踏んでいるようでは、セキュリティ・リスクは高まる一方となる。

　こうした W A F の 課 題を解 決 す べく、N R I セキュアテクノロジーズ が A W S 向 けに 開 発した の が「W A F 管 理

NRIセキュアテクノロジーズMSS事業三部吉江 瞬氏

7

本 格 化 す る エ ン タ ー プ ラ イ ズ シ ス テム の A W S 移 行

サービス for AWS」だ（図3）。

　この サービス の 基 本 は、AW S 上 に WA F を構 築し、N R I セキュアテクノロジーズ の S O C（セキュリティオペ

レ ーションセンター）から管 理・監 視 するというもの だ 。初 期 の W A F 構 築 から運 用 監 視 に 至るサ ー ビス が

包 括 的 に提 供される。また、この サービスで 利 用されるセキュリティアプライアンス には、米 I m p e r v a 社 の

「SecureSphere」が採用され、AWS 版では SecureSphere のイメージ が AMI（Amazon Machine Image）

形式で提供される。さらに、NRI セキュアテクノロジーズ は、米 Imperva の国内唯一の MSS（マネージド・セ

キュリティ・サービス）パートナーでもあり、大手EC サイトやコーポレートサイトに対する導入・運用ですでに

多くの実績を上げている。

　 そうした W A F 管 理 サ ー ビス f o r A W S の 最 大 の 特 徴 は 、監 視 体 制 にある。W A F の 運 用 に 精 通した「 N R I

SecureTechnologies Computer Security Incident Response Team」のアナリストが 24 時間365 日体制

でユーザーのシステムを監視する。それを通じて、例えば、危険度の高いゼロデイ脆弱性が発見された場合

には、N R I セキュアテクノロジーズ が 独自にシグネチャを作 成して、当 該システム に適 用 する。これ によって

ユーザーは、脆弱性攻撃に対する備えを早期に整えることが可能になる。

　以上に示したとおり、NRIではグループ全体でエンタープライズシステムを対象にした AWSソリューション

を提 供している。クラウド上 にエンタープライズシステムを構 築しようと検 討しているの なら、一 度 は N R I に

相談してみることをお勧めしたい。

AWS

WebServer

WebServer

Internet

WebServer

WebServer

WAF

WAFによる通信検査／遮断

お客様運用担当

セキュリティアナリスト

ログ収集／分析お客様Webサイト

WAFによる攻撃の検知・遮断！

最新シグネチャ適用

リアルタイムアラート

問い合わせ対応

図3：「WAF管理サービス for AWS」の概要

野村総合研究所クラウド運用ソリューション事業部045-336-6490mplat@nri .co. jphttp://mplat .nr i .co. jp/

NRI ネットコムWeb ネット事業本部03-6274-1200（東京）, 06-4797-2800（大阪）info@nri-net .comhttp://www.nri-net .com/

NRI セキュアテクノロジーズMSS 事業本部03-6706-0500info@nri-secure.co. jphttp://www.nri-secure.co. jp