5時間で請求額95万円！？失敗から学ぶファイル転送基盤構築

305 Views

November 20, 25

スライド概要

AWSマネージドサービスのみを使用したSFTP中継環境の構築・運用について検証を行いました。クラウドをHUBとしたファイル転送中継環境が、今後のエンタープライズ共用インフラとしてサービス提供に資するかを評価しています。

エヌアイデイの若手メンバーが参加し、基礎技術の習得と実践的な経験を目的とした社内の技術検証取り組みの資料です。

株式会社エヌアイデイ

@NID_Tech

スライド一覧

株式会社エヌアイデイの公式アカウントです。ソフトウェア開発、システム構築、システム運用まで幅広いICTサービスを提供する、1967年創業の独立系IT企業です。 NIDエンジニアの社内取り組みや登壇資料を共有します。

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

（ダウンロード不可）

関連スライド

【初心者向け】AWSで実践！Dockerで作るコンテナログ基盤

株式会社エヌアイデイ 147

AWS×Palo Alto VMFWで作るVPN接続環境

株式会社エヌアイデイ >100

猫でも分かるUnreal Engineの学び方 - 超初心者向け編 - 2023 v1.0

ue4 ue5 ue-beginner

エピックゲームズジャパン 1.6M

Unreal Engine5 Lumenの仕組みと肝心なところ

ue5 ue-rendering ue-lumen

エピックゲームズジャパン 1.4M

Meta XR SDK(V66-74)でQuestアプリを開発

spatial anchor unity quest pro shaperecognizeractivatestate oculus integration transformfeaturestateprovider building blocks transformrecognizeractivestate ovrsemanticclassification jointdeltaprovider ovrscenemanager jointvelocityactivestate オクルージョン sequenceactivestate scene manager ambisonic depth api metaxraudiosource playerlocomotor meta xr sdk quest3 ovrplayercontroller マルチモーダル meta haptics studio direct touch ui meta xr haptics sdk ovrspatialanchor ovrtrackedkeyboard hapticclipplayer fingerfeaturestateprovider hapticclip ワイドモーションモード wmm mruk mr utility kit voice sdk jointrotationactivestate meta horizon os ui set asw application spacewarp ovr metrics tool unityscene manager colocation discovery コロケーション mx ink passthrough camera api hand tracking microgestures webcamtexturemanager passthroughcamerautils cameraviewermanager hand pose selector recorder

あうぜん 1.1M

UE5レンダリングフロー総おさらい(2024) 基礎編！[CEDEC+KYUSHU 2024]

ue5 unreal engine ue-rendering

エピックゲームズジャパン 1.1M

各ページのテキスト

5時間で請求額95万円!? 失敗から学ぶファイル転送基盤構築 2025年11月27日株式会社エヌアイデイ ICTデザイン事業部ANA部第2課 S.N. (2年目※検証当時) ※「AWS」、「Amazon Web Services」および関連サービス名は、Amazon.com, Inc.またはその関連会社の商標です。 Copyright(c)2025 NID All Rights Reserved 1 1

1-1.検証目的 NIDの提案力向上・昨今、データ利活用と多様なシステム・サービス間連携が加速度的に進んでおり、ファイル転送中継環境の需要が拡大している。 →アジリティおよびマルウェア感染などセキュリティ対策レベル向上、ならびに従量課金モデルの導入・マネージドサービス利用によるEOS対応費用削減に伴う投資コスト最適化の観点から、クラウドをHUBとするファイル転送中継環境がマッチするユースケースが増えることが見込まれる。 →ファイル転送基盤という仕組みの特性から、いずれはエンタープライズ環境内で共用インフラ化する可能性があり、類似のソリューションのニーズがあると想定される。 5 Copyright(c)2025 NID All Rights Reserved

1-2.検証結果 AWSマネージドサービスのみを使用したSFTP中継環境は、当初検討したアーキテクチャとは一部異なる結果となったものの、EventBridgeやStepFunctions、Lambda等を連携することでNIDとして十分ソリューション提供可能かつ商用ベースに乗るサービスへ発展させることができる結果となった。 6 Copyright(c)2025 NID All Rights Reserved

1-3.検証内容 ①SFTPでの受信におけるマルウェア対策、アクセス制御、アカウント制御の方式を確立する。 (a).GuardDutyのファイルチェックが、受信や振分け、コピー前などの時点で可能かを確認する。GuardDutyでチェック完了したファイルについてタグ付けできるかを確認する。 (b).EventBridgeでファイルのputを検知できるか確認する。その際、GuardDutyチェック完了後に付与されるタグを処理起動トリガーとできるか確認する。 (c).ファイル転送ごとに作成するS3ディレクトリごとにEventBridgeで処理を振り分けることができるか確認する。 (不可の場合はLambdaを使用する) (d). EventBridgeでのファイル転送処理後、コピー元のファイルを次の転送に備えアーカイブできるか確認する。 ②EventBridgeで共有用S3から自社サーバに時刻指定してファイル転送できるかを確認する。 ③ AWS Transfer Familyがクライアントとしても使用可能か確認する。 (a).SFTP connectorsを使用してSFTPによるファイル転送が可能かを検証する。 (b).課金単位(ファイル転送の本数ごとの課金となるか、従量課金となるかなど)も確認する。 ④S3のコピーにより、他システムでのファイル読み取りができることを確認する。 (a).S3間のファイルコピーの際はS3 copyがよいか、S3 syncがよいか確認する。 (b).S3間のファイルコピー後、コピー元のファイルを次の転送に備えアーカイブできるか確認する。 7 Copyright(c)2025 NID All Rights Reserved

当初の構成案 Google Cloudに構築 Region ① Virtual private cloud (VPC) Amazon Amazon GuardDuty CloudWatch Virtual private cloud (VPC) ① AWS Identity and Access Management (IAM) 同一リージョン内でVPCを分けてサーバを構築 Private subnet ③ ※トリガー：ファイル格納マルウェア検知 Private subnet 他社SFTP クライアント Internet AWS Transfer Family (SFTP Server) Amazon EventBridge Amazon Simple Storage Service (Amazon S3) ※トリガー：ファイル格納 Amazon Simple Storage Service (Amazon S3) ② AWS Transfer Family(SFTP Client) ※トリガー：指定時刻 ① Amazon Amazon Simple Amazon EventBridge Storage Service EventBridge (Amazon S3) ユーザごとにディレクトリを分けて転送制御を行う ※番号は検証内容に該当する場所自社サーバ・ファイル転送ごとに転送制御を行う・課金単位がユーザごとかインスタンスごとかを確認する他AWSアカウント ④ S3バケット共有用(他シス) 自社システム (AWSサービス) 別リージョンでサーバ構築 Copyright(c)2025 NID All Rights Reserved

10.

1-3.検証内容 ①SFTPでの受信におけるアクセス制御、アカウント制御の方式を確立する。 (a).GuardDutyのファイルチェックが、受信や振分け、コピー前などの時点で可能かを確認する。 GuardDutyでチェック完了したファイルについてタグ付けできるかを確認する。 ⇒GuardDutyのファイルチェックはS3格納時にされることが分かった。また、チェック完了ファイルにタグを付与することができた。 GuardDutyのマルウェアスキャン有効前に格納されていたファイルはスキャンされないこともわかった。新規格納オブジェクト既存オブジェクト 10 Copyright(c)2025 NID All Rights Reserved

11.

12.

1-3.検証内容 ①SFTPでの受信におけるアクセス制御、アカウント制御の方式を確立する。 (b).EventBridgeでファイルのputを検知できるか確認する。その際、GuardDutyチェック完了後に付与されるタグを処理起動トリガーとできるか確認する。 ⇒S3のイベント通知機能を有効にすることで、EventBridgeでのファイルputが検知可能であった。また、ファイルputだけでなく削除やタグの付与・削除も検知・トリガー対象とすることが可能であり、自由度の高さが確認できた。 S3イベント通知設定画面 S3イベント通知設定画面 12 Copyright(c)2025 NID All Rights Reserved

13.

1-3.検証内容 ①SFTPでの受信におけるアクセス制御、アカウント制御の方式を確立する。 (b).EventBridgeでファイルのputを検知できるか確認する。その際、GuardDutyチェック完了後に付与されるタグを処理起動トリガーとできるか確認する。 ⇒EventBridgeで検知するタグの値を指定することはできないため、GuardDutyのマルウェアスキャンで付与されたタグをEventBridgeの処理トリガーとすることはできなかった。しかし、EventBridgeから通知を受け取り転送処理を行うレプリケーションルールにて転送対象とするタグの値を任意で指定できるため、EventBridgeでタグの値を指定できなくても問題ない。レプリケーションルール概要 13 Copyright(c)2025 NID All Rights Reserved

14.

15.

1-3.検証内容 ①SFTPでの受信におけるアクセス制御、アカウント制御の方式を確立する。 (c).ファイル転送ごとに作成するS3ディレクトリごとにEventBridgeで処理を振り分けることができるか確認する。 (不可の場合はLambdaを使用する) ⇒EventBridgeではファイル転送をすることができなかった。指定できるターゲット(情報の送信先)にS3が指定できないため。 EventBridgeのターゲット指定画面 15 Copyright(c)2025 NID All Rights Reserved

16.

補足:EventBridgeで設定できるターゲット・API 送信先・API Gateway ・AWS AppSync ・バッチジョブのキュー・CloudWatch ロググループ・CodeBuild プロジェクト・CodePipeline ・Amazon EBS CreateSnapshot API コール・EC2 Image Builder ・EC2 RebootInstances API コール・EC2 StopInstances API コール・EC2 TerminateInstances API コール・ECS タスク別のアカウントまたはリージョンのイベントバス・同じアカウントとリージョンのイベントバス・Firehose 配信ストリーム・Glue ワークフロー・Incident Manager レスポンスプラン・Inspector 評価テンプレート・Kinesis ストリーミング・Lambda 関数 (ASYNC) ・Amazon Redshift クラスターデータ API クエリ・Amazon Redshift Serverless ワークグループデータ API クエリ・SageMaker パイプライン・Amazon SNS トピック(FIFO (先入れ先出し) トピックは指定不可) ・Amazon SQS キュー・Step Functions ステートマシン (ASYNC) ・Systems Manager Automation ・Systems Manager OpsItem ・Systems Manager Run Command 参考 https://docs.aws.amazon.com/ja_jp/eventbridge/latest/userguide/eb-targets.html 16 Copyright(c)2025 NID All Rights Reserved

https://docs.aws.amazon.com/ja_jp/eventbridge/latest/userguide/eb-targets.html

17.

1-3.検証内容 ①SFTPでの受信におけるアクセス制御、アカウント制御の方式を確立する。 (c).ファイル転送ごとに作成するS3ディレクトリごとにEventBridgeで処理を振り分けることができるか確認する。 (不可の場合はLambdaを使用する) ⇒StepFunctionsをEventBridgeのターゲットに指定可能だったため、S3のイベント通知をEventBridgeから StepFunctionsへ転送し、ステートマシン(ファイル転送処理であるバッチレプリケーションジョブを実行するワークフロー)を起動する方針に変更した。Lambdaのみを使用したファイル転送に比べ結合度が上がり、EventBridgeを経由して他のマネージドサービスの同時実行などが可能となる(例：Amazon SNSを使用したメール送信)。 Amazon SNSを使用したメール送信 EventBridgeのターゲット指定画面 Amazon Simple Notification Service (Amazon SNS) Amazon Simple Storage Service (Amazon S3) Amazon Simple Storage Service (Amazon S3) Amazon EventBridge AWS Step Functions Amazon Simple Storage Service (Amazon S3) 17 Copyright(c)2025 NID All Rights Reserved

18.

1-3.検証内容 ①SFTPでの受信におけるアクセス制御、アカウント制御の方式を確立する。 (c).ファイル転送ごとに作成するS3ディレクトリごとにEventBridgeで処理を振り分けることができるか確認する。 (不可の場合はLambdaを使用する) ⇒レプリケーションルールを複数設定しておけば、 S3ディレクトリごとにファイル転送処理を分けることができた。レプリケーションルール画面 18 Copyright(c)2025 NID All Rights Reserved

19.

1-3.検証内容 ①SFTPでの受信におけるアクセス制御、アカウント制御の方式を確立する。 (c).ファイル転送ごとに作成するS3ディレクトリごとにEventBridgeで処理を振り分けることができるか確認する。 (不可の場合はLambdaを使用する) ⇒S3の機能であるレプリケーションルールのみでもファイル転送は可能だが、詳細なログが残らないためファイルのput 処理と転送処理を明確に分けることは難しい。EventBridgeを経由すればログが残るため、処理が明確に分かれていることを確認できる。 EventBridgeモニタリング画面 StepFunctionsのモニタリング画面 19 Copyright(c)2025 NID All Rights Reserved

20.

21.

1-3.検証内容 ①SFTPでの受信におけるアクセス制御、アカウント制御の方式を確立する (d). EventBridgeでのファイル転送処理後、コピー元のファイルを次の転送に備えアーカイブできるか確認する。 ⇒S3のレプリケーションルールを使用すれば、転送元のS3にもファイルが残ることが分かった。レプリケーションの処理としては、単純な転送ではなく複製したものを転送している(ファイルの同期)状態である。転送元転送先 21 Copyright(c)2025 NID All Rights Reserved

22.

23.

1-3.検証内容 ②EventBridgeで共有用S3から自社サーバに時刻指定してファイル転送できるかを確認する ⇒EventBridge自体はファイル転送をすることができなかったが、スケジュール機能を使用すれば指定された時刻に他のAWSマネージドサービスへ通知を実施することは可能であった。 EventBridgeでの時刻通知設定時刻通知先の設定 23 Copyright(c)2025 NID All Rights Reserved

24.

1-3.検証内容 ②EventBridgeで共有用S3から自社サーバに時刻指定してファイル転送できるかを確認する ⇒上記を踏まえ、指定された時刻になったことをEventBridgeからLambdaへ通知し、Lambdaにてファイル転送を実施する方式とした。 Lambda実行ログ転送元バケットと転送先サーバの状態比較 24 Copyright(c)2025 NID All Rights Reserved

25.

26.

1-3.検証内容 ③ AWS Transfer Familyがクライアントとしても使用可能か確認する。 (a).SFTP connectorsを使用してSFTPによるファイル転送が可能かを検証する。 ⇒現時点で SFTP コネクタを使用できるのは接続先の SFTP サーバーがインターネットからアクセス可能な場合のみとなっている。そのため、接続先の SFTP サーバーがプライベートサブネット上にあり、インターネットからアクセス不可の場合はファイル転送できないとAWSサポートより回答あり。 AWSサポート回答 26 Copyright(c)2025 NID All Rights Reserved

27.

28.

1-3.検証内容 ③ AWS Transfer Familyがクライアントとしても使用可能か確認する。 (a).SFTP connectorsを使用してSFTPによるファイル転送が可能かを検証する。 ⇒サポートに問い合わせたことで、機能要望として担当部署へフィードバックいただけた。将来的に実装される可能性あり。 AWSサポート回答 28 Copyright(c)2025 NID All Rights Reserved

29.

30.

1-3.検証内容 ③ AWS Transfer Familyがクライアントとしても使用可能か確認する。 (b).課金単位(ファイル転送の本数ごとの課金となるか、従量課金となるかなど)も確認する。 ⇒サーバーエンドポイントで有効にされたプロトコル、SFTP、FTPSまたはFTPでアップロードおよびダウンロードされたデータ量 (ギガバイト)、AS2経由で送受信されたメッセージ数、またはTransfer Familyワークフローを使用して処理されたデータの量に対し課金される。 ⇒SFTP コネクタを使用してリモート SFTP サーバーに接続する場合、コネクタ呼び出しの回数と送受信されたデータの量に対し課金される。 ⇒Transfer Family ウェブアプリケーションを使用する場合は、ウェブアプリケーション単位に対し課金される。参考 https://aws.amazon.com/jp/aws-transfer-family/pricing/ 30 Copyright(c)2025 NID All Rights Reserved

https://aws.amazon.com/jp/aws-transfer-family/pricing/

31.

参考:具体的な金額 SFTP、FTPS、または FTP エンドポイントサーバーエンドポイントで各プロトコルが有効になっている時間データアップロードデータダウンロード・・・プロトコルあたり USD 0.30/時間・・・転送されたギガバイト (GB) あたり USD 0.04 ・・・USD 0.04/転送されたギガバイト (GB) AWS Transfer SFTP コネクタコネクタコールあたりのコストデータ転送の GB あたりのコスト・・・ USD 0.001 ・・・ USD 0.40/送受信したGB ウェブアプリケーションウェブアプリケーションが有効になっている時間・・・ USD 0.50/時間/ユニット ※東京リージョンでの計算参考 https://aws.amazon.com/jp/aws-transfer-family/pricing/ 31 Copyright(c)2025 NID All Rights Reserved

https://aws.amazon.com/jp/aws-transfer-family/pricing/

32.

33.

1-3.検証内容 ④S3のコピーにより、他システムでのファイル読み取りができることを確認する。 (a).S3間のファイルコピーの際はS3 copyがよいか、S3 syncがよいか確認する。 ⇒結論としては、S3 copyを使用する方が適していると考える。 ⇒ copyはファイルをコピーするコマンド、syncはディレクトリの更新差分をコピーする(同期する)コマンドであるため、一括でファイルすべてをコピーするcopyの方が漏れが発生するリスクがないため。 ⇒コマンドのオプションは大半が同じだが、一部特有のオプションが存在するためケースによってcopyとsyncを使い分ける必要はある。 33 Copyright(c)2025 NID All Rights Reserved

34.

35.

36.

最終的な構成 EventBridgeだけでは細かい条件指定でのS3オブジェクトのレプリケーションを実現できなかったため、 StepFunctionsを間に挟むアーキテクチャとした Region Google Cloudに構築 ① Amazon Amazon GuardDuty CloudWatch Virtual private cloud (VPC) マルウェア検知 Private subnet 他社SFTP クライアント Internet AWS Transfer Family (SFTP Server) ① ※トリガー：ファイル格納 AWS Identity and Access Management (IAM) ① Amazon Amazon AWS Simple EventBridge Step Storage Functions Service (Amazon S3) Private subnet ③ Amazon Simple Storage Service (Amazon S3) ② Amazon Amazon EventBridge Simple Storage Service (Amazon S3) ユーザごとにディレクトリを分けて転送制御を行う ※番号は検証内容に該当する場所 Virtual private cloud (VPC) AWS Lambda ※トリガー：指定時刻 AWS Lambda 同一リージョン内でVPCを分けてサーバを構築自社サーバ AWS Transfer Family のSFTPクライアントである SFTP connectorsはプライベートIPアドレスを転送先に設定できず、今回のアー先に設定できず、今回のキテクチャでは採用できないアーキテクチャでは採用できことが判明したため、ないことが判明したため、 Lambdaにて代替した他AWSアカウント別リージョンでサーバ構築 ④ S3バケット共有用(他シス) 自社システム (AWSサービス) 36 Copyright(c)2025 NID All Rights Reserved

37.

38.

最終的な構成 Google Cloudに構築 Region Virtual private cloud (VPC) Amazon Amazon GuardDuty CloudWatch Virtual private cloud (VPC) AWS Identity and Access Management (IAM) Private subnet 同一リージョン内でVPCを分けてサーバを構築マルウェア検知 Private subnet 他社SFTP クライアント Internet AWS Transfer Family (SFTP Server) ※トリガー：ファイル格納 Amazon Amazon AWS Simple EventBridge Step Storage Functions Service (Amazon S3) ユーザごとにディレクトリを分けて転送制御を行う Amazon Simple Storage Service (Amazon S3) AWS Lambda Amazon Amazon EventBridge Simple Storage Service (Amazon S3) AWS Lambda 自社サーバ ※トリガー：指定時刻他AWSアカウント S3バケット共有用(他シス) 別リージョンでサーバ構築自社システム (AWSサービス) 38 Copyright(c)2025 NID All Rights Reserved

39.

40.

3-1.ループ処理の発生・概要 →2024年11月20日(水)14:00頃、ループ処理によりS3バッチオペレーションのジョブが大量に作成される障害が発生 →品質問題としてNID品質管理部門へも報告！・原因 →設計ミス、および確認不足 →検証計画ミス、および内部連係ミス・影響 →総作成ジョブ数:24,659件 →請求額：6,164.75(USD)≒約95万円 40 Copyright(c)2025 NID All Rights Reserved

41.

3-1.ループ処理の発生・再発防止策対策①-1：設計パラメータと設計意図をドキュメントにまとめ、会議など相互コミュニケーションがとれる環境にて内部共有する。(設計時点)(担当・チームとしてのコミュニケーションスキル・意識観点) 対策①-2：内部共有された設計パラメータと設計意図に矛盾点がないかを確認する。(設計時点)(チームとしての作業計画とチェック観点) 対策②-1：事前に検証作業開始・終了時間を決めておき、周知のため関係者を含めカレンダー登録を実施する。(作業準備・開始時点)(担当・チームとしてのコミュニケーションスキル・意識観点) 対策②-2：作業計画を実施前に共有し、作業を実施しない者が問題点の有無を確認する。(作業準備・開始時点)(チームとしての作業計画とチェック観点) 対策③-1：作業開始・終了の際にチャットやメールで周知を行う。作業終了後は30分以内に結果をまとめ、作業関係者へ報告する。(作業実施・完了時点)(担当・チームとしてのコミュニケーションスキル・意識観点) 対策③-2：作業終了30分以内に結果を確認する計画とする。想定通りでなかった場合は原因を分析・調査し、作業の再計画を実施する。(作業実施・完了時点)(チームとしての作業計画とチェック観点) 41 Copyright(c)2025 NID All Rights Reserved

42.

43.

4.AWSサポートの活用・活用の背景 →StepFunctionsでオブジェクトのレプリケーションを実装する際、基本的な設計では新規オブジェクトしか転送できず、コードの作成が必要となった。 →公式ドキュメントを確認したところコード記載の凡例などが見つからなかったため、 AWSサポート(デベロッパープラン)を有効にし、問い合わせを行うこととした。・効果 →課題の早期解決を実現できた。 →現時点では実現不可能な部分も機能要望として担当部署へフィードバックされたため、将来的にはAWSサービスとして改修される可能性がある。 43 Copyright(c)2025 NID All Rights Reserved

44.

4.AWSサポートの活用 No. 問い合わせ内容回答結果解決方法解決期間 1 Step Functionsを使用したS3既存オブジェクトのレプリケーション方法 Step Functions のワークフローにて CreateJob APIを呼び出し、バッチレプリケーションジョブを作成する StepFunctionsのステートマシンに 2営業日 CreateJob APIを設定し、バッチオペレーションジョブを作成してS3に設定したレプリケーションルールを起動しレプリケーションする 2 Step FunctionsのCreateJob API において、二回目以降に既存のジョブとは別の新しいジョブを作成する方法 CreateJob API の ClientRequestToken パラメータに都度異なる値を指定するステートマシンのコードに「ClientRequestToken.$」の値に「$$.Execution.StartTime」と記載する 2営業日 3 SFTPコネクタを使用した、インターネットを経由しないEC2サーバへの接続方法現時点で SFTP コネクタを使用できるのは Lambdaを使用した転送に方針転接続先の SFTP サーバーがインターネットか換らアクセス可能な場合のみのため、不可。 1営業日 4 Step Functionsを使用したS3既存オブジェクトのレプリケーションができなくなった設定されたクエリ言語がJSONataになっているため、JSONPathに変更 1営業日クエリ言語設定をJSONPathに変更 44 Copyright(c)2025 NID All Rights Reserved

45.

46.

5. 総括・学び・AWSでは様々なサービスを連携することで大きな価値を生み出せるため、お客様のニーズを正確に捉えた上で各サービスの特徴を正しく理解しどう連携できるかを考えることができれば、お客様へよりよいソリューションを提案できる。・一つの構成が失敗したからといって要件が実現不可とあきらめるのではなく、他の代替手段を考案し、検証を繰り返し実現しきることができて初めてエンジニアとしての提案力がつく。・技術・ソリューション検証の遂行においては検証・構築時の計画やステークホルダーとの調整、実施結果の周知と第三者視点での確認が最も基本的だが重要である。・トラブル発生時は、速やかな報告や火消しのための協力要請が命運を分ける。 46 Copyright(c)2025 NID All Rights Reserved

47.