catch-img

5時間で請求額95万円!?失敗から学ぶファイル転送基盤構築

S.N.技術コラム

AWSインフラシステム構築セキュリティ

昨今、データ利活用と多様なシステム・サービス間連携が加速度的に進んでおり、ファイル転送中継環境の需要が拡大しています。アジリティおよびマルウェア感染などセキュリティ対策レベルの向上、ならびに従量課金モデルの導入・マネージドサービス利用によるEOS対応費用削減に伴う投資コスト最適化の観点から、クラウドをHUBとするファイル転送中継環境がマッチするユースケースが増えることが見込まれます。ファイル転送基盤という仕組みの特性から、いずれはエンタープライズ環境内で共用インフラ化する可能性があり、類似のソリューションニーズがあると想定されることから、社内の若手メンバー(2年目・1年目)で技術検証をおこないました。

検証過程で約95万円の想定外の請求を発生させてしまった失敗事例も含めてご紹介します。

本記事はスライドの記載内容をもとに、検証の要点を簡潔にまとめています。詳細な検証内容や技術的な説明は埋め込みのスライド本文をご参照ください。

INDEX[非表示]

  1. 1.検証の目的
  2. 2.検証内容
  3. 3.検証結果
  4. 4.発生した課題
  5. 5.まとめ

検証の目的

今後のニーズに鑑み、NIDの提案力向上を目的として、AWSマネージドサービスのみを使用したSFTP中継環境の構築・運用について検証を行いました。クラウドをHUBとしたファイル転送中継環境が、今後のエンタープライズ共用インフラとしてサービス提供に資するかを評価しています。

検証内容

AWSマネージドサービス(EventBridgeStep FunctionsLambdaTransfer FamilyGuardDutyS3など)を活用し、以下の観点で検証を実施しました。

  • SFTPでの受信におけるマルウェア対策、アクセス制御、アカウント制御の方式の確立
    • GuardDutyのファイルチェックが受信や振分け、コピー前などの時点で可能か、チェック後のファイルにタグ付けできるかを確認
    • EventBridgeでファイルのputを検知できるか、GuardDutyチェック完了後に付与されるタグを処理起動トリガーとできるかを確認
    • ファイル転送ごとに作成するS3ディレクトリごとにEventBridgeで処理を振り分けることができるかを確認(不可の場合はLambdaを使用)
    • EventBridgeでのファイル転送処理後、コピー元のファイルを次の転送に備えアーカイブできるかを確認
  • EventBridgeで共有用S3から自社サーバに時刻指定してファイル転送できるかを確認
  • AWS Transfer Familyがクライアントとしても使用可能かを確認(SFTP connectorsの利用条件や課金単位も含む)
  • S3のコピーにより、他システムでのファイル読み取りができることを確認(S3 copyS3 syncのどちらが最適か、コピー後のアーカイブ可否も含む)

※構成図や詳細な検証手順はスライド本文をご参照ください

検証結果

AWSマネージドサービスのみを使用したSFTP中継環境は、当初検討したアーキテクチャとは一部異なる結果となったものの、EventBridgeStep FunctionsLambda等を連携することでNIDとして十分ソリューション提供可能かつ商用ベースに乗るサービスへ発展させることができる結果となりました。

当初の構成案

検証実施前の構成案の図

最終的な構成

検証実施した最終的な構成図

発生した課題

20241120日(水)14:00頃、ループ処理によりS3バッチオペレーションのジョブが大量に作成される障害が発生し、総作成ジョブ数24,659件、請求額6,164.75 USD(約95万円)となりました。原因は設計ミスおよび確認不足、検証計画ミス、内部連係ミスによるもので、品質問題として会社へ報告することとなりました。
原因分析をおこない、障害発生以降は再発防止策として以下を徹底しています。

  • 設計パラメータと設計意図のドキュメント化と相互レビュー

  • 作業計画の事前共有と第三者チェック

  • 作業開始・終了時の周知

  • 結果の迅速な報告・確認

  • 作業が想定通りいかなかった場合の原因分析と再計画の実施

まとめ

AWSでは様々なサービスを連携することで大きな価値を生み出せるため、お客様のニーズを正確に捉えた上で各サービスの特徴を正しく理解し、どう連携できるかを考えることができれば、よりよいソリューションの提案につながります。一つの構成が失敗したからといって要件が実現不可とあきらめるのではなく、他の代替手段を考案し、検証を繰り返し実現しきることができて初めて、エンジニアとしての提案力がつくと思います。
今回は検証途中で障害が発生してしまい、検証・構築時の計画やステークホルダーとの調整、実施結果の周知、第三者視点での確認といった基本の重要性を強く再認識しました。この学びを活かし、今後もお客様のソリューションニーズに応えていけるよう、さまざまな技術検証に取り組んでいきたいと思います。

「AWS」、「Amazon Web Services」および関連サービス名は、Amazon.com, Inc.またはその関連会社の商標です。

S.N.
S.N.
2023年入社。ICTデザイン事業部ANA部第2課に所属。 2023年度基本情報技術者試験取得。現在は、本検証での失敗をきっかけにAWS SAAの取得に向け勉強中。

前の記事

prev-article-image

システム障害とは?発生原因から対処手順、対策まで徹底解説

幅広いトータルソリューションを提供するICT企業
 お問い合わせはこちら >

関連記事

おすすめの資料

「システム運用のアウトソーシング選び方ガイド」資料DLフォームへのバナーリンク
お役立ち資料DLバナー

サイト内検索

カテゴリ一覧

タグ一覧

人気記事ランキング

サービス

運用監視サービスサイトへのバナーリンク
脆弱性診断サービスサイトへのバナーリンク
創業50年以上の実績でIT課題を一気通貫でサポートします

サービス一覧

導入事例

コラム

お問い合わせ

ダウンロード資料一覧

© NID Co., Ltd. All Right Reserved.