Amazon Web Services ブログ

Category: Networking & Content Delivery

AWSを通じて日本取引所グループ(JPX)のarrownetにアクセスをする

“undifferentiated heavy lifting”という言葉をしばしば聞くことがあると思います。これは、競合他社との差別化にはなりえない作業にリソースを大量に消費することを言います。たとえば、サーバを構築し、OS にセキュリティパッチを適用するようなことです。このような作業は、より付加価値が高い製品やサービスを生み出すための活動から、ヒト・モノ・カネを奪い去ります。AWS では、お客様起点の重要な役割として、作業を簡素化し、自動化できるクラウドによるソリューションによって、開発者を”undifferentiated heavy lifting”から解放できるように支援しています。 金融業界では、過去20年間で大きな進歩を遂げています。たとえば、キャピタルマーケットの領域では、クラウドによるマーケットデータの活用により、トレーディングチームはリアルタイムでより良い洞察を導き出し、増え続けるデータからリスクをより効率的に計算できるようになりました。 しかしながら、いくつかの企業にとって、”undifferentiated heavy lifting”はまだ存在しています。それらの1つは、金融機関が規制機関や取引所によって設定された規制や業界ルールを遵守しなければならないことに関連しています。市場参加者は、これらの市場ルールを遵守する必要があり、遵守しない場合はペナルティを受ける場合もあります。 金融業界は、進化し続ける要件の複雑さと細分性が高まっている世界で最も規制の厳しい業界の1つです。しかし、金融機関がコンプライアンスに投資するすべてのリソースについて、多くは義務から機会への移行を行えていません。言い換えれば、ほとんどの金融機関では、同業他社との差別化を図るのではなく、ビジネスを行うためのコストとして、依然として規制やコンプライアンスを捉えています。 野球で例えるならば、プレイヤーはゲームのルールに従わなければなりませんが、優れたプレイヤーは、常に個人とチームの両方のレベルでパフォーマンスを改善するために戦略と戦術を使用しています。同様に、企業は規制要件に対応する必要がありますが、合理化、自動化、コスト効率の高い方法でそれに対応する必要があります。 このブログでは、日本取引所グループ (JPX) が AWS でどのように市場参加者にとってより良い顧客体験を生み出しているかをお話します。JPXは、これまでネットワークへのアクセスに関連していた”undifferentiated heavy lifting”を排除することで、市場参加者が新しいサービスのテスト、構築、立ち上げに向けてリソースを再利用できるようにしています。 JPXは、メンバー企業のクラウドでの市場アクセスを強化 2020年5月、JPX は市場参加者が AWS Direct Connect を介して、売買システムや清算決済システムなどにつながる高信頼ネットワークである arrownet にアクセスできるようにしました。 以前は、会員企業がarrownetに接続したい場合、JPXと自社のオフィスやデータセンター間に専用線を注文し、そのうえでネットワーク構築やセキュリティ対策を実施する必要がありました。このネットワーク構成は、変動する市場に迅速に対応するための信頼性と安定性が必要で、さらに十分な通信容量を提供する必要がありました。回線が接続されると、市場参加者は24時間365日体制で監視し、ハードウェア障害に対応するために人的リソースも投下する必要がありました。また専用線ベンダー側の監視にも、これらの重要なタスクのための人件費とサポート費も付属しています。つまり、arrownetへの接続は、利用者が長年にわたって対応してきた”undifferentiated heavy lifting”とも言えます。 JPXは、市場参加者からフィードバックを取り入れ、arrownetをクラウドに拡大し、市場参加者のアクセスを簡素化しました。市場投入までの時間が短縮され、マーケットからのデータを AWS 環境で扱うことで、マーケットの変動に対してオンデマンドで拡張できるようになります。 JPX は AWS Direct Connect の仮想インターフェイスを提供します。これにより、会員企業は短い期間でarrownetに接続して、テストすることができます。その結果、AWS の利用者は、以前は専用回線接続で直面していた”undifferentiated heavy lifting”な作業をすることなく、クラウド環境でマーケットからのデータを受け取ることができます。 現在の会員企業がこの合理化されたマーケットアクセスの恩恵を受けるだけでなく、FinTech スタートアップも恩恵を受けることができます。多くの Fintech スタートアップは AWS のサービスを使用しているため、彼らの既存の環境をより効果的に活用するには、クラウドネイティブ接続が必要でした。マーケットへの迅速なアクセスができるようになったFintech スタートアップは、新製品やサービスの市場投入までの時間をさらに短縮することができるでしょう。 現在、AWS Direct Connect により、JPX […]

Read More

Amazon CloudFront キャッシュポリシーとオリジンリクエストポリシーを発表

Amazon CloudFront の新しいキャッシュポリシーとオリジンリクエストポリシーにより、CloudFront がリクエストデータを使用して、キャッシュキーとキャッシュミス時にオリジンに転送されるリクエストの両方に影響を与える方法をより詳細に制御できます。これにより CloudFront が実行するキャッシュの制御と効率を向上させながら、さらに柔軟性が高まります。これらの設定はすでに部分的には存在していましたが、キャッシュキーの設定はオリジン転送の設定から独立することになります。以前は転送されたデータのほとんどはキャッシュキーを自動的に変更していました。このポリシーにより、ほとんどのリクエスト要素をキャッシュキーに影響を与えることなくオリジンに転送できるようになります。ヘッダー、Cookie、およびクエリ文字列パラメータの任意の組み合わせを設定して、キャッシュキーとして考慮するよう含めたり、除外したり、必要に応じて転送したりできます。 基本的な設定の柔軟性の向上に加えて、これらのオプションは “ポリシー” を使用して設定されるようになりました。ポリシーでは、同様の設定の組み合わせを任意の数のディストリビューションに適用できます。これによりセットアップ時間が短縮され、複雑さが軽減されてチームは全体の設定にわたって一貫性を管理できます。

Read More

ご利用のポストプロダクションアプリケーションをAWS仮想デスクトップ インフラストラクチャにデプロイするために

今や仮想化は、クリエイティブな専門家が在宅勤務で仕事をする上で必要な環境となりました。本ブログでは、AWSクラウド上でポストプロダクションアプリケーションを実行する場合に重要な考慮事項を説明します。 お客様から「編集ソフトウェアをAWSで実行できるか」というお問い合わせが頻繁にあります。これらの問い合わせから使用パターンを、典型的なユースケースまたはユーザー想定モデルと呼ばれる形式で説明できます。最も一般的な想定モデルには、ニュース/スポーツ、クリエイティブ、プロモ―ションがあります。想定モデルを識別する目的は、一般的なユースケースの周囲に十分な柔軟性を提供して、ロングフォームおよびショートフォームのプロダクション、コンフォーム編集、マニュアルの品質管理など、さまざまな追加のユースケースに簡単に適用できるようにすることです。想定モデルには、ストレージ、ネットワーク帯域幅、ディスクI / O、CPU、メモリの点で異なる要求があります。もちろん、クラウドでは、カラーグレーディング、カラーフィデリティ(色再現)、マルチチャンネル オーディオ サポートなど、いくつかのワークフローで課題がまだあります。しかし、仮想デスクトップインフラストラクチャ(VDI)プロトコルが進化して、10ビットカラーやより多くのオーディオチャネルなどの機能をサポートするようになると、これらのワークフローを実現することができます。AWSは、将来の機能改善に対応できるように柔軟性を考慮してテンプレートを設計しました。 クリエイティブプロフェッショナル向けクラウドベースワークフローにおける重要な考慮事項 ネットワーク遅延を最小化するとワークステーションのインタラクティブ性が上がり、物理的にAWSリージョンに近いほどユーザーエクスペリエンスが向上することはこの領域では特に重要です。さらに、ロサンゼルスなどの場所には専用の AWS Local Zonesがあり、AWSのコンピューティング、ストレージ、データベース、その他の選択されたサービスを大規模な人口、産業、ITセンターの近くに配置することでレイテンシーを削減します。最後に、制作施設、スタジオ、クリエイティブオフィスで運用する場合、AWS Direct Connect 専用帯域を強化するだけでなく、パブリックインターネットパスを抽象化するセキュリティの層を追加します。デプロイメントの場所またはリージョンを選択する場合、目標レイテンシーが約30ミリ秒以下であれば、最適なエクスペリエンスが提供されます。レイテンシーが長くなると、ジョグ/シャトル操作などの周辺機器のインタラクティブ性、または一般的な再生やGUIアクティビティに遅れが生じる可能性があります。 AWSの利点 クリエイティブワークフローをAWSに移行するには多くの利点があります。その1つは、容量に厳密な計画を立てることなく、需要に基づいてシステムを拡張できることです。コンピューティング、ストレージ、ネットワーキング、その他のAWSサービスはすべて従量課金制ですので、ストレージを拡張したり、多数のワークステーションを調達するために多額の設備投資を計画する必要がなくなります。ワークステーションのアップグレード、パッチ適用、およびイメージングも簡単で、AWS System Mangerを介して自動化できます。インフラストラクチャを一元的に配置して保護できるため、全ユーザーにコンテンツを転送するという、時間とコストのかかるモデルではなく、リソースとアセットのシングルプールを使用して、クリエイティブユーザーがコラボレーションできます。さらに、AWSは現在、グローバルな分散型なワークフローの運用を実現するため、23の地理的リージョン内の73のアベイラビリティーゾーンにまたがっており、これによってインフラストラクチャをローカルで確保している人材の近くに配置できます。例として、動的インフラストラクチャとAWSテクノロジーを採用すると、ワールドカップサッカーなどのライブイベントで、リモート編集やハイライト制作が可能になります。これらの利点を活用してクリエイティブワークフローを最適化すると、コストが削減され、セキュリティとストレージの要件が一元化、時間のかかるデータと人員の移動が排除され、クリエイティブワークフローの市場投入までの時間が短縮されます。 セキュリティ AWSは、ワークステーションとコンテンツへのアクセスを安全に制御、監視、監査するためのきめ細かなアクセスを提供します。AWSのセキュリティは最優先事項であり、AWS Artifactを通じてインフラストラクチャとコンテンツを保護するための多くのリソースを見つけることができます、コンプライアンス関連情報の中心的なリソースであり、AWSマネジメントコンソールから利用できます。Artifactは、アセット管理やクラウドレンダリングなどのユースケースを中心に、AWSで安全でエンドツーエンドの本番環境対応システムを構築する方法を示す詳細な導入ガイドを提供します。より詳細な観点から見ると、監査可能性と追跡可能性はクラウドベースの編集ワークフローを構築する際に考慮すべき重要な要素です。AWSでは、仮想編集ステーションの管理のセキュリティ負担を軽減するサービスを提供しています。AWS CloudTrail、Amazon GuardDuty、Amazon Simple Storage Service(Amazon S3)サーバーアクセスログなどのサービスを使用して、インフラストラクチャを完全に監査できます。さらに、AWS Security Hubサービス全体のセキュリティ状況の包括的かつ集約されたビューを提供します。高価値なアセットとコンテンツに関しては、Amazon Elastic Block Store(Amazon EBS)やAmazon S3などのサービス全体で、保管時および転送時に暗号化を提供できます。AWS Key Management Service (KMS)を使用すれば、顧客管理とサービス管理の両方のコンテンツ暗号化とキー管理できます。 最後に、そして最も重要なこととして、編集ステーションの表示プロトコルは適切なレベルのセキュリティを採用する必要があります。 TeradiciのPCoIPディスプレイプロトコルは、FIPS 140-2レベルで常時オンのAES256暗号化を提供し、クライアントにストリーミングするデータを安全に保ちます。さらに高いレベルのセキュリティが必要な場合は、低遅延用に最適化されたソリューションといった、AWSまたはパートナーのさまざまなVPNソリューションでディスプレイプロトコルを保護できます。 AWS G4 GPUとTeradiciのPCoIPプロトコルおよびAmazon Elastic Compute Cloud(Amazon EC2)上のクラウドアクセスソフトウェアを使用することで、デスクトップを自宅またはオフィスにストリーミングできます。TeradiciのPCoIPプロトコルには、Mac、Windows、およびLinuxシステムのゼロまたはシンクライアント(ハードウェア専用アプライアンス、HP、10ZiGおよびその他のパートナーから入手可能)またはソフトウェアクライアントで実行するオプションがあり、クリエイティブユーザーは、選択したローカルオペレーティングシステムに関係なく同じ編集エクスペリエンスを楽しむことができます。VDIワークステーションとプロトコルの将来を見据えた進化と同様に、AWSには、最適化されたビットレートと4K/UHDをサポートする「PCoIP Ultra」という、Teradiciの新しい拡張プロトコルに適応できるソリューションテンプレートがあります。 マルチモニター編集ワークフローでは、より強力なマルチGPU G4ファミリーインスタンスで最大4台のモニターを使用でき、個別のプレビュー、タイムライン、およびアセット管理モニターを使用して、オンプレミスとほぼ同じエクスペリエンスを提供します。Teradiciは、USBパススルー経由でWacomタブレットなどの一般的なUSB HIDベースの周辺機器もサポートしています。互換性のあるデバイスをローカルに接続するだけで、リモートワークステーションですぐに使用できます。これとその他の一般的なTeradiciのデプロイおよび操作関連の質問の詳細については、コンテンツ作成用AWSワークステーションガイドを参照してください。 アーキテクチャ アーキテクチャについて考えるときは、ワークフローを考慮することが重要です。メディア アセット マネージメント ソリューションの中には、クラウドでこのワークフローをサポートし、Adobe […]

Read More

Amazon CloudFront を活用したウェブサイトの可用性向上

Amazon CloudFront は、キャッシュ機能によるオリジンサーバー(CloudFront がコンテンツを取得する元のウェブサーバー)の負荷軽減とコンテンツ配信のパフォーマンス向上を実現できますが、可用性の向上もCloudFrontを活用することで得られる大きなメリットの1つです。CloudFront を利用する対象のウェブサイトのオリジンサーバーがAWS 上に存在する場合、オリジンサーバー側でもELB の活用や複数のアベイラビリティーゾーンの活用など可用性向上の為の様々なアプローチがありますが、CloudFront を利用することで更に高い可用性をウェブサイトにもたらすことが出来ます。 ウェブサイトの可用性を向上することは、ウェブサイトの応答速度の向上と同様にウェブサイトを運営する上で非常に重要な要素です。ウェブサイトの停止は、E コマースサイトでは売り上げに直接影響を及ぼしますし、コーポレートサイトや製品を扱うウェブサイトではブランドイメージや製品そのもののイメージ低下につながりかねません。 ウェブサイトの可用性に影響を及ぼす原因は様々なものがあります。例えば予期せぬハードウェア故障やネットワークの障害が原因となり、ウェブサイトが停止するリスクがあります。全てのコンポーネントを完全に冗長化することでリスクを軽減することが出来ますが、一般的なオンプレミス環境では冗長化の箇所が増える度にコストが大幅に増加する可能性があります。またウェブサイトオーナーは様々なキャンペーンなどの施策により、ウェブサイトのアクセス数の向上を目指しますが、予測を上回るアクセス増により、ウェブサーバーやネットワークが高負荷状態となりウェブサイトが停止するリスクがあります。 さらに外部からのDDoS 攻撃が原因となり、ウェブサイトの可用性に影響を及ぼすリスクがあります。攻撃者は複数のリソース (マルウェアに感染したコンピュータ、ルーター、IoT デバイスなどのエンドポイントで構成される分散グループ) を利用して、ターゲットのウェブサイトへの攻撃を実行します。攻撃者は侵害されたホストで構成されたネットワーク等を利用することにより、大量のパケットやリクエストを生成してターゲットのウェブサイトに過剰な負荷をかけます。たとえ正規のユーザーを想定したサイジングがきちんと出来ていても、悪意のあるトラフィックによる影響で、サーバーやネットワークのキャパシティが埋め尽くされ、ウェブサイトが停止してしまうリスクがあります。 今回はこのような予期せぬ障害やDDoS 攻撃による影響を回避し、ウェブサイトの可用性向上に役立つCloudFront の機能をまとめてご紹介致します。

Read More

“共有型”AWS DirectConnectでも使えるAWS Transit Gateway

AWS Transit Gateway (TGW)は徹底的に進化することにより、クラウドネットワーキングを簡素化しました。本記事では、複数Amazon Virtual Private Cloud(VPC)とオンプレミスの接続パターンを紹介します。 AWSでは、オンプレミスのネットワークとの接続にはAWS Direct Connect(DX)を使います。DX接続は様々な形態がありますが、日本のお客様に多い“共有型”DX接続ではTGWを直接使うことができません。TGWを使うことができることが“専有型”DX接続の優位点の一つですが、本記事では”共有型”DX接続でTGWを使った接続実現する方法を含めて、いくつかの接続パターンを解説します。 TGWのメリット TGWを使用すれば、一貫した信頼性の高いネットワークパフォーマンス を実現しながら、複数のVPCおよびDXを使ってオンプレミスネットワークを相互接続するのはお手の物です。TGWは各VPC、VPN、DXの間のすべてのトラッフィクを一箇所で制御することができます。 専有型が利用できる場合にはTGWとDXをつなぐと、AWSを経由してインターネット接続することもできます。 上の例では、TGWがAWS Direct Connect Gateway(DXGW)にアタッチされています。 DXの複数VPCでの利用は典型的なユースケースです。一方で、DXは1Gbps以上の接続につきTGWのためのトランジット仮想インターフェースは1つだけという制限があります。つまり、日本のお客様に多い、“共有型”DX接続ではTGWを直接使うことができません。 ここでは、複数VPCとオンプレミスの接続パターンを以下4つに整理してみます。1つ目だけが、“専有型または1Gbps以上のホスト型接続”のみ実現可能です。 TGWにDXをつける DX用のVPCにNetwork Load Balancer(NLB)を配置。VPC間はTGW DX用のVPCにNLBを配置。VPC間はAWS PrivateLink(Private Link) DXGWにVPCをつける 1. TGWにDXをつける この場合、すべてのトラフィックはTGWで管理できます。AWSを経由したインターネット接続もProxyなしで実現できます。また、全トラフィックを”監査用アプライアンス”に通すことで全トラフィックの記録 / 制限 / 監査も可能ですので、セキュリティ面でも有利です。 2. DX用のVPCにNLBを配置。VPC間はTGW DXにつながるVPCとして“DX用VPC”1つが現れました。このとき、DXからみれば1つの”DX用VPC”がつながるだけですので、”共有型”でも問題ありません。VPC間の通信はTGWで設定制御ができます。 オンプレミス↔VPC間で通信をしなければならない特定のサーバのフロントにはDX用VPCにNLBを設置することで通信できるようにします。サーバの数だけNLBを設定するため、サーバ数が増えるとNLBの時間あたり費用がかさむことに注意してください。 3. DX用のVPCにNLBを配置。VPC間はPrivateLink このパターンでは、PrivateLinkが重要です。マイクロサービスなど、VPCを自由にいくつも使っている場合には、IPアドレスブロックが重複することはよくあることです。2つ目のパターンでは、TGWをつかってVPC間の通信を制御していました。TGWではアドレス重複の答えにはなりません。PrivateLinkはその解決策です。 VPC間およびオンプレミスとの特定の通信はPrivateLinkで設定します。VPCからオンプレミス上のサーバにアクセスするためにも使うことができます。 4. DXGWにVPCをつけたとき VPCとオンプレミスの間の通信はあるけれども、VPC同士の通信が無いのであれば、TGWは実は必要なかったのかもしれません。なお、一つのDXGWに接続できるVPCは10までですので、スケーラビリティにもやや難があるかもしれません。VPCの数が10以上になった場合、2つめの共有型Private VIFを利用する事により、多くのVPCと接続することができます。ただし、共有型VIFを増やし続けると、”1.”でご紹介した専有型接続の方が結果的に安価となる分岐点に到達します。詳細な見積もりが必要な場合は、利用するパートナー様にご確認ください。 比較 比較の一覧を追加しておきます。料金試算は、東京リージョンで、3つのサービス用VPCと1つのオンプレミスのネットワークを接続し、サービスするVPCひとつあたり月間10TB通信があり、DXのIn/Outの比率が1:1の場合です。(詳細は最後に) 案1: TGWにDXをつけたとき 案2: DX用のVPCにNLBを配置。VPC間はTGW 案3: DX用のVPCにNLBを配置。VPC間はPrivateLink […]

Read More

ゴールドマンサックスが AWS PrivateLink を使用して、Amazon MSK クラスターへのクロスアカウント接続を構築した方法

 このゲスト投稿では、AWS アカウントや Amazon Virtual Private Cloud (Amazon VPC) の枠を越えて AWS PrivateLink を使用して、Amazon Managed Streaming for Apache Kafka にアクセスする方法をご紹介します。さらに、ゴールドマンサックスのトランザクションバンキングチーム (TxB) がクロスアカウントへのアクセスに選んだ方法、その選択の理由、TxB が Amazon MSK でセキュリティ要件を満たす方法についても解説します。この投稿はゴールドマンサックスの実装をユースケースとして使用し、Amazon MSK 環境の実装時における一般的なガイダンスを目的としています。 概要 Amazon MSK は、Apache Kafka を使ってストリーミングデータを処理するアプリケーションを、簡単に構築および実行できるようにする完全マネージドサービスです。MSK クラスターを作成すると、同じ Amazon VPC 内の参加者がクラスターリソースを利用できます。このため、VPC の特定のサブネット内でクラスターを起動し、クラスターをセキュリティグループに関連付け、Elastic Network Interface (ENI) を介して VPC のアドレススペースから IP アドレスを添付できます。クライアントとクラスター間のネットワークトラフィックは AWS ネットワーク内に留まり、デフォルトではクラスターへのインターネットアクセスはできません。 同じまたは異なる AWS アカウント内の別の VPC にある MSK クラスターへのクライアントアクセスを許可する必要がある場合があります。VPC […]

Read More

金融機関で活用される AWS のテレワーク支援サービス

金融機関の皆様においては、社会を取り巻く状況の急変に伴い、お客様及び従業員の皆様を保護しつつサービスレベルや業務効率を維持されるためのさまざまな対策を講じられていることと存じます。そして金融庁からも4月13日に「出勤者7割削減」の要請が周知され、テレワーク環境の構築は、金融業界全体としても喫緊の課題として認識されているものと思います。 欧米各国においては、金融機関の事業継続に向けて、AWS のサービスを活用したテレワーク対応を進めて頂いている事例があります。例えば、ある大手金融機関では、在宅オペレーター数を数百人から数千人に拡張したり、また、別の金融機関では、FAQ におけるチャットボットの活用を促進しています。また、従業員及びその顧客を対象に数千席規模の仮想デスクトップ環境を提供することで業務の継続を図っているケースもあります。 日本でも多くの金融機関のお客様から、テレワークのソリューションに関する問合せ・ご相談を頂いています。既に日本の金融機関でも、AWS  のテレワークを支援するサービスを活用して、数週間でコンタクトセンターのオペレーターの在宅勤務環境を構築したり、仮想デスクトップ端末を短期間で数千台規模に拡大させて社員のテレワーク対応に取組んでいる事例が出てきています。 AWS では、お客様のテレワークを支援するサービスとして、在宅コンタクトセンターの迅速な構築をご支援するフルクラウド型のコンタクトセンター Amazon Connect、社内システムへのリモート環境からのアクセスを実現する仮想デスクトップソリューション Amazon WorkSpaces、フルマネージド型のコンテンツコラボレーションサービス Amazon WorkDocs、リモートでのコミュニケーションやコラボレーションを支援する Amazon Chime、スケーラブルなリモートネットワークアクセスを可能とする AWS Client VPN などを提供しています。 いずれの AWS サービスも、クラウドならではの俊敏性と拡張性を備えており、今回のように急遽テレワーク環境構築が必要とされているケースにご活用いただけるものです。そして、AWSでは、クラウドのセキュリティが最優先事項です。AWSは、高いセキュリティ及びコンプライアンス要件を持つ金融機関のお客様に、テレワークを支援するサービスを安心してご利用いただけるよう、アーキテクチャーの設計をご支援します。 本 Blog では、AWS のテレワークを支援するサービスの中でも、お客様からの問い合わせが多い Amazon Connect と Amazon WorkSpaces について概要をご紹介したいと思います。また、これらのサービスの詳細をご紹介するオンラインセミナーを5月22日に開催する予定です。こちらも是非お申込み頂ければと思います。

Read More

ディスラプションへの対応 : 金融機関がクラウドテクノロジーを使用して COVID-19に対応し、業界を変革する方法

AWS for Industries 本投稿はアマゾンウェブサービス (AWS) のグローバル金融領域の市場開発を担当するマネージングディレクターの Scott Mullins による寄稿を翻訳したものです。 「ディスラプション」。 これは、金融業界でよく耳にする言葉です。確立された規範、マーケットリーダー、あるいは製品に取って代わる可能性のある、新しい市場やバリューネットワークを生み出すイノベーションについて述べる際によく使われます。今世界が直面している前代未聞の健康上の難題は、世界経済そして世界中の人々に、上記とは異なる種類のディスラプション(混乱)をもたらしています。これは、今ある金融サービスの提供方法に直接影響し、将来的には金融業界の仕組みや利用者とのやり取りの形を変えていくことになるでしょう。 COVID-19 は、金融機関や利用者の通常のビジネスのやり方を根底から覆し、両者それぞれが対処すべき独自の懸念事項や要求を抱えることとなりました。事業の存続可能性を判断したり、財務的なコミットメントを達成する能力を維持したりする上で、スピードが非常に重要視されているときには、金融サービスの利用者は資本に到達できるかどうかに注目しています。金融機関は、安全性、セキュリティ、回復力、拡張性、および業務の継続的な健全性を重視しています。金融規制当局は、経済の回復を重視し、資金を必要とする企業が資金調達できるようにし、国内および世界の金融システムの安定性の確保に務めています。技術的な観点では、これらの懸念や要求の高まりは金融システムの負担に変換されていきます。この病気は、レガシーなアプリケーションやインフラストラクチャーが利用者と主にデジタルでやり取りを行う体制へ即座に移行する能力、そして世界市場が直面している異常な取引量と変動の凄まじさへも対応する能力を持ち合わせているかどうかを試しています。 AWS は世界中の金融機関、政府、規制当局と協力して、COVID-19 がもたらす世界経済の課題への取組みを支援しています。リモートワークの実現、ミッションクリティカルなアプリケーションの業務回復力の維持、桁外れの取引量を捌くための世界規模の市場システムの拡張性、充実した機能で使いやすい顧客体験を提供するデジタルでの関わり方の実現、費用対効果を改善するためのアプリケーションおよび環境の最適化など、世界経済を動かしている人々やシステムが継続して動き続けられるよう、AWS は金融サービスのお客様と協働しながら取り組んでいます。本投稿では、私たちがお客様と共に積極的に取り組んでいるいくつかの主要な取組みをご紹介します。(実現できることやどのように AWS が支援できるかといった点に焦点を当てるため、具体的な金融機関名にはあえて言及しておりません。)主要な取組みには以下のようなものがあります: 金融サービスを動かしている人々が働き続けられるようにする COVID-19 が世界中の人々に影響を与えている状況下で、日々の生産性への影響を最小限に抑え、従業員の健康と安全を確保するため、金融機関は業務手順をすばやく変更し、リモートワークに切り替えました。パンデミックが継続するにつれて、企業は従業員が場所を問わず安全に働くための選択肢をさらに検討し始めています。場所を問わず働けるようサポートする方法、世界中にいる従業員間のコラボレーションを促進する方法、状況に応じて変更できる接続ポイントを管理する方法、あるいは災害発生時にビジネスの継続性を確保する方法といった信頼できるリモートワークソリューションを金融機関は求めています。AWS は、従業員、契約社員、学生、そしてコンタクトセンターの従業員がリモートワークをすばやく行えるよう、一連のソリューションを構築し、提供しています。 例えば、Amazon WorkSpaces はマネージド型のセキュアな Desktop-as-a-Service (DaaS) ソリューションで、外勤および在宅勤務の従業員が必要なアプリケーションへのアクセスを支援します。Amazon WorkSpaces を使用すると、外勤者はインターネット接続が可能であればいつでもどこからでもサポートされているデバイスを使用して、自身で選択した応答速度が速いデスクトップ環境を手にすることができます。金融機関は、デスクトップアプリケーションおよび外勤者に対するセキュリティとデータ統制の要件を満たす必要があります。エンドユーザーデバイスは、非常に重要なデータが攻撃、損失、または盗難に晒されるといったリスクがある接続ポイントになりうるという課題をもたらします。AWS では、お客様は接続ポイントを一元管理することで、セキュリティを向上させ、コンプライアンスを維持できます。この対策のために、オンプレミスソリューションで発生するような費用や複雑さはありません。COVID-19 への対応策として、あるグローバル投資管理会社のお客様は、数千人のユーザーに対し在宅勤務ソリューションを 1 週間以内に展開しました。セキュリティを最優先としながら、このお客様は従業員 1 人あたり複数の Amazon WorkSpace を提供しました。 Amazon Connect を使うと、完全に機能するコンタクトセンターをわずか数分で立ち上げ、事実上どこからでも運用できます。エージェント、スーパーバイザー (SV)、マネージャー、管理者は自宅で働きながら、通常の業務をすべて実行できます。エージェントは受電・架電を行えます。SV は、同じオフィスにいるかのように、エージェントをリアルタイムでモニタリングし、コーチングすることができます。管理者は、ダッシュボードの表示、レポートの作成、サービスレベルの監視、通話履歴の聴き取り、パフォーマンスの追跡といった作業をすべて自宅で行うことができます。ある欧州のグローバルなシステム上重要な銀行 (G-SIB) は、COVID-19 へ対処するために迅速に Amazon Connect を展開し、サービスを中断することなく、エージェントが自宅から銀行の顧客をサポートできるようにしました。 AWS Client VPN は、数千人のリモートユーザーをサポートするように伸縮自在にスケール可能な、完全マネージド型の従量制 […]

Read More

AWS 及びオンプレミスリソースに安全にアクセスができる、AWS Client VPNの紹介

大小の多くの組織は、内部ネットワークでホストされているリソースへの安全なリモートユーザーアクセスを容易にするために、何らかの形のクライアント仮想プライベートネットワーク(VPN)接続に依存しています。これは、多くの場合、EC2インスタンスでオンプレミスのVPNハードウェアまたはプロビジョニングされたクライアントソフトウェア、VPNインフラストラクチャに依存することを意味しています。これらのクライアントベースのVPNソリューションの管理は、スケーリングと運用の課題をもたらし、継続的な負担となっています。多くの場合、予期しないイベントによって帯域幅と接続要件が急上昇し、VPNの可用性が低下します。 概要 AWS Client VPNは、OpenVPNベースのクライアントを使用して、任意の場所からAWSおよびオンプレミスのリソースに安全にアクセスする機能をお客様に提供するフルマネージドサービスです。リモートのエンドユーザーからAWSおよびオンプレミスのリソースへの接続は、この高可用性でスケーラブルな従量課金制のサービスによって促進できます。クライアントVPNソリューションの維持と実行という、差別化されていない重い作業からは完全に回避されます。AWS Client VPNでユニークなのは、サービスのスケーラブルな性質です。このサービスは、ライセンスや追加のインフラストラクチャを取得または管理する必要なく、多くのユーザーにシームレスに拡張されます。これは、典型的な接続の1日の流れなど、急激なワークロードにとって重要です。この良い例が悪天候です。通常、レガシークライアントVPNソリューションは、クライアント接続の増加に伴い、クライアント接続を提供するために必要な帯域幅の巨大な流入はもちろんのこと、限界に達しています。AWS Client VPNは、使用量の増加にもかかわらず、容量のニーズに合わせてスケーリングし、一貫したユーザーエクスペリエンスを保証します。 AWS Client VPNは、証明書ベースの認証とActive Directoryベースの認証の両方をサポートしています。Active Directoryグループに基づいてアクセスコントロールルールを定義でき、セキュリティグループを使用してAWS Client VPNユーザーのアクセスを制限できるため、顧客はより厳格なセキュリティコントロールを取得できます。単一のコンソールを使用して、すべてのクライアントVPN接続を簡単に監視および管理できます。クライアントVPNでは、Windows、macOS、iOS、Android、Linuxベースのデバイスなど、OpenVPNベースのクライアントから選択できます。 クライアントVPNは、クラウド中心の方法でクライアントVPNインフラストラクチャのプロビジョニング、スケーリング、および管理を簡素化しようとしています。コンソールを数回クリックするだけで、スケーラブルなクライアントVPNソリューションを簡単に展開できます。 使い方 AWSはクライアントVPNのバックエンドインフラストラクチャを管理します。必要に応じてサービスを構成するだけです。プロビジョニングプロセスを次のアーキテクチャ図に示します。 クライアントVPNの導入 次に、クライアントVPNの展開について説明します。Active Directory認証を使用したクライアントVPN接続のエンドツーエンドソリューションの展開について説明します。 クライアントVPNエンドポイントを作成する まず、AWSマネジメントコンソールのVPCセクションに移動します。オプションとして、クライアントVPNエンドポイントがあります。 コンソールのこの新しい部分から、クライアントVPNエンドポイントを作成できます。 次に、VPNクライアントのCIDRを選択します。この例では、使用できる最小のサブネットである/ 22アドレススペースを使用しています。必要に応じて、より大きなサブネットを指定できます(/ 18まで)。選択するサブネットが、クライアントVPNエンドポイントを介してアクセスするリソースと重複しないことを確認してください。クライアントVPNはソースNAT(SNAT)を使用して、関連付けられたVPCのリソースに接続することに注意してください。 次のセクションでは、認証のための情報を入力する必要があります。以前に管理対象のActive Directoryを展開したことがあるので、それを選択します。AWS Managed Microsoft ADディレクトリがない場合は、ここからセットアップに関する詳細情報を見つけることができます。プライベート証明書を生成してAWS Certificate Manager(ACM)にインポートする必要があります。このウォークスルーでは、Active Directory認証のみを示しています。 次のセクションでは、接続ログを構成します。この目的のために、CloudWatchロググループをすでに設定しています。接続ログを使用すると、クライアントが接続を試みたフォレンジックと、接続試行の結果を取得できます。 構成の最後のセクションでは、DNSサーバーのIPアドレスを指定し、クライアント接続にTCPまたはUDPを選択します。ここでは、Route 53 Resolverの受信エンドポイントのIPアドレスを選択していますが、環境で使用するDNSサーバーを選択できます。 必要な情報の入力が完了すると、VPNエンドポイントがPending-associateであることがわかります。これで、VPNエンドポイントを1つ以上のVPCに関連付けることができます。 クライアントVPNエンドポイントをターゲットネットワークに関連付ける 次のステップは、VPNエンドポイントをターゲットネットワーク(VPCサブネット)に関連付けることです。これは、AWSクライアントVPNコンソールのアソシエーション部分を介して行われます。 VPCとサブネットを選択して、クライアントVPNエンドポイントとの関連付けを作成します。VPCに特定のサブネットを作成して、VPCエンドポイントのENIをホストし、クライアントVPNトラフィックの可視性とトレーサビリティを容易にしました。クライアントVPCエンドポイントは複数のサブネットに関連付けることができますが、各サブネットが同じVPCに属しているが、異なるアベイラビリティーゾーンに属している必要があることです。ターゲットネットワーク(VPC内のサブネット)を正常に関連付けると、VPNセッションを作成することができ、リソースにアクセスできなくなります。 VPCへのエンドユーザーアクセスを有効にする(承認ルールを追加する) 次のステップは、認可ルールを追加することです。承認規則は、クライアントVPNエンドポイントを介して指定されたネットワークにアクセスできるユーザーのセットを制御します。例では、「クライアントVPN」ADグループのユーザーにのみアクセスを許可します。これを行うには、まず、AWSアカウントの既存のAWS Microsoft Active Directoryで作成した「クライアントVPN」ADグループのSIDを取得します。これは次のスクリーンショットに示されています。 次に、クライアントVPNコンソールの承認部分に移動し、[ Authorize Ingress ]をクリックします。 宛先ネットワークを有効にするにはインターネットのトラフィック(NAT Gatewayを通じてVPC内で実行している)を含め、クライアントVPNエンドポイントを通って流れるようにすべてのトラフィックを有効にするためには、私は0.0.0.0/0のデフォルトルートを入力します。次に、VPNユーザーグループのSIDをActive […]

Read More

[AWS Black Belt Online Seminar] オンプレミスとAWS間の冗長化接続 資料及び QA 公開

先日 (2020/02/19) 開催しました AWS Black Belt Online Seminar「オンプレミスとAWS間の冗長化接続」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続 from Amazon Web Services Japan AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. リージョンをまたいだ冗長構成(Act/Act、Act/Sby)のベストプラクティスはありますでしょうか? A. 多くの場合、オンプレミス拠点から一番近くにある Direct Connect ロケーションへ接続したほうが、レイテンシーの面で有利になります。そのため、レイテンシーが短い接続を Active、他方を Standby とする方が一般的かと考えます。 一方で、こういったレイテンシーの違いによるアプリケーションへの影響が無い場合、両方の接続で帯域を使い切る事ができるActive-Activeを選択する事も有効です。 どちらの方式を選択するかは、ご利用のアプリケーションの要件からご判断ください。 — 今後の AWS Webinar | イベントスケジュール 直近で以下を予定しています。各詳細およびお申し込み先は下記URLからご確認いただけます。皆様のご参加をお待ちしております。 — AWSome Day Online Conference 「AWSome Day Online」は、実際に足を運んでいただく 1 日の AWSome Day […]

Read More