AWS Transfer Family と AWS Storage Gateway を使用したデータアクセスの集中管理

厳密さを増し、かつ絶えず変化し続ける、コンプライアンスを要する規制は、金融機関にさまざまな課題をもたらしてきました。法令順守は、しばしば具体的な業務要件を満たすことと解釈されます。金融機関では、そうした業務要件の 1 つとして、情報を正確かつタイムリーに外部組織に提供することが必須とされています。報告以外では、報告後のデータ保持に関するガイドラインの順守も必要です。データへの一元的なアクセスを維持したまま、長期間、コスト効率よくデータを保持し続けることは、コンプライアンス要件に直面している組織に共通のニーズです。コンプライアンス要件に備え、すばやくこれに対応できる機関は、金融サービス市場において競争上きわめて有利な立場にあります。

金融機関で報告書の作成が必須とされ、その報告書を組織外の受取人に安全に共有しなければならないシナリオを、いくつか見ていきましょう。

1. 信用調査機関の報告: 信用調査機関は、銀行、信用組合、消費者向けクレジットカード会社などの貸主から、Metro2 というフォーマットで情報を受け取ります。これらの報告書には、負債を期日までに支払っているか、支払いに漏れがないか、破産申請が行われていないか、口座に共同所有者がいるかなど、借主に関する情報が記載されています。これらの各情報が、各個人の信用スコアに影響します。借主は、自分の信用報告書の情報が間違っていることを発見したら、信用調査機関または間違った情報を提供した貸主に対して、異議を申し立てることができます。金融機関は、このデータを 7 年間保持することを義務付けられています。
2. 米国財務省外国資産管理局 (OFAC) への報告: OFAC の制裁プログラムに従うために、企業や組織は特定の取引を OFAC に報告する必要があります。そして、特定の取引を報告するだけでなく、要請があれば調査のためにいつでも提出できるよう、取引日から少なくとも 5 年間はこれらの取引の記録を保持しておかねばなりません。
3. 規制報告: 投資家の保護、効率的な資本市場の促進、金融システムや経済情勢に「システミックリスク」をもたらす問題への対処を目的に、数多くの規制が設けられています。市場参加者は、これらに従い、規制当局にその報告を行う必要があります。組織はまた、売買および取引に関するデータを 5 年以上保持することも義務付けられています。

このブログ記事では、オンプレミス環境でアプリケーションが作成した財務報告書を、ファイル向け AWS Storage Gateway (File Gateway) を使って Amazon S3 に保存する方法について解説します。また、これらの報告書を AWS Transfer Family を使って外部組織に安全に共有する方法についても解説します。File Gateway と AWS Transfer Family を併用すれば、お使いの既存のファイル転送ワークフローを維持したまま、オンプレミスのインフラストラクチャを削減することが可能です。さらに、既存のファイル転送サーバーを AWS Transfer Family に移行すれば、第三者アクセス用のオンプレミス DMZ を使用せずに済みます。

このブログ記事で紹介するソリューションでは、財務報告書の作成および共有を目的とした、特定のユースケースに焦点を当てています。このソリューションの応用範囲は、SFTP、FTP または FTPS などの転送プロトコル、および NFS もしくは SMB などのストレージプロトコルを使用しており、アプリケーション間またはユーザー間でのデータ共有が必要なすべてのワークフローとなっています。

サービスの概要

このソリューションを構成している 2 つの主要なサービス、AWS Transfer Family と File Gateway についておさらいしておきましょう。

AWS Transfer Family

AWS Transfer Family は、Amazon S3 との間における直接のファイル転送をフルマネージドでサポートしています。SFTP、FTPS、FTP に対応しているほか、AWS Transfer Family の各サーバーは、リージョン内の複数のアベイラビリティーゾーン間に冗長性をもたらしながら、何千もの同時接続に対応できるスケーラビリティを有しています。

AWS Transfer Family は、ホストキーのインポート、静的 IP アドレスの使用、サーバーの既存のホスト名の使用を可能にすることで、シームレスな移行を実現します。これらの機能を使えば、既存のファイル転送システムを使用しているユーザースクリプトやアプリケーションを、変更することなく引き続き使用できます。また、AWS Transfer Family ではユーザー認証にいくつかのオプションが用意されており、既存の認証システムと統合することでさらに簡単に移行を行えます。データは S3 に保存されるため、AWS クラウドが提供している機械学習や分析などのサービスによる利点も活用できます。

File Gateway

このソリューションを利用すると、File Gateway によって、オンプレミスのアプリケーションが Amazon S3 に保存されたデータに低レイテンシーでアクセスできるようになります。File Gateway は NFS や SMB など業界標準のストレージプロトコルを使用しているため、お客様は、報告書向けのオンプレミスのストレージを、報告書を作成するアプリケーションに変更を加えることなく削減、または廃止することも可能です。

File Gateway は、すべてのデータを Amazon S3 に永続的かつ確実に保存します。また、ローカルのキャッシュを使うことで、頻繁にアクセスされるデータへの低レイテンシーアクセスを可能にします。File Gateway は、ハードウェアまたは仮想アプライアンス (VMware、Hyper-V、KVM) としてオンプレミスでデプロイすることができます。EC2 インスタンスとして AWS にデプロイすることも可能です。ゲートウェイと AWS の間で転送されたデータはすべて、処理中に暗号化されます。保管中のデータは Amazon S3 により暗号化されます。

Amazon S3 オブジェクトロックを使用すると、Write-Once-Read-Many (WORM) モデルでオブジェクトを保存できるため、オブジェクトが削除または上書きされることを防げます。S3 オブジェクトロックは、WORM による保存を必須とする規制要件を満たす際に有用であり、保護レイヤーを追加することでオブジェクトが変更されたり削除されたりすることを防ぎます。さらに、S3 ライフサイクルを使って過去の報告書をアーカイブ化し、Amazon S3 Glacier または S3 Glacier Deep Archive などの低コストのストレージクラスにデータを移行して、コストを削減することができます。

ソリューションの概要

上図は、報告のワークフローで File Gateway と AWS Transfer Family がどのように併用されるのかを示したものです。

1. アプリケーションのサーバーが報告書を作成し、SMB または NFS 共有を介して File Gateway に保存します。
2. 報告書は、すぐに File Gateway のローカルキャッシュに書き込まれます。
3. そして、File Gateway キャッシュから Amazon S3 バケットにバックグラウンドでアップロードされます。報告書はそこで永続的かつ安全、確実に保存され、ファイルの所有権、アクセス許可、タイムスタンプなどのメタデータは、各 S3 オブジェクトのユーザーメタデータセクションに保存されます。File Gateway が、HTTPS を使って転送中のすべてのデータを暗号化します。
4. S3 バケットに保存された報告書は、AWS Transfer Family により、SFTP、FTPS、FTP など一般的なファイル転送プロトコルを介して、第三者およびその他外部組織に共有可能になります。
5. これよりもさらに自動化されたワークフローを作成するには、報告書を作成して File Gateway に保存するためのアプリケーションを NotifyWhenUploaded API と統合して、ファイルが Amazon S3 に書き込まれたときに Amazon CloudWatch イベントがトリガーされるようにします。このイベントは、Amazon SNS といった AWS の他のサービスを併用することで、外部の関係者にデータが取得可能になったことを通知できます。
6. クラウドネイティブのアプリケーションではこれらのイベントをリッスンして追加の自動処理を実行できるので、さらなるビジネス価値を生み出せます。

開始方法

このセクションでは、本ソリューションの構築を開始するための大まかな手順について説明します。まず、File Gateway をデプロイして、S3 バケットへのアクセスを設定します。次に、AWS Transfer Family サーバーをデプロイし、上記 S3 バケットへのユーザーアクセスを設定します。

File Gateway をデプロイする

前述のとおり、File Gateway はオンプレミスで、または AWS にデプロイすることができます。ゲートウェイの低レイテンシーなキャッシュを活用するには、ゲートウェイをアプリケーションサーバーのできるだけ近くにデプロイするのがよいでしょう。

ゲートウェイをデプロイしアクティベートしたら、オンプレミスのアプリケーションが Linux または Windows のいずれの環境で実行しているのかに応じて、NFS または SMB のファイル共有を作成します。ファイル共有は、このゲートウェイがアクティベートされているのと同じリージョンにある、S3 バケットでバックアップされます。

作成されたファイル共有は、標準の方法を使ってアプリケーションサーバーからマウントできます。アプリケーションがファイルをファイル共有に書き込むと、それがローカルのキャッシュに書き込まれ、バックグラウンドで S3 バケットにアップロードされます。ファイルを読み取ると、ファイルのデータは (可能な場合) キャッシュから読み取られるか、または S3 から読み取られます。

AWS Transfer Family をデプロイする

File Gateway を正しくデプロイしアプリケーションサーバーに接続できたら、次は S3 バケットがあるリージョンに AWS Transfer Family サーバーをデプロイします。サーバーを作成するときに、利用可能にするプロトコル、アイデンティティプロバイダーのタイプ、エンドポイントのタイプをそれぞれ選択する必要があります。柔軟性を最大限に高めるには、VPC がホストしているエンドポイントのタイプを選択するとよいでしょう。そうすれば、パブリックとインターナルの両方のトラフィックでエンドポイントの IP アドレスを静的に維持し、サーバーへのアクセスを制限することができます。サーバーを作成すると、数分でデプロイが完了します。

AWS Transfer Family からの S3 バケットへのアクセスは、ユーザーごとに設定されます。各ユーザーセッションでは、AWS Transfer Family サーバーが、お客様が指定する IAM ロールを引き受け、ユーザーがバケットにアクセスする方法を規定します。お客様は、IAM ロールに加えてスコープダウンポリシーも指定でき、論理ディレクトリマッピングのアクセスおよび使用をさらに制御して、ユーザーを S3 バケット内の指定されたフォルダに安全にロックダウンすることが可能です。サービスによって管理されるアイデンティティプロバイダーを使用している場合は、AWS Transfer Family サービスを介してユーザーを作成します。カスタムのアイデンティティプロバイダーを使用している場合は、Lambda 関数を実装して認証プロバイダーに接続する必要があります。

選択したプロトコル対応の標準ファイル転送プログラムを使用する AWS Transfer Family サーバーには、デプロイしたサーバーおよび設定したユーザー認証を使ってアクセスすることができます。報告書がアプリケーションサーバーにより作成されて File Gateway に書き込まれると、外部の関係者が、AWS Transfer Family サーバーを介して報告書にアクセスできるようになります。

ハンズオンワークショップ

すばやく作業を始められるよう、GitHub に簡単なワークショップをご用意しました。こちらで、本記事で紹介したソリューションを実際に試してみることができます。このワークショップでは、AWS CloudFormation を使って AWS Transfer Family サーバー、File Gateway、S3 バケットをデプロイします。これらのリソースには Linux サーバーを使ってアクセスします。設定方法やファイルの転送方法を実践によって学習できます。ワークショップの所要時間は 30 分です。

まとめ

このブログ記事では、金融サービスに従事するお客様が直面しているデータ転送やストレージに関する課題、とりわけ、作成した報告書を外部組織に共有しつつ、使用しているアプリケーションをオンプレミスで維持しなければならない場合の課題についてご紹介しました。File Gateway と AWS Transfer Family を使用して Amazon S3 内の財務報告書へのアクセスを集中管理し、第三者や外部組織に共有する方法について説明してきました。これらのサービスを使用することで、既存のワークフローを維持したままオンプレミスのストレージやサーバーのフットプリントを削減し、運用上のオーバーヘッドを最小限に抑え、報告書を長期間アーカイブ化しておくことが可能になります。また、このソリューションをご自身で実行するためのワークショップもご紹介しました。

このソリューションで使用されるサービスの詳細は、以下のリンクからご覧いただけます。

• AWS Storage Gateway の使用開始
• AWS 転送サービスラインナップの開始方法
• Amazon S3 の開始方法

本ブログ記事でご紹介したソリューションをお試しになりたい方は、以下のワークショップへお進みください。

• Access data in Amazon S3 using AWS Transfer Family and AWS Storage Gateway

お読みいただきありがとうございました。ご意見、ご感想をぜひ、以下のコメントセクションにお寄せください。