AWS JAPAN APN ブログ
AWS PrivateLink を利用した SaaS アプリケーションへのセキュアな接続
本記事は、株式会社 Works Human Intelligence Product Div. SRE Dept. Department Manager 加藤文章 氏とアマゾン ウェブ サービス ジャパン合同会社 ISV パートナー本部 パートナーソリューションアーキテクト 櫻谷広人による共著です。
ここ数年で、ソフトウェアを SaaS (Software as a Service) モデルで提供する企業はますます増えてきています。自社のサーバーにパッケージをインストールして使用するモデルと比べて、SaaS での利用には利便性、コスト、運用面など様々な観点でメリットがあります。利用者は環境構築やメンテナンスを行う必要がなく、契約してすぐにソフトウェアを利用することができますし、柔軟なサブスクリプションモデルによる課金体系によって少ない初期投資で使い始めることができるため、導入までのハードルも下がります。また、バグの修正や機能追加などのアップデートは利用者が意識しないところでシームレスかつ頻繁に反映されるため、ソフトウェアの進化に合わせていつでも最新のバージョンを利用することが可能です。
このようなユーザーのニーズに基づく昨今のトレンドから、これまでパッケージモデルで提供していた ISV (Independent Software Vendor) も SaaS への転換を迫られているわけですが、では逆に SaaS 提供において利用者の懸念となり得るポイントは何でしょうか?
一つがセンシティブデータの取り扱いに関するものです。金融やヘルスケア、公共機関など、特にセキュリティや規制要件の厳しい業界のお客様では、ユーザーデータの保護のために閉域網での通信が求められる場合があります。パッケージソフトの場合は、AWS Direct Connect や AWS VPN を利用したハイブリッドアーキテクチャを構成することで、AWS 上で運用するシステムとオンプレミスのクライアント間で、プライベートに通信を行うことが可能です。
ではサードパーティの SaaS を利用する場合はどうでしょうか?サービスプロバイダーが管理するクラウドまたはデータセンターにシステムが存在する場合、通常利用者からの通信はインターネットを経由します。閉域網のみ利用可能な要件においては、これを理由に SaaS の利用を諦めてしまうケースがあるかもしれませんが、実は AWS にはこのようなユースケースを解決するための仕組みもあります。
本ブログでは、AWS 上に構築された SaaS とお客様の環境間で、セキュアなプライベート通信を確立するやり方と、実際にその手段を提供するパートナー事例をご紹介します。
AWS PrivateLink とは
AWS PrivateLink は、トラフィックをパブリックインターネットに公開することなく、Amazon Virtual Private Cloud (Amazon VPC)、AWS のサービス、およびオンプレミスネットワーク間のプライベート接続を提供します。承認した特定の AWS アカウントや AWS IAM (AWS Identity and Access Management) ロールまたはユーザーに対してのみサービスを公開することができるため、VPC ピアリングやアクセスキーの発行などの作業は不要です。ネットワークの設定を大幅に簡素化することができるので、多数の顧客が利用するマルチテナント SaaS においてもスケールする仕組みを作ることができます。
AWS PrivateLink では、サービスプロバイダーが用意した VPC エンドポイントサービス と、利用者側で設定した VPC エンドポイント を経由して、アカウントをまたいだプライベートな通信が確立されます。VPC エンドポイントサービスは Network Load Balancer (NLB) と連携して、ユーザーからのリクエストをバックエンドのアプリケーションに転送します。NLB やバックエンドのアプリケーションをインターネットに公開する必要はありません。
直接 VPC をピアリングしているわけではないので、たとえ VPC 間の CIDR 範囲が重複していたとしても問題なく動作します。これは、多くの顧客をサポートするマルチテナント SaaS において特に重要なポイントです。AWS のマネージドサービスを活用することで、複雑な設定や運用の負担を軽減し、ビジネスをスケールさせることができます。
大手企業向け人事システムによる PrivateLink 活用例
株式会社 Works Human Intelligence (以下、WHI) は、「はたらく」を楽しくするというミッションの実現に向け、経営者と従業員双方の視点に立ち、両者の価値を最大化するソリューションを提供することで、すべての人が「真価」を発揮できる社会の実現を目指しています。そのソリューションのうちの一つとして、「COMPANY®︎」という統合人事システムを提供しています。
WHI も時代の変化に伴い、もともとお客様が自身の管理する環境にアプリケーションをインストールして使っていただいていたモデルから、環境構築不要で Web から手軽に利用できる SaaS モデルへの移行を進めています。SaaS 版は、WHI が管理する AWS アカウント上にアプリケーションがデプロイされています。
「COMPANY®︎」は、現在約 1,200 の大手法人グループにご利用いただいており、そのうちの約 150 が SaaS 版を利用していますが、SaaS 版では基本的にお客様はインターネット経由でサービスにアクセスしていただくことになります。しかし、中には社内のセキュリティポリシー上、インターネット接続を許容できないというお客様もいらっしゃいます。例えば官公庁や金融機関のお客様から「専用線や VPN 経由でサービスを利用できないか?」といった問い合わせを受けることがあり、プライベートな接続によるサービス提供は課題の一つでした。そんな中、PrivateLink を使った提供方法があることを知り、対応の検証を開始したのが経緯になります。
実装にあたっては、「COMPANY®︎」では Application Load Balancer (ALB) を前面に配置した構成になっているため、PrivateLink を利用するにはその前にさらに NLB を配置しています。
ちなみに、対応した当時は NLB のターゲットとして ALB を使う場合、IP アドレスを登録する必要がありました。しかし、ALB の IP アドレスはスケーリングに応じて動的に変わります。そのため、変更を検知してターゲットの設定を変更するための AWS Lambda 関数を別途用意する必要があり、可用性に課題がありました。しかしその後、NLB のターゲットとして直接 ALB が指定できるように 機能アップデート が行われたため、現在はこちらの課題は解消されています。AWS のサービスは日々機能改善が行われており、これまでにできなかったことが簡単にできるようになることも少なくないので、AWS Well-Architected などを用いた定期的なアーキテクチャの見直しは重要です。
インターネット経由の接続に懸念をお持ちだったお客様に対しても、この「PrivateLink for COMPANY V8」というオプションの提供を一つの解として提示でき、これがきっかけでサービスを採用していただくことも増えました。実際に金融機関や公共機関のお客様にも導入いただいています。
また、このオプションを利用するにはお客様側でも AWS を利用することが前提になりますが、これまでクラウドを利用されていなかったお客様でも、これがきっかけとなってオンプレミスで構築された社内システムのクラウド移行が進むのではないかと期待しています。
国内初の AWS PrivateLink Ready パートナーに認定
WHI は、この PrivateLink 対応にあたってパートナーとして AWS と密に連携をし、国内初の AWS PrivateLink Ready パートナー の認定を取得しました。これは、特定の AWS のサービスと連携する AWS パートナーが構築したソフトウェア製品が、AWS のベストプラクティスに準拠しているかを検証するための AWS サービスレディプログラム の一つです。
AWS PrivateLink Ready パートナーは、AWS プライベートネットワークを介して Virtual Private Cloud (VPC) をサービスに接続することでワークロードのセキュリティとプライバシーを強化するオンライン製品を構築してきた AWS パートナーです。AWS PrivateLink Ready 製品により、お客様は、PCI、HIPAA、およびその他の規制に準拠するために処理する必要がある個人情報を含む機密データを保護および管理できます。
まとめ
AWS PrivateLink を利用すると、手軽な設定で自社の SaaS へのプライベートな接続をお客様に提供できます。特定の要件をお持ちのお客様に対して販路を拡大していくためにも、ぜひ対応してみませんか?AWS サービスレディプログラム に認定されると、AWS と共同で製品のマーケティングを推進することもできますので、こちらもぜひご検討ください。