COLUMN

高可用性とスケーラビリティに優れたAmazon S3を活用したSFTPサーバーを構築できるAWS SFTPとは

暗号化された通信路を使ってファイルを安全に送受信できるプロトコルSSH File Transfer Protocol (SFTP)によるファイル転送は、金融、医療、通信、小売などさまざまな業界の業務プロセスにおいて利用されています。AWSは、データの耐久性や情報セキュリティに優れたストレージサービス「Amazon S3」を提供しており、これをファイルの保存先とした転送サービス「AWS SFTP」を提供しています。本コラムではAWS SFTPの特徴と利用方法を紹介します。

Amazon S3バケットへのセキュアなファイル転送環境を容易に構築できるAWS SFTP

近年、企業では大量のデジタルデータを扱うようになっています。そのデータを効率よく保管できるストレージサービスが「Amazon S3」です。リージョン内の複数の異なるアベイラビリティーゾーンに保存されるため、高い可用性を持ち、なおかつストレージリソースの伸張も容易にできます。またAWSのほかのサービスと連携した仕組みにも応用できるため、分析や機械学習のためにデータから値を抽出したり、Customer Relationship Management (CRM) ツールやEnterprise Resource Planning (ERP) ツールと連携したりといった応用にも活用できます。

AWS SFTPは、Amazon S3を保存先としたファイル転送サービス「AWS Transfer Family」に属するサービスです。AWS Transfer FamilyはSFTPだけでなくFile Transfer Protocol over SSL (FTPS)、File Transfer Protocol (FTP) でのファイル転送もサポートしています。FTPというのは、ファイルを転送するプロトコルで、その情報セキュリティを高めたのがSFTPで、SSHで暗号化された通信路を使ったファイルのやり取りをする仕組みです。FTPSもSSL/TLSという暗号化技術を使って安全なインターネット経由での通信を確保します。

AWS Transfer Familyでは、既存のユーザー認証情報やMicrosoft Active DirectoryなどのID管理の仕組みと連携し、かつ既存のファイル転送ツールを使ったAmazon S3バケットへのファイル転送を実現します。ファイル転送のためのサーバーを購入・配備・管理する手間なく、また既存の認証システム、ドメイン、ホスト名を使ってAWSへのファイル転送ワークフローを容易に移行できます。もちろん、Amazon S3に保存されたデータを分析や各種処理などに役立てることもできます。

既存の認証システムと連携し、Amazon Route 53を使用したDNSルーティングによってAmazon S3バケットに保存

AWS SFTPのセットアップ手順

AWS SFTPの使用を開始するには、AWSのコンソールにてSFTPサーバーを作成して、利用できるユーザーを設定します。SFTPサーバーの作成においては、その設定の一部にてS3バケットを割り当てることになります。既存のバケットでもいいですし、新しいバケットを作成して割り当てることもできます。SFTPサーバーに割り当てるS3バケットは、同じAWSリージョンにあるほうが望ましいとされています。

また、アクセスできるユーザーとその権限をAWSの認証管理サービス「AWS Identity and Access Management (IAM) 」によって設定して各SFTPファイル転送を行う各ユーザーに割り当てます。その権限に応じて、各ユーザーのS3バケットに対するアクセスレベルが決まります。例えば、あるユーザーは読み書きができるが、別のユーザーは書き込みができるけれど読み出しはできない、あるいはバケット内の特定の場所のみ特定のユーザーのアクセスを許可する、などです。また、ユーザーがシングルサインオンを使用してWebサービスにアクセスできるような仕組みを提供するIDプロバイダを利用している場合にもAWS SFTPの認証に対応可能です。

独自ドメインにてAWS SFTPを利用したい場合は、Amazon Route 53やドメインネームシステム (DNS) プロバイダを使うことで登録済みドメインとSFTPサーバーを関連付けします。例えば、「mydomain.com」というドメインの場合、「sftp.sales. mydomain.com」などのサブドメインからSFTPサーバーにアクセスできるようになります。

設定が終わったら、あとはSFTPクライアントソフトを開いて接続設定をして接続します。接続のためのホスト名はAWS SFTPのマネジメントコンソールから取得できます。AWS SFTPは標準的なSFTPクライアントソフトに対応しています。よく使われているSFTPクライアントソフトには次のようなものがあります。

• 「Cyberduck」：　Linux、MacOS、および Windows のクライアントソフト
• 「FileZilla」：　Linux、MacOS、および Windows のクライアントソフト
• 「WinSCP」：　Windows向けのクライアントソフト
• 「OpenSSH」：　MacOSとLinux向けコマンドラインユーティリティ

AWS Transfer Familyの料金料金

AWS SFTPを含むAWS Transfer Familyでは、リージョン別・転送プロトコル別にエンドポイントが稼働している時間と、転送量に応じた料金が設定されています。多くのAWS同様に初期費用は必要なく、利用した分だけの従量課金です。詳しくは公式ページをご覧ください。

AWS Transfer Family の料金（AWS公式ページ）
https://aws.amazon.com/jp/aws-transfer-family/pricing/

まとめ

あらゆる業界において、コンプライアンス遵守や機密情報保護のため、自社および他者とのインターネット上でのデータのやり取りに暗号化などの情報セキュリティ要件を課することは常識となっています。ビジネスパートナーや顧客とのデータ交換にファイル転送プロトコルとしてSFTPを使用している場合、可用性が高く、自由にサイズを伸張できるAmazon S3を保管先としたAWS SFTPの利用をおすすめします。

AWS SFTP は、AWSのコンソール上でSFTPサーバーを作成してユーザーやドメインを割り当てることで利用できます。SFTPサーバーのために自身で購入・管理する機器やソフトウェアのアップデートも必要ありません。情報セキュリティの確保だけでなく、S3上のデータを使った分析、機械学習など、ほかの用途へ役立てることもできます。