COLUMN

1.運用設計とは？目的と必要性について

運用設計とは、システムを安定して稼働させるために、運用ルールや運用方法、障害が起きた際に適切な対応ができるようルールやプロセスなどの情報をまとめて定義したものです。仮に障害が起こった際でもシステムの運用設計があれば、どの部署にはじめに報告し、どのような手順で復旧を行うのかなどが明確になるため、スムーズに対処できるでしょう。

システムを安定して運用していくために、運用設計を行うことは非常に重要です。クラウドサービスであるAWS（Amazon Web Service）におけるシステムの運用設計について、詳しく見ていきましょう。

2.AWSの運用設計で検討すべき項目

ひと言で運用設計といっても決まった項目はなく、自由度が高いため、いざ運用設計を行おうとした際に迷ってしまう方も多いでしょう。これから運用設計を行う方や、運用設計の見直しを行おうと考えている方に向け、AWSの運用設計で検討するべきおすすめの項目を8つ紹介します。

• システムの全体像（アーキテクチャ）
• システムの構成要素（リソース）
• セキュリティ
• バックアップと復旧
• 監視と通知
• 自動化
• コスト管理
• パフォーマンス

以下でそれぞれについて説明します。

2-1.システムの全体像（アーキテクチャ）

AWSの運用設計で検討すべき項目としてまず挙げられるものは、システムの全体像（アーキテクチャ）です。

システムの全体像（アーキテクチャ）の項目で検討する事項は、システムがどう運用されるべきか、また運用された際に他のシステムとどのような相互作用を生むかといった、運用に焦点を当てたシステムの全体像です。システムやアプリケーションの全体像を設計することは、AWSのサービスをどのように活用するかを決定する上で重要なポイントになります。

2-2.システムの構成要素（リソース）

システムの構成要素（リソース）も、運用設計で検討すべき項目です。具体的には、仮想サーバー（EC2インスタンス）やデータベース、ストレージ、ネットワークなどです。

必要な構成要素（リソース）を定義し、それぞれのIDや名称といった、設定に必要な項目について記しておくことで、障害が発生した際に慌てることなく状況の把握が可能です。運用設計には、AWSコンソール上では確認できないような情報を記載しておくと有効に使用できます。

2-3.セキュリティ

アクセス制御やデータ暗号化、ファイアウォール、監視ログ収集といったセキュリティ対策も、AWSの運用設計で検討すべき項目です。

また、セキュリティの観点では、セキュリティ対策の内容だけでなく利便性についても意識しなければなりません。

たとえば、不正ログインを防ぐためには、IDやパスワードなどの「知識情報」、ICカードやワンタイムパスワードなどの「所持情報」、および指紋や声紋などの「生体認証」から複数の認証方式を組み合わせる方法があります。

しかし、認証方式を増やせば増やすほど、手順が煩雑で利便性が低下するため、最適な認証方法を考える必要があります。

運用設計時に定めた項目については作成してそのままにしておくのではなく、定期的にアップデートを実施してシステムの脆弱性を減らすことも、有効な情報セキュリティ対策といえます。

セキュリティ対策に役立つ代表的なサービスとして、たとえばAWS CloudTrailとAmazon GuardDuty、およびAWS Configがあります。AWS CloudTrail とAmazon GuardDutyおよびAWS Configについての詳細は後述します。

2-4.バックアップと復旧

運用設計時には、バックアップと復旧についての項目を定めておくことも大切です。膨大なデータがある中で、どのデータをどれくらいの頻度でバックアップしていくか、バックアップや復旧のタスクについて、どのように監視していくかなどを踏まえた戦略は、企業のデータ保護計画に不可欠な要素といえます。

バックアップと復旧には、災害が起きた際の復旧についてだけでなく、セキュリティ障害からリソースを保護、復旧するためのアクションが含まれていることも必要です。たとえばランサムウェアのリスクを軽減するための予防的措置を定めるとともに、セキュリティ障害が発生してから復旧するまでのパターンについて適切に設計することが、迅速なバックアップと復旧に欠かせないことも覚えておくとよいでしょう。

また、業界によってはバックアップと復旧戦略を策定する際に、いつ時点の状態に復旧を行うのか、復旧にかかる時間をどの程度とするのかといったデータ保持要件を考慮しなければならない場合があります。バックアップについてはコンプライアンスにも関わることであるため、企業のコンプライアンスチームと相談し、適切な設計を行ってください。

システムのバックアップに役立つサービスとして、AWS Backupがあります。AWS Backupについての詳細は後述します。

2-5.監視と通知

AWS上で稼働するシステムの監視と通知も、運用設計時に定めておくべきポイントです。システムを監視し、たとえばCPUの使用率がある一定の値を超えた、AWSの使用料金がある金額を超えた、といった事象が発生した際に通知を受ける仕組みを設計しましょう。

システムを監視する際に役立つ代表的なサービスとして、Amazon CloudWatchがあります。Amazon CloudWatchについての詳細は後述します。

2-6.自動化

AWSの運用設計において、自動化は非常に重要な要素です。自動化とは、システムの運用に関わるさまざまな業務を、人が行うのではなく自動的に完了されるような仕組みをつくることを指します。

ひと言でシステムといっても、サーバーやネットワーク、ミドルウェアやアプリケーションプログラムなどさまざまな要素が絡み合い、システム運用に関わる業務は多様化しています。たとえば、サーバーの負荷が高まった際にサーバーの数を増やすようなスケーリングや、定期的なバックアップ、OSなどに対するパッチ適用などのプロセスを自動化すれば、システムの管理を効率化するだけでなく、人が行うことによる人的なエラーを減らすことができます。

運用を自動化させるために役立つ代表的なサービスとして、AWS System Managerがあります。AWS System Managerについての詳細は後述します。

2-7.コスト管理

コスト管理も運用設計で検討すべき重要な項目といえます。コスト管理とはただコストを抑えるだけではありません。経費として定めた金額を超えないように管理するだけではなく、費用対効果を考えたうえでコストが適切かどうかを考える必要があります。

たとえば仮想サーバー（EC2インスタンス）はメモリ・CPUといったインスタンスタイプや、オンデマンドインスタンス・リザーブドインスタンスといった契約形態などによって金額は変わります。また、大容量ストレージサービスであるS3や、仮想サーバー（EC2インスタンス）向けのストレージサービスであるAmazon EBSについても、その性能・種類によって金額は変わります。そうした項目が適切に選択されているのかを確認しましょう。

コスト管理は一度行って終わりではありません。定期的に見直し、適切であるかどうかを確認しましょう。コスト管理はより最適なインスタンスや、新たな世代が出た際などにスムーズな切り替えを行うための指針になります。

コスト管理に役立つ代表的なサービスとして、たとえばAWS BudgetsとAWS CostExplorerがあります。AWS BudgetsとAWS CostExplorerについての詳細は後述します。

2-8.パフォーマンス

最後に挙げるAWSの運用設計において検討すべきポイントは、パフォーマンスです。パフォーマンスを最適化することで処理速度を向上させられるため、システムを安定した状態で快適に利用できるようになります。

システムのパフォーマンスの最適化には、たとえば負荷テストを実施したうえでリソースの調整やデータベースクエリの最適化を行うことが必要です。それぞれのリソースやデータベースがパフォーマンスにどのような影響を与えているのかを知り、最適化を行いましょう。

システムがどういったパフォーマンスで動いているのかを監視するために役立つサービスとして、Amazon CloudWatchがあります。Amazon CloudWatchについての詳細は後述します。

AWS環境の運用設計から保守・運用代行までNTT東日本のクラウドエンジニアにて、一元サポートいたします。クラウド導入・運用サービスのサービス資料を無料でダウンロードできますのでぜひご活用ください。

3.実際に運用設計を行う際のポイント

AWSの運用設計について検討すべき項目を見てきましたが、実際に運用設計を行う際に気を付けるべきポイントには以下のものがあります。

• システムの開発と同じタイミングで運用設計を行う
• AWSのベストプラクティス、設計原則に則って運用設計を行う
• 責任共有モデルを考慮する

順番に見ていきましょう。

3-1.システムの開発と同じタイミングで運用設計を行う

はじめに紹介するポイントは、システムの開発と同じタイミングで運用設計を行うことです。システムは開発して終わりではなく、作った後も安定的にサービスを提供するために日々稼働していかなければなりません。

システム開発と運用設計を同時に行えば、前述したシステムの全体像やシステムの構成要素について開発担当者と認識を共有できるため、障害が起きた際でもスムーズに連携や復旧ができます。システムの開発や設計は大変な作業ですが、システムを作り運用していくことも視野に入れ、運用設計についても初期から考えておくことが大切です。

3-2.AWSのベストプラクティス、設計原則に則って運用設計を行う

AWSの運用設計のポイントとして次に挙げられる点は、AWSのベストプラクティス、設計原則に則って運用設計を行うことです。AWSのベストプラクティスとは、AWS上で適切な設計するための原則をまとめたもので、システムを運用していくために、以下の5つの設計原則が示されています。

• 運用手順をコード化する
• 小規模かつ可逆的な変更を頻繁に行う
• 運用手順を定期的に改善する
• 障害を予想する
• 運用上のすべての障害から学ぶ

ただし、紹介した5つの項目すべてを満たしていなければいけないわけではありません。ベストプラクティスを十分理解した上で、どの設計がリスクを発生させ、どのような対策が必要であるかをその都度判断していくことが重要です。

たとえばAWSのベストプラクティスに沿ったセキュリティ実装の考え方については、以下の記事で詳しく解説しています。AWSの主なセキュリティサービスについても紹介していますので、ぜひ参考にしてください。

関連記事：ゼロから始めるAWSベストプラクティス – セキュリティ 編

3-3.責任共有モデルを考慮する

最後に紹介するAWSの運用設計のポイントは、責任共有モデルを考慮することです。責任共有モデルとは、クラウドの事業者（AWSの場合はAmazon）と利用者の間で運用に対する責任を分担する考え方で、システムを安定的に運用するための基盤となります。

責任共有モデルは原則としてクラウド事業者はクラウドを提供するためのハードウェアやソフトウェアなどにおける情報セキュリティ、ユーザーはクラウドで利用しているサービス内における情報セキュリティに対して責任を負う考え方です。

たとえば、AWSのS3というストレージサービスは、基本的に99.999999999%の信頼性でデータが保護されるというSLA（サービスレベルアグリーメント）がAWS側で定義されています。そのため、上記の信頼性を損なう状態になった場合には基本的にAWS側が責任を負います。しかし、そのようにAWS側で定義されているSLAの範疇ではない部分、たとえばS3に配置したファイルが外部からアクセスできないように適切なアクセス権を設定することについてはユーザー側が責任を負います。

利用するサービスによって責任分界点は異なりますので、ユーザーの責任範囲をしっかりと理解し、最適な設計を行いましょう。

AWSの責任共有モデルとはなにか、事業者とユーザーの責任範囲については以下の記事で詳しく解説しています。ぜひ参考にしてください。

関連記事：AWSの責任共有モデルとは？事業者とユーザーの責任範囲や必要なセキュリティ対策を解説

AWS環境の運用設計から保守・運用代行までNTT東日本のクラウドエンジニアにて、一元サポートいたします。クラウド導入・運用サービスのサービス資料を無料でダウンロードできますのでぜひご活用ください。

4.AWSの運用を実現するサービスを紹介

AWSの運用設計について、検討すべき項目や運用設計のポイントについて解説しましたが、最後にAWSの運用を実現する以下のサービスについて紹介します。

• AWS CloudTrail
• Amazon GuardDuty
• AWS Config
• AWS Backup
• Amazon CloudWatch
• AWS Systems Manager
• AWS Budgets
• AWS CostExplorer

順番に見ていきましょう。

4-1.操作履歴を取得する「AWS CloudTrail」

セキュリティ対策として役立つサービスとしてまず紹介するのはAWS CloudTrailです。AWS CloudTrailは、AWSにおける各操作の履歴を取得することができるサービスです。

たとえば「アカウントのコンソールに対するログインがありました」といったような、「何に対して」、「いつ」、「誰が」、「どのような操作をした」といった内容が記録されます。特定の操作が発生した際に通知される仕組みを構成することも可能です。

4-2.脅威を検出する「Amazon GuardDuty」

セキュリティ対策として役立つサービスとして続いて紹介するのはAmazon GuardDutyです。Amazon GuardDutyは、通信やユーザーの操作などを監視し、悪意のある動作がないかを検出することができるサービスです。前述したAWS CloudTrailや他のサービスで取得したログを基に脅威を検出します。

前述したAWS CloudTrailとAmazon GuardDutyについては以下の記事で詳しく紹介しています。ぜひ参考にしてください。

関連記事：ゼロから始めるAWSベストプラクティス – セキュリティ 編

4-3.AWSリソースの設定変更履歴を管理する「AWS Config」

セキュリティ対策として役立つサービスとして続いて紹介するサービスは、AWS Configです。AWS ConfigはAWS上の仮想サーバー（EC2インスタンス）やデータベース（RDS）などのAWSリソースにおける設定の記録や評価、監視を行うサービスです。

AWS Configを設定しておくことで、トラブルが起きた際に「どのリソースに対してどういった変更が発生したことでトラブルになったのか」を確認することが可能です。トラブルに対してスムーズに対応できるよう、AWS Configはぜひ導入しておきたいサービスといえます。

AWS Configついては以下の記事で詳しく紹介しています。ぜひ参考にしてください。

関連記事：AWSリソースの設定変更履歴を管理する「AWS Config」とは？実際に使用してみた

4-4. システムを一括してバックアップする「AWS Backup」

システムのバックアップに役立つサービスとして紹介するのは、AWS Backupです。AWS Backup は、AWSのリソースにおけるバックアップの実行／復元／検索の一元管理をサポートするサービスです。ファイルサーバーやデータベースといったそれぞれのリソースごとにバックアップを取得・管理する必要なく、システム全体のバックアップを一括して取得・管理することができるため、バックアップと復元に関する運用を簡単にします。

AWS Backupについては以下の記事で詳しく紹介しています。ぜひ参考にしてください。

関連記事：AWS BackupでAWSを使ったサービスの運用をより簡単に！

4-5. AWS上のサービスを監視する「Amazon CloudWatch」

システムの監視に役立つサービスとして紹介するのは、Amazon CloudWatchです。Amazon CloudWatchはAWS上で動作している各サービスを監視するサービスで、システムを安定的に稼働させるために欠かせないものといえるでしょう。

Amazon CloudWatchはAWSが提供する監視サービスであるため、AWSサービスとの親和性が高いことが特徴です。CPUの使用率や通信量といった標準的な監視項目（標準メトリクス）を監視する場合は監視ソフトウェアのインストールも不要で、設定をするだけで使用できます。

Amazon CloudWatchについては以下の記事で詳しく紹介しています。ぜひ参考にしてください。

関連記事：AWS上のサービスを監視する「Amazon CloudWatch」の実力は？

4-6.運用管理の自動化や環境を可視化できる「AWS Systems Manager」

運用管理の自動化として紹介するAWSのサービスはAWS Systems Managerです。AWS Systems ManagerはAWS内に構築した仮想サーバー（EC2インスタンス）などのリソースを統合的に可視化して管理するとともに、運用オペレーションを自動化するといった制御を実現するサービスです。

AWS Systems Managerの特徴は、AWSのリソースだけでなく、オンプレミスに構築されたサーバーも対象である点です。オンプレミスとAWSそれぞれにITシステムが存在している企業の場合、オンプレミス上でのシステム運用とAWS上でのシステム運用を考慮する必要があるためユーザーの負担になりますが、AWS Systems Managerはオンプレミス側のサーバーも対象であるため、運用負荷を大幅に減らせます。

AWS Systems Managerについて詳しくは以下の記事で解説しています。ユースケースや料金についても詳しく紹介していますので、ぜひ参考にしてください。

関連記事：運用管理の自動化や環境を可視化できるAWS Systems Managerを解説

4-7.AWSにおける予算を設定する「AWS Budgets」

コスト管理としてまず紹介するAWSのサービスはAWS Budgetsです。AWS Budgetsでは、AWSにおける全体の予算や、各サービスに着目した個別の予算などを作成することができます。

作成した予算を超えた際、もしくは超えそうな場合にアラートを発信することが可能であるため、予算の管理を効率的に行うことができます。

AWS Budgetsについては以下の記事で詳しく紹介しています。ぜひ参考にしてください。

関連記事：利用料金をモニタリングして超過の予測ができるAWS Budgetsなど、AWSのコスト管理をサポートするツールや機能を紹介

4-8.コストを見える化する「AWS Cost Explorer」

コスト管理として続いて紹介するAWSのサービスはAWS Cost Explorerです。AWS Cost Explorerでは、時期ごとに発生したコストをグラフとして表示することができます。これにより、ある時期にコストが非常に増えている、もしくは抑えることができている、といったことを視覚的に把握することができます。また、単に過去の状況を把握するだけでなく、未来のコスト予測を表示することも可能です。

さらに、AWS Cost Explorerでは過去の使用実績からコストを抑えるための推奨事項が表示されます。たとえば、契約形態をリザーブドインスタンスやSavings Planにすると１か月あたり〇〇ドル分のコストを抑えることができます、といったものです。こうした推奨事項を取り入れることによってコストの削減を簡単に検討することが可能です。

AWS Cost Explorerについては以下の記事で詳しく紹介しています。ぜひ参考にしてください。

関連記事：自社のAWS利用料！コスト管理できていますか？

5.AWSの運用設計～運用保守ぜひNTT東日本にご相談ください

AWSを初めて運用する場合、設計や保守体制の構築など、検討すべきさまざまな項目について本当に正しいのか不安になる方も多いでしょう。AWSの運用設計に迷ったら、NTT東日本のクラウド導入・運用サービスをご利用ください。

クラウド導入・運用サービスは、お客さまが利用しているクラウド環境における監視や通知、故障発生時の受付、一次切り分けなどを代行します。お客さまの運用計画やご依頼に基づき、ユーザーの追加や設定変更作業代行なども可能です。

運用支援のメニューには、故障受付の時間帯や代行できる作業が異なる3つのプランが存在します。クラウド導入・運用サービスについて詳しくは以下のページよりお問い合せください。

NTT東日本のクラウド監視・運用

AWSの運用設計についてまとめ

運用設計とは開発したシステムを安定的に稼働させていくために必要なもので、適切な運用設計の項目をまとめておけば、特に障害が起きた際などにスムーズに対処できます。本記事で紹介した運用設計のポイントであるシステム開発・設計と同じタイミングで運用設計を行うことや、AWSのベストプラクティスに則って運用設計を行うこと、責任共有モデルを考慮することをポイントに、自社にとって最適な項目を検討し、最適な運用設計を行いましょう。

自社でスムーズに運用設計を行えれば問題ありませんが、初めて運用設計を行う場合や、何度か運用設計を行ったものの本当に適切な運用設計ができているのか不安である場合は、NTT東日本のクラウド導入・運用サービスをご利用ください。