AWS
AWS構成図事例集
金融 / エンタープライズマルチAZEC2

閉域 3層 Multi-AZ エンタープライズ基盤(HULFT ファイル連携)

Web/AP/DB のサブネット分離とDirect Connect閉域接続による金融グレード構成

可用性 (SLA目標)

99.9% 以上(Multi-AZ 冗長 + Aurora マルチAZ)

RTO(目標復旧時間)

数分(ALBヘルスチェック + Aurora 自動フェイルオーバー)

RPO(目標復旧時点)

ほぼ 0(Aurora 同期レプリケーション)

概算コスト

月 300,000 円〜(専用線・冗長化・周辺系を含む)

構成概要

可用性レベル
マルチAZ
コンピューティング
EC2
想定システム規模
大規模(金融・公共・エンタープライズの基幹業務)
コスト感
¥¥¥高コスト

使用AWSサービス

  • Application Load Balancer
  • Amazon EC2
  • Amazon ECS / EKS
  • Amazon Aurora (Multi-AZ)
  • AWS Direct Connect
  • AWS Transit Gateway
  • NAT Gateway
  • HULFT on AWS
  • Amazon S3
  • AWS KMS
  • AWS IAM
  • AWS Secrets Manager
  • Amazon GuardDuty
  • Amazon CloudWatch
  • AWS CloudTrail

概要

インターネットから隔離した閉域ベースのエンタープライズ環境を、Web/AP/DB の3層をサブネットで厳格に分離して構築する金融グレードの高可用性構成です。社内オンプレミスや全銀ネット・共同センター等の外部金融ネットワークとは Direct Connect と Transit Gateway による閉域接続で連携。各AZ(AZ-A / AZ-C)にALB・Web・AP・Auroraを冗長配置し、HULFT on AWS でオンプレ/外部システムとのファイル授受を行います。KMS・Secrets Manager・GuardDuty・CloudTrail 等の周辺系マネージドサービスで、暗号化・統制・監査といった非機能/ガバナンス要件を満たします。

設計のポイント

  • Web/AP/DB を Public / Private / Isolated サブネットで厳格分離(多層防御)
  • Multi-AZ(AZ-A / AZ-C)でALB・EC2・Auroraを冗長化
  • Direct Connect + Transit Gateway によるインターネット非経由の閉域接続
  • HULFT on AWS(暗号化EBS)でオンプレ・外部金融ネットとファイル連携
  • KMS / Secrets Manager / GuardDuty / CloudTrail で暗号化・統制・監査を担保

システム構成図

AWS CloudVPC(閉域 / インターネット非公開)アベイラビリティゾーン Aアベイラビリティゾーン C周辺系・共通基盤サービス(非機能 / ガバナンス)Application サブネット (Private 2)Application サブネット (Private 2)パブリックサブネットWeb/DMZ サブネット (Private 1)Data サブネット (Isolated)パブリックサブネットWeb/DMZ サブネット (Private 1)Data サブネット (Isolated)閉域/専用線ファイル連携専用線/閉域網ルーティング統合Multi-AZ 同期レプリケーション退避/BK社内オンプレミス拠点基幹 / 業務システム保守・運用端末HULFTオンプレミスサーバ外部金融ネットワーク全銀ネット共同センターDirect Connect(閉域接続)TransitGatewayS3退避/BKKMSIAMSecretsManagerGuardDutyCloudWatchCloudTrailALBNAT GWWeb EC2(リバースプロキシ)AP EC2/ECS(業務処理)HULFT on AWS(EBS暗号化)Aurora PrimaryALBNAT GWWeb EC2(リバースプロキシ)AP EC2/ECS(業務処理)HULFT on AWS(EBS暗号化)Aurora Replica

周辺・運用機能(クロスカッティング / 全体に適用)

監視・運用

CloudWatchCloudWatchCloudTrailCloudTrailSystems ManagerSystems ManagerAWS ConfigAWS Config

セキュリティ・統制

IAMIAMGuardDutyGuardDutySecurity HubSecurity HubKMSKMSSecrets ManagerSecrets Manager

CI/CD・開発

CodePipelineCodePipelineCodeBuildCodeBuildECRECR

バックアップ・DR

AWS BackupAWS BackupS3S3
リージョンVPCプライベートパブリック概念図 / アイコン: AWS Architecture Icons

🛡 セキュリティ・コンプライアンスのポイント

VPCはインターネット非公開。NAT Gatewayは保守・パッチ用の最小限アウトバウンドのみ
AWS KMS による保存時暗号化(EBS / Aurora / S3)と鍵の一元管理
AWS Secrets Manager によるDB認証情報の自動ローテーション
AWS IAM の最小権限原則でアクセス制御
AWS GuardDuty による脅威検知、AWS CloudTrail による証跡・監査ログ集約
HULFTのファイル転送は暗号化、退避データはS3へ(KMS暗号化)

メリット

  • Web/AP/DB のサブネット分離と閉域接続で高いセキュリティを確保
  • Multi-AZ 冗長によりAZ障害時も継続運転
  • HULFT による既存オンプレ・外部金融ネットとの確実なファイル連携
  • KMS / Secrets Manager / GuardDuty / CloudTrail で非機能・統制要件を満たす
  • 既存のEC2ベース資産を活かしつつクラウド移行できる

デメリット

  • Direct Connect・冗長化・周辺系を含めコストと構築工数が大きい
  • EC2のOS運用・パッチ適用が必要(AP層をECS/EKS化で軽減可能)
  • 閉域・サブネット分離に伴うネットワーク設計/運用が複雑
  • HULFTなど商用ミドルウェアのライセンス・運用が別途必要

主なユースケース

  • 金融機関の勘定系周辺・チャネル系などの基幹業務システム
  • 既存オンプレ資産と連携するエンタープライズのクラウド移行
  • 閉域・監査要件の厳しい公共・保険・証券系システム
3層Multi-AZ閉域Direct ConnectTransit GatewayHULFTAurora金融セキュリティ
← 他の構成パターンを見る