閉域網/GSS G-Netにおける署名付きURL・DataSync・DMSの利用可否まとめ
2026年3月25日 株式会社NTTデータ 第三公共事業本部 小沼真実
この記事は、インターネット/閉域網/GSS G-Net(※) というネットワーク条件において、ある程度大きいサイズのファイル・データを、異なるクラウド環境の間で定期的に連携したいという要件があった場合を想定しています。
以下の3つの方式において、Amazon Web Services(AWS)のマネージドサービスとして、代表的な3つのサービスを利用した場合、その利用可否に課題があることが分かったため、今回はそれを技術メモとして整理しました。
- ファイル単位でやり取りする「ファイル連携」:Amazon S3 署名付きURL
- オブジェクトストレージを挟んで連携する「ストレージ同期」:AWS DataSync
- データベースを直接接続する「データベース同期」:AWS Database Migration Service(DMS)
※ GSS G-Net とは
デジタル庁が提供する政府共通の業務基盤 GSS(ガバメントソリューションサービス)において、従来の「政府共通ネットワーク(旧霞が関WAN)」に代わり、新たに府省庁間を結ぶ閉域ネットワークとして構築され、ガバメントクラウド(AWS/Azure/Google Cloud/OCI など)とも直接接続する。
この記事の前提
私が担当したプロジェクトでは、Oracle Cloud Infrastructure(OCI)× GSS G-Net × AWS を取り扱っていたため、そのシチュエーションをもとに、私の得意領域である AWS 視点で OCI との間のファイル連携とデータ同期を整理しています。
この OCI はガバメントクラウド(OCI)ではなく、一般的な OCI を想定しています。この記事で登場する OCI は一例として、Azure や Google Cloud など他のクラウドにおいても、同様になります。その他LGWANなど、今回の調査内容に直接影響がない要素は割愛しています。
この記事は、あくまで机上調査のレベルであるため、実際に OCI × GSS G-Net × AWS で環境構築した場合に、公表されていないような想定外の事象が発生する可能性があります。
例えば、GSS G-Netは各府省が相乗りして接続しているネットワークのため、大容量のファイル連携とデータ同期を実施した場合、帯域制限の影響が発生する等も想定され、注意が必要です。
各サービス比較と先に結論
AWS 視点で、OCI とのマルチクラウド環境におけるファイル連携とデータ同期について、代表的な3つのサービスを インターネット/閉域網/GSS G-Net というネットワーク条件ごとの利用可否を評価すると、以下の通りになります。
| No. | 方式 | サービス | 概要 | インターネット | 閉域網 | GSS G-Net |
|---|---|---|---|---|---|---|
| 1 | ファイル連携 | 署名付きURL | IAM認証がなくても S3 に一定期間アクセスが有効なURL | 利用可(バケット非公開で) |
利用可(amazonaws.comに到達できる場合) |
利用不可(admix.go.jpドメインに変換されるため) |
| 2 | ストレージ同期 | DataSync | オンプレミス/クラウド間におけるデータ転送・同期サービス | 利用可(エージェントレス・エージェント型) | 利用不可(エージェントレス)/利用可(エージェント型) | 左記に同じ |
| 3 | データベース同期 | DMS | 異なるデータベース間におけるデータコピーや継続同期が可能 | 利用可(専用ユーザ作成・NW設定が前提) | 左記に同じ | 左記に同じ |
結論(全体)
1. 署名付きURL:インターネット経由で S3 へ接続可
署名付きURLとは
Amazon S3 署名付きURL(Pre-signed URL)は、一定期間だけ有効なURLを発行し、AWS IAM認証情報を持たない利用者でも Amazon S3 のオブジェクトへアクセスできる仕組みです。
署名付きURLの特徴
- AWS SDK などが署名付きURLを発行
- URL 内に署名(HMAC)と有効期限などが含まれる
- 発行されたURLを知っていればアクセス可能なため、有効期限・権限範囲が重要
- AWS STS を利用した場合、STS で設定された認証期限と連動
2. 署名付きURL:GSS G-Net 経由で S3 へ接続不可
署名付きURLの前提
署名付きURL(※)は、https://[bucket-name].s3.[region].amazonaws.com/... という AWS の公式ドメインを使用しています。
※ 署名付きURLの構造例
https://[bucket-name].s3.[region].amazonaws.com/[object-key]
?X-Amz-Algorithm=AWS4-HMAC-SHA256
&X-Amz-Credential=[AWSアクセスキーID]/[日付]/[リージョン]/s3/aws4_request
&X-Amz-Date=[日時]
&X-Amz-Expires=[有効期間(秒)]
&X-Amz-SignedHeaders=host
&X-Amz-Signature=[署名ハッシュ値]
GSS G-Net 経由では接続できない理由
- 署名付きURLは「URLそのもの」に対して署名される
- ドメインが変わると署名自体が不一致となり、S3 にアクセスできない
- GSS G-Net の特性として
admix.go.jpへのドメイン変換が行われる - AWS 外部から
amazonaws.comに到達できず、署名付きURLでアクセスできない
3. 署名付きURL(代替案):GSS G-Net 内 Web エンドポイント設置
代替案の考え方
署名付きURLが使えない場合の代替案としては、AWS 外部から S3 に直接アクセスしない構成に切り替えます。
- AWS 外部から S3 への直接アクセスをやめる
- GSS G-Net 内で完結する Web エンドポイントを用意する
代表的な構成
- S3 の手前に Web 機能を持つコンテナ/アプリを配置する
- 認証・認可はコンテナ/アプリ側で制御する
- コンテナ/アプリ経由で S3 にアクセスする
結論(署名付きURL)
4. DataSync:インターネット経由でエージェントレス接続可
DataSync とは
AWS DataSync は、オンプレミスや他クラウドなどの環境間で、データ転送・同期を行うサービスです。DataSync の同期対象サービスは Amazon S3、Amazon EFS、Amazon FSx になります。
DataSync の特徴
- マルチクラウドでオブジェクトストレージのデータ同期が可能
- オンプレミスのサーバから AWS へのデータ移行にも対応
- データは更新差分のみ抽出し、同期することが可能
- データ転送の自動化やスケジューリングに対応
DataSync の構成パターン
- エージェントレス方式:AWSの管理ネットワークから、インターネット経由で転送先の公開エンドポイントへ接続
- エージェント型方式:閉域網内に DataSync Agent を配置し、エージェントから転送先のリソースへ直接接続
エンドポイント種別
- パブリックエンドポイント:インターネット経由
- FIPS エンドポイント(※):(FIP基準)インターネット経由
- VPC エンドポイント(PrivateLink):閉域網経由
- FIPS VPC エンドポイント(PrivateLink):(FIP基準)閉域網経由
※ FIPS エンドポイント とは
米国連邦政府のセキュリティ基準「FIPS 140-2」に準拠した暗号化モジュールを使用する、安全性の高い通信用エンドポイント。主に GovCloud リージョンや高いセキュリティが要求される環境で、DataSync Agent と AWS 間の通信に使用される。
5. DataSync:閉域網/GSS G-Net 経由でエージェントレス接続不可
エージェントレス方式の前提
- エージェントレス方式は、AWS のマネージドなインフラを利用
- AWS の管理ネットワークからインターネット経由で転送先の公開エンドポイントに接続
閉域網/GSS G-Net 経由では接続できない理由
- オブジェクトストレージの接続URLがインターネットに公開されていない
- PrivateLink や AWS Direct Connect など、閉域網の通信経路はルーティングできない
6. DataSync:閉域網/GSS G-Net 経由はエージェント型選択
閉域網/GSS G-Net 経由ではエージェント型
閉域網/GSS G-Net を経由して DataSync を利用する場合、エージェント型を選択して DataSync Agent を閉域網内にデプロイします。
- 閉域網内に DataSync Agent を配置することで、AWS の管理ネットワークを経由不要
- DataSync Agent から閉域網を経由して異なるクラウドのリソースに直接接続可能
エージェント型のデメリット
- DataSync Agent をデプロイする仮想マシンの設置が必要
- GSS G-Net の場合、ドメイン変換に対応するため、Web 機能を持つコンテナ/アプリも必要
結論(DataSync)
7. DMS:インターネット経由で接続可
DMS の概要
AWS Database Migration Service(DMS)は、異なるデータベース間でのデータ移行や継続レプリケーション(CDC)を行うサービスです。DMSの同期対象サービスは Amazon RDS、RDB on Amazon EC2、Amazon DynamoDB、Amazon Redshift、Amazon S3 などになります。
DMS の特徴
- マルチクラウドでのデータベース同期
- オンプレミスのサーバから AWS へのデータ移行にも対応
- 初期フルロード後に、継続レプリケーション(CDC)を実施
- Oracle Database の場合、REDOログを利用して更新データを取得
8. DMS:閉域網/GSS G-Net 経由で接続可
閉域網/GSS G-Net 経由で接続できる理由
- DMS はデータベースへの 直接 TCP 接続 が前提
- AWS 管理ネットワーク経由でインターネットに接続する必要はない
OCI CDB/PDB 構成(※)の必須設定
- ARCHIVELOG モードを有効化する
- Supplemental Logging を CDB レベルで有効化する
( REDO ログから更新前後の値を取得するため必要) - 【注意】REDO ログ/アーカイブログ増加によりストレージを圧迫
※ CDB/PDB 構成 とは
CDB と PDB は、Oracle Database 12c 以降のマルチテナント・アーキテクチャを構成するコンテナ技術。CDB(Container Database)という1つのデータベース容器の中に、複数の PDB(Pluggable Database)を配置することで、リソース集約や運用効率化(パッチ、バックアップ等)を実現できる。
OCI Oracle Database での接続条件
- DMS 用に PDB 単位で専用ユーザを作成
- OCI Security List/NSG の Oracle Listener(TCP1521)に対する通信許可
- 閉域網/GSS G-Net の同ポートに対する通信許可
結論(DMS)
まとめ
閉域網 × マルチクラウドは、サービス仕様の前提(ドメイン/NW経路/公開有無)で利用可否が決まります。
- 署名付きURL:GSS G-Net 経由では利用不可。Web エンドポイントで代替
- DataSync:エージェント型の場合、閉域網/GSS G-Net 経由で利用可。
- DMS:閉域網/GSS G-Net 経由で利用可。ただし、専用ユーザ作成・NW設定が前提
不確実な要素が存在する状況においては、事前に実機検証を行うことにより、リスクを下げることができます。
NTT DATA公式アカウントです。 技術を愛するNTT DATAの技術者が、気軽に楽しく発信していきます。 当社のサービスなどについてのお問い合わせは、 お問い合わせフォーム nttdata.com/jp/ja/contact-us/ へお願いします。