Q1:Herokuの性能が気になります……本当に企業システムで使えるの? HerokuはAWS(Amazon Web Services)の米国東リージョン上で稼働しているため、通常のWebアプリケーションと同じように構築してしまうと、地理的な問題からレイテンシ(遅延)が大きくなってしまい、性能が落...
Q1:Herokuの性能が気になります……本当に企業システムで使えるの?
HerokuはAWS(Amazon Web Services)の米国東リージョン上で稼働しているため、通常のWebアプリケーションと同じように構築してしまうと、地理的な問題からレイテンシ(遅延)が大きくなってしまい、性能が落ちてしまいます。
それを回避するために、CDN(コンテンツデリバリネットワーク)とAjaxを活用して、うまくレイテンシを抑えるようにする必要があります。
CDNを活用したコンテンツキャッシュ
CDNを活用することにより静的なコンテンツを最寄りのエッジサーバから取得できるため、画像データや動画、CSS/JavaScriptなどのファイルを毎回オリジナルサーバ(Heroku)から取得する必要がなくなります。
実際にYahoo! JAPANを例にしてCDNの効果を検証してみると、受信データ量はサイト全体が約200kbyte。この内、画像データやCSS/JavaScriptファイルを除いたHTMLだけのファイルサイズは約30kbyte(註1)となります。CDNを利用して、すべての静的コンテンツをエッジサーバから取得できる場合には、オリジナルサーバから取得するデータは全体の15%弱程度まで抑えることができます。
ただし、気をつけなければならないのは、CDNではオリジナルのデータが変更されてから時間差でキャッシュが更新されるため、削除・更新が頻繁に行われるデータには不向きであることと、キャッシング時間が決まっているためアクセスの少ないデータでは効果が出にくく、全ての静的コンテンツがCDNの恩恵を受けられるわけではないことです。
註1:データ量はhttpwatchを利用して計測
Ajaxを活用したリクエストデータの局所化
CDNは主にダウンロードする静的コンテンツのデータ量の削減を目的としていましたが、特に海外にサーバがあるようなWebアプリケーションの場合には、回線速度等の問題でそれだけでは十分な性能を出せないケースがあります。
Herokuが稼働する米国の場合は、日本国内からのアクセスに限れば実務で困るくらい遅くなることはありません。しかし、他の国での利用も想定したグローバルなシステムの場合、ロケーションによっては回線の実速度が数キロバイト程度まで落ち込んでしまうケースがあります。実際にグローバル展開を行うシステムを構築した際に、こういったレイテンシに伴う性能の問題に苦しめられるケースがありました。
これを回避するには、Ajaxを活用して通信するデータ自体を絞込み、通信コストを削減するとともに、非同期処理を活用して体感的に速度を早くすることが効果的です。
上記のようにすることでHTTPリクエストを画面全体(HTML)ではなく、一部(必要なテキストデータのみ)に抑えることができるので、通信コストを削減できるようになります。
また、データ量の多い画面の場合には非同期で画面の項目がレンダリングされるため、視覚的に早く見せることが可能で、利用しているユーザーの体感速度を早めることができます。
Q2:Heroku上で構築したアプリケーションはForce.comや社内システムとどう連携させるの?
Heroku上のアプリケーションとForce.comを連携させるには、SOAP、RESTでのHTTPをベースとした方法と、ActiveSalesforce(Ruby)、JPA(Java)を利用した方法があります。
ただし、HerokuのHTTP接続には制約があるため、Force.comとの連携にはActibeSalesforceとJPAを利用する方法をお奨めします。
社内システムと連携させる場合にもSOAP、RESTを利用した連携が可能ですが、HerokuのHTTPの接続制限から、まとまったデータの連携についてはHeroku PostgresやAWSのAmazon RDSといったDatabase as a Service(以下DaaS)を利用したデータベースでの連携を行います。
余談になりますが、Heroku PostgresとAmazon RDSのどちらを使った方が良いのかといった質問を受けることがあります。自動バックアップ、メンテナンスフリー、接続の暗号化(SSL)と、双方が持つ機能にはあまり差が無いので判断が難しいところだと思います。
ただ、格納できるデータのサイズは、Heroku Postgresが2TBなのに対してAmazon RDSは1TBという大きさの違いがあります。また、RDSはリードレプリカが利用できるため、他のシステムへ読み込み専用のデータベースを提供できるなど、機能面でも若干異なっています。 基本的にはHeroku Postgresの使用を前提として、外部システムや他のAWSとの連携要件次第で、Amazon RDSを選択するのが良いと思います。
Q3:Herokuを使った場合にセキュリティが心配なのですが…
Herokuはインターネットを利用して既存システムと連携させる必要があるため、ハッキングなどのセキュリティ面が気になると思います。実際、Herokuに限らず、パブリッククラウドを導入するケースではセキュリティに関する承認に多くの時間を費やすことが多く、重大な関心事だと感じています。
今回は、その中でも実際の導入時に問題となりやすい認証とデータ漏洩という2つの観点からセキュアなシステムを構築する上でのポイントを解説します。
認証
不特定多数のユーザーのみを対象としたWebシステムやFacebookなどのソーシャル系の専用アプリケーションの場合には、OpenIDやOAuthを利用することが多いため、独自で認証を考える必要はありません。
しかし、社員や顧客などの限られたユーザーに限定して提供したいようなWebシステムの場合には認証処理が必須となります。その際、社内で管理されているユーザー情報を基にして認証しますが、それらの情報は個人情報を含むため、単にクラウド上に移管させるだけではリスクが高くなってしまいます。
このようにオンプレミスとクラウドを連携させてIDを管理する必要があるときは、SAMLやSWT(Simple Web Token)に対応したFederation Serverを導入し、安全に認証と属性(ユーザー情報)を連携させることで、ある程度リスクを回避することができるようになります。
SAMLやSWTを利用して連携することで、必要な属性のみが連携されるため、Heorku上で構築したアプリケーションでは個別にユーザー情報を管理する必要がありません。
ただし、上記の構成では社内のID管理(LDAP等)に登録されたユーザーしか使用できません。これに加えて、社外のユーザーにもインターネット経由でアプリケーションを提供する場合には、社内のID管理に利用ユーザー全員を登録した上で、Federation ServerをDMZなどのインターネットからアクセス可能な場所に配置しなければなりません。
IDを管理していない社外ユーザーも対象としたい場合やFederation ServerをDMZ上に配置したくない場合には、Microsoft が提供しているMicrosoft Azure Appfabric Access Control(ACS)を組み合わせることで、既製のIdP(アイデンティティプロバイダ)やクライアント独自のFederaion Server(インターネットアクセスが可能な場合のみ)に登録しているユーザーとの連携を簡単に実現できます。
ACSを併用することで、社内でID管理されているユーザーのほか、不特定多数ではない、他のソーシャルサービスに登録されているユーザーにもID管理無しにWebアプリケーションを提供することが可能となります。
データ漏洩
Herokuではアプリケーションもデータベースもクラウド上に配備されるため、データの漏洩に対する配慮が必要となります。特に既存システムの社内情報と連携させる場合には、セキュリティ管理は重要な課題として対策しなければなりません。
データ漏洩を防ぐには、通信の暗号化とデータの分散配置という2つのアプローチから考える必要があります。
Herokuでの通信の暗号化はSSLを使うことが前提となります。Q2の構成でSOAP、RESTで連携させる場合にはHTTPSを利用し、DaaSであるHeroku Postgres、Amazon RDSではSSLサポートがされている(5月17日時点ではMySQLのみ)ので、クライアント接続、ODBC/JDBC接続時にSSLで接続することで通信の暗号化が可能です。
データの分散配置とは、コードと値を別々のデータストアに格納するようにデータ設計を行うことです。例えば社員情報の場合には、データベース上には社員番号でデータを保持させ、HerokuのaddonであるMemchached(分散キャッシュ)やMogoDB(KVS)に社員マスタを保持しておいて、1つのデータストアに関連も含めたすべてのデータを持たせないようにします。また、そもそもの設計としてマスタ関連は最低限必要なもののみを持たせるようにすることも大切です。
最新ニュース
はてなブックマーク - 新着エントリー - 総合 新着エントリー
- トランプ氏、自分を批判するテレビ局は免許取り上げられるべきかもしれないと 人気トーク番組の放送中止で - BBCニュースon 2025年9月19日 at AM 4:37
アメリカのドナルド・トランプ大統領は18日、自分に批判的な内容ばかり放送するテレビ局は放送免許を取り上げられるべきかもしれないと発言した。イギリス国賓訪問から帰国する大統領専用機の機内で記者団に話した。 米ディズニー傘下のABCテレビは17日、人気の深夜トーク番組「ジミー・キメル・ライブ!」の放送を無期...
- 日銀がETF売却を決定、年間3300億円ずつ 追加利上げは見送り:朝日新聞on 2025年9月19日 at AM 4:29
日本銀行は19日の金融政策決定会合で、政策金利を維持すると決め、追加利上げを見送った。利上げを進める姿勢は維持し、米国の関税強化策が日本の経済・物価をどの程度、押し下げるかを見極めるとみられる。また…
- 魔女とくゅらす - 柴田康平 / 第七服「魔女と黒煙」 | コミプレ|ヒーローズ編集部が運営する無料マンガサイトon 2025年9月19日 at AM 4:27
魔女とくゅらす 柴田康平 遥か昔、才ある魔女シエンは、魔女狩りから弟子タマを逃がし、姿を消した――。 そして、数百年後が経ち、二人は現代「日本」でついに再会する!! だが、かつての面影はなく、窓辺で煙草を燻らせる”ダウナーな魔女”がそこにいた…⁉︎ しっかり者のタマと、無気力なシエンが繰り広げる、堕落的日常コ...
- 大学生の頃の彼氏にご飯作ったら肉の臭み消しが下手だの言われ、お母様にご教示を頂こうと電話→急展開「臭み消しが得意なお母さん…」on 2025年9月19日 at AM 4:21
シュレディンガーの花嫁ゴリ ラ @againtodate 大学生の頃の彼氏にご飯作ったら肉の臭み消しが下手だの味付けが濃いだの、挙句に「ウチの母さんに料理習えば?」って言われてな 素直な私はその場でお母様に電話していただきご教示を頂こうと現状を説明した めちゃくちゃ謝られた上に数日後高いハムが届いた 元彼、ハムにされちゃ...
- 【速報】米大統領、台湾への軍事支援承認せずon 2025年9月19日 at AM 4:07
【ワシントン共同】米紙ワシントン・ポスト電子版は18日、トランプ米大統領が台湾に対する4億ドル(約590億円)以上に及ぶ軍事支援を承認しなかったと報じた。中国への配慮とみられる。
- 日銀、保有ETFとREITの市場売却を決定 - 日本経済新聞on 2025年9月19日 at AM 4:01
日銀は19日に開いた金融政策決定会合で、保有する上場投資信託(ETF)と不動産投資信託(REIT)を市場で売却すると決めた。日銀
- 日銀 ETFの市場への売却開始を発表 年間3300億円程度 | NHKon 2025年9月19日 at AM 4:01
日銀は大規模金融緩和の一環で大量に買い入れてきたETF=上場投資信託について市場への売却を始めると発表しました。売却は準備が整い次第、開始するとしていて、売却額は簿価で年間3300億円程度としています。
- 立場弱いトラック運送事業者「弁護士から食い物に・・・」 |物流ニュース|物流ウィークリーon 2025年9月19日 at AM 3:59
「退職したドライバーから、弁護士を介して未払い残業代として2000万円の支払いを求められた」という千葉県船橋市の運送事業者。 同社は就業規則をきちんと見直し、労働時間も、極力、法定内に収めようと努力するなど、適正な事業運営に取り組んでいたが、それでも多少の残業はあり、「結局、150万円を支払うこと...