Q1:Herokuの性能が気になります……本当に企業システムで使えるの? HerokuはAWS(Amazon Web Services)の米国東リージョン上で稼働しているため、通常のWebアプリケーションと同じように構築してしまうと、地理的な問題からレイテンシ(遅延)が大きくなってしまい、性能が落...
Q1:Herokuの性能が気になります……本当に企業システムで使えるの?
HerokuはAWS(Amazon Web Services)の米国東リージョン上で稼働しているため、通常のWebアプリケーションと同じように構築してしまうと、地理的な問題からレイテンシ(遅延)が大きくなってしまい、性能が落ちてしまいます。
それを回避するために、CDN(コンテンツデリバリネットワーク)とAjaxを活用して、うまくレイテンシを抑えるようにする必要があります。
CDNを活用したコンテンツキャッシュ
CDNを活用することにより静的なコンテンツを最寄りのエッジサーバから取得できるため、画像データや動画、CSS/JavaScriptなどのファイルを毎回オリジナルサーバ(Heroku)から取得する必要がなくなります。
実際にYahoo! JAPANを例にしてCDNの効果を検証してみると、受信データ量はサイト全体が約200kbyte。この内、画像データやCSS/JavaScriptファイルを除いたHTMLだけのファイルサイズは約30kbyte(註1)となります。CDNを利用して、すべての静的コンテンツをエッジサーバから取得できる場合には、オリジナルサーバから取得するデータは全体の15%弱程度まで抑えることができます。
ただし、気をつけなければならないのは、CDNではオリジナルのデータが変更されてから時間差でキャッシュが更新されるため、削除・更新が頻繁に行われるデータには不向きであることと、キャッシング時間が決まっているためアクセスの少ないデータでは効果が出にくく、全ての静的コンテンツがCDNの恩恵を受けられるわけではないことです。
註1:データ量はhttpwatchを利用して計測
Ajaxを活用したリクエストデータの局所化
CDNは主にダウンロードする静的コンテンツのデータ量の削減を目的としていましたが、特に海外にサーバがあるようなWebアプリケーションの場合には、回線速度等の問題でそれだけでは十分な性能を出せないケースがあります。
Herokuが稼働する米国の場合は、日本国内からのアクセスに限れば実務で困るくらい遅くなることはありません。しかし、他の国での利用も想定したグローバルなシステムの場合、ロケーションによっては回線の実速度が数キロバイト程度まで落ち込んでしまうケースがあります。実際にグローバル展開を行うシステムを構築した際に、こういったレイテンシに伴う性能の問題に苦しめられるケースがありました。
これを回避するには、Ajaxを活用して通信するデータ自体を絞込み、通信コストを削減するとともに、非同期処理を活用して体感的に速度を早くすることが効果的です。
上記のようにすることでHTTPリクエストを画面全体(HTML)ではなく、一部(必要なテキストデータのみ)に抑えることができるので、通信コストを削減できるようになります。
また、データ量の多い画面の場合には非同期で画面の項目がレンダリングされるため、視覚的に早く見せることが可能で、利用しているユーザーの体感速度を早めることができます。
Q2:Heroku上で構築したアプリケーションはForce.comや社内システムとどう連携させるの?
Heroku上のアプリケーションとForce.comを連携させるには、SOAP、RESTでのHTTPをベースとした方法と、ActiveSalesforce(Ruby)、JPA(Java)を利用した方法があります。
ただし、HerokuのHTTP接続には制約があるため、Force.comとの連携にはActibeSalesforceとJPAを利用する方法をお奨めします。
社内システムと連携させる場合にもSOAP、RESTを利用した連携が可能ですが、HerokuのHTTPの接続制限から、まとまったデータの連携についてはHeroku PostgresやAWSのAmazon RDSといったDatabase as a Service(以下DaaS)を利用したデータベースでの連携を行います。
余談になりますが、Heroku PostgresとAmazon RDSのどちらを使った方が良いのかといった質問を受けることがあります。自動バックアップ、メンテナンスフリー、接続の暗号化(SSL)と、双方が持つ機能にはあまり差が無いので判断が難しいところだと思います。
ただ、格納できるデータのサイズは、Heroku Postgresが2TBなのに対してAmazon RDSは1TBという大きさの違いがあります。また、RDSはリードレプリカが利用できるため、他のシステムへ読み込み専用のデータベースを提供できるなど、機能面でも若干異なっています。 基本的にはHeroku Postgresの使用を前提として、外部システムや他のAWSとの連携要件次第で、Amazon RDSを選択するのが良いと思います。
Q3:Herokuを使った場合にセキュリティが心配なのですが…
Herokuはインターネットを利用して既存システムと連携させる必要があるため、ハッキングなどのセキュリティ面が気になると思います。実際、Herokuに限らず、パブリッククラウドを導入するケースではセキュリティに関する承認に多くの時間を費やすことが多く、重大な関心事だと感じています。
今回は、その中でも実際の導入時に問題となりやすい認証とデータ漏洩という2つの観点からセキュアなシステムを構築する上でのポイントを解説します。
認証
不特定多数のユーザーのみを対象としたWebシステムやFacebookなどのソーシャル系の専用アプリケーションの場合には、OpenIDやOAuthを利用することが多いため、独自で認証を考える必要はありません。
しかし、社員や顧客などの限られたユーザーに限定して提供したいようなWebシステムの場合には認証処理が必須となります。その際、社内で管理されているユーザー情報を基にして認証しますが、それらの情報は個人情報を含むため、単にクラウド上に移管させるだけではリスクが高くなってしまいます。
このようにオンプレミスとクラウドを連携させてIDを管理する必要があるときは、SAMLやSWT(Simple Web Token)に対応したFederation Serverを導入し、安全に認証と属性(ユーザー情報)を連携させることで、ある程度リスクを回避することができるようになります。
SAMLやSWTを利用して連携することで、必要な属性のみが連携されるため、Heorku上で構築したアプリケーションでは個別にユーザー情報を管理する必要がありません。
ただし、上記の構成では社内のID管理(LDAP等)に登録されたユーザーしか使用できません。これに加えて、社外のユーザーにもインターネット経由でアプリケーションを提供する場合には、社内のID管理に利用ユーザー全員を登録した上で、Federation ServerをDMZなどのインターネットからアクセス可能な場所に配置しなければなりません。
IDを管理していない社外ユーザーも対象としたい場合やFederation ServerをDMZ上に配置したくない場合には、Microsoft が提供しているMicrosoft Azure Appfabric Access Control(ACS)を組み合わせることで、既製のIdP(アイデンティティプロバイダ)やクライアント独自のFederaion Server(インターネットアクセスが可能な場合のみ)に登録しているユーザーとの連携を簡単に実現できます。
ACSを併用することで、社内でID管理されているユーザーのほか、不特定多数ではない、他のソーシャルサービスに登録されているユーザーにもID管理無しにWebアプリケーションを提供することが可能となります。
データ漏洩
Herokuではアプリケーションもデータベースもクラウド上に配備されるため、データの漏洩に対する配慮が必要となります。特に既存システムの社内情報と連携させる場合には、セキュリティ管理は重要な課題として対策しなければなりません。
データ漏洩を防ぐには、通信の暗号化とデータの分散配置という2つのアプローチから考える必要があります。
Herokuでの通信の暗号化はSSLを使うことが前提となります。Q2の構成でSOAP、RESTで連携させる場合にはHTTPSを利用し、DaaSであるHeroku Postgres、Amazon RDSではSSLサポートがされている(5月17日時点ではMySQLのみ)ので、クライアント接続、ODBC/JDBC接続時にSSLで接続することで通信の暗号化が可能です。
データの分散配置とは、コードと値を別々のデータストアに格納するようにデータ設計を行うことです。例えば社員情報の場合には、データベース上には社員番号でデータを保持させ、HerokuのaddonであるMemchached(分散キャッシュ)やMogoDB(KVS)に社員マスタを保持しておいて、1つのデータストアに関連も含めたすべてのデータを持たせないようにします。また、そもそもの設計としてマスタ関連は最低限必要なもののみを持たせるようにすることも大切です。
最新ニュース
はてなブックマーク - 新着エントリー - 総合 新着エントリー
- 【アーカイブ動画】t_wadaさんに聞く!SQLアンチパターン第2版 全27章まとめて紹介!on 2025年7月28日 at AM 6:57
00:00~ オープニング 00:01~ t-wadaさんご講演 52:20~ Q&A
- ミセスのライブ騒音で周辺住民が悲鳴 被害地域を可視化したのは“次に来るSNS”だったon 2025年7月28日 at AM 6:13
人気アーティストのMrs.GREEN APPLEが7月26日と27日に開催した野外ライブから漏れた音が広い範囲に届いていたとしてSNSで苦情が相次いでいる。その被害地域を可視化したのが、最近「次来るSNS」などと話題になっていた「Yahoo!天気」アプリの「みんなの投稿」機能だった。 問題のライブは、Mrs.GREEN APPLEのデビュー10...
- 銅線ケーブル350万円相当盗んだ疑い ベトナム人容疑者2人逮捕 | NHKon 2025年7月28日 at AM 5:26
川崎市にある閉店した商業施設に侵入し、銅線ケーブル350万円相当を盗んだとして、ベトナム人の容疑者2人が警視庁に逮捕されました。調べに対し、1人は容疑を否認し、もう1人は黙秘しているということです。 逮捕されたのはいずれもベトナム国籍で住居不詳、無職のグエン・シー・タイン容疑者(34)と東京 稲城市に住む...
- 《維新・大阪トップ当選の佐々木りえ氏に浮上した疑惑》「危うい投資会社」への関わりを示す複数のファクト 本人は直撃電話に「失礼です」、維新は「疑念を招いたことは残念」と回答on 2025年7月28日 at AM 5:20
《維新・大阪トップ当選の佐々木りえ氏に浮上した疑惑》「危うい投資会社」への関わりを示す複数のファクト 本人は直撃電話に「失礼です」、維新は「疑念を招いたことは残念」と回答 維新の予備選で現職の梅村みずほ氏を破って参院選候補となり、大阪選挙区でトップ当選した佐々木りえ氏。 だが、佐々木氏は選挙中から...
- 空き家を売ろうとして更地にする人がいるが、解体の前にワンクッション挟むべきだと思う。解体した後の土地の相談来たけど、ごめんなさい、そこほとんど誰も買わない土地です→「再建不能の土地もある」on 2025年7月28日 at AM 5:06
まさお🏘空き家再生士@八街 @peanuts_ooya 解体の前にワンクッション挟むべきだと思う。 解体した後の土地の相談来たけど、ごめんなさい、そこほとんど誰も買わない土地です。 2025-07-27 20:49:48
- 東京 小金井でストーカー被害不受理で大けがの女性 都と和解へ | NHKon 2025年7月28日 at AM 4:53
9年前、東京 小金井市のライブ会場でファンにナイフで刺され大けがをした女性が、警察に事件の前にストーカー被害を相談したのに警備してもらえなかったとして、東京都などに賠償を求めた裁判で、都側が見舞金を支払うことなどで28日にも和解が成立する見通しになったことが、関係者への取材でわかりました。 9年前の201...
- うどん打ちを趣味にしていた父が、吉池で売っていた生うどんを食べたら『こんなにもうまいうどんがこの値段なら、もう打つ必要ない』と引退してしまったon 2025年7月28日 at AM 4:49
るーぴょん @kuchiyafamily ワシの父はうどんを打つのを趣味にしているが吉池の生うどんを食べたら こんなにうまいうどんがこの値段なら、もううどん打つ必要ない と、うどん打ちを引退しました、これからはそばを打ってくれ 親父を引退に追い込む吉池の生うどん、今日は讃岐式の玉子かけで食べたがどう食べてもうまい!...
- ベースマキナを導入してDBオペレーションを改善している話 - コドモン Product Team Blogon 2025年7月28日 at AM 4:39
こんにちは。エンジニアのjunです。 園探し・見学予約メディアのホイシルで掲載しているコンテンツに関するデータ編集のオペレーションを、SaaSであるベースマキナを用いて構築したので紹介します。 ベースマキナについて 抱えていた課題 導入に向けてやったこと bridgeの設定 業務フローとベースマキナの設定 メンバー...