はじめに Amazon OpenSearch Service を使用したベクトル検索では exact k-NN もしくは Approximate k-NN が使用されます。exact k-NNでは総当たり的に近傍を探索することにより最も正確な検索が可能ですが、ベクトルデータ数に対して線形に実行時間が増えるため、大規模なデータセットに対しては深刻にパフォーマンスが悪化する可能性があります。一方で Approximate k-NN は精度を一定落とす代わりに高速な検索を実現する手法です。Amazon OpenSearch Service において利用できるApproximate k-NNアルゴリズム用のベクトル検索エンジンは主に FAISS と Lucene があり、FAISS エンジンにはアルゴリズムとして HNSW と IVF があります( 参考 )。 本ブログでは、FAISS エンジンを使用したベクトル検索において、 新規ベクトルデータの投入が不安定、または失敗する場合 の原因調査および対処法選択の考え方について説明します。 シナリオ：新規ベクトルデータの投入が不安定、または失敗する 一度ベクトルデータベースのセットアップが完了し問題なく稼働していたとしても、検索対象となるドキュメント数が増えたり、使用するユーザー数が増加していくと様々なトラブルが発生する可能性があります。OpenSearch Service におけるトラブルはインスタンスタイプの増強によるスケールアップやノード数追加によるスケールアウトをすることで解決できることは多いですが、何らかのトラブルに対して原因調査を行い、コストや精度、レイテンシーといった要素のトレードオフを理解した上で適切な対処手法を選択していくことは OpenSearch Service を有効活用していく上で非常に重要です。 FAISS エンジンにおけるベクトル検索を使用する場合のトラブルの一つとして、新規ベクトルデータの投入が不安定だったり、失敗する場合が考えられます。次元数の多いベクトルデータを Bulk API などで投入する場合、インデクシングに要する負荷は大きくなりがちです。特に、ベクトル検索を高速化するためのグラフ構造を保持するメモリのようなリソースのキャパシティ枯渇が問題になることが多いです。 調査および対処法選択の大まかな流れは以下にようになります。 新規ベクトルデータの投入が不安定、または失敗する場合の対処法選択 ベクトル検索を行う際にしばしば問題になるのがメモリ管理です。新規ベクトルデータの投入がブロックされる場合、使用メモリサイズ増加に伴いサーキットブレーカーが発動している可能性があります。OpenSearch 自体は Java により実装されており、デフォルトでは、各ノードが持っているメモリ領域の 50% か 32GB の大きい方が JVM ヒープとして使用されます。残りの領域がネイティブメモリとして、OS やファイルシステムキャッシュ、そして k-NN ベクトルの検索用メモリとして使用されることになります。 OpenSearchベクトル検索におけるメモリ管理 原因調査1.1: KNNGraphMemoryUsage によるネイティブメモリ使用状況の調査 ベクトル検索を行う際にしばしば問題になるのがメモリ管理です。新規ベクトルデータの投入がブロックされる場合、使用メモリサイズ増加に伴いサーキットブレーカーが発動している可能性があります。OpenSearch 自体は Java により実装されており、デフォルトでは、各ノードが持っているメモリ領域の50%か 32GB の大きい方が JVM ヒープとして使用されます。残りの領域がネイティブメモリとして、OS やファイルシステムキャッシュ、そして k-NN ベクトルの検索用メモリとして使用されることになります。 CloudWatch メトリクスを参照して、データノードにおける KNNGraphMemoryUsage もしくは KNNGraphMemoryUsagePercentage を参照することで、ネイティブメモリのうちどの程度をベクトルグラフが占有しているかモニタリングすることができ、大きなベクトルデータを扱っている場合非常に重要なドメインサイジングの指標になります。 特に FAISS エンジンで HNSW のインデックスを作成している場合、検索を高速化するためベクトルデータ投入時にグラフ構造が構築されます。検索クエリが実行された際、もしくは Warm-up API が呼ばれた際にこのグラフはネイティブメモリにロードされますが、グラフのデータサイズが大きくなると上記の k-NN 用ネイティブメモリサイズを超過し、サーキットブレーカーが発動する可能性があります。これに伴い、インデックスは新規ベクトルデータの投入をブロックするようになります。 サーキットブレーカーが発動するメモリサイズに関しては、 knn.circuit_breaker.limit （デフォルト 50%）に設定されており、この値に対して上記メトリクスが猶予を持っている必要があります。 各ノードの k-NN に関する統計情報は以下のコマンドによっても取得することが可能です。サーキットブレーカーによりデータ投入がブロックされている場合、レスポンスに含まれる circuit_breaker_triggered の値が true になります。 GET /_plugins/_knn/stats このシチュエーションにおいて、ベクトルグラフによるメモリ使用を削減する、もしくはメモリを増強する対応が必要になります。 原因調査1.2：FreeStorageSpace によるディスク容量の確認 CloudWatch メトリクスの一つである、 FreeStorageSpace を参照することで、OpenSearch Service における各ノードがどの程度のストレージ残量があるかを調査することができます。 OpenSearch Service は各データノードのストレージの 20%（最大 20 GiB）を、セグメントマージやログなどの内部操作用にあらかじめ予約しています。CloudWatch メトリクスの FreeStorageSpace はこの予約分を差し引いた後の残量を示すため、OpenSearch の _cluster/stats や _cat/allocation API が返す値よりも常に低い値になります。 ストレージ保護の観点では、いずれかのノードの空き容量が「利用可能ストレージの 20%」または「20 GiB」のうち小さい方を下回った時点で、書き込み操作をブロックします（ ClusterBlockException ）。ブロック機構は、OSS の OpenSearch が持つ disk watermark （low: 85%、high: 90%、flood_stage: 95%）よりも先に発動するのが一般的です。 FreeStorageSpace メトリクスを監視し、CloudWatch アラームを設定することで、ブロック発生前にストレージ逼迫を検知できます。 対処1.1：量子化 OpenSearchにおけるベクトルは knn_vector 型の32ビット浮動小数点配列として保存されますが、これらをよりデータ量の小さなベクトルに圧縮するアプローチです。以下の4つの量子化手法をサポートしています。より圧縮度の高い量子化は検索の精度を落とす可能性がありますが、メモリ使用量の削減だけでなく、検索パフォーマンスの向上やディスク使用量の削減にもつながります。精度要件に余裕があり、検索速度を維持もしくは高速化した上でメモリ効率化も行いたい場合有用な手法です。 詳細に関しては こちら のブログも参照ください。 スカラー量子化 (Scaler Quantization) バイナリ量子化 ベクトルの各次元を 1 ビット（-1 または +1）で表現する最も圧縮率の高い量子化手法。最大 32 倍と大幅にメモリ、ストレージ使用量を低減できますが、精度の低下が最も大きくなります。 バイト量子化 各次元を 8 ビット整数（int8）で表現し、元の浮動小数点数を 256 段階に量子化する手法。メモリを約 1/4 に削減しつつ、比較的高い精度を維持できるバランスの良い方式です。 FP16量子化 32 ビット浮動小数点数（FP32）を 16 ビット浮動小数点数（FP16）に変換する手法。メモリを半分に削減し、精度の劣化が少ないため、高精度が求められる用途に適しています。 直積量子化（Product Quantization） ベクトルを複数のサブベクトルに分割し、各サブベクトルを独立にクラスタリングしてコードブックで表現する手法。最大 64 倍と高い圧縮率と高速な検索を両立でき、大規模ベクトル検索でしばしば使用されますが、利用にあたり事前のトレーニングが必要になります。 対処1.2：Memory Optimized Search (対象：HNSW、バージョン3.1+) Lucene エンジンと FAISS エンジンのハイブリッドアプローチを行うことで、ベクトルグラフの全てをメモリに載せることなく検索を実行することが可能です。数% の Recall およびスループットの低下が生じる可能性がありますが、3〜4 倍のメモリ使用量削減の可能性があります。この手法を使用する場合、グラフの一部を載せるメモリとして OS ページキャッシュを使用するため、 KNNGraphMemoryUsage は増加しません。 ベンチマーキングなどは こちら のブログから参照ください。以下のように、 knn.memory_optimized_search を設定することにより有効化できます。この手法の特徴として、index 単位で有効化する場合は reindex が必要ないことが挙げられます。index の設定のみで有効化できるので手軽にメモリ使用量削減が可能です。 PUT /<index-name> { "settings" : { "index.knn": true, "index.knn.memory_optimized_search" : true }, "mappings": { <index-fields> } } 対処1.3： Disk mode (対象：バージョン2.17+) ディスクベースのベクトル検索では、量子化したベクトルのみをメモリに乗せサンプリングを行い、ディスク上の完全な精度のベクトルでリランクを行う手法です。量子化の圧縮率を選択することにより、メモリに載せるベクトルデータのサイズを最大 32 倍低減することができますが、精度の低下は最小限に抑えることが可能です。 検索速度の低下を許容できるワークロードでありつつ、精度の低下をおさえて最大限のメモリ効率を実現したい場合有用な手法です。 以下のように、 knn_vector のフィールドの mode を on_disk に設定することで有効化できます。量子化の圧縮率は compression_level として指定することができ、FAISS エンジンでは 1x 、 2x 、 8x 、 16x 、 32x が選択可能です。 PUT /<index-name> { "settings" : { "index": { "knn": true } }, "mappings": { "properties": { "my_vector_field": { "type": "knn_vector", "dimension": 8, "space_type": "innerproduct", "data_type": "float", "mode": "on_disk", "compression_level": "16x" } } } } 対処1.4：EBSボリュームの追加 OpenSearch Service におけるデータノードはストレージとして EBS ボリュームを使用しています。データノードのストレージが枯渇した際、クラスターの設定からノードあたりの EBS ストレージサイズを追加することで非常に簡単に対処することができます。データノードあたりの EBS ストレージの最大サイズは 1536 GiB です。 クラスター自体のデータノード数を増やしたり、データノードのインスタンスタイプをより大きいものに変更するのに比べてコスト効率よく手軽にストレージ枯渇に対処できる手法になっています。 CLI では以下のオペレーションによって設定変更可能です。 aws opensearch update-domain-config \ --domain-name your-domain-name \ --ebs-options '{ "EBSEnabled": true, "VolumeType": "gp3", "VolumeSize": 1024 }' まとめ 本ブログでは、OpenSearch Service において FAISS エンジンを使用したベクトル検索ワークロードを運用している際に発生しうるトラブルとして新規ベクトルデータの投入が不安定、または失敗する場合に着目し、その原因究明と対処方法選択の考え方について紹介しました。このトラブル自体はベクトルグラフのメモリに起因することがおおく、OpenSearch が提供するメモリ最適化手法の中から適切な選択を行っていくことが重要です。 OpenSearch Service の機能は継続的に拡充されているため、新機能を活用するためにもクラスターのバージョンアップグレードを定期的に検討することを推奨します。 著者 黒木 琢央 (Takuo Kuroki) アマゾンウェブサービスジャパン合同会社ソリューションアーキテクト 2024年4月入社。現在toCのITサービス提供企業におけるクラウド全般の技術支援を行いつつ、OpenSearchのコミュニティ活動や機能改善に取り組んでいます。

はじめに Amazon OpenSearch Service を使用したベクトル検索では exact k-NN もしくは Approximate k-NN が使用されます。exact k-NN では総当たり的に近傍を探索することにより最も正確な検索が可能ですが、ベクトルデータ数に対して線形に実行時間が増えるため、大規模なデータセットに対しては深刻にパフォーマンスが悪化する可能性があります。一方で Approximate k-NN は精度を一定落とす代わりに高速な検索を実現する手法です。Amazon OpenSearch Service において利用できる Approximate k-NN アルゴリズム用のベクトル検索エンジンは主に FAISS と Lucene があり、FAISS エンジンにはアルゴリズムとして HNSW と IVF があります( 参考 )。 本ブログでは、FAISSエンジンを使用したベクトル検索において、 検索レイテンシが構築初期より増加していることが問題になっている場合 の原因調査および対処法選択の考え方について説明します。 シナリオ：検索レイテンシーが構築初期より著しく増加している OpenSearch Service において検索リクエストに対するパフォーマンスはユーザーの視点でもクラスター全体の健全な運用をする上でも重要な要素です。ベクトル検索ワークロード構築初期においてはデータ量が少ないため大抵の場合検索レイテンシーが問題になることはありませんが、検索対象となっているベクトルデータや新規に投入されてインデクシングされるベクトルが多くなるにつれて、さまざまな要因により検索レイテンシーが悪化する可能性があります。このような問題は単純な、検索パフォーマンスが悪化しているタイミングや CPU リソースやメモリの使用状況からどのようことが要因となっているか調査し、対処法を選択することが重要です。インスタンスタイプを増強したり、データノード数を増やすなどの対応によりクラスター全体のキャパシティを大きくすることでこのような問題に対処できることは多いですが、ここではその前段階として検討すべき最適化の手法について紹介します。 調査および対処法選択の大まかな流れは以下にようになります。 原因調査2.1：JVMMemoryPressure、CPUUtilizationの確認 検索パフォーマンスが悪化している場合などにおいて調査すべきメトリクスの一つが JVMMemoryPressure および CPUUtilization です。これらのメトリクスは AWS コンソールの OpenSearch Service ページにおける、ドメインの Cluster Health および CloudWatch Metrics から調査することができます。 JVMMemoryPressure や CPUUtilization を確認することにより、検索およびインデクシングといった処理にどの程度の負荷がかかっているかが確認できます。 JVMMemoryPressure は JVM ヒープメモリの使用率であり、 CPUUtilization はデータノードにおける CPU 使用率です。k-NN グラフ構築などのデータ投入処理やセグメントのマージなどで上昇します。これらのメトリクスが高い値を示している場合は、クエリやデータ投入のパフォーマンスが悪化している可能性があります。一般的に JVMMemoryPressure は 75% 以上になると GC が発生しますが、インデクシングや検索リクエストの処理が追いつかない場合 GC が多発し、 JVMMemoryPressure も下降しない状態になります。さらに 95% に到達するとサーキットブレーカーにより新規リクエストを拒否します。 原因調査2.2：シャードの偏り状況の調査 OpenSearch Service のドメインでは、シャード分布がノード間で偏りが生じることにより特定のノードに処理が集中する場合があります。このような場合、ドメイン全体のリソース状況に余裕があったとしてもノード単体のリソース不足によりパフォーマンスに支障をきたす可能性があります。 以下のコマンドにより、ノードごとにシャード数やデータ量の偏りがないか調査することができます。 GET _cat/allocation?v また、以下のコマンドにより、シャードごとのデータ量に偏りがないか調査することができます。 GET _cat/shards?v また、シャードごとの集計情報は Cluster Insights を確認することでも簡単に調査できます。OpenSearch UI から Cluster Insights を開き、対象となる OpenSearch ドメインを選択します。Shard view と記載されたタブを開くことで直近使用されている index の各シャードごとの集計情報が表示されます。 対処2.1：シャード最適化 各シャードが持つドキュメントのサイズを調整したり、ノードに存在するシャード数の偏りを解消することで検索パフォーマンスが改善する場合があります。ベクトル検索のインデックスにおいて、適切なシャードサイズは一般的に 10GB〜75GB とされています。検索クエリが、ベクトル検索に加えて様々な全文検索を加えたハイブリットなものである場合、シャードサイズを小さくすることで検索レイテンシを改善する効果があります。一方で、シャードサイズを大きくすることで純粋なベクトル検索クエリに対してはパフォーマンス改善につながる可能性があります。また、ノードごとにシャードの偏りが発生している場合は、プライマリシャード数をノード数の倍数にすることで偏りを解消でき、検索パフォーマンス改善につながる可能性があります。 インデックスのシャード数を変更する場合、 Shrink API の実行や reindex による index 移行を行う必要がありますが、reindex 中は CPU 負荷が増大することや index 移行に際して実行中のワークロードに影響を与えないよう注意が必要です。 対処2.2：量子化 OpenSearchにおけるベクトルは knn_vector 型の32ビット浮動小数点配列として保存されますが、これらをよりデータ量の小さなベクトルに圧縮するアプローチです。以下の4つの量子化手法をサポートしています。より圧縮度の高い量子化は検索の精度を落とす可能性がありますが、メモリ使用量の削減だけでなく、検索パフォーマンスの向上やディスク使用量の削減にもつながります。精度要件に余裕があり、検索速度を維持もしくは高速化した上でメモリ効率化も行いたい場合有用な手法です。 詳細に関しては こちら のブログも参照ください。 スカラー量子化 (Scaler Quantization) バイナリ量子化 ベクトルの各次元を 1 ビット（-1 または +1）で表現する最も圧縮率の高い量子化手法。最大 32 倍と大幅にメモリ、ストレージ使用量を低減できますが、精度の低下が最も大きくなります。 バイト量子化 各次元を 8 ビット整数（int8）で表現し、元の浮動小数点数を 256 段階に量子化する手法。メモリを約 1/4 に削減しつつ、比較的高い精度を維持できるバランスの良い方式です。 FP16量子化 32 ビット浮動小数点数（FP32）を 16 ビット浮動小数点数（FP16）に変換する手法。メモリを半分に削減し、精度の劣化が少ないため、高精度が求められる用途に適しています。 直積量子化（Product Quantization） ベクトルを複数のサブベクトルに分割し、各サブベクトルを独立にクラスタリングしてコードブックで表現する手法。最大 64 倍と高い圧縮率と高速な検索を両立でき、大規模ベクトル検索でしばしば使用されますが、利用にあたり事前のトレーニングが必要になります。 対処2.3：force merge、warm upの事前実行 FAISS エンジンでは、初回の検索クエリを行う際にベクトルグラフをメモリにロードする必要があり、これに非常に時間がかかる場合があります。事前に Warm-up AP Iを使用してグラフをメモリにロードすることにより初回検索のレイテンシを低減することが可能です。 GET /_plugins/_knn/warmup/<index-name> また OpenSearch において、投入されたデータは最初セグメントと呼ばれる単位で管理されます。このセグメント数が大きくなると検索パフォーマンスの低下につながります。Warm-up 実行の前に Force Merge API を実行することでセグメント数を小さくすることができます。ただし、これらの処理は CPU リソースを多く消費する可能性があるので、データ投入などのリクエストが少ないタイミングで行うべきです。 POST /<index-name>/_forcemerge 対処2.4：refresh_intervalの調整 OpenSearch では、 refresh_interval で指定した時間ごとに、メモリバッファに保持していたデータをセグメント化し検索対象に登録する処理を行っています。Approximate k-NN では、このタイミングでグラフの構築が行われます。 refresh_interval が小さいと、グラフ構築の頻度が上がり CPU リソースを消費する他、セグメント数が多くなることで検索クエリパフォーマンスが低下する可能性があります。データ投入から検索対象になるまでにかかる時間が長くなるデメリットがありますが、 refresh_interval を大きくすることでパフォーマンス改善につながります。 PUT /<index-name>/_settings { "index.refresh_interval": "30s" # デフォルトは1s } 対処2.5：GPUアクセラレーションの活用(対象：HNSW、バージョン3.1+) ベクトルデータ数が非常に大きくなると、データ投入のタイミングで発生するグラフ構築に長い時間がかかり、CPU リソースの消費も大きくなります。ベクトルデータのインデクシングにおける GPU 加速を使用すると、大規模ベクトルデータに対するグラフ構築をマネージドな GPU を使用して高速化しつつ、CPU への負荷をオフロードすることが可能です。もし、検索クエリなどのパフォーマンス低下がベクトルデータのインデクシングによる CPU リソースの枯渇が原因であった場合、この機能の活用により改善する可能性があります。 $ aws opensearch update-domain-config \ --domain-name <domain-name> \ --aiml-options '{"ServerlessVectorAcceleration": {"Enabled": true}}' GPU アクセラレーションを使用するかどうかは index.knn.remote_index_build.enabled からインデックスごとに設定可能です。 PUT <index-name> { "settings": { "index.knn": true, "index.knn.remote_index_build.enabled": true }, "mappings": { "properties": { "vector_field": { "type": "knn_vector", "dimension": 768 }, "text": { "type": "text" } } } } ベクトルグラフ構築の高速化は最大 10 倍にのぼり、ユーザーは GPU リソースの使用を全く意識する必要はありません。有効化にはまず、OpenSearch ドメインの設定をアップデートします。この設定変更によるダウンタイムの発生はありません。 詳細については こちら のブログを参照ください。 対処2.6：クエリの工夫 検索パフォーマンスに問題がある場合、しばしばクエリ設計を工夫するアプローチが有効です。一般に OpenSearch におけるクエリ設計の最適化は様々な要素があり、クエリの種類によって取ることのできるアプローチも異なります。 ここでは、 knn_vector フィールドへのクエリに対して取ることのできるアプローチを紹介します。 ef_search(対象：HNSW、バージョン2.16+) HNSW を使用している場合、クエリに対して ef_search として小さい値を指定することで、精度を落として検索速度を向上することができます。 ef_search はインデックスマッピング作成時に指定することができるパラメータですが、デフォルトは 100 となっており、クエリごとに調整することで、精度と検索速度のトレードオフを調整することが可能です。 GET /<index-name>/_search { "size": 2, "query": { "knn": { "my_vector": { "vector": [2, 3, 5, 6], "k": 2, "method_parameters": { "ef_search": 90 } } } } } HNSW ではこれ以外にもパラメーターが存在し、精度、レイテンシー、メモリ使用量のトレードオフを調整することができます。クエリのタイミングで指定できるパラメーターは ef_search のみであり、他のパラメーターはインデックス作成時に指定することができます。詳細に関しては こちら の資料を参考にしてください。 _sourceフィルタリングでベクトルデータ転送量を削減 ベクトル検索の多くの場合、ヒットしたドキュメントが持つベクトルデータはアプリケーションから直接利用されません。検索クエリで事前にベクトルデータを返さないように設定することでネットワーク転送や json シリアライゼーションのオーバーヘッドが削減され、結果的に検索レイテンシを低減する効果があります。 GET /<index-name>/_search { "_source": { "excludes": ["vector_field"] }, "query": { "knn": { "vector_field": { "vector": [...], "k": 5 } } } } まとめ 本ブログでは、OpenSearch Service において FAISS エンジンを使用したベクトル検索ワークロードを運用している際に発生しうるトラブルとして検索クエリに対するレイテンシーの増加に着目し、その原因究明と対処方法選択の考え方について紹介しました。一般的に OpenSearch を利用した検索のクエリパフォーマンスを改善する場合は、様々な要素が複雑に絡み合う場合があり、特に複数の検索条件、フィルター、集計などを併用している場合にクエリパフォーマンスに影響が出る場合が多いです。一方で今回取り上げたようにベクトル検索単体においてもそのパフォーマンスの改善の余地があり、適切にモニタリングをした上で改善施策を取ることが重要です。 OpenSearch Service の機能は継続的に拡充されているため、新機能を活用するためにもクラスターのバージョンアップグレードを定期的に検討することを推奨します。 著者 黒木 琢央 (Takuo Kuroki) アマゾンウェブサービスジャパン合同会社ソリューションアーキテクト 2024年4月入社。現在toCのITサービス提供企業におけるクラウド全般の技術支援を行いつつ、OpenSearchのコミュニティ活動や機能改善に取り組んでいます。

本記事は 2026 年 03 月 31 日 に公開された “ Enabling nested transactions in Amazon DynamoDB using C# ” を翻訳したものです。翻訳は Solutions Architect の嶋田 朱里が担当しました。 Amazon DynamoDB は、あらゆる規模の高性能アプリケーション向けに設計された、フルマネージド型のサーバーレス NoSQL データベースサービスです。この記事では、C# を使用して DynamoDB で ACID (原子性、一貫性、分離性、永続性) 準拠のトランザクションを管理するフレームワークを紹介します。このフレームワークは、ネストされたトランザクションのサポートを特徴としています。この機能により、.NET アプリケーション内でデータの一貫性とエラー処理をより細かく制御しながら、洗練されたロジックを実装できます。このネストされたトランザクションフレームワークを使用すると、問題を分離し、部分的なロールバックを可能にし、DynamoDB の組み込みトランザクション機能の上に保守可能でモジュール化されたワークフローを構築できます。 トランザクションフレームワークのおさらい ネストされたトランザクションに入る前に、このトランザクションフレームワークが何をするのかを簡単に振り返りましょう。 Amazon DynamoDB トランザクションフレームワーク は、DynamoDB の組み込みトランザクション機能を使った作業を効率化する C# ライブラリです。このフレームワークは以下を提供します。 トランザクションのライフサイクル (開始、コミット、ロールバック) を管理する TransactScope クラス 複数の DynamoDB テーブルにわたる ACID 準拠の操作の効率化 DynamoDB の TransactWriteItems および TransactGetItems API の低レベルの詳細 (複数のネストされたレベルにわたるトランザクションの調整やリクエストの構築など) を管理する抽象化レイヤー フレームワークに組み込まれたエラー処理と再試行ロジック このフレームワークは、複数の関連するデータアイテムを扱う場合でも、データの一貫性を維持する信頼性の高いアプリケーションの構築を支援します。在庫管理、金融取引、ユーザープロファイルの更新、または複数の DynamoDB 操作が単一のユニットとして成功または失敗する必要があるあらゆる状況で使用できます。 ネストされたトランザクションが重要な理由 ネストされたトランザクションにより、トランザクション操作を親トランザクションのスコープ内に存在させることができます。この機能は、エンタープライズグレードのシステムにおける柔軟性と堅牢性を向上させます。たとえば、システム内のモジュール化されたコンポーネントは、親トランザクション構造に影響を与えることなく独自のロジックをカプセル化でき、プロセスの一部で問題が発生した場合に部分的なロールバックを実行できます。エラーの影響範囲を発生元のトランザクション内に閉じ込めることで、ネストされたトランザクションはトランザクション全体の失敗のリスクを軽減し、フォールトトレランスを向上させ、システムのデバッグと保守をより容易にします。 サンプルアプリケーションの概要 ネストされたトランザクションを実際にどのように使用できるかを示すために、フレームワークの機能を紹介する サンプル Windows Forms アプリケーション を作成しました。このアプリケーションでは、複数レベルのネストされたトランザクションを通じてトランザクションの整合性を維持しながら、さまざまな製品タイプに対して一般的なデータ操作 (作成、削除、取得) を実行できます。 このサンプルアプリケーションは、ネストされたトランザクションが特に有効な、いくつかの一般的なシナリオを想定して作られています。 複雑なビジネスワークフロー : 複数の関連アイテム (e コマースの注文プロセスやコンテンツ管理の更新など) に変更を加える必要がある場合 エラーの分離 : プロセス全体をロールバックすることなく、特定の操作グループ内で障害を封じ込めたい場合 モジュール化されたシステム統合 : システムのさまざまなコンポーネントが独自のトランザクションコンテキストを維持する必要がある場合 次の画像の UI アプリケーションは、ネストされたトランザクションフレームワークを使用する DynamoDB Transaction Example というタイトルのフォームを提供します。これは、ネストされたトランザクションの仕組みを使って書籍、アルバム、映画を管理します。 主要な手順の流れは次のとおりです。 書籍、アルバム、映画用の DynamoDB テーブルを初期化するには、 Create Product Tables (Book, Album, Movie) を選択します。これは通常、管理者として処理する 1 回限りのセットアップ手順です。 テーブルが配置されたら、 Product Type ドロップダウンメニューから Album 、 Book 、または Movie を選択します。この選択により、フォームフィールドが製品の属性に合わせてカスタマイズされます。たとえば、 Album を選択すると Album Artist と Title の入力が求められ、 Movie では Director と Genre が求められます。 対応する製品の詳細を入力します。これらの詳細は、選択した製品カテゴリによって異なります。たとえば、書籍には著者名、タイトル、およびオプションで出版日が必要であり、映画には監督名、タイトル、ジャンルが必要です。フォームでは、製品エントリの追加、削除、取得を含むトランザクション操作を実行するオプションが提供されます。 このアプリでは、ネストされたトランザクションを使用して、複数のトランザクションを開始し、それぞれのトランザクション内でアイテムの追加や削除を行い、個別にコミットまたはロールバックできます。また、ネストされたトランザクションフレームワークの動作を確認できるよう、親トランザクションと子トランザクションの間を行き来できるナビゲーション機能も備えています。これにより、どの操作をどのトランザクションにまとめるかを細かく制御できます。現在のトランザクションの階層は括弧内の数字で表示され (たとえば、 Transaction (1) )、 Commit Transaction や Rollback Transaction などの操作は、現在の階層とその配下の子トランザクションに対して適用されます。 Album Artist や Title などのキーを提供することで、オプションで製品データを取得できます ( Retrieve Item を選択)。すべての応答 (成功メッセージ、エラー通知、または取得されたデータ) は、 Response Message フィールドと対応する製品属性ボックスに表示されます。 次の図は、DynamoDB でのネストされたトランザクションのシーケンスフローを示しています。親と子のトランザクションスコープがどのように相互作用して分離されたアトミック操作を提供するかを示しています。 フレームワークアーキテクチャ このフレームワークは、 TransactScope クラスを強化し、Composition や Chain of Responsibility などのデザインパターンを採用することで、ネストされたトランザクションをサポートします。 コミット操作は後入れ先出し (LIFO) の順序に従い、親の前に子の TransactScope を処理します。また、ロールバック操作も下位へと順次伝播するため、障害発生時には完全にクリーンアップされます。このシステムはスコープ間の双方向移動を可能にし、複雑なトランザクションフローの管理をより簡単にします。 アーキテクチャの適用性に関する注意: ここで提示されるフレームワークアーキテクチャ設計は、上記のサンプルアプリケーションでは C# で実装されていますが、他のすべてのオブジェクト指向プログラミング言語とプラットフォームに適用され、設計原則の幅広い適用性を保証します。 次の図は、カスタム TransactScope クラス構造を使用したネストされたトランザクションモデルを示しています。 _transactRequest プロパティは TransactWriteItemsRequest を保持し、DynamoDB の複数の書き込み操作 (Put、Update、Delete) を単一のトランザクションにバッチ処理するために使用されます。 _childTransactScope は TransactScope (具体的には子スコープ) を指し、この TransactScope 内にネストされたトランザクションが存在することを示します。逆に、 _parentTransactScope は親の TransactScope を指し、トランザクション間の親子関係を確立します。 レイヤードアーキテクチャ アプリケーションでネストされたトランザクションフレームワークを効果的に使用するには、そのレイヤードアーキテクチャを理解することが役立ちます。この設計は責務の分離を提供し、コードの保守性とテストのしやすさを向上させます。アーキテクチャは 4 つの主要なレイヤーで構成されています。 UI レイヤー : Windows Forms インターフェイスは、トランザクションの開始と管理のエントリポイントとして機能します。サービスレイヤーのメソッドを呼び出して、BeginTransaction()、CommitTransactionAsync()、RollbackTransaction() を実行し、トランザクションのライフサイクルを制御します。 サービスレイヤー : ProductService や TransactScope を含むこのレイヤーは、トランザクションのオーケストレーションを管理します。ネストされたスコープ間を作成およびナビゲートし、トランザクションロジックを一元化します。これは、トランザクション管理コードの大部分が存在する場所です。 データアクセスレイヤー : ここで、 ProductProvider は、サービスレイヤーによって提供されるトランザクションコンテキスト内で、挿入や削除などのデータ操作を実行します。このレイヤーで、ドメインオブジェクトの特定のデータアクセスロジックを実装します。 DynamoDB : 最下層では、DynamoDB が組み込みトランザクション API ( TransactWriteItems ) を通じてアトミックな実行をサポートし、すべての操作が成功するか、いずれも成功しないことを保証します。 設計のハイライト ワークフローは、使いやすさと堅牢性を向上させるコア機能を備えて設計されており、主に Begin/Commit/Rollback 構造を通じて実現されています。これにより、操作をアトミック (すべて成功するか、いずれも成功しない) にすることで、DynamoDB でのトランザクションの整合性と一貫性が保証されます。さらに、ネストされたトランザクションを使用する機能により、親スコープと子スコープを簡単に切り替えることで、より複雑でモジュール化されたワークフローが可能になります。 インターフェイスは、アクションを追跡するのに役立つ動的なフィードバックも提供します。トランザクションの深さインジケーター (括弧内に表示) は、操作がステージングされるにつれて更新され、ワークフローの現在の状態に関する明確な洞察を提供します。最後に、システムは統一されたインターフェイス内で複数の製品タイプ (書籍、アルバム、映画) をサポートします。これにより、同じトランザクションスコープ内で複数の DynamoDB テーブルにわたってアイテムを追加、削除、取得できます。サービスレイヤーでの一元化されたトランザクション管理により、責任が明確に分離され、DynamoDB が原子性を提供します。このレイヤードアプローチは、実世界のアプリケーションに必要な柔軟性を提供しながら、保守性を向上させます。 ネストされたトランザクションのベストプラクティス アプリケーションでこの設計を最大限に活用するには、次の実用的なガイドラインに従ってください。 DynamoDB の制限に注意する – DynamoDB の制限 (100 アイテム、トランザクションあたり 4 MB) 内に収まるように、トランザクションを短く保ちます。それに応じてデータモデルを計画してください。 再試行ロジックを実装する : DynamoDB トランザクションは、条件チェック、競合、または容量の問題により失敗する可能性があります。指数バックオフを使用した効果的な再試行メカニズムをアプリケーションに組み込んでください。 パフォーマンスを監視する : Amazon CloudWatch アラームを設定して、トランザクション競合率、レイテンシー、例外などのトランザクションメトリクスを追跡し、ボトルネックを早期に特定します。 ネストの深さを制限する : ネストされたトランザクションは柔軟性を提供しますが、過度のネスト (3 〜 4 レベルを超える) は、デバッグと保守が困難な過度に複雑な実行パスを作成する可能性があります。 実世界のユースケース フレームワークを理解したところで、独自のアプリケーションでネストされたトランザクションを適用できるいくつかの実用的なシナリオについて説明しましょう。 e コマースの注文処理 : 顧客が注文を行う場合、在庫レベルの更新、支払い情報の処理、注文レコードの作成が必要になる場合があります。ネストされたトランザクションを使用すると、支払い処理をサブトランザクションに分離でき、支払いが失敗した場合に独立してロールバックできます。 複数ステップのユーザー登録 : 初期ユーザープロファイルの作成、セキュリティ検証、アカウントの最終化など、複数の検証ステップを含む複雑な登録プロセスがアプリケーションに必要な場合、ネストされたトランザクションを使用して各段階の進行状況を追跡しながら、必要に応じて特定のステップをロールバックする機能を維持できます。 コンテンツ管理システム : 複数の関連エンティティ (記事、著者、カテゴリなど) への更新を必要とするコンテンツを公開する場合、ネストされたトランザクションは、特定のドメイン内で部分的な操作を可能にしながら一貫性を維持するのに役立ちます。 金融アプリケーション : 複数のアカウントや金融商品を含む操作の場合、ネストされたトランザクションは、アカウント管理コンテキスト、トランザクション処理コンテキスト、データ整合性コンテキストなどの特定の操作コンテキストを分離しながら、一貫性を提供するために必要なきめ細かい制御を提供します。 まとめ この記事では、C# を使用した Amazon DynamoDB でのネストされたトランザクションフレームワークを紹介しました。これにより、トランザクションワークフローでの制御と堅牢性が向上します。 TransactScope クラスを拡張することで、このソリューションは、コミットとロールバックの動作をより細かく制御しながら、複雑でモジュール化されたビジネス操作をモデル化する柔軟性を提供します。構造化された UI ワークフローと、UI レイヤー、サービスレイヤー、データアクセスレイヤーにまたがるレイヤードアーキテクチャは、すべての製品関連操作にわたってトランザクションの整合性、分離性、一貫性を提供します。 この実装の完全なソースコードは、 GitHub リポジトリ で入手できます。 著者について Jeff Chen Jeff は、AWS Professional Services のプリンシパルコンサルタントであり、生成 AI を活用したアプリケーションのモダナイゼーションと移行プロジェクトを通じて顧客を支援することを専門としています。生成 AI 以外にも、DevOps、データ分析、インフラストラクチャプロビジョニング、セキュリティなど、さまざまなドメインにわたってビジネス価値を提供し、組織が戦略的なクラウド目標を達成できるよう支援しています。

本ブログは 2026 年 3 月 31 日に公開された AWS Blog “ AWS Security Agent on-demand penetration testing now generally available ” を翻訳したものです。 本日 (2026 年 3 月 31 日)、 AWS Security Agent のオンデマンドペネトレーションテストの一般提供を開始しました。最も重要なアプリケーションだけでなく、すべてのアプリケーションに対して包括的なセキュリティテストを実施できるようになります。この一般提供開始により、ペネトレーションテストは定期実施というボトルネックから脱却し、AWS、Azure、GCP をはじめとするクラウドプロバイダーやオンプレミス環境全体で開発速度に合わせてスケールするオンデマンドの機能へと進化します。マルチクラウドに対応しているため、AWS Security Agent を使用してインフラストラクチャ全体のペネトレーションテストを一元管理できます。 AWS Security Agent は、手動のペネトレーションテストの数分の一のコストで、24 時間 365 日稼働する自律型ペネトレーションテストを提供します。多くの組織では、時間とコストの制約から、手動のペネトレーションテストを最も重要なアプリケーションに限定して定期的に実施しています。このアプローチでは、テストの合間にアプリケーションポートフォリオの大部分が脆弱性にさらされたままになるリスクがあります。AWS Security Agent を使用すれば、最も重要なアプリケーションだけでなく、すべてのアプリケーションを対象にペネトレーションテストの速度、頻度、カバレッジを向上させることができます。AWS Security Agent のアプローチにより、ペネトレーションテストの所要期間を数週間から数日に短縮でき、開発速度を維持しながらリスクにさらされる期間を大幅に削減できます。 プレビュー期間中、HENNGE株式会社は次のように述べています。「AWS Security Agent は、手動テストでは発見できなかった貴重なインサイトを提供し、HENNGE の製品やサービスの堅牢性向上に貢献してくれました。コンテキスト認識型のエージェンティック AI アプローチは従来の方法とは異なるインサイトを提供し、セキュリティの検出結果にとどまらず、貴重なアプリケーション改善点を明らかにしてくれます。これにより、セキュリティライフサイクルを大幅に加速し、一般的なテスト期間を 90% 以上短縮できます」。 オンデマンドペネトレーションテストの仕組み AWS Security Agent は、フロンティアエージェントと呼ばれる新しいクラスの自律型システムです。目標達成のために自律的に動作し、同時実行タスクに応じて大規模にスケールし、人間による常時監視なしで継続的に稼働します。高度なマルチステップ攻撃シナリオを通じてセキュリティ上の脆弱性の検出、検証、レポートを支援する専門的な AI エージェントをデプロイします。検証せずに検出結果を生成する従来のスキャナーとは異なり、AWS Security Agent はペネトレーションテスターとして動作します。潜在的な脆弱性の特定を支援し、その後ターゲットを絞ったペイロードと連鎖攻撃による悪用を試みることで、それらが実際のセキュリティリスクであることを検証します。 例えば、新しい決済処理機能をデプロイするケースを考えてみましょう。従来のペネトレーションテストでは、次のアセスメントのスケジュール (数週間から数か月先になることもあります) までリリースを遅らせるか、不確実性を残したままデプロイするかの選択を迫られます。AWS Security Agent を使用すれば、図 1 に示すように数分でペネトレーションテストを開始でき、数時間以内に検証済みの検出結果を受け取ることができます。これにより、重大な脆弱性が本番環境に持ち込まれる前に特定・修復でき、より確信を持ってデプロイできます。 図 1: 数分でペンテストを開始し、数時間以内に検証済みの検出結果を受け取る この検証アプローチにより誤検知を最小限に抑えるとともに、エージェントの推論プロセスを可視化します。エージェントは、攻撃の計画方法、使用するペイロード、悪用のために構築するツール、悪用の成功を検証する方法を提示することで、透明性を確保します。図 2 に示すように、各検出結果には共通脆弱性評価システム (CVSS) のリスクスコア、アプリケーション固有の深刻度評価、詳細な再現手順が含まれています。これにより、チームはスキャナーのノイズを調査する代わりに、確認済みの脆弱性への対応に集中できます。 図 2: 各検出結果には CVSS リスクスコア、アプリケーション固有の深刻度評価、詳細な再現手順が含まれる AWS Security Agent によるプロアクティブなコンテキスト認識型アプリケーションセキュリティの実現 AWS Security Agent は、静的アプリケーションセキュリティテスト (SAST)、動的アプリケーションセキュリティテスト (DAST)、ペネトレーションテストの機能を、単一のコンテキスト認識型エージェントに統合します。エージェントは、設計ドキュメント、アーキテクチャ図、Infrastructure as Code、ソースコード、ユーザーストーリー、脅威モデルを取り込むことで、アプリケーションの設計・構築・デプロイの方法を理解します。その上で、個々の脆弱性がどのようにつながり、より深刻度の高い連鎖攻撃を形成するかを特定します。こうした豊富なコンテキストにより、より品質の高い検出結果と、実行しやすい修復の推奨事項が得られます。 AWS Security Agent が検出する 3 つの検出結果の例 以下の検出結果の例は他のツールでも発見される可能性がありますが、それらのツールにはアプリケーションの設計・構築・使用方法や、各検出結果が連鎖攻撃の一部としてどのように悪用されるかについてのコンテキスト認識が欠けるため、個別に検出されたとしても適切に優先順位付けされない可能性があります。これらの検出結果はお客様が記述したカスタムコードに存在するため、必ずしも既知の CVE の脆弱性が存在するとは限らないため、ゼロデイ脆弱性の発見にあたります。 検出結果 1 – 格納型クロスサイトスクリプティング (XSS) (CVSS 6.1、中) : 脅威アクターがコメントフィールドにスクリプトをインジェクトし、標準的な HTTPS トラフィックを介して管理者のセッション Cookie をキャプチャできる可能性があります。SAST や DAST では、バックログ内の数百もの他の検出結果に埋もれる中程度の深刻度の入力検証問題として報告される可能性があります。アプリケーションのコンテキストがなければ、これが重大な連鎖攻撃への入口であることを認識するのは困難です 検出結果 2 – 管理者アクセスを介したセッションハイジャック (スコアなし) : 脅威アクターが、ハイジャックした管理者セッションを使用して制限付きエンドポイントにアクセスする可能性があります。このステップは、既存のどのツールカテゴリでも検出できません。SAST はランタイムセッションではなくコードを分析し、DAST は標準ユーザーとしてクロールします。エンドポイント検出と応答 (EDR) や拡張検出と応答 (XDR) では、他の正当なトラフィックに紛れた有効な HTTPS セッションとして認識されます。検出結果は生成されず、アラートも発生しません 検出結果 3 – 管理設定エンドポイントを介したデータベース認証情報の窃取 (CVSS 9.8、重大 – これまで未発見) : 管理パネルは /admin/config エンドポイントを公開しており、このエンドポイントは本番データベースの接続文字列 (プレーンテキストの認証情報を含む) などの環境変数を返します。脅威アクターは、ハイジャックした管理者セッションでこのエンドポイントを呼び出して認証情報を抽出し、顧客の個人を特定できる情報 (PII) を含む本番データベースに直接接続して、顧客データセット全体を窃取する可能性があります。SAST はコードが設計どおりに機能しているためフラグを立てません。DAST は管理パネルに到達しません。EDR や XDR は正当な認証済み API コールとして認識します AWS Security Agent が点と点をつなぐ ソースコードとドキュメントを取り込むことで、AWS Security Agent は /admin/config エンドポイントがデータベース認証情報を公開していることを特定します。これは SAST、DAST、またはソフトウェア構成分析 (SCA) スキャナーでは特定が困難です。SAST や DAST は、検出結果 1 を重大な連鎖攻撃への入口として認識できず、中程度の深刻度の個別の問題として報告する可能性があります。検出結果 2 は検出できません。SAST はセッションではなくコードを分析し、DAST は標準ユーザーとしてクロールし、EDR や XDR は正当なトラフィックに紛れた有効な HTTPS トラフィックとして認識するためです。検出結果 3 も報告されません。SAST は設計どおりに機能するエンドポイントにフラグを立てず、DAST は管理パネルに到達せず、EDR や XDR は正当な API コールとして認識するためです。プロダクト要件ドキュメント (PRD) からは、このエンドポイントが正当なトラブルシューティング目的で設計されたものの、認証ゲートウェイによって不正アクセスが防止されるという前提があったという重要なコンテキストが得られました。AWS Security Agent は 3 つの検出結果をすべて連鎖攻撃としてつなぎ合わせ、各ステップをテストした上で、攻撃全体が成功することを実証します。 脆弱性の連鎖が重大なリスクを生む 優先度の低い CVSS 6.1 の XSS から始まり、SAST や DAST といった自動化ツールでは検出が困難なステップを経て、CVSS 9.8 の重大なデータベース認証情報の窃取へとつながります。検出結果 1 は数週間バックログに放置され、開発者やセキュリティチームのアラート疲れの一因となります。検出結果 2 はどのツールでも検出されません。検出結果 3 は設計どおりの動作であるためフラグが立ちません。開発者は重大および高の検出結果を優先的に修正しますが、数百もの他の検出結果に埋もれた CVSS 6.1 は放置され、お客様は脆弱性にさらされたままになります。AWS Security Agent はアプリケーションコンテキストを活用し、3 つの個別の検出結果で構成されるシーケンス全体を、重大かつ検証済みの脆弱性として格上げします。これにより、より深いインサイトと推奨される修復策が得られ、誤検知が減り、費用対効果の高いペネトレーションテストが実現します。セキュリティチームは、現在のテスト対象を超えた幅広いアプリケーションポートフォリオに対して、継続的なペネトレーションテストを自信を持ってスケールできるようになります。開発中に十分なテストが行われていないアプリケーションにも対応可能です。AWS Security Agent はこれらのインサイトと推奨される修復策を数週間ではなく数時間以内に提供し、お客様がより安全なアプリケーションを迅速にリリースできるよう支援します。 Scout24 SE は、これらの機能の価値を実際に確認 「AWS Security Agent は、エージェンティックテストとソースコードのコンテキストを組み合わせてコード認識型アプリケーションセキュリティテストを実現し、従来の DAST を上回りました。他のアプローチでは検出されなかった、公開環境で悪用可能な重大な問題を特定しました。透明性の高い推論により、調査された攻撃パスと達成されたカバレッジを信頼できるようになりました」 – Abdul Al-Kibbe 氏 , Tech Lead, Security, Scout24 SE Bamboo Health は、自社での利用を通じてコンテキスト認識型検出の深さが実証できることを確認 「AWS Security Agent は、アプリケーションとそのコードを真に理解し、そのコンテキストをテスト中の発見内容とつなげることで、他のどのツールでも発見できなかった検出結果を明らかにしました。レガシースキャナーでは、Security Agent が発見した内容にはまったく及びませんでした。人間のペンテストチームでさえ通常は見つけられないような問題を可視化してくれました。防御する側の味方になってくれる AI ツールだと感じたのは初めてです」 – Travis Allen 氏、Bamboo Health、Manager of Security Operations 最初のペネトレーションテストのセットアップ ペネトレーションテストのセットアップは簡単で、以下のステップで構成されます。 論理的な境界としてエージェントスペースを作成する まず、各アプリケーションまたはプロジェクトのエージェントスペースを作成します。エージェントスペースは、アプリケーションのドキュメントやコードリポジトリを接続できる論理的な境界として機能します。エージェントは、ドキュメントやコードから得たアプリケーションコンテキストを使用して、実装に固有のテストケースを作成します。例えば、 Ecommerce Platform エージェントスペースを作成し、GitHub リポジトリ、API 仕様、アーキテクチャドキュメントを接続します。エージェントはこれらの資料を分析し、アプリケーションが決済処理やセッション管理、ユーザーストーリーをどのように処理するかを理解します。その上で、決済操作の脆弱性やセッションハイジャックのリスクなど、実装に固有のテストケースを作成します。 ドメイン所有権の検証を完了する テスト開始前に、DNS TXT レコードを追加するか、ドメインに検証ファイルをアップロードして、ドメイン所有権の検証を完了します。この必須ステップにより、テスト対象アプリケーションのテストが許可されていることを確認し、お客様と AWS の双方を保護します。ペネトレーションテスト実行時に遅延が発生しないよう、初期設定時にすべてのドメインに対してこの 1 回限りのセットアップを完了してください。 アプリケーションコンテキストを追加して精度と検出の深度を向上させる これは任意ですが、ソースコードとドキュメントを提供するとテストの精度が大幅に向上します。以下の情報を提供してください。 ソースコード : ホワイトボックステストを可能にし、実装固有の脆弱性を特定します。GitHub 統合でソースコードリポジトリを直接接続できます API 仕様 (OpenAPI または Swagger) : すべてのエンドポイント、パラメータ、認証要件を文書化し、エージェントが試行錯誤でエンドポイントを探索することなく包括的にテストできるようにします アーキテクチャドキュメント : エージェントがサービス間のやり取りや潜在的な連鎖攻撃を理解するのに役立ちます プロダクト要件ドキュメント : アプリケーションの目的、機能、ユーザーストーリーをエージェントが理解するのに役立ちます 既存の脅威モデル : エージェントが最もリスクの高い領域と既知の懸念事項に焦点を当てるよう誘導します あらゆる環境でテストする AWS Security Agent は、AWS、Azure、GCP、その他のクラウドプロバイダー、およびオンプレミス環境に対して動作します。URL を指定してパブリックエンドポイントを直接設定するか、VPC を通じてプライベートエンドポイントを接続し、インターネットに公開せずに内部アプリケーションを安全にテストできます。このマルチクラウドサポートにより、AWS Security Agent を使用してインフラストラクチャ全体のセキュリティテストを一元管理できます。 認証が必要なアプリケーションのテスト ほとんどの脆弱性はアプリケーションにサインイン後の認証済み領域に存在します。包括的にテストするために、さまざまなユーザーロールに対応する複数の認証情報を設定します。 カスタマー向け機能用の標準ユーザー認証情報 管理機能用の特権ユーザー認証情報 API 間認証用のサービスアカウント認証情報 二要素認証 (2FA) を含む多要素認証 (MFA) 複数の認証情報セットを使用してテストすることで、AWS Security Agent は権限昇格の脆弱性を特定できます。例えば、標準ユーザーが API パラメータを操作することで管理機能にアクセスできてしまうケースを発見します。 複雑な認証フローに対応するサインインガイダンスの提供 AWS Security Agent は、大規模言語モデル (LLM) ベースのサインイン機能を使用して、OAuth、SAML、Okta、MFA などの認証フローを処理します。明確なサインインガイダンスを提供することで、認証の成功率が大幅に向上します。以下はガイダンスの例です。 app.example.com/auth/login に移動する [Email or Username] フィールドに username を入力する [Password] フィールドに password を入力する [Sign In] を選択する 具体的な指示、段階的な手順、成功の検証基準を提供することで、エージェントが認証フローを確実に処理できるようになります。 検出結果から修復まで: セキュリティライフサイクルの全体像 AWS Security Agent で検出結果を確認し、修復に向けたアクションを実行します。 検証済みの実用的な検出結果 AWS Security Agent は、実際に悪用を試みることで潜在的な脆弱性を検証し、セキュリティリスクの存在を確認します。この検証アプローチにより誤検知が最小限に抑えられ、検出結果の手動検証にかかる時間を削減できるため、チームは修正が必要な実際の脆弱性に集中できます。 エージェントは CVE Bench v2.0 で 92.5% の成功率を達成 しており、実際の脆弱性を発見し検証する能力を実証しています。 各検出結果には、CVSS リスクスコア、アプリケーション固有の深刻度評価、詳細な再現手順、およびビジネスリスクを説明する影響分析が含まれます。例えば、E コマースアプリケーションでは、エージェントが価格操作の脆弱性を発見することがあります。攻撃者がチェックアウト時に商品価格を変更して無料で商品を入手できるという、売上に直接影響を及ぼす脆弱性です。 また、エージェントは脆弱性がどのように連鎖するかも特定し、深刻度の低い検出結果が重大な攻撃への入口となる可能性を示します。 レポートは PDF ファイルとしてエクスポートでき、経営層向けレポート、コンプライアンス文書、開発者への引き継ぎ、監査証跡に活用できます。 コード修正の提案を含む修復でプロセスを完結 従来のペネトレーションテストはレポートで終わり、その後、開発者が修正を調査、実装、デプロイするまでに数週間から数か月が経過します。AWS Security Agent はセキュリティライフサイクルを完結させます。 ペネトレーションテストを実行 し、確認済みの脆弱性を特定する 検出結果をレビュー し、重大な問題の優先順位を付ける 修復をトリガー し、コード修正を含むプルリクエストを生成する 開発者がレビューしてマージ – すぐに実装可能な修正を、数日ではなく数時間で適用 再テスト し、脆弱性が解決されたことを確認する 自信を持ってデプロイ – セキュリティの問題が対処済みであることを確認 オンデマンドペネトレーションテストの開始 AWS Security Agent のオンデマンドペネトレーションテストは、以下の AWS リージョンで利用可能です。 米国東部 (バージニア北部) 米国西部 (オレゴン) 欧州 (アイルランド) 欧州 (フランクフルト) アジアパシフィック (シドニー) アジアパシフィック (東京) 料金 料金体系はシンプルで明確です。料金は 1 タスク時間あたり 50 USD で、秒単位の従量課金です。タスク時間とは、AWS Security Agent がアプリケーションのテストを実際に実行している時間を指します。現在の実績に基づくと、平均的なアプリケーションテストには約 24 タスク時間を要し、ペネトレーションテストから修復までの標準的なコストは約 1,200 USD です。料金とフリートライアルの詳細については、 AWS Security Agent の料金ページ をご覧ください。 請求例: 小規模ウェブアプリケーション (8 タスク時間): 400 USD 中規模 E コマースプラットフォーム (24 タスク時間): 1,200 USD 大規模エンタープライズアプリケーション (48 タスク時間): 2,400 USD 注: 上記の請求例と概算コストはあくまで目安であり、保証されるものではありません。実際のコストは、アプリケーションの複雑さ、エンドポイントの数、認証メカニズム、コードベースの規模、必要なテストの深度など、さまざまな要因によって異なります。ペネトレーションテストの所要時間とコストは、アプリケーションの特性に応じて変動します。 AWS Security Agent を活用すれば、より迅速かつ頻繁に、より多くのアプリケーションに対して低コストでペネトレーションテストを実行できます。従来の手動ペネトレーションテストと比較して最大 70～90% のコスト削減を実現したお客様もいます。 セキュリティテストを変革する準備はできていますか？ 数分でエージェントスペースを作成し、初めてのペネトレーションテストを実行してみましょう。 AWS Security Agent の AWS マネジメントコンソール にアクセスする アプリケーションのエージェントスペースを作成する ドメイン所有権の検証を完了する コードリポジトリを接続し、ドキュメントを追加する 最初のペネトレーションテストを設定して実行する まとめ AWS Security Agent のオンデマンドペネトレーションテストにより、最も重要なアプリケーションだけを定期的にテストするのではなく、すべてのアプリケーションを継続的にテストできるようになります。まずは 1 つのアプリケーションから始めて、検証済みの検出結果と自動修復を体験し、その後ポートフォリオ全体へ包括的なセキュリティテストを拡大してください。 今すぐテストを開始するには、 AWS Security Agent にアクセスしてください。 Ayush Singh Ayush は AWS のシニアプロダクトマネージャーで、AWS Security Agent の開発をリードしています。エンタープライズグレード、オープンソース、エージェンティック AI プロダクトのスケーリングに豊富な実績があります。組織がセキュリティプラクティスを効果的にスケールするためのツール構築に注力しています。University of Rochester で MBA を、KIIT University でコンピュータサイエンスの B.Tech を取得しています。 Christopher Rae Christopher は AWS のプリンシパルワールドワイドセキュリティスペシャリスト兼 AI セキュリティ GTM リードです。AI ワークロードの保護、AI を活用したセキュリティ機能、進化する AI 脅威に対するレジリエンスに関する市場参入戦略を策定しています。セキュアバイデザインと多層防御ソリューションの啓蒙を通じて、安全な AI 導入の加速を推進しています。UC San Diego で MBA を、University of Maine で BA を取得しています。余暇にはグルメ旅行、ホッケー、スキー、新しい音楽の発見を楽しんでいます。 <!-- '"` --> 本ブログは Security Solutions Architect の 中島 章博 が翻訳しました。

PART1：ドキュメント指向データベースの活用と Amazon DocumentDB の選択 -検討編- AWA 株式会社は、1 億 8,000 万曲以上の楽曲を提供する音楽ストリーミングサービス「 AWA 」を運営しています。 独自のライブ配信機能「 AWA ラウンジ 」やフラワーチャット / フラワースタンプ（投げ銭）機能を備え、幅広いデバイスに対応しています。 2015 年のサービス開始当初から AWS 上でシステムを構築してきた同社は、2025 年にサービス基盤のデータベースを MongoDB on Amazon EC2 から Amazon DocumentDB （MongoDB 互換）へ移行しました。 本ブログシリーズでは、ドキュメント指向データベースの活用方法と Amazon DocumentDB への移行プロセス、そして移行後の効果について、全 2 回に分けてお客様の声を紹介いたします。 PART1（本記事） : ドキュメント指向データベースの活用と Amazon DocumentDB の選択 PART2 : 23 億ドキュメントの移行プロセスとコスト約 50% 削減の効果 移行検討の背景と課題 AWA では、マイクロサービスの実行基盤に Amazon ECS on AWS Fargate 、キャッシュに Amazon ElastiCache for Redis 、検索基盤に Amazon OpenSearch Service を採用するなど、「マネージドサービスへの集約」と「技術スタックの統一」を方針として掲げ、段階的にマネージドサービスへの移行を進めてきました。 その中で最後に残っていた大物が、Amazon EC2 上で MongoDB Cloud Manager を使用してセルフホストしていたデータベースでした。 この環境には、いくつかの運用上の課題がありました。 コストの高騰 : セルフホスト環境の運用コストに加え、Cloud Manager の仕様変更によりバックアップコストがさらに増大した。 スケールダウンの困難さ : ピーク時に合わせて拡張した 10 シャード 構成を縮小できなかった。 バージョンアップの負荷 : 複数環境のクラスターを個別にアップグレードする必要があり、その作業中に予期しないエラーでの中断が発生、サポートケースへの問い合わせが頻発した。 事業継続リスク : MongoDB クラスターの運用には専門的な知識が求められ、対応できるエンジニアが限られていた。担当者が不在の際の障害対応や、引き継ぎの難しさが事業継続上のリスクとなっていた。 当初は、MongoDB のシャード数を削減してスペックを調整し、コストを最適化する案も検討されていました。 しかし、シャードを減らすためのデータ退避が何ヶ月経っても完了せず、最終的に MongoDB 側の問題であることが判明しました。 この経験から、セルフホスト環境でのコスト最適化に限界を感じ、マネージドサービスへの移行に舵を切ることになりました。 2022 年にマネージド化の計画書が作成されましたが、本格的にプロジェクト化したのは 2025 年 4～5 月でした。 Cloud Manager のバックアップコスト高騰が最終的な決め手となり、約 4 年越しの移行プロジェクトが始動しました。 移行前のシステム構成 移行対象データベースの概要 項目 内容 DB エンジン MongoDB 4.4.29（Cloud Manager 管理） 構成 10 シャード、各シャードが レプリカセット インスタンス r6a.2xlarge × 20 台（データノード） ドキュメント数 約 23 億 ( TB 規模 ) 主な格納データ アーティスト情報、プレイリスト、ログイン情報、再生回数、AWA ラウンジ機能 アプリケーション言語 Go クエリパターン find、update、insert が中心（アグリゲーションパイプライン不使用） Read/Write 比率 約 30:1 以上（コンテンツ配信の特性上、Read ヘビー） AWA におけるドキュメント指向データベースの活用 AWA はサービス開始当初からドキュメント指向データベースを採用しており、そのデータモデルはサービスの特性と深く結びついています。 移行先の選定にあたっては、ドキュメント指向 DB であることが重要な要件でした。 スキーマレス設計：サービス無停止でのスキーマ変更 「スキーマレスのところが最高です。 AWA のポリシーとして、メンテナンスによるサービス停止をゼロに近づけたい。 ALTER TABLE のためにサービスを止めるようなことはできれば避けたいですからね。」 AWA では、新しいコレクション（RDB におけるテーブルに相当）の追加が 2～3 ヶ月に 1 回程度、既存コレクションのフィールド変更 ( RDB における列追加などに相当 ) が月 1～2 回程度の頻度で発生します。 ドキュメント指向データベースでは、これらの変更をサービスを停止することなく実施できます。 新しいフィールドを追加する際は後方互換を保つようにフォールバック処理をコードに組み込み、新しいフィールドがないドキュメントに対してもアプリケーション側で対応する運用を採用しています。 スキーマレスの柔軟性を活かしつつ統制を保つため、Go 言語の Struct 定義をスキーマの正として管理しています。 Go のフィールド定義がそのまま DB スキーマに反映される仕組みで、直接 DB を変更することはせず、必ず Go コードを通じてアクセスする運用です。 アプリケーションのクラス定義と DB のデータ構造が一致するため、RDB で必要になるようなオブジェクトとテーブル間のデータ変換が不要です。 開発者は DB の構造を意識せずにアプリケーションのコードに集中でき、変換処理に起因するバグも防げます。 RDB : アプリのオブジェクト → O/R マッピング → テーブル（変換が必要） ドキュメント指向DB : Go Struct → そのまま JSON ドキュメント 配列・ネスト構造：JOIN 不要のシンプルなクエリ AWA では、ドキュメント指向データベースの柔軟なデータモデリングを活用しています。以下に、2 つの活用例を紹介します。 配列の活用例：外部サービス連携の管理 ユーザーが連携を許可した外部サービスの ID を配列として保持し、「特定のサービスと連携しているユーザーを検索する」といったクエリを、外部キーや JOIN を使わずにシンプルに実現しています。 RDB では、ユーザーテーブルと連携サービステーブルを外部キーで関連付け、JOIN で結合する必要がある処理を、1 回のクエリで完結できます。 ネスト構造の活用例：認証情報の管理 ユーザードキュメント内に外部認証サービスのログイン情報をネストしたオブジェクトとして格納し、auth_provider.id のようなドット記法のクエリで、特定の外部認証サービスの ID でログインしているユーザーを直接検索できます。 RDB であれば外部キーと JOIN が必要になる処理を、1 回のクエリで完結できます。 非正規化設計：Read ヘビーなサービスに最適化 AWA のサービスはコンテンツ配信という特性上、Read に大きく寄っています。 この特性を活かし、あえて正規化せず 1 ドキュメントに関連する ID を配列で保持する設計を採用しています。 1 つのドキュメントを取得すれば関連するエンティティの ID が全て分かり、それらの実体を主キーで取得するという 2 段階のクエリで、必要なデータを効率的に取得できます。 クエリの運用性を高めるため、複雑なクエリやアグリゲーションパイプラインは使用しない方針を取っています。 MongoDB のバージョンアップで仕様が変わることがあったため、アグリゲーションが必要にならないようデータ構造自体を設計し、集計が必要な値は書き込み時にカウントアップする方式を採用しています。 これにより、読み込み時に集計処理を実行する必要がなくなり、Read の負荷軽減にもつながっています。 インデックス戦略：Read 最適化の設計 AWA では、アプリケーションから発行される全ての Read クエリに対して専用のインデックスを設定しています。 論理削除フラグには専用のインデックスを設け、日付範囲検索にもクエリごとのインデックスを用意するなど、Read 性能を最優先としたインデックス戦略です。 多数のコレクション・インデックスを運用していますが、クエリごとに専用インデックスを設計しているため、意図しない実行計画が選択されることはほとんどありません。 MongoDB ではクエリがパイプライン形式で実行されるため、RDB のように複数テーブルの JOIN で実行計画が複雑化しにくいという特性も寄与していると考えられます。 Amazon DocumentDB を選択した理由 AWA がこれらのドキュメント指向 DB の設計を維持しつつ、移行先として Amazon DocumentDB を選択した理由は大きく 3 つあります。 1. MongoDB 互換による低リスクな移行 「MongoDB にこだわりはなく、ドキュメント指向 DB であることが大事。 MongoDB との高い互換性がある Amazon DocumentDB が最も移行しやすかった。」 Amazon DocumentDB は MongoDB との互換性を備えており、AWA で使用していた find、update、insert といった基本的なクエリはそのまま動作しました。 2. 本番実績に基づく性能への信頼 AWA では移行前から別のワークロードで Amazon DocumentDB を利用しており、1 クラスター・1 ノードの xlarge～2xlarge 程度のインスタンスで高い書き込み性能を確認していました。 MongoDB で 10 シャードに分散していた処理を、Amazon DocumentDB の 1 クラスターで処理できるという仮説が、既に本番環境で裏付けられていました。 3. AWS への集約によるコストと運用の最適化 「AWS に集中していたほうがやりやすい。 セキュリティ的にも Amazon VPC 内で完結させたかった。」 MongoDB Atlas も検討しましたが、AWS 上で全てを管理したいという方針から Amazon DocumentDB を選択しました。 Amazon VPC 内で通信を完結させることでセキュリティ要件を満たしつつ、ネットワーク構成を簡素化できる点も決め手の一つでした。 また、Amazon DocumentDB はコンピューティングとストレージが分離されたアーキテクチャを採用しており、Read ヘビーな AWA のワークロードに対して Reader インスタンスを柔軟にスケーリングできます。 マネージドサービスとしての自動バックアップや PITR も、運用負荷の軽減に寄与すると判断しました。 なお、 Amazon DocumentDB Serverless も検討しましたが、11 月の Amazon EC2 Savings Plans 満了に合わせた移行スケジュールの中で検証時間を確保できなかったため、まずはインスタンスベースで移行し、今後の検証課題としています。 次回予告 PART1 で紹介したスキーマレス設計、配列・ネスト構造、非正規化設計、インデックス戦略といったドキュメント指向 DB の設計は、Amazon DocumentDB でどのように機能したのか。 PART2 では、23 億ドキュメントのニアゼロダウンタイム移行の具体的なプロセスと直面した課題、そしてコスト約 50% 削減を含む移行後の効果についてご紹介します。 [ Part 2 に続く ] 信田 悟至 氏 山下 剛史 氏 小林 健太郎 氏 AWA 株式会社 信田 悟至 氏 山下 剛史 氏 株式会社サイバーエージェント メディア統括本部 SRE 小林 健太郎 氏 本ブログは、データベーススペシャリストソリューションアーキテクトの藤田 将大とシニアソリューションアーキテクトの半場 光晴が執筆しました。

PART2：23 億ドキュメントの移行プロセスとコスト約 50% 削減の効果 -移行・効果編- PART1 では、 AWA がドキュメント指向データベースの特性をどのように活用しているか、そして Amazon DocumentDB の採用に至った経緯を解説しました。 PART2 では、23 億ドキュメントの大規模環境をニアゼロダウンタイムで Amazon DocumentDB へ移行した具体的なプロセスと、直面した課題、そして移行後の効果についてご紹介します。 移行前後のシステム構成 移行先の構成 移行前の環境は MongoDB 4.4.29、10 シャード・レプリカセット構成、r6a.2xlarge × 20 台（データノード）、23 億ドキュメントという大規模な環境でした（詳細は PART1 の移行対象データベースの概要を参照）。 移行先の Amazon DocumentDB の構成は以下の通りです。 項目 内容 インスタンス db.r6g.8xlarge（移行後に db.r8g.8xlarge に変更） ストレージ I/O-Optimized 構成 1 クラスター（Writer + Reader） I/O-Optimized ストレージを選択した理由は、コスト予測のしやすさです。 db.r8g への変更は、コスト最適化および Database Savings Plans への対応を目的としています。 移行スケジュール 本プロジェクトは、AWA の少人数の開発チームが自社で実施しました。 本格的なプロジェクトは 2025 年 4 月に始動し、以下のスケジュールで進められました。 時期 フェーズ 内容 2025 年 4～5 月 計画策定 移行対象の洗い出し、移行方式の決定 2025 年 6～7 月 準備 負荷試験環境の構築、データ連携ツール DB Sync の全コレクション対応 2025 年 8 月 負荷試験 通常営業負荷と AWA ラウンジ 高負荷の 2 種類を約 1 ヶ月実施 2025 年 10 月～ 並行運用・切り替え マイクロサービスごとに段階的に切り替え 2025 年 12 月中旬 完了 全マイクロサービスの切り替え完了 11 月に Amazon EC2 の Savings Plans が満了するタイミングに合わせてスケジュールを組みましたが、バッチ処理の切り替えに想定以上の時間がかかり、最終的に 12 月中旬の完了となりました。 データ移行の流れ データ移行は、自社開発のデータ連携ツール DB Sync を中心に、3 つのフェーズで実施しました。 AWS Database Migration Service (AWS DMS) の利用も検討しましたが、DB Sync で既にデータ連携運用の実績があり、それを流用するほうが安定した移行につながると判断しました。 DB Sync は MongoDB の Change Streams を利用したサブスクリプション形式のデータ同期ツールで、以前から一部コレクションの同期に利用していた実績がありました。 フェーズ 1：初期データロード mongodump / mongorestore を使用して、MongoDB 上の 23 億ドキュメントのデータを Amazon DocumentDB へ一括投入しました。 フェーズ 2：継続的データ同期 初期ロード完了後、DB Sync で MongoDB と Amazon DocumentDB 間のリアルタイム同期を開始しました。 DB Sync は MongoDB の Change Streams をサブスクライブし、変更イベントを Amazon DocumentDB へ書き込む仕組みです。 今回の移行では、以前の限定的なコレクション同期から全コレクション対応に拡張しました。 フェーズ 3：マイクロサービスごとの段階的切り替え 約 10 のマイクロサービスを、依存関係の少ないものから順に Amazon DocumentDB へ切り替えました。 切り替えは各サービスの DB 接続先を DNS レベルで変更する方式で、サービス停止はほぼ発生していません。 移行途中では、マイクロサービスによって参照先の DB が新旧で異なる状態が発生します。 そのため、サービス間の依存関係を考慮し、他のマイクロサービスへの影響が少ないものから順に切り替えを進めました。 切り戻しも考慮しており、実際に本番で一度切り戻しを実施しています（詳細は後述）。 移行時の課題と対応 Writer への負荷集中と切り戻し 本番環境で大規模な AWA ラウンジ（AWA 独自のライブ配信機能）イベントを実施した際、以前は 10 シャードに分散していた書き込みが 1 クラスターの Writer に集中し、サービスに影響が出ました。 再生ごとにカウントされるクエリがユーザー数分発生し、Writer がボトルネックとなりました。 事前に切り戻しの手順と判断基準を準備していたため、問題発生時に即座に旧環境への復旧を決断できました。切り戻しまでの間に発生した一部の書き込みデータは失われましたが、サービス全体への影響を最小限に抑えることを優先したビジネス判断でした。 その後、以下の対応を実施しました。 負荷試験の追加実施 : AWA ラウンジ高負荷を模した追加の負荷試験を実施しました。 書き込み頻度の調整 : インクリメント処理など、高頻度の Write クエリをアプリケーション側で最適化しました。 Reader/Writer の分離 : MongoDB 時代は全てのクエリを Writer（Primary）に送信していた設計を見直し、Amazon DocumentDB の Reader エンドポイントと Writer エンドポイントへの接続を明確に分離。それぞれ専用のドライバー設定を用意しました。 Amazon DocumentDB はコンピューティングとストレージが分離されたアーキテクチャを採用しており、Writer インスタンスとは独立して Reader インスタンスを柔軟に追加できます。 Read ヘビーな AWA のワークロードでは、この Reader/Writer 分離が特に重要でした。 「Reader と Writer を意識してアプリケーションを組むようになりました。 やらないと Writer に負荷が集中してしまい、Reader のスケールメリットを活かせません。 Amazon DocumentDB のベストプラクティスを学んで、頭を切り替えていきました。」 データ同期の課題 DB Sync を全コレクション対応に拡張した際、2 つの問題が発生しました。 1. 同期サーバーの過負荷 以前は限定的なコレクションのみ同期していたため、全コレクション対応で同期サーバーが過負荷になりました。 2. ObjectID 型のハンドリング 主キーの大半は String 型でしたが、一部コレクションで ObjectID 型が使われており、正しく同期されないケースが発生しました。 この問題は移行後に発覚し、迅速に対応を行いました。 データ同期ツールを使用する場合、データ同期ツール自体に精通しておくことだけでなく、全コレクションのスキーマとデータ型を事前に網羅的に把握しておくことが重要です。 TLS 通信と認証への対応 移行で最も工数がかかったのは、Amazon DocumentDB の TLS 通信と ID/パスワード認証への対応でした。 Amazon DocumentDB では TLS がデフォルトで有効化されており、以前の MongoDB 環境ではネットワーク隔離のみで認証を設定していなかったため、接続設定の変更が必要になりました。 「一番大変だったのは、ID/パスワード認証の対応でした。 以前の MongoDB では設定していなかったのですが、Amazon DocumentDB では必要となるため、これを機に認証と通信の暗号化を導入しました。」 結果的にセキュリティの向上につながりましたが、移行を検討される際は事前に認証設定の影響範囲を確認しておくことをお勧めします。 MongoDB 互換性 AWA では複雑なアグリゲーションパイプラインを使用しない方針を取っていたため、クエリの互換性問題はほとんど発生しませんでした。 find、update、insert を中心としたシンプルなクエリパターンにより、Web アプリケーションのクエリに関しては Amazon DocumentDB Compatibility Tool での事前確認でも問題は検出されませんでした。 一部、古いバッチ処理と Go 言語のドライバーで対応が必要な箇所がありましたが、影響は限定的でした。 PART1 で紹介したスキーマレス設計、配列・ネスト構造を活用したデータモデル、Read 最適化のインデックス戦略、Go Struct によるスキーマ管理といったドキュメント指向 DB の設計は、Amazon DocumentDB 上でも問題なく動作しています。 Amazon DocumentDB への移行の効果 移行前後の比較 項目 移行前（MongoDB on Amazon EC2） 移行後（Amazon DocumentDB） 構成 10 シャード、レプリカセット 1 クラスター（Writer + Reader） インスタンス r6a.2xlarge × 20 台 db.r8g.8xlarge（Writer + Reader） 月額コスト – 約 50% 削減 バージョンアップ 10 クラスター個別対応 マネージドサービスで一括管理 バックアップ Cloud Manager 20 世代管理 自動バックアップ + PITR スケール変更 シャード削減が困難（数ヶ月かかることも） Reader の追加・削除が容易 認証・暗号化 未設定（ネットワーク隔離のみ） TLS 通信 + ID/パスワード認証 ネットワーク MongoDB 専用サブネットで複雑な隔離構成 Amazon VPC 内でシンプルな構成 ※ 移行前コストには Amazon EC2、Cloud Manager、バックアップ、通信費を含みます。 コスト削減 データベース関連コストは約 50% 削減されました。 コスト試算は、ベストプラクティスドキュメントを参考に既存クラスターの CPU・メモリ使用率から必要スペックを机上計算し、負荷試験で実証した上で本番稼働させています。 さらに、Database Savings Plans の適用により追加で約 20% の削減を見込んでいます。 性能 20 台の Amazon EC2 インスタンス（10 シャード構成）から 1 クラスターへの集約にもかかわらず、レスポンスタイムに大きな変化はありませんでした。 コンテンツ配信という特性上 Read ヘビーなワークロードであり、Amazon DocumentDB の Reader インスタンスを活用して Read 処理を分散させることで、台数を大幅に削減しつつ性能を維持できています。 MongoDB のシャーディング構成ではスケールダウンに数ヶ月を要することもありましたが、Amazon DocumentDB では Reader の追加・削除が容易です。 運用 マネージドサービスの活用により、特定のエンジニアに集中していたバージョンアップやノード障害対応の負荷が軽減され、スロークエリの改善などアプリケーション本来の改善に注力できるようになっています。 モニタリングについては、 Datadog と連携した Amazon DocumentDB 用監視ダッシュボードを構築し、フェイルオーバー検知には AWS Chatbot を使用して Slack に通知する体制を整えています。 今後は、Amazon DocumentDB の クローン機能 を活用し、本番データを用いた負荷試験環境の迅速な構築にも役立てていく予定です。 補足：Amazon DocumentDB の クローン機能 とは 本番クラスターのデータを短時間かつ追加ストレージコストを抑えてコピーできる機能です。コピー元とコピー先でストレージを共有する Copy-on-Write 方式のため、クローン作成時点ではデータの物理コピーが発生せず、大規模なクラスターでも高速にクローンを作成できます。 セキュリティ 移行前は MongoDB 用に専用サブネットを作成し、複雑なネットワーク構成で隔離していました。 Amazon DocumentDB への移行により、TLS 通信と ID/パスワード認証が導入され、ネットワーク構成も簡素化されました。 10 年以上前に構築された初期のネットワーク構成を、移行のタイミングで整理できたことも副次的な効果です。 移行を検討されている方へ 本プロジェクトを通じた気づきとして、以下の点に留意されることをおすすめします。 「反省として、流れてくる Write クエリの頻度とタイミングを事前に詳細に把握しておくべきでした。」 Write クエリの頻度とパターンを事前に詳細に把握する : シャーディング構成から 1 クラスターへの集約では、Writer への負荷集中が最大のリスク。特にイベント時など負荷が変動するワークロードでは、ピーク時の Write パターンを把握した上で負荷試験を実施することが重要です。 Reader/Writer の分離設計を事前に計画する : Amazon DocumentDB のアーキテクチャを活かすため、アプリケーション側で Reader と Writer を意識した設計に変更することをお勧めします。 TLS 通信と認証の影響範囲を事前に確認する : Amazon DocumentDB では TLS と認証がデフォルトで有効化されているため、MongoDB で未設定の場合は接続設定の変更が必要です。 データ同期ツールを使用する場合、全コレクションのスキーマを網羅的に把握する : 特にデータ型の違い（String vs ObjectID など）に注意が必要です。 「相当凝ったクエリでもなければ MongoDB のまま移行できると思います。今回は ID/パスワード認証の対応が最も大変でした。」 今後に向けて 「今回の移行はラスボスぐらいの強敵でしたが、やっと倒せました。 マネージドで、気持ちの面でも運用の面でも楽になりました。 副次的に、ドライバーのアップグレードや通信の暗号化など、気になっていた部分を改善するきっかけにもなりました。 今後は Database Savings Plans の適用や Amazon DocumentDB Serverless の検証を進め、さらなるコスト最適化を目指していきます。 マネージドに極力寄せていける構成にしていきたいです。」 「これまでバージョンアップやノード障害の対応に追われていましたが、今後はスロークエリの改善など、本来注力すべき領域に集中できるようになりました。 Amazon DocumentDB では Reader の増減やスペックの上げ下げも柔軟にできると期待しています。」 まとめ AWA 株式会社は、MongoDB on Amazon EC2 から Amazon DocumentDB への移行により、以下の成果を達成しました。 データベースコスト約 50% 削減 （さらに Database Savings Plans で約 20% の追加削減を見込み） 23 億ドキュメントのニアゼロダウンタイム移行 20 台の Amazon EC2 インスタンスから 1 クラスターへの集約 （性能を維持） 運用負荷の大幅軽減 と属人化の解消 セキュリティの向上 （TLS 通信、認証、ネットワーク構成の簡素化） 2022 年の構想から約 4 年。 マネージドサービスへの集約という一貫した方針のもと、大規模移行を完遂した AWA の事例は、MongoDB 環境から Amazon DocumentDB への移行を検討している企業にとって、具体的な道筋を示すものです。 Amazon DocumentDB の詳細については、以下のリソースをご参照ください。 Amazon DocumentDB のベストプラクティス Amazon DocumentDB のベストプラクティス MongoDB からの移行に使えるドキュメント Amazon DocumentDB と MongoDB の機能的な違い Amazon DocumentDB への移行ガイド Amazon DocumentDB 移行 Runbook Amazon DocumentDB の便利なツール群 以下のツールは Amazon DocumentDB Tools リポジトリで公開されています。 compat-tool — MongoDB との互換性チェック index-tool — インデックスの分析・最適化 migration — 移行支援ツール sizing-tool — サイジング見積もり monitoring — モニタリング performance — パフォーマンス分析 operations — 運用支援 信田 悟至 氏 山下 剛史 氏 小林 健太郎 氏 AWA 株式会社 信田 悟至 氏 山下 剛史 氏 株式会社サイバーエージェント メディア統括本部 SRE 小林 健太郎 氏 本ブログは、データベーススペシャリストソリューションアーキテクトの藤田 将大とシニアソリューションアーキテクトの半場 光晴が執筆しました。

みなさん、こんにちは。ソリューションアーキテクトの片山です。 近年、医療機関におけるセキュリティ対策の重要性が高まっています。厚生労働省の「医療情報システムの安全管理に関するガイドライン」の改定にも見られるように、電子カルテシステムをはじめとする医療情報システムの安全な運用に向けて、組織的なセキュリティ対策の強化がこれまで以上に求められています。 こうした背景を踏まえ、2026 年 3 月 31 日にヘルスケア業界のお客様を AWS にお招きして「ヘルステック企業向け セキュリティインシデント疑似体験 GameDay」を開催しました。今回はそのイベントのご紹介や当日の雰囲気をお伝えし、セキュリティへの取り組みを知っていただければ幸いです。 AWS GameDay とは AWS GameDay は、AWS ソリューションを利用してチーム単位で現実世界の技術課題を実際に体験し取り組む、AWS が提供するユニークなトレーニングプログラムです。実践的なクラウドスキルを楽しみながら習得でき、特に今回のセキュリティインシデント疑似体験 GameDay はクラウドセキュリティに特化したプログラムとして評価いただいています。 このプログラムの特徴は、実際の AWS 環境で発生しうるセキュリティインシデントをシミュレーションし、参加者がチームとなって対応するという点です。例えば、不正アクセスの検知、データ漏洩インシデントの調査、マルウェア感染への対処など、現実世界で直面する可能性のある様々なセキュリティ課題に取り組みます。 参加者は、 Amazon GuardDuty 、 AWS CloudTrail といった実際の AWS セキュリティサービスのログを SIEM on Amazon OpenSearch Service というソリューションから確認し、インシデントの検知から対応までを体験します。このワークショップ形式の学習により、座学だけでは得られない実践的なスキルと経験を積むことができます。 イベントの様子 2026 年 3 月 31 日、目黒 にて「ヘルステック企業向け セキュリティインシデント疑似体験 GameDay」を開催しました。ヘルスケア業界から 18 社、46 名のエンジニアの皆さまにお集まりいただきました。 参加者の皆さまは 3 名ごとのチームに分かれ、AWS 環境でセキュリティイベントが検知されたものの原因が特定できないというシナリオのもと、実際の SIEM 環境を操作して制限時間 2 時間の中でインシデントの調査に取り組みました。 会場では各チームが真剣にログを分析しながらも、ゲーミフィケーションの要素によりリアルタイムでスコアが可視化されるため、チーム間で競い合いながら楽しく学ぶ姿が印象的でした。多くの参加者は既に AWS 上でシステム開発・運用をされており、セキュリティへの意識も高く、非常に活気のあるイベントとなりました。 ワークショップ終了後は表彰式と解説セッションを行い、今回のシナリオで実際に何が起きていたのかを AWS から解説させていただきました。インシデントの検出にはまずは Amazon GuardDuty が効果的であり、根本原因と被害範囲の調査のためにはしっかりと必要なログを保管し、いつでも取得できるような状態にしておくことが肝要です。その後は懇親会にてヘルスケア業界に関わる技術者同士や AWS メンバーとの交流を深めていただきました。 参加者からのフィードバック イベント後のアンケートでは高い満足度の評価をいただき、参加者の 100% が「イベントを通じて学びがあった」と回答いただきました。 特に好評だったのはシナリオのリアルさです。「事象のシナリオとログ内容がかなり現実に近く、具体感をもって取り組めました」「ログ分析の奥深さを感じました」といった声が多く寄せられました。解説セッションについても「ログからセキュリティ侵害の攻撃シナリオを解説していただけたのが大変学びになりました」と、座学では得られない深い理解につながったという感想をいただいています。 「障害が発生した時にまずやるべきことが分かり、今後の運用に活かしていきたい」「普段から GuardDuty を利用していますが、何を見ればいいのか、ログの見方について理解できるようになりました」など、日々の業務に直結する学びを得られたという声も印象的でした。 まとめ セキュリティインシデントへの対応は、実際に発生してから学ぶのでは遅すぎます。AWS GameDay は、安全な環境で事前に経験を積み、実際のインシデント発生時に適切に対応できる体制を整えるための貴重な機会です。 今回の GameDay で得た学びを次のアクションにつなげるために、AWS では AWS セキュリティ成熟度モデル をご用意しています。このモデルは、組織のセキュリティ対策の現在地を把握し、次に取り組むべき施策を明確にするためのフレームワークです。このブログを読んでいただいている皆さまも、インシデント検知や調査のプラクティスが、自組織ではどの段階にあるのかを確認してみてはいかがでしょうか。セルフチェック用の評価シートもございます。詳細は https://maturitymodel.security.aws.dev/ja/assessment-tools/ をご覧ください。 AWS ではこれからもヘルスケア業界の皆さまに貢献できるよう、クラウド技術のご紹介や各種イベントを実施いたします。積極的に活用いただけますと幸いです。 著者 Yohei Katayama (AWS Japan, Public Sector, Healthcare Solutions Architect) Akihiro Nakajima (AWS Japan, Public Sector, Security Solutions Architect)

本記事は 2026 年 4 月 2 日に公開された Nima Kaviani による “ MiniMax M2.5 and GLM-5 are now in Kiro ” を翻訳したものです。 Kiro のオープンウェイトモデルへのネイティブサポートを拡充してきました。最近では MiniMax M2.5 に続き、GLM-5 も Kiro IDE および CLI から直接利用できるようになりました。Kiro はすでにコスト・コンテキスト長・速度のバランスが異なる多様なモデルをサポートしています。今回の 2 つの追加により、その幅がさらに広がり、開発者やチームが目の前の作業に応じてモデルを選択できる余地が増えました。 モデルの詳細 各モデル が持つ特徴と、得意とする用途について詳しく見ていきましょう。 MiniMax M2.5 （クレジット乗数 0.25x）— クエリごとに 100 億パラメーターを活性化するスパース MoE (Mixture of Experts) モデルです。わずか 4 分の 1 のクレジットコストで、SWE-Bench Verified において 80.2% のスコアを記録しており、Claude Sonnet を超えた初のオープンウェイトモデルとして、Claude Opus 4.6（80.8%）に次ぐ位置につけています。Kiro の中でも最もコスト効率の高いモデルの一つです。MiniMax M2.1 と比較して複雑なエージェントタスクを 37% 高速に完了します。コードを書く前に機能を分解して構造をマッピングするため、マルチステップの実装作業や長時間のエージェントセッションに優れています。また、10 以上の言語（Go、C、C++、TypeScript、Rust、Kotlin、Python、Java、JavaScript など）にわたる強力な多言語サポートを提供し、Web、Android、iOS、Windows にまたがるフルスタックプロジェクトにも対応しています。継続的なコーディングセッションや反復的な実装作業に対して、高速かつコスト効率の高いモデルをお求めであれば、MiniMax M2.5 は有力な選択肢です。 GLM-5 （クレジット乗数 0.5x）— 200K コンテキストウィンドウを備えた大規模 MoE モデルです。GLM-5 は長期的なエージェントワークフローに最適化されています。リポジトリ規模のコンテキストを処理し、大規模なコードベースにわたるマルチステップのツール使用において一貫性を維持することに優れています。クロスファイルのマイグレーション、フルスタックの機能開発、あるいはモデルが全体像を把握する必要があるレガシーリファクタリングなどのユースケースが該当します。深いコンテキストが求められる複雑なアーキテクチャ変更に取り組んでいる場合は、GLM-5 を試してみる価値があります。 IDE と CLI で試してみましょう これらのモデルは現在、 IDE のモデルセレクター および Kiro CLI から実験的サポートとして利用できます。MiniMax M2.5 は AWS US-East-1（バージニア北部）および AWS EU-Central-1（フランクフルト）リージョンで利用可能です。GLM-5 の推論は AWS US-East-1（バージニア北部）リージョンで実行されます。 また、Kiro にすでに搭載されているオープンウェイトモデルへのアクセスも拡大しました。MiniMax M2.1、Qwen3 Coder Next、Deepseek V3.2 は、IAM Identity Center（IdC）経由で認証しているユーザーを含む全ユーザーが利用できるようになりました。推論をワークロードに近づけるため、MiniMax M2.1 と Qwen3 Coder Next は AWS US-East-1（バージニア北部）に加えて AWS EU-Central-1（フランクフルト）リージョンでも利用可能です。 設定不要、ルーティング不要、追加セットアップ不要でモデルを選んですぐに作業を始められます。モデルを切り替えたり、特定のプロジェクトタイプにデフォルトを設定したり、Auto に任せたりと、ワークフローに合わせてご利用ください。エンタープライズチームの場合、管理者は モデルガバナンス を使用して、利用可能なモデルをコンプライアンスおよびデータレジデンシーの要件に合わせることができます。いつものように、ぜひ試してみて、 使い心地をお聞かせください 。どのモデルが好評で、どのような課題が残っているかを注視しています。次にサポートしてほしいモデルがあれば、 ぜひご要望をお寄せください 。 翻訳は Solutions Architect の吉村 が担当いたしました。

皆さんの多くと同じく、私も親です。そして、皆さんと同じように、自分の子どもたちのために築いている世界について考えています。これが、私たちの多くにとって 2026 年 3 月 31 日のリリースが重要な理由の 1 つです。同日、 AWS Sustainability コンソール のリリースを発表いたしました。これは、すべての AWS サステナビリティレポートとリソースを 1 か所に統合するスタンドアロンサービスです。 2019年、Amazon は The Climate Pledge (クライメイト・プレッジ) により、2040 年までに事業全体でネットゼロカーボン (温室効果ガス排出量実質ゼロ) を達成するという目標を設定しました。この取り組みが、AWS によるデータセンターとサービスの構築方法を形作っています。さらに、AWS は、お客様が自身のワークロードの環境フットプリントを測定し、削減できるよう支援することにも努めています。AWS Sustainability コンソールは、その方向への最新の 1 歩です。 AWS Sustainability コンソールは、 AWS 請求コンソール 内にある Customer Carbon Footprint Tool (CCFT) に基づいて構築されており、お客様からご要望のあった新しい機能セットを取り入れています。 これまで、二酸化炭素排出量データにアクセスするには請求レベルのアクセス許可が必要でした。その結果、実際的な問題が生じていました。サステナビリティの専門家や報告チームが、コストや請求データにアクセスできない (またアクセスすべきではない) ことがよくあったのです。適切な人が適切なデータにアクセスできるようにするには、持続可能性のワークフローを念頭に置いて設計されていない許可構造とうまく折り合いをつける必要がありました。AWS Sustainability コンソールには、請求コンソールから独立した独自のアクセス許可モデルがあります。サステナビリティの専門家が排出量データに直接アクセスできるようになったため、請求へのアクセス許可の付与も必要ありません。 コンソールには、お客様の AWS の使用状況に起因する スコープ 1、2、3 の排出量 が含まれており、AWS リージョンやサービス ( Amazon CloudFront 、 Amazon Elastic Compute Cloud (Amazon EC2) 、 Amazon Simple Storage Service (Amazon S3) など) 別の内訳が表示されます。基盤となるデータと手法は、今回のリリースで変わっていません。これらは CCFT が使用しているものと同じです。変更したのは、データへのアクセス方法と操作方法です。 サステナビリティ報告の要件がますます複雑になるにつれ、チームには排出量データへのアクセスと操作をより柔軟に行う必要が生じています。これを受け、コンソールに Reports ページを追加しました。このページでは、市場ベースの手法 (MBM) とロケーションベースの手法 (LBM) の両方のデータを対象とする、事前設定済みの月次および年次の炭素排出量レポートをダウンロードできます。含めるフィールド、時間粒度、およびその他のフィルターを選択し、カスタムのカンマ区切り値 (CSV) レポートを作成することも可能です。 組織の会計年度が暦年と一致しない場合は、レポート期間に合わせてコンソールを設定できるようになりました。これを設定すると、すべてのデータビューとエクスポートに会計年度および四半期が反映され、財務チームとサステナビリティチームが並行して作業する際の共通の摩擦点がなくなります。 新しい API または AWS SDK を使用して、排出量データを独自のレポートパイプライン、ダッシュボード、またはコンプライアンスワークフローに統合することもできます。これは、データエクスポートを設定せずに多数のアカウントにおいて特定の月のデータを引き出す必要があるチームや、既存の AWS Organizations 構造と一致しないカスタムアカウントグループを確立する必要がある組織に役立ちます。 リリースされた最新の機能や手法の更新については、 [詳細] タブの「 リリースノート 」ページをご覧ください。 実際の動作を見てみましょう Sustainability コンソールをお見せするために、 AWS マネジメントコンソール を開き、画面上部の検索バーで「サステナビリティ」を検索しました。 [炭素排出量] のセクションでは、二酸化炭素換算量 (MTCO2e) をメートルトン単位で推定できます。これは MBM と LBM で表されたスコープ別の排出量を示しています。画面の右側では、日付範囲を調整したり、サービスやリージョンなどでフィルターしたりできます。 なじみのない方のために説明すると、スコープ 1 には所有または管理されている発生源からの直接排出 (データセンターの燃料使用など) 、スコープ 2 には購入したエネルギーの生産による間接排出 (MBM はエネルギー属性証明書を考慮し、LBM は地域の平均グリッド排出量を使用する)、スコープ 3 にはサーバー製造やデータセンター建設など、バリューチェーン全体にわたるその他の間接排出が含まれます。詳細については、サードパーティーのコンサルタントである Apex が独自に検証 した 当社の手法に関するドキュメント をご覧ください。 API または AWS コマンドラインインターフェイス (AWS CLI) を使用して、プログラムで排出量データを取得することもできます。 aws sustainability get-estimated-carbon-emissions \ --time-period='{"Start":"2025-03-01T00:00:00Z","End":"2026-03-01T23:59:59.999Z"}' { "Results": [ { "TimePeriod": { "Start": "2025-03-01T00:00:00+00:00", "End": "2025-04-01T00:00:00+00:00" }, "DimensionsValues": {}, "ModelVersion": "v3.0.0", "EmissionsValues": { "TOTAL_LBM_CARBON_EMISSIONS": { "Value": 0.7, "Unit": "MTCO2e" }, "TOTAL_MBM_CARBON_EMISSIONS": { "Value": 0.1, "Unit": "MTCO2e" } } }, ... ビジュアルコンソールと新しい API の組み合わせにより、引き続き利用可能な データエクスポート に加えて、データを操作する方法が 2 つ追加されました。コンソールでホットスポットを調べて特定し、ステークホルダーと共有したいレポートを自動化できるようになりました。 Sustainability コンソールは成長するように設計されています。お客様とともにコンソールの機能を拡張し、引き続き新機能をリリースする予定です。 今日から始めよう AWS Sustainability コンソールは、追加費用なしで本日からご利用いただけます。AWS マネジメントコンソールからアクセスしてください。履歴データは 2022 年 1 月まで記録されているため、すぐに排出量の傾向を調べることができます。 今すぐ コンソール の使用を開始しましょう。持続可能性に対する AWS の取り組みについて詳しく知りたい場合は、「 AWS の持続可能性 」ページをご覧ください。 – seb 原文は こちら です。

みなさん、こんにちは。AWS ソリューションアーキテクトの野間です。4 月は新年度のスタートということで、新入社員として新たにクラウドや生成 AI の世界に飛び込まれた方も多いと思います。そうしたみなさんが最新のトレンドや実践的な活用例をキャッチアップする一助として、このブログを日々の情報収集や学習に役立てていただければ幸いです。日本のお客様向けに、生成 AI の実用化を支援する各種プログラムや事例も増えてきており、「どのように始めるか」だけでなく「どうスケールさせるか」「どう安全に運用するか」といった観点でのベストプラクティスも見え始めています。新しくご入社された方も、すでにクラウドに取り組まれている方も、ぜひご自身のプロジェクトやキャリアの文脈に引き寄せながら読んでいただければと思います。 それでは 3月 30 日週の生成 AI with AWS界隈のニュースを見ていきましょう。 さまざまなニュース AWS生成AI国内事例ブログ「 大成株式会社様の AWS 生成 AI 活用事例「Amazon Bedrock と Amazon Q Developer で非エンジニアが実現する契約書管理 AI エージェントの構築」のご紹介 」 ファシリティマネジメントや不動産投資事業を展開する大成株式会社様が、社内にエンジニアを擁さない状況の中、Amazon Bedrock と Amazon Q Developer を活用して契約書管理 AI エージェントを構築した事例です。非エンジニアのプロジェクトマネージャーが中心となり、Amazon Q Developer の自然言語によるコード生成支援と Amazon Bedrock 上の Claude による高度な PDF 文書解析を組み合わせることで、従来数十分かかっていた契約書からの情報抽出を数分に短縮（作業時間を約 70〜80% 削減）することに成功しました。「社内にエンジニアがいない」「開発リソースが限られている」という企業が抱えがちな課題に対して、業務を最もよく知る現場の担当者自身が AWS の生成 AI サービスを組み合わせて実用的なシステムを作り上げたこの事例は、スモールスタートで業務改善の成果を出すアプローチとして参考になります。 ブログ記事「 Agentic AIの運用化 Part 1: ステークホルダー向けのガイド 」 AWS Generative AI Innovation Center（GenAIIC）が 1,000 社以上の AI 本番移行支援から得た知見をもとに、Agentic AI を実業務に定着させるためのフレームワークを解説した記事です。多くの企業が AI パイロットを立ち上げながら実運用に至らない根本原因は「テクノロジーのギャップ」ではなく「オペレーティングモデルの欠如」にあるとし、成功している組織に共通する「仕事の詳細定義」「エージェントの自律性の境界設定」「継続的な改善の習慣化」という 3 つの要素を示しています。エージェント化に適した業務の見極め方（明確な開始・終了・目的、複数ツールを横断した判断、成功の測定可能性、安全な失敗モード）も具体的に説明されており、経営陣からビジネスオーナーまで幅広いステークホルダーが今日から取れるアクションをすぐに実践できる内容で、Agentic AI を活用している・これから活用を検討しているすべてのユーザーにとって、PoC 止まりを防ぎ本番稼働へと踏み出すための実践的な道標となる一記事です。 ブログ記事「 Agentic AIの運用化 Part 2: ペルソナ別のガイダンス 」 Part 1 で示した「Agentic AI の障壁はテクノロジーではなくオペレーティングモデルにある」という知見を受けて、AWS Generative AI Innovation Center（GenAIIC）が事業部門オーナー・CTO・CISO・CDO・Chief AI Officer・コンプライアンス責任者それぞれの役割に応じた実践的なガイダンスを提示しています。事業部門オーナーにはエージェントを KPI に直結させるジョブディスクリプション作成、CTO にはスケーラブルなエージェント基盤設計、CISO にはエージェントを「同僚」として扱うアイデンティティとポリシー管理、CDO にはデータの一貫性とガバナンス整備、Chief AI Officer には評価システムこそが真のプロダクトであるという考え方、コンプライアンス責任者には監査を想定した設計など、それぞれの責任に即した具体的なアクションが示されており、Agentic AI を「実験」から「本番稼働」へと引き上げるために誰が何をすべきかを職責ごとに明確に整理した内容は、生成 AI 活用を組織全体で推進しようとしているあらゆるステークホルダーにとって、今すぐ行動に移せる実用的なロードマップになっています。 ブログ記事「 AWS DevOps Agent の一般提供開始のお知らせ 」 AWS やオンプレミス環境を横断してインシデントの自律的な調査・解決・予防を行う AI エージェント「AWS DevOps Agent」が一般提供（GA）を開始し、東京リージョンを含む世界 6 リージョンで利用できるようになりました。GA にあわせて、Triage Agent による重複インシデントの自動検出、コードリポジトリのインデックスを活用したコードレベルの根本原因特定、PagerDuty・Grafana・Azure DevOps などの新規インテグレーション、プライベート接続やカスタマーマネージドキーによるエンタープライズ対応機能、そしてブラウザのロケール設定に応じてエージェントの応答を日本語を含む各言語に翻訳するローカライゼーション機能も追加されています。 ブログ記事「 「Physical AI on AWS 勉強会 #1」を開催しました 」 AWS ジャパンが「フィジカル AI 開発支援プログラム」の採択企業向けに開催した勉強会 の内容をまとめた記事で、ロボットなどの物理世界で動く AI（Physical AI）を AWS 上で開発するためのリファレンスアーキテクチャと、すぐに使えるサンプルコード集「Physical AI Scaffolding Kit（PASK）」が紹介されています。シミュレータでの合成データ生成から Amazon SageMaker HyperPod による分散学習、AWS IoT Greengrass を活用したエッジへのモデル配信までの一気通貫な開発サイクルを AWS 上で構築する方法が具体的に解説されており、ロボティクスや自動化システムの開発に取り組む企業・エンジニアにとって、Physical AI 開発の全体像と AWS 活用の実践的な出発点を得られる内容です。また、VLA（Vision-Language-Action）モデルという新しい AI アーキテクチャへの理解を深めたい生成 AI ユーザーにとっても、言語・視覚・行動を統合したモデルが実際にどのようなインフラで学習・運用されるのかを把握できる参考事例となっています。 ブログ記事「 Amazon OpenSearch Service のエージェント AI でオブザーバビリティとトラブルシューティングを効率化 」 Amazon OpenSearch Service の OpenSearch UI に、オブザーバビリティとトラブルシューティングを大幅に効率化する 3 つのエージェント AI 機能（エージェントチャットボット・調査エージェント・エージェントメモリ）が組み込まれました。エージェントチャットボットは現在表示中のコンテキストを理解して自然言語でクエリを自動生成し、調査エージェントは複数のインデックスをまたぐシグナルを plan-execute-reflect 方式で自律的に相関分析して仮説駆動型の根本原因レポートを生成します。複雑なログ分析に多大な時間を費やしてきた運用チームにとってアラートから根本原因の特定までを短時間で到達できるようになります。 ブログ記事「 Kiro のエンタープライズガバナンス: MCP サーバーとモデルを管理する 」 AI コーディング IDE「Kiro」に 2 つの新しいエンタープライズガバナンス機能が追加されました。管理者が承認済み MCP サーバーを JSON 形式のレジストリでホワイトリスト管理できる「MCP サーバーレジストリ」と、組織内の開発者が利用できる AI モデルを制限できる「モデルガバナンス」です。MCP レジストリは起動時・24 時間ごとに同期され、未承認サーバーへの接続を防止します。モデルガバナンスはデータレジデンシー要件への対応にも有効で、実験的モデルを承認完了まで無効化できます。これらの機能は Kiro IDE 0.11.28 / CLI 1.23 以降のエンタープライズユーザー向けに提供されます。 ブログ記事「 MiniMax M2.5 と GLM-5 が Kiro に追加 」 AI コーディング IDE「Kiro」に、新たにオープンウェイトモデルの MiniMax M2.5 と GLM-5 が追加され、Kiro IDE および Kiro CLI から利用できるようになりました。MiniMax M2.5 はクレジット消費が 0.25 倍という低コストながら SWE-Bench Verified で 80.2% を達成（オープンウェイトモデルとして初めて Claude Sonnet を超えた性能）した高速なモデルで、複数ステップのエージェントタスクや繰り返しの実装作業に強みを持ちます。米国東部（バージニア北部）と欧州（フランクフルト）リージョンで利用可能です。GLM-5 は 200K のコンテキストウィンドウを持つ大規模 MoE モデルでリポジトリ規模の長期的なエージェントワークフローに最適化されています。こちらは米国東部（バージニア北部）リージョンで利用可能です。 サービスアップデート Amazon Bedrock AgentCore Evaluations が一般提供を開始 AI エージェントの品質を自動評価する「Amazon Bedrock AgentCore Evaluations」が一般提供（GA）を開始し、アジアパシフィック（東京）を含む 9 リージョンで利用できるようになりました。本番トラフィックをサンプリングしてリアルタイムにスコアリングするオンライン評価と、CI/CD パイプラインや開発ワークフローに組み込めるオンデマンド評価の 2 種類を提供しており、応答品質・安全性・タスク完了率・ツール使用状況をチェックする 13 種類の組み込み評価器に加え、期待値との比較（Ground Truth）や Python・JavaScript による完全カスタム評価ロジックにも対応しています。AI エージェントを本番稼働させているユーザーにとっては品質劣化をいち早く検知できる仕組みが整い、生成 AI を活用しているエンジニアにとっても AgentCore Observability との統合によって評価・監視を一元管理できるようになる点は、Agentic AI を信頼性高く運用していく上で欠かせないアップデートです。 Amazon Bedrock Guardrails がクロスアカウントセーフガードの一般提供を開始 Amazon Bedrock Guardrails に、組織内のすべての AWS アカウントにセーフガードを一元適用できる「クロスアカウントセーフガード」が一般提供（GA）となりました。管理アカウントで設定したガードレール ID を Amazon Bedrock ポリシーに指定するだけで、組織内のすべてのメンバーアカウントや組織単位（OU）に対するすべての基盤モデル呼び出しに自動的にコントロールが適用されるため、アカウントごとに個別設定する運用負荷を削減できます。 Amazon OpenSearch Service がログ分析向けエージェント AI 機能を提供開始 Amazon OpenSearch Service に、エンジニアリングチームや運用チームが自然言語でログデータを分析できるエージェント AI 機能が追加され、東京 を含む 9 リージョンで追加費用なし（トークン使用量の制限あり）で利用できるようになりました。自然言語で質問して PPL クエリを自動生成・修正する「エージェントチャット」、根本原因を自律的に仮説立案・検証・ランク付けして報告する「調査エージェント」、セッションをまたいで会話を継続できる「エージェントメモリ」の 3 機能が提供されており、複雑なクエリ言語を書かなくてもインシデント調査を効率化することができます。 Amazon S3 Vectors が 17 の追加リージョンに拡張 クラウドオブジェクトストレージとして初めてベクトルのネイティブな保存・クエリをサポートする「Amazon S3 Vectors」が、大阪 を含む17のリージョンに拡張され、合計 31 リージョンで利用可能になりました。1 つのベクトルインデックスに最大 20 億ベクトルを保存でき、インフラのプロビジョニング不要で最大 1 万のベクトルインデックスに弾力的にスケール、頻繁なクエリでは 100 ミリ秒という低レイテンシも実現します。Amazon Bedrock Knowledge Bases とネイティブ統合されているため、RAG（検索拡張生成）やセマンティック検索に大規模なベクトルデータを低コストで活用したい生成 AI ユーザーにとっては、今回の拡張でデータレジデンシー要件を満たしながらより身近なリージョンで運用できるようになった点が嬉しいアップデートです。 GLM-5 が Kiro に追加 Kiro に、200K のコンテキストウィンドウを持つ大規模 MoE（Mixture of Experts）モデル「GLM-5」のサポートが追加され、Kiro IDE および Kiro CLI からエクスペリメンタルサポートとして利用できるようになりました。GLM-5 はリポジトリ規模の大量コンテキストを処理しながら複数ステップのツール利用にわたって一貫性を維持することに長けており、クロスファイルマイグレーション・フルスタック機能開発・レガシーコードのリファクタリングといった「全体像をモデルに把握させながら進める」複雑な作業に適しています。推論は米国東部（バージニア北部）リージョンで実行され、クレジット消費は 0.5 倍で、モデルセレクターから利用するには IDE または CLI の再起動が必要です。長いコンテキストを扱う生成 AI ユーザーにとっては、大規模コードベースを丸ごと扱う用途で Claude 系モデルとの使い分けを検討できる新たな選択肢が加わったことになります。 今週は以上です。それでは、また来週お会いしましょう！ 著者について 野間 愛一郎 (Aiichiro Noma) AWS Japan のソリューションアーキテクトとして、製造業のお客様を中心に日々クラウド活用の技術支援を行なっています。データベースやデータ分析など、データを扱う領域が好きです。最近天ぷらを(食べるのではなく)揚げるほうにハマってます。

本記事は 2026 年 3 月 23 日に公開された Phill Shaffer, Doug Clauson の “ A new look for the Kiro CLI ” を翻訳したものです。 私たちはターミナルが大好きです。この記事を読んでいるあなたも、きっとそうでしょう。CLI には、スピード、集中力、そして直接性という独特の魅力があります。速く、反応が良く、即座に結果が返ってくる。Kiro CLI はすでに、エージェントとの直接チャット、計画の作成、複数ステップにわたる処理の実行といった機能を通じて、エージェント型コーディングの力をターミナル環境にもたらしています。そして、さらに良い体験を追求した結果、新しいデザインへの刷新が必要だという結論に至りました。 本日、Kiro CLI の刷新された UX をご紹介します。いつでも以前の体験に戻せる「実験的モード」として提供するので、ぜひフィードバックをお聞かせください。 Kiro CLI をインストール して、コマンドラインで kiro-cli --tui と入力するだけで試せます。 なぜ実験的モードなのか？ 私たちは自分たちの成果を誇りに思っていますが、毎日使ってくれる方々の声を聞きながら、より良いものに仕上げていきたいと考えています。既存の体験と並行して提供することで、現在の作業の流れを妨げることなく新しい UX を試せます。両方が並行して動作し、コミュニティから「準備ができた」という声が上がったタイミングでデフォルトに切り替えます。移行はシームレスで、ユーザー側での追加作業は一切不要です。試してみた感想は、 Discord の #kiro-cli-v2-ux-feedback チャンネル、または CLI 内の /feedback コマンドでお寄せください。 なぜ UX を刷新するのか？ 最初の CLI（Kiro CLI の前身）をリリースした当時、私たちは AI エージェントをターミナルに持ち込んだ最初期のエージェント型開発体験のひとつでした。CLI とエージェントを組み合わせるというアイデアは未開拓の領域であり、動くプロダクトを素早くユーザーの手に届けるため、1 行ずつ出力する方式を採用しました。それは機能し、高速でもありましたが、バイブコーディングや計画立案、サブエージェントの活用など、さまざまな用途で Kiro を使う開発者が増えるにつれ、そのアプローチの限界を感じるようになりました。 エージェントとのやり取りをストレスなく行えるようにしたい。エージェントが作業中でも、割り込んだり、方向を変えたり、主導権を握り続けられるようにしたい。モダンなターミナルユーザーインターフェイス（TUI）に期待される / コマンドや @ コンテキストといった便利な機能を提供したい。そして、サブエージェントやマルチエージェントチームといった、より複雑な処理を見据えたとき、それらの野心に応えられる基盤が必要だと確信しました。 そこで、表示レイヤーだけでなく、ターミナル上でエージェントと対話するための新しいデザイン言語として、ゼロから作り直しました。ターミナルは上から下へと出力されます。私たちはその自然な流れを大切にしたいと考えました。統合ターミナルのような制約のある環境にも適応できるよう、画面スペースを尊重した設計にしています。その結果、CLI らしさをそのままに、エージェント型コーディングの可能性を最大限に引き出す本格的な TUI が完成しました。 何が変わるのか 新しい体験では、以下の機能が利用できます。 ライブ統合ステータス :&nbsp; Kiro エージェントと作業しているとき、エージェントの応答に合わせてリアルタイムで更新されるステータスバーが表示されます。ツールの実行状況、進行中の会話、さらには行単位の差分まで、すべてが統一された一貫性のある UX に統合されています。断片的な表示はもうありません。エージェントがファイルを読んでいるのか、コードを書いているのか、bash コマンドを実行しているのかにかかわらず、今まさに何が起きているのか、そしてセッション内で何が行われたのかを常に把握できます。 常時表示の入力エリア :&nbsp; 入力エリアは常に利用可能です。次のメッセージを入力したり、Escape キーで割り込んだり、エージェントの方向を変えたりと、待つことなく操作できます。エージェントがツールの実行許可を求めるとき、入力エリアのすぐ上にスナックバーが表示され、「許可」「拒否」「常に信頼」といった明確な選択肢が示されます。ターミナルをあちこち探し回る必要はありません。エージェントが作業中でも、あなたが主導権を握り続けられます。 スラッシュコマンドと @ コンテキスト :&nbsp; `/` と入力するとドロップダウンで利用可能なコマンドが表示されます。`@` を使えば会話にコンテキストを追加できます。従来の GUI に期待されるような便利な機能を、慣れ親しんだターミナル環境を離れることなく利用できます。 コンテキストオーバーレイ: コンテキストウィンドウの管理や使用状況・クレジットの確認が必要なときは、新しいパネルシステムがプロンプトエリア内にオーバーレイ表示されます。GUI のサイドパネルのような感覚で、ターミナルにネイティブに統合されています。 ご意見をお聞かせください 皆さんのフィードバックが、CLI のさらなる UX 向上に欠かせません。良かった点、改善してほしい点、次に見たい機能など、何でもお聞かせください。皆さんからのご意見をお待ちしています！ ターミナルで kiro-cli --tui を実行してみてください。感想は Discord の #kiro-cli-v2-ux-feedback チャンネル、または CLI 内の /feedback コマンドでお寄せください。詳細については、 ドキュメント もご覧ください。 翻訳はApp Dev Consultantの宇賀神が担当しました。

本記事は 2025 年 8 月 14 日 に公開された「 How to use 3ds Max with service-managed fleets on AWS Deadline Cloud 」を翻訳したものです。 AWS Deadline Cloud のマネージドインフラストラクチャを活用しつつ、 Autodesk 3ds Max をワークフローで使い続けたいスタジオやアーティストにとって、両立は難しい課題となる場合があります。本記事では、 設定スクリプト（host config script） を使ってサービスマネージドフリート ( SMF ) 上で 3ds Max を有効にする方法を紹介します。これによってマネージドインフラストラクチャの利便性と 3ds Max の機能を組み合わせ、レンダーノードを自前で管理する負荷を軽減しながら、レンダリングパイプラインの柔軟性を高めることができます。 前提条件 開始前に、以下を準備してください。 AWS Deadline Cloud を使用するための AWS アカウント。 Windows インスタンスを使用する SMF が 1 つ関連付けられたキューを持つ Deadline Cloud ファーム。既存環境への影響を避けるため、3ds Max 専用のキューを新規作成することを推奨します。 Deadline Cloud モニター がインストール済みで、ファーム用のプロファイルが作成済みであること。 Autodesk からダウンロードした 3ds Max 2024 のインストールファイル (フォルダのルートに Setup.exe があることを確認してください)。 3ds Max 2024 がインストールされた Windows ワークステーション 3ds Max 用 Deadline Cloud サブミッター 注意 : Autodesk 3ds Max には AWS とは別のライセンス要件があります。作業を進める前に、適切なライセンスを保有していることを確認してください。詳細は Autodesk Cloud Rights for 3ds Max を参照してください。 3ds Max インストールパッケージの準備 まず、フリートワーカーにデプロイするための 3ds Max インストールファイルを準備します。 3ds Max 2024 のインストールフォルダを 3ds_max_2024_full.zip という名前の zip パッケージに圧縮します。 図 1: 3ds Max インストールフォルダを zip ファイルに圧縮する。 AWS Deadline Cloud コンソールに移動し、 Farms and other resources に進みます。 ファーム を選択し、次に キュー を選択します。 キューの詳細ビュー で、 Job Attachments を選択します。 バケット名 をクリックして S3 コンソールでバケットを開きます。 バケット内に resources という新しいフォルダを作成します。 作成した resources フォルダに 3ds_max_2024_full.zip ファイルをアップロードします。 図 2: 3ds Max インストール zip ファイルを S3 バケットにアップロードする。 S3 バケットの権限設定 設定スクリプトはフリートの IAM ロール で実行されます。フリートワーカーが 3ds Max インストールファイルにアクセスできるよう、フリートの IAM ロールに適切な S3 バケット権限を付与する必要があります。 AWS Deadline Cloud コンソール に移動し、ファームおよび他のリソース（ Farms and other resources ） に進みます。 ファーム を選択し、次に フリート を選択します。 フリートの詳細画面内から 、 Fleetサービスロールへのリンク をクリックします。 ロールの許可ポリシーに以下のインラインポリシーを追加します。&lt;your-bucket-name&gt; と &lt;your-account-id&gt; 部分の記述を実際の値に置き換えてください。 { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::&lt;your-bucket-name&gt;", "arn:aws:s3:::&lt;your-bucket-name&gt;/resources/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "&lt;your-account-id&gt;" } } }] } 図 3: フリート IAM ロールに S3 権限を追加する。 ワーカー設定スクリプトの作成 次に、フリートワーカーの起動時に 3ds Max をインストールするワーカー設定スクリプトを作成します。 AWS Deadline Cloud コンソールに移動し、ファームおよび他のリソース（Farms and other resources）に進みます。 ファーム を選択し、次に フリート を選択します。 フリートの詳細画面内 で、 設定 （ Configurations） タブを選択します。 「ワーカー設定スクリプト（Worker configuration script）」セクションで、 スクリプトを作成（Create） または 編集（Edit） &nbsp;をクリックします。 図 4: フリート設定でワーカー設定スクリプトにアクセスする。 スクリプトエディタに以下の PowerShell スクリプトを貼り付けます。 &lt;your-bucket-name&gt; を S3 バケット名に置き換えてください。 mkdir C:\3dsmax_setup Write-Host " --- Downloading from S3 --- " aws s3 cp --no-progress s3://&lt;your-bucket-name&gt;/resources/3ds_max_2024_full.zip C:\3dsmax_setup\3dsmax.zip Write-Host " --- Expanding Archive --- " Expand-Archive C:\3dsmax_setup\3dsmax.zip C:\3dsmax_setup\ Write-Host " --- Starting Install --- " Start-Process -FilePath "C:\3dsmax_setup\3dsMax2024\Setup.exe" -ArgumentList "-q" -Wait -PassThru Write-Host " --- Post install setup --- " [Environment]::SetEnvironmentVariable("Path", "C:\Program Files\Autodesk\3ds Max 2024;" + [Environment]::GetEnvironmentVariable("Path", "Machine"), "Machine") &amp; "C:\Program Files\Autodesk\3ds Max 2024\Python\python.exe" -m ensurepip &amp; "C:\Program Files\Autodesk\3ds Max 2024\Python\python.exe" -m pip install deadline-cloud-for-3ds-max [Environment]::SetEnvironmentVariable("3DSMAX_EXECUTABLE", "C:\Program Files\Autodesk\3ds Max 2024\3dsmaxbatch.exe", "Machine") [Environment]::SetEnvironmentVariable("PYTHONPATH", "C:\Program Files\Autodesk\3ds Max 2024\Python;C:\Program Files\Autodesk\3ds Max 2024\Python\Scripts", "Machine") [Environment]::SetEnvironmentVariable("Path", "C:\Program Files\Autodesk\3ds Max 2024\Python;C:\Program Files\Autodesk\3ds Max 2024\Python\Scripts;" + [Environment]::GetEnvironmentVariable("Path", "Machine"), "Machine") 図 5: 3ds Max インストールコマンドでワーカー設定スクリプトを編集する。 重要: 3ds Max のインストールが完了するまで十分な時間を確保するため、スクリプトのタイムアウトを 1200 秒 (20 分) に更新してください。 スクリプトを作成（Create）、または保存（Save） をクリックして変更を適用します。 図 6: スクリプトのタイムアウトを 1200 秒に設定する。 注意: スクリプトはフリートワーカーの起動時に実行されます。フリート内に既に実行中のワーカーがある場合、新しく設定したスクリプトは実行しないでください。 キュー環境（Queue environments）の設定 デフォルトのキュー環境は、サブミットされたジョブに必要なソフトウェア依存関係をインストールする仕組みです。サブミッターはデフォルトのキュー環境の定義を認識し、いくつかのソフトウェア依存関係を自動設定します。3ds Max の場合、Condaのサポートがないため、サブミッターが利用できないソフトウェア依存関係を誤って設定してしまいます。 設定スクリプトが必要な依存関係のインストールを処理するため、これ自体は問題ありませんが、ジョブ定義が存在しないCondaなどの依存関係を要求すると、ジョブが失敗します。 この問題を回避するため、デフォルトのキュー環境（Conda）を削除します。 フリートの詳細 ビューで、 Associated queues タブを選択し、 キュー を選択します。 キューの詳細 ビューで、 Queue environments タブを選択します。 デフォルトのキュー環境が存在する場合、 デフォルトのキュー環境（Conda） を選択して 削除（Delete） をクリックします。 図 7: デフォルトのキュー環境が存在する場合は削除する。 注意: デフォルトのキュー環境が必要な場合はそのまま引き続き使用できますが、サブミッターの値が自動で設定されるため、 サブミッター内の Conda Packages プロパティを手動で上書きします 。これはジョブをサブミットするたびに操作が必要です。 3ds Max レンダリングジョブのサブミット フリートが 3ds Max をサポートするよう設定できたので、レンダリングジョブをサブミットできます。フルレンダリングジョブをサブミットする前に、設定が正しく動作しているか検証することを推奨します。 ワークステーションで 3ds Max を開き、最小限の 3ds Max シーン (基本的なシーンの 1 フレームをレンダリングするなど) でテストジョブを準備します。 3ds Max 用 Deadline Cloud サブミッターを使用して、設定済みのフリートに関連付けられた キュー にジョブをサブミットします。 図 8: 3ds Max から Deadline Cloud にレンダリングジョブをサブミットする。 Deadline Cloud モニターを開き、ジョブモニター（ Job Monitor） 画面に移動してジョブの進捗を確認します。 図 9: Deadline Cloud モニターで 3ds Max レンダリングジョブを監視する。 メリット 設定スクリプトを使って AWS Deadline Cloud で 3ds Max レンダリングを実装すると、クラウドのスケーラビリティと既存の 3ds Max ワークフローを両立できます。パフォーマンス、コスト効率、運用の効率化をバランスよく実現でき、現在のプロセスを大きく変更する必要はありません。 AWS Deadline Cloud の柔軟性を活かし、マネージドサービスの恩恵を受けながら、レンダリング環境を要件に合わせてカスタマイズできます。 このアプローチのメリットは以下のとおりです。 レンダーノードを自前で管理する運用負荷が削減。 需要に応じたレンダリングキャパシティの自動スケーリング。 既存の 3ds Max ワークフローとの互換性の維持。 トラブルシューティング 3ds Max レンダリングジョブで問題が発生した場合の一般的なトラブルシューティング手順を紹介します。 インストールの失敗 : Deadline Cloud コンソールの ワーカーログを確認 し、3ds Max のインストールプロセスでエラーが発生していないか確認してください。 依存関係の不足 : 3ds Max のプラグインや機能によっては、追加の依存関係が必要な場合があります。ワーカー設定スクリプトを変更して、必要な依存関係をインストールします。 タイムアウトの問題 : タイムアウトによりインストールが繰り返し失敗する場合は、スクリプトのタイムアウトを 1200 秒以上に増やしてください。失敗しなくなるか、1 時間の上限に達するまで 300 秒ずつ増やしてみてください。 権限エラー : フリートの IAM ロールに S3 バケットと 3ds Max インストールファイルへのアクセスに必要な権限が正しく設定されているか確認してください。 まとめ 本記事では、設定スクリプトを使って AWS Deadline Cloud のサービスマネージドフリートで Autodesk 3ds Max を有効にする方法を紹介しました。このアプローチにより、マネージドインフラストラクチャの利便性を活かしつつ、レンダリングパイプラインで 3ds Max を使用できます。 ビジネスの加速を支援する方法については、 AWS の担当者 にお問い合わせください。 関連リソース 3ds Max 向け設定スクリプトの最新の活用方法は、 Deadline Cloud Samples リポジトリ で確認できます。 さらに詳しく知りたい場合は、以下のリソースを参照してください。 AWS Deadline Cloud ドキュメント SMF の設定スクリプト Autodesk 3ds Max ドキュメント Deadline Cloud for 3ds Max GitHub リポジトリ Jair Ruiz Jair Ruiz is a Software Engineer building products for digital content creation at AWS. 参考リンク AWS Media Services AWS Media &amp; Entertainment Blog (日本語) AWS Media &amp; Entertainment Blog (英語)&nbsp; AWS のメディアチームの問い合わせ先: awsmedia@amazon.co.jp ※ 毎月のメルマガをはじめました。最新のニュースやイベント情報を発信していきます。購読希望は上記宛先にご連絡ください。 翻訳は Visual Compute SSA 森が担当しました。原文は こちら をご覧ください。

本記事は 2026 年 4 月 3 日 に公開された「 Introducing OpenTelemetry &amp; PromQL support in Amazon CloudWatch 」を翻訳したものです。 Kubernetes やマイクロサービスのワークロードを AWS で実行している場合、メトリクスには namespace、pod、container、node、deployment、replica set、カスタムのビジネスディメンションなど、多数のラベルが付いているでしょう。環境全体を把握するために、メトリクスパイプラインを分割しているケースも多いはずです。AWS メトリクスには Amazon CloudWatch を使い、高カーディナリティ (多数のラベルの組み合わせを持つ) なコンテナやアプリケーションのメトリクスには別の Prometheus 互換バックエンドを使う、といった具合です。さらに進んだチームでは、Prometheus CloudWatch エクスポーターで GetMetricData API を呼び出し、AWS リソースメトリクスを Prometheus バックエンドに取り込んでいることもあります。運用負荷とコストは増えますが、すべてを一箇所でクエリできるようになります。 Amazon CloudWatch で OpenTelemetry メトリクス のネイティブ取り込みと、 Prometheus Query Language (PromQL) によるクエリがサポートされました。このプレビュー機能では、メトリクスあたり最大 150 ラベルをサポートする高カーディナリティメトリクスストアが導入され、ラベルの多いメトリクスを変換や切り捨てなしで CloudWatch に直接送信できます。AWS Vended メトリクスの自動エンリッチメントと組み合わせることで、CloudWatch がインフラストラクチャ、コンテナ、アプリケーションメトリクスの一元的な送信先になり、すべて PromQL でクエリできるようになりました。 本記事では、以下の内容を説明します。 AWS アカウントで OpenTelemetry メトリクスの取り込みと AWS リソースの自動エンリッチメントを有効化する方法 Amazon Elastic Kubernetes Service (Amazon EKS) クラスターに Amazon CloudWatch Container Insights をデプロイする方法 Amazon CloudWatch と Amazon Managed Grafana で PromQL を使ってインフラストラクチャと AWS リソースのメトリクスをクエリする方法 OpenTelemetry SDK でカスタムアプリケーションメトリクスを作成し、AWS コンテキストで自動エンリッチメントされる様子 CloudWatch における OpenTelemetry サポートが何を意味するか OpenTelemetry Protocol (OTLP) は、OpenTelemetry (OTel) プロジェクトの標準ワイヤープロトコルです。メトリクス、トレース、ログを含むテレメトリデータのエンコードとコンポーネント間の転送方法を定義しています。このプレビューにより、CloudWatch は OpenTelemetry 互換のコレクターや SDK がメトリクスを送信できるリージョナル OTLP エンドポイントを公開します。 CloudWatch はメトリクスを受信し、新たな高カーディナリティのメトリクスストアに保存します。カウンター、ヒストグラム、ゲージ、アップダウンカウンターなどの OpenTelemetry メトリクスタイプは変換なしでそのまま保持されます。今回のリリースで、CloudWatch はオブザーバビリティの 3 本柱すべてで OpenTelemetry をサポートするようになりました。CloudWatch はすでに OTLP エンドポイント 経由でトレースとログを受け付けており、ネイティブ OTLP メトリクス取り込みが加わったことで、すべてのテレメトリをオープンスタンダードで、単一のプロトコルを通じて CloudWatch に送信できるようになりました。3 つの機能がこのことを重要にしています。 拡張されたラベルとカーディナリティのサポート OTLP で取り込まれたメトリクスは最大 150 ラベルをサポートし、CloudWatch カスタムメトリクスの 30 ディメンション制限を超えています。Kubernetes、マイクロサービス、OpenTelemetry ワークロードでフィルタリングや集計に高カーディナリティラベルを使う際の主要な制約が解消されます。制限は今後も進化するため、最新情報は クォータページ をご確認ください。 PromQL クエリのサポート OTLP 経由で取り込んだメトリクスを PromQL でクエリできます。すでに Prometheus を使っている場合、同じクエリ言語を CloudWatch や Amazon Managed Grafana で直接使えます。新しい構文を覚える必要はありません。 AWS リソースの自動エンリッチメント この機能により、AWS インフラストラクチャ全体でメトリクスをクエリ・フィルタリングする方法が根本的に変わります。CloudWatch は取り込んだすべてのメトリクスに AWS リソースコンテキスト (アカウント ID、リージョン、クラスター Amazon Resource Name (ARN)、AWS Resource Explorer からのリソースタグ) を付与します。このエンリッチメントは追加の計装なしで自動的に行われます。Container Insights、カスタムアプリケーション、AWS サービスのいずれから来たメトリクスでも、AWS アカウント、リージョン、環境タグ、アプリケーション名でフィルタリングやグループ化ができます。エクスポーター不要、カスタムラベル不要、追加の API 呼び出し不要です。 図 1: Amazon CloudWatch における OpenTelemetry メトリクスの取り込みとエンリッチメントアーキテクチャ OTLP 取り込みと AWS リソースエンリッチメントの有効化 OTLP メトリクスを取り込んでクエリする前に、2 つのアカウントレベルの設定を有効にします。1 つ目は、AWS Resource Explorer で確認できるものと同じリソースタグをテレメトリに伝播させる設定です。2 つ目は、CloudWatch の OTLP 取り込みを有効にする設定です。 両方のエンリッチメント設定は、Amazon CloudWatch コンソールまたは AWS CLI から有効にできます。 コンソールを使用する場合 CloudWatch コンソールでエンリッチメントを有効にする手順は以下のとおりです。 Amazon CloudWatch コンソールを開きます。 ナビゲーションペインで 設定 &nbsp;を選択します。 リソースタグのテレメトリへの伝播を有効にします。 AWS メトリクスの OTel エンリッチメントを有効にします。 両方の設定を有効にすると、アカウントでリージョナルエンドポイントへの OTLP メトリクス受信の準備が整います。 図 2: CloudWatch コンソール設定での OTel エンリッチメントとリソースタグの有効化 AWS CLI を使用する場合 AWS CLI で両方のエンリッチメントレイヤーを有効にすることもできます。以下のコマンドを実行します。 # Enable resource tags on telemetry aws observabilityadmin start-telemetry-enrichment # Enable OTel enrichment for CloudWatch aws cloudwatch start-o-tel-enrichment 両方のエンリッチメント設定がアクティブであることを確認するには、以下のコマンドを実行します。 aws cloudwatch describe-o-tel-enrichment-status エンリッチメントを有効にすると、OTLP エンドポイント経由で取り込まれたすべてのメトリクスに AWS リソースコンテキストが自動的にタグ付けされます。CloudWatch が追加する属性は以下のとおりです。 Attribute 説明 例 @aws.account AWS アカウント ID 123456789012 @aws.region AWS リージョン us-west-2 cloud.resource_id EKS クラスターの完全な ARN arn:aws:eks:us-west-2:123456789012:cluster/prod k8s.cluster.name EKS クラスター名 production-cluster k8s.namespace.name Kubernetes namespace karpenter k8s.container.name コンテナ名 controller @instrumentation.name 計装ソース cloudwatch-otel-ci リソースタグ AWS Resource Explorer からのタグ (@aws.tag.Application、@aws.tag.CostCenter、@resource.ec2.tag.ManagedBy など) env=production これらの属性は CloudWatch によって追加され、手動の計装は不要です。カスタムパイプラインの構築やエクスポーターの実行なしに、AWS アカウント、リージョン、リソースタグをまたいでクエリできるのはこのためです。 OpenTelemetry メトリクスを使った Amazon CloudWatch Container Insights OpenTelemetry と CloudWatch の連携を実際に確認するため、Container Insights から始めましょう。Amazon EKS 向け Amazon CloudWatch Container Insights で Prometheus と OpenTelemetry メトリクスが サポートされました 。コンテナメトリクスが OpenTelemetry attribute で標準化され、PromQL でクエリできるようになります。Container Insights は、コンソールまたは AWS CLI から Amazon EKS アドオンを使って 有効化 できます。 Container Insights ダッシュボード Container Insights をデプロイすると、CloudWatch は CPU 使用率、メモリ使用量、Pod 数などのクラスターレベルのメトリクスを表示するダッシュボードを自動的に作成します。ダッシュボードを表示するには、CloudWatch コンソールを開き、ナビゲーションペインから Container Insights を選択し、ドロップダウンからクラスターを選択します。クラスター、namespace、Pod レベルのビューを切り替えて、特定のワークロードを詳しく確認できます。 図 3: Amazon CloudWatch Container Insights ダッシュボード CloudWatch Query Studio で PromQL を使ってメトリクスをクエリする OTLP で取り込んだメトリクスは、CloudWatch コンソール、Amazon Managed Grafana、または PromQL と AWS Signature Version 4 (SigV4) をサポートするクエリインターフェースで PromQL を使ってクエリできます。 CloudWatch Query Studio には、コンソールで直接メトリクスを探索・可視化するための PromQL エディターが組み込まれています。PromQL クエリモードを選択して開始します。 図 4: PromQL クエリモードの Amazon CloudWatch Query Studio インターフェース エンリッチされた AWS リソースコンテキストを使ったクエリ エンリッチメントが有効になっているため、CloudWatch が自動的に追加するタグを使って AWS リソースの境界を越えてクエリできます。エクスポーター不要、カスタムラベル不要です。 # AWS Lambda function duration for functions tagged with application "order-pipeline" Duration{"@aws.tag.appname"="order-pipeline"} # Amazon EC2 CPU utilization for production delivery workloads CPUUtilization{"@aws.tag.Environment"="production", "@aws.tag.Application"="delivery"} # Running pods grouped by AWS account and namespace sum by (aws_account_id, k8s_namespace_name) (kube_pod_status_phase{phase="Running"}) 最後のクエリは、カスタム計装なしで AWS アカウントと Kubernetes namespace ごとにグループ化された実行中の Pod 数を返します。 aws_account_id ラベルはエンリッチメントレイヤーによって自動的に追加されます。 図 5: Lambda duration メトリクスをクエリする CloudWatch Query Studio Grafana で PromQL を使ってメトリクスをクエリする Amazon Managed Grafana で OTLP 取り込みメトリクスを可視化するには、CloudWatch PromQL エンドポイントを指す Prometheus データソースを追加します。このセクションでは、AWS Signature Version 4 (SigV4) 認証でデータソースを設定する手順を説明します。 Amazon Managed Grafana ワークスペースを開きます。 Data Sources を選択します。 Add data source を選択します。 データソースタイプとして Prometheus を選択します。 URL には、リージョンの CloudWatch PromQL エンドポイントを入力します: https://monitoring.&lt;AWS Region&gt;.amazonaws.com/v1/metrics Authentication で SigV4 を選択します。 SigV4 認証用の適切な IAM ロールを設定します。 Save &amp; Test を選択して接続を確認します。 Save &amp; Test が成功すると、「Data source is working」という確認メッセージが表示されます。失敗した場合は、IAM ロールに cloudwatch:GetMetricData と cloudwatch:ListMetrics の権限があること、SigV4 署名が正しく設定されていることを確認してください。 データソースを設定すると、Grafana ダッシュボードで同じ PromQL クエリを使用できます。 図 6: CloudWatch PromQL を使った Grafana Explore カスタムアプリケーションメトリクス CloudWatch OTLP 取り込みはカスタムアプリケーションメトリクスもサポートしています。OpenTelemetry SDK で計装されたアプリケーションは、クラスターで実行中の CloudWatch エージェント経由でメトリクスを送信でき、計装コードの変更は不要です。 実際の動作を確認するため、 aws-otel-community リポジトリからサンプル Python アプリケーションをデプロイします。このアプリケーションは OpenTelemetry Python SDK を使用して、カウンター、ヒストグラム、ゲージ、アップダウンカウンターなど、すべての OTel メトリクスタイプをカバーするカスタムメトリクスを出力します。例えば、アプリは API レスポンス時間を測定する latency_time ヒストグラムを定義しています。 from opentelemetry import metrics meter = metrics.get_meter(__name__) # Histogram --- measures API latency distribution latency_time = meter.create_histogram( name="latency_time", description="Measures latency time", unit="ms", ) サンプルアプリケーションのデプロイ サンプルアプリケーション とすべてのデプロイマニフェストは、GitHub の aws-otel-community リポジトリにあります。先ほどデプロイした Container Insights アドオンには、OpenTelemetry コレクターとして機能する CloudWatch エージェントが含まれています。 OTEL_EXPORTER_OTLP_ENDPOINT 環境変数を設定して、サンプルアプリをエージェントに向けます: http://cloudwatch-agent.amazon-cloudwatch.svc.cluster.local:4317 このウォークスルーでは CloudWatch エージェントを使用していますが、OTLP/HTTP をサポートする任意の OpenTelemetry 互換コレクターや SDK を使用して、CloudWatch OTLP エンドポイントに直接メトリクスを送信できます。 PromQL でアプリケーションメトリクスをクエリする アプリケーションをデプロイしたら、CloudWatch Query Studio を開くか、Amazon Managed Grafana ワークスペースで Explore に移動し、CloudWatch PromQL データソースを選択します。 以下のクエリは、Amazon Managed Grafana でデモアプリの p99 レイテンシーを、自動エンリッチされた @aws.region ラベルでグループ化して表示します。 histogram_quantile(0.99, sum by (le, aws_region) (rate(latency_time_bucket{resource_service_name="python-demo-app"}[5m])))` 図 7: Amazon Managed Grafana でのサンプルアプリケーションの P99 レイテンシー エンリッチメントが有効になっているため、すべてのアプリケーションメトリクスに AWS リソースコンテキストが自動的に付与されます。例えば、 cpu_usage をクエリすると、追加の計装なしで以下のラベルが返されます。 図 8: カスタム OTel 計装からのエンリッチされた全ラベルの表示 料金 OTLP 取り込み機能と PromQL クエリは、プレビュー期間中は追加料金なしで利用できます。現在の料金の詳細については、Amazon CloudWatch の 料金ページ をご覧ください。 このウォークスルーで使用した Amazon EKS と Amazon Managed Grafana のリソースは、標準料金で課金されます。継続的な課金を避けるため、ウォークスルー終了後は次のセクションのクリーンアップ手順に従ってください。 クリーンアップ サンプルアプリケーションを削除します。 kubectl delete -f demo-app.yaml EKS クラスターから Amazon CloudWatch Observability アドオンを削除します。 aws eks delete-addon \ --cluster-name \ --addon-name amazon-cloudwatch-observability Grafana ワークスペースから Prometheus データソースを削除します (Grafana コンソールにログインし、Data Sources に移動して、設定した CloudWatch PromQL データソースを削除します)。 Amazon Managed Grafana ワークスペースを削除します (このウォークスルー用に作成した場合のみ)。 aws grafana delete-workspace --workspace-id Amazon EKS クラスターを削除します (このウォークスルー用に作成した場合のみ)。 aws eks delete-cluster --name OTel エンリッチメントを無効にします (アカウントで不要になった場合)。 # Disable OTel enrichment aws cloudwatch stop-o-tel-enrichment # Disable telemetry enrichment aws observabilityadmin stop-telemetry-enrichment このウォークスルー用にアタッチした IAM ポリシーをデタッチします。 aws iam detach-role-policy \ --role-name \ --policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy まとめ 本記事では、Amazon CloudWatch でのネイティブ OpenTelemetry メトリクス取り込みについて説明しました。エンリッチメントレイヤーの有効化、Amazon EKS への Container Insights のデプロイ、OpenTelemetry SDK でのカスタムアプリケーションメトリクスの送信、PromQL でのクエリを紹介しました。 このプレビュー機能により、メトリクスパイプラインを CloudWatch に統合できます。拡張されたラベル制限を持つ高カーディナリティメトリクス、PromQL クエリ、AWS リソースの自動エンリッチメントが連携し、インフラストラクチャメトリクス、コンテナメトリクス、アプリケーションメトリクスがすべて同じパイプラインを流れ、同じ AWS リソースコンテキストを持つようになります。別々のバックエンド、エクスポーター、AWS メトリクスを統合ビューに取り込むための追加 API 呼び出しは不要です。 OpenTelemetry を使ったアプリケーションレベルの計装の実践例については、以下のリソースをご覧ください。 AWS Observability Best Practices Guide: &nbsp;OpenTelemetry SDK でアプリケーションを計装するパターン One Observability Workshop : AWS でのメトリクス、トレース、ログのハンズオンラボ AWS Observability Accelerator: テレメトリ収集とクエリを自動化する CDK パターンと Terraform モジュール プレビューは、米国東部 (バージニア北部)、米国西部 (オレゴン)、欧州 (アイルランド)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー) で追加料金なしで利用できます。開始するには、アカウントでエンリッチメントレイヤーを有効にし、Amazon EKS クラスターに CloudWatch Observability アドオンをデプロイしてください。 翻訳はソリューションアーキテクトの大西朔が担当しました。原文は こちら です。 著者について Rodrigue Koffi AWS のオブザーバビリティ担当スペシャリストソリューションアーキテクトです。オブザーバビリティ、分散システム、機械学習に情熱を持っています。DevOps とソフトウェア開発のバックグラウンドがあり、Go でのプログラミングを好みます。仕事以外では、水泳や家族との時間を楽しんでいます。LinkedIn: /grkoffi

みなさん、こんにちは。ソリューションアーキテクトの杉山です。今週も 週刊AWS をお届けします。 4/14（火）にオンラインセミナー「 これから始める AWS のコンテナサービス活用 」を開催します。Amazon ECS や Amazon EKS をはじめとする AWS のコンテナ関連サービスの全体像をご紹介します。初めてコンテナを利用される方はもちろん、既にご利用中で最新機能をキャッチアップしたい方にもおすすめの内容です。ぜひ事前登録のうえご参加ください。 それでは、先週の主なアップデートについて振り返っていきましょう。 2026年3月30日週の主要なアップデート 3/30(月) AWS Direct Connect が BGP 監視用の CloudWatch メトリクスを追加 AWS Direct Connect で BGP セッションを監視できる CloudWatch メトリクスが 3 つ追加されました。これまでカスタム Lambda 関数やオンプレミスのネットワーク管理ツールが必要だった BGP 監視が、CloudWatch で実現できるようになります。セッション状態やプレフィックス数を追跡し、障害検知や設定変更の検証が可能です。全ての商用リージョンで利用でき、CloudWatch アラームやダッシュボードと統合して Direct Connect の正常性を確認するためのモニタリング環境を構築できます。 Amazon SageMaker Data Agent が Amazon SageMaker Unified Studio Query Editor で利用可能になりました Amazon SageMaker Unified Studio の Query Editor で Data Agent が利用できるようになりました。これまではノートブックでのみ使えていた AI による会話型データ分析機能が SQL 分析ワークフローでも利用が出来るアップデートです。「2025年の製品カテゴリ別四半期売上成長率を計算して」のような自然言語の質問 (英語) から SQL クエリを自動生成し、エラーが発生した際は AI が修正案を提示してくれます。複雑な結合や集計処理を手動で書く必要がなくなり、データ分析の効率が大幅に向上します。詳細は こちらのドキュメントをご参照ください。 Amazon Athena が追加リージョンで Capacity Reservations を開始 Amazon Athena で Capacity Reservations が新たに、大阪を含めた 19 のリージョンで利用可能になりました。この機能は Athena の裏側のリソースを一定容量を確保でき、他のクエリの影響を受けずに安定したパフォーマンスを実現しやすくなります。同時実行クエリ数も制御できるため、予測可能な処理時間でデータ分析を行えます。詳細は こちらのドキュメントをご参照ください。 3/31(火) Amazon CloudFront が VPC IPAM 統合を通じて IPv6 の BYOIP をサポート開始 Amazon CloudFront で IPv6 の BYOIP (Bring Your Own IP) がサポートされました。これまでは IPv4 のみでしたが、VPC IPAM を利用して、IPv6 (/48) も BYOIP が利用できるようになりました。これにより、既存の IP アドレス空間を維持したまま CloudFront に移行でき、パートナーや顧客への IP アドレス提供がしやすくなります。セキュリティ強化とネットワーク管理の効率化が期待できます。詳細は こちらのドキュメントをご参照ください。 AWS Outposts での Amazon RDS for Oracle の発表 Amazon RDS for Oracle が AWS Outposts で利用可能になりました。これまでデータ所在地やコンプライアンス要件でクラウド移行が困難だった企業も、Outposts 上で管理された Oracle データベースを利用できます。自動バックアップやパッチ適用、CloudWatch 監視などクラウド同等の機能を提供し、マルチ AZ 配置で高可用性も実現します。詳細は こちらのドキュメントをご参照ください。 AWS Transform custom が自動化されたコードベース分析の一般提供開始 AWS Transform custom で自動コードベース分析機能が一般提供開始しました。Python や Java などの言語で書かれたコードを深く解析し、アーキテクチャや技術的負債を自動でドキュメント化します。これまで手作業で行っていたコードの現状把握や移行計画に役立ち、大規模なモダナイゼーションのための時間を短縮できます。100 万行を超える大規模アプリケーションにも対応し、古いコンポーネントを特定して優先度をつけた改善提案も行います。バージニア北部リージョンとフランクフルトリージョンで利用可能です。詳細は こちらのドキュメントをご参照ください。 Amazon CloudWatch Logs がルックアップクエリコマンドをサポート Amazon CloudWatch Logs Insights で新しい lookup コマンドが利用可能になりました。このコマンドにより、ログに含まれる ID や IP アドレスなどの機械的な文字列を、CSV ファイルから参照した意味のある情報 (顧客名やチーム名など) に変換して、クエリ結果をみやすくできます。これまでは前処理が必要でしたが、クエリ実行時に直接データを結合できるため、ログ分析がやりやすくなります。全商用リージョンで利用可能です。詳細は こちらのドキュメントをご参照ください。 AWS Backup が Amazon Redshift Serverless のサポートを 7 つのリージョンに拡大 AWS Backup が Amazon Redshift Serverless のサポートを大阪、ハイデラバード、台北、クアラルンプール、オークランド、ミラノ、ケープタウンの 7 つのリージョンに拡張しました。これまでこれらのリージョンでは利用できなかったポリシーベースの自動バックアップ機能が使えるようになり、データウェアハウスの保護と復旧が簡単になります。詳細は こちらの製品ページをご参照ください。 AWS Security Agent オンデマンドペネトレーションテストが一般提供開始 AWS Security Agent のオンデマンドペネトレーションテストが一般提供開始されました。従来は手動で定期的に実施していたセキュリティテストを、AI エージェントが 24 時間 365 日自動実行できるようになり、コストも大幅削減されます。脆弱性の発見から修復提案まで包括的にサポートし、マルチクラウド環境にも対応しています。東京リージョンなど 6 リージョンで利用可能で、2 ヶ月の無料トライアルも提供されます。 AWS Direct Connect が AWS CloudFormation をサポート開始 AWS Direct Connect が AWS CloudFormation に対応しました。これまで手動で構築していた Direct Connect のネットワーク環境を、コードで管理できるようになります。CloudFormation テンプレートで接続設定や仮想インターフェース、Direct Connect ゲートウェイなどを定義し、他の AWS リソースと一緒に自動デプロイが可能です。全リージョンで利用可能で、ネットワーク運用の効率化が期待できます。詳細は こちらのドキュメントをご参照ください。 AWS DevOps Agent が一般提供開始 AWS DevOps Agent が一般提供開始となりました。このサービスは AI を活用して障害の調査や解決を自動化する仕組みです。従来は手動で行っていた障害対応を自動化することで、平均復旧時間 (MTTR) を数時間から数分に短縮できる場合があります。AWS だけでなく Azure やオンプレミス環境にも対応し、カスタムレポート機能やスキル拡張も可能になりました。AWS Support を利用しているお客様には月次クレジットが提供され、多くの場合コストを大幅に削減できます。詳細は こちらの Blog 記事をご参照ください。 Amazon ECS Managed Instances が Amazon EC2 インスタンスストアをサポート Amazon ECS Managed Instances が EC2 instance store ボリュームに対応しました。これまでは Amazon EBS データボリュームを使う必要がありましたが、今回のアップデートで instance store ボリュームを選択できるようになりました。これによりストレージコストの削減と I/O パフォーマンスの向上を実現でき、特にレイテンシに敏感なワークロードでメリットがあります。詳細は こちらのドキュメントをご参照ください。 AWS が End User Messaging Notify を発表 AWS が新サービス AWS End User Messaging Notify を発表しました。従来、ワンタイムパスコード (OTP) の送信には電話番号取得が必要で、時間がかかる場合がありました。新しいサービスの AWS End User Messaging Notify では、AWS が所有する電話番号を利用できるため、素早く実現できるうれしさがあります。 200 以上の国に SMS や音声で OTP を送信でき、詐欺防止機能も標準搭載されています。ブランド名やコード形式のカスタマイズも可能で、利用制限設定により予想外のコスト発生も防げます。詳細は こちらのユーザーガイドをご参照ください。 Amazon S3 Vectors が 17 の追加 AWS リージョンに拡張 Amazon S3 Vectors が新たに 17 リージョンで利用可能になり、合計 31 リージョンで提供開始となりました。S3 Vectors は AI アプリケーション向けのベクトルデータを効率的に格納・検索できるサービスで、従来のベクトルデータベースと異なり S3 の高い可用性と耐久性を活用できます。RAG (検索拡張生成) やセマンティック検索などの AI 用途で、最大 20 億ベクトルを 100 ミリ秒の低レイテンシで処理可能です。詳細は こちらのドキュメントをご参照ください。 Amazon OpenSearch Service がログ分析のためのエージェント AI を導入 Amazon OpenSearch Service で agentic AI 機能が利用開始となりました。従来はログ分析にクエリ言語の習得が必要でしたが、今回のアップデートで自然言語での質問やインシデント調査の自動化が可能になります。チャット機能では PPL クエリを自動生成し、調査エージェントが根本原因分析を自律的に実行して仮説を提示します。会話履歴も保持されるため、継続的な分析作業が効率化されます。追加料金なしで東京リージョンを含む 9 リージョンで提供中です。詳細は こちらのドキュメントをご参照ください。 4/1(水) Oracle Database@AWS が高性能アプリケーション向けにサブミリ秒のネットワークレイテンシを提供開始 Oracle Database@AWS でサブミリ秒のネットワークレイテンシを提供開始しました。支払い処理や証券取引など、低遅延が求められるアプリケーションで特にメリットがあります。EC2 インスタンスの配置を最適化することによってこの仕組みを実現しました。追加料金は不要です。オハイオ、カナダ中部、フランクフルト、ダブリン、東京、シドニーリージョンで利用可能で、今後拡大予定です。詳細は こちらのドキュメントをご参照ください。 Amazon SES Mail Manager がセキュリティ強化とメール処理のための新機能を追加 Amazon SES Mail Manager でセキュリティに関する機能にアップデートがあります。これまで、SES Mail Magaer を利用する際に TLS (STARTTLS) の利用が必要でしたが、TLS の利用がオプションになり、これまで難しかったレガシーシステムから利用しやすくなります。また、クライアント証明書を利用した相互認証の mTLSが利用できるようになりました。中東 (UAE・バーレーン) を除く全リージョンで利用可能です。詳細は こちらをご参照ください。 4/2(木) Amazon WorkSpaces Applications がマルチセッションフリート管理を改善 Amazon WorkSpaces Applications で multi-session fleet のドレインモード機能が追加されました。この機能により、既存のユーザーセッションを中断することなく、新しいセッション受付を停止できるようになります。従来はメンテナンスやアップデート時に、既存のセッションを強制終了する必要がありましたが、今回のアップデートでユーザーの作業を妨げずにシステム管理をしやすくなりました。管理者は計画的にインスタンスを空にでき、新しい接続は他のインスタンスに自動転送されます。詳細は こちらのドキュメントをご参照ください。 Amazon ElastiCache Serverless が IPv6 およびデュアルスタック接続をサポート Amazon ElastiCache Serverless が IPv6 とデュアルスタック接続に対応しました。従来は IPv4 のみでしたが、今回のアップデートで IPv4、IPv6、デュアルスタックの 3 つのネットワークタイプから選択できるようになりました。デュアルスタック接続では IPv4 と IPv6 の両方を同時に利用でき、IPv6 移行時も既存アプリケーションとの互換性を保ちながら段階的な移行が可能です。IPv6 専用サブネットも使用でき、コンプライアンス要件にも対応できます。全 AWS リージョンで追加料金なしで利用可能です。詳細は こちらのドキュメントをご参照ください。 4/3(金) Amazon CloudWatch が Query Studio プレビューで PromQL クエリを導入 Amazon CloudWatch で Query Studio がパブリックプレビューとして提供開始されました。これまで CloudWatch では PromQL クエリが利用できませんでしたが、今回のアップデートで利用できるようになり、PromQL と CloudWatch Metric Insights を統一インターフェースで使用できるようになりました。例えば EC2 上で動作するアプリケーションの OpenTelemetry メトリクスと AWS 標準メトリクスを横並びで分析し、スタック全体の問題を素早く特定できます。バージニア北部、オレゴン、シドニー、シンガポール、アイルランドリージョンで利用可能です。詳細は こちらのドキュメントをご参照ください。 それでは、また来週お会いしましょう！ 著者について 杉山 卓(Suguru Sugiyama) / @sugimount AWS Japan のソリューションアーキテクトとして、幅広い業種のお客様を担当しています。最近は生成 AI をお客様のビジネスに活かすためにアイデア出しやデモンストレーションなどを多く行っています。好きなサービスは仮想サーバーを意識しないもの全般です。趣味はゲームや楽器演奏です

はじめに 分散ワークロードを運用するチームは、根深い運用上の課題に直面しています。障害が発生した際、解決に必要な情報はログ、デプロイパイプライン、設定変更履歴、サードパーティの監視ツールなど、あちこちに散在しています。深夜2時にアラートで呼び出された Site Reliability Engineer (SRE) は、複数のソースからテレメトリを手動で突き合わせ、サービス間の依存関係をトレースし、仮説を立てなければなりません。この作業には通常、数時間を要します。システムの複雑さが増すにつれ、AI を活用した運用チームメンバー、すなわち SRE 支援エージェントの必要性がますます明確になっています。 自前で構築する (DIY) アプローチとその限界 この領域を模索するチームは、まず普段使いの AI コーディングツールを調査中に活用することから始めることが多いでしょう。大規模言語モデル (LLM) に薄くインターフェースを被せただけのツールです。オンコールエンジニアは起床後、インシデントの詳細やチケットを確認し、コーディングツールにログや監視ツールへのアクセスを与えて調査を開始させます。このアプローチは単純なシナリオでは価値を発揮しますが、実際の大規模アプリケーションアーキテクチャでは、複数アカウント、監視システム、アプリケーショントポロジーにまたがるコンテキストの把握、ガバナンスとアクセス制御の適用、過去のインシデントからの学習の蓄積が必要であり、本格的なインシデント管理には力不足です。環境が拡大するにつれ、限られたコンテキストしか持たないシンプルなコーディングツールと、本番環境レベルの運用エージェントとの差は広がる一方です。 フルマネージド型の代替ソリューション AWS DevOps Agent は、常に利用可能な運用チームメンバーです。インシデントの解決とプロアクティブな 予防 を行い、アプリケーションの信頼性とパフォーマンスを最適化し、AWS、マルチクラウド、オンプレミス環境にわたる オンデマンド SRE タスク を処理します。DevOps Agent は包括的なエージェント型 SRE パラダイムを提供し、チームをリアクティブな消火活動からAI を活用したプロアクティブな運用改善へと導きます。 では、AWS DevOps Agent はSRE が個人でコーディングエージェントを使う場合と何が違うのでしょうか？この記事では、AWS 上のサーバーレス URL 短縮サービスアプリケーションを例に、DevOps Agent が トポロジーインテリジェンス 、3 階層のスキル体系、クロスアカウント調査、継続的学習を基盤として、単純な LLM ラッパーでは再現できない能力を発揮し、平均復旧時間 (MTTR) を数時間から数分に短縮する真の運用チームメンバーとして機能する様子をご紹介します。 前提条件 DevOps Agent を使い始める前に、以下を確認してください。 対応する AWS サポートプランが有効な AWS アカウント (サポート対象のティアについては AWS アカウントチームにお問い合わせください) クロスアカウントオブザーバビリティを設定するための適切な IAM 権限 サポート対象リージョン にデプロイされた AWS サービス Amazon CloudWatch と AWS CloudTrail (デフォルトで有効) 機能強化のための追加 インテグレーション : チケット管理用の ServiceNow 、チーム通知用の Slack 、オンコール管理用の PagerDuty アプリケーション概要 あなたは、AWS 上にデプロイされた URL 短縮サービスを提供する SaaS 企業の SRE です。このアプリケーションは完全な サーバーレスアーキテクチャ を採用しており、ショートコードの作成、元の URL へのリダイレクト、アナリティクスの追跡を行います。 Amazon CloudFront が Amazon S3 バケットから静的アセットを配信 Amazon API Gateway が API リクエストを AWS Lambda 関数にルーティング Amazon DynamoDB が Lambda 関数からアクセスされる URL マッピングを保存 図 1. URL 短縮サービスアプリケーション このアーキテクチャの構築は簡単ですが、トラブルシューティングは複雑です。リダイレクト関数のレイテンシスパイクは、DynamoDB のスロットリング、Lambda のコールドスタートの劣化、API Gateway の設定変更、CloudFront のキャッシュ無効化など、さまざまな原因が考えられます。しかも、それぞれのシグナルは異なるロググループ、メトリクス名前空間、トレーススパンに存在します。このような状況こそ、DevOps Agent が 自律的 な運用チームメンバーとしての価値を発揮するポイントです。 調査の実際の流れ このワークフローでは、DevOps Agent が人間の介入なしにわずか 4分で本番インシデントを自律的に検出・診断する様子を示しています。CloudWatch アラームが 5xx エラーの増加により発報されると、順を追って仮説を検証し、最近のコードデプロイに起因する DynamoDB の書き込みスロットリングを特定します。その後、DevOps Agent は問題のあるコミットを含む完全な根本原因分析と具体的な緩和策の推奨事項 (オンデマンドキャパシティへの切り替えまたはロールバックの提案) を自律的に Slack に投稿します。初回アラームから実行可能な解決策の提示まで、すべてが 5分以内に完了します。 図 2. 論理的な調査ワークフロー 図 3. AWS DevOps Agent の調査ワークフロー: 初期インシデント検出から根本原因分析、実行可能な緩和策の推奨までの自動化フロー DevOps Agent が異なる理由 DevOps Agent は大規模言語モデルの上にチャットインターフェースを被せたものではありません。 Amazon Bedrock AgentCore 上に構築されており、メモリ、ポリシー、評価、オブザーバビリティのための専用インフラストラクチャを備えています。以下では、DevOps Agent を次世代の完全な運用チームメンバーたらしめる 6 つの主要な能力「6 つの C」を解説します。 1. Context (コンテキスト) 運用コンテキストを持たない LLM は、一般的な提案しかできません。DevOps Agent は Agent Spaces によってこの課題を解決します。Agent Spaces は、クラウドリソース、テレメトリソース、コードリポジトリ、CI/CD パイプライン、チケットシステムへのクロスアカウントアクセスを提供する、分離された論理コンテナです。各 Agent Space 内で、DevOps Agent はリソース (コンテナ、ネットワークコンポーネント、ロググループ、アラーム、デプロイメント) を自動検出し、AWS、 Azure 、オンプレミス環境にまたがる相互接続をマッピングすることで、アプリケーションリソーストポロジーを構築します。バックグラウンドでは 学習エージェント が稼働し、インフラストラクチャ、テレメトリ、コードを分析して、推定されたアプリケーションとサービス間のトポロジーを生成します。DevOps Agent は Amazon Elastic Kubernetes Service (EKS) などのサービスとの深い AWS ネイティブ インテグレーション を維持しており、パブリックおよび プライベート 環境の Kubernetes クラスター、Pod ログ、クラスターイベントへのイントロスペクションを提供します。これは外部ツールにはない特権アクセスを必要とする機能です。DevOps Agent はリソーストポロジーだけでなく、テレメトリ、デプロイタイムライン、インフラストラクチャおよびアプリケーションコードも把握しています。リソース、アラーム、メトリクス、ロググループ間の関係を検出・把握します。レイテンシスパイクを検出すると、 GitHub 、 GitLab 、Azure DevOps の最近のマージを自動的にチェックし、デプロイのタイムスタンプとメトリクスの異常を相関させ、コード変更が原因である可能性を判断します。URL 短縮サービスの例では、エージェントは DynamoDB のバッチ書き込みを追加するコミットがスロットリング開始の 47 分前にデプロイされたことを特定します。これは人間の SRE なら発見に 30 分かかってもおかしくない相関です。 URL 短縮サービスの場合 、DevOps Agent は CloudFront から API Gateway を経由して各 Lambda 関数、さらに DynamoDB テーブルまでの依存関係チェーンをマッピングします。URL リダイレクト関数でレイテンシスパイクが発生すると、エージェントは関係グラフをトレースして、根本原因が DynamoDB の読み取りスロットリングなのか、Lambda の同時実行数制限なのか、API Gateway のタイムアウト設定なのかを判断します。CloudWatch メトリクス、Lambda トレース、DynamoDB の消費キャパシティを単一の調査で相関させます。 2. Control (制御) コンテキストだけではガバナンスなしにリスクが生じます。Agent Spaces は、エージェントがアクセスできる範囲と動作方法を一元的に制御します。管理者は、各 Agent Space 内で利用可能な AWS および Azure アカウント、テレメトリおよびコードインテグレーション、 MCP サーバー を、きめ細かい IAM 権限 を使用して定義します。これにより、個々の開発者が独自のツールチェーンを設定する際の不整合 (徹底的に設定する人、部分的にしか設定しない人、まったく設定しない人) が解消され、新しいチームメンバーのためのアドホックなオンボーディングプロセスも不要になります。すべての推論ステップとアクションは、エージェントが記録後に変更できない不変の監査ジャーナルに記録され、意思決定の完全な 透明性 を提供します。AWS DevOps Agent は初日からセキュリティが確保されており、すべての推論ステップとツール呼び出しを記録する不変の監査証跡、AWS CloudTrail との統合、きめ細かい権限を持つ IAM Identity Center 認証、調査データを分離し組織の セキュリティ 設定を尊重する Agent Space レベルのデータガバナンスを備えています。 URL 短縮サービスの場合 、管理者は本番アカウントの CloudWatch ログ、DynamoDB テーブルメトリクス、GitHub リポジトリ、インシデント調整用の Slack チャンネルへの読み取りアクセスを持つ単一の Agent Space を設定します。チームのすべての SRE がこの一貫した制御された設定を継承し、個別のセットアップは不要です。 3. Convenience (利便性) Agent Space が設定されると、チームのすべての開発者と SRE は、トポロジー、テレメトリ、コードリポジトリ、チケットインテグレーションといったエージェントの完全な運用コンテキストに、追加のセットアップなくすぐにアクセスできます。これは、各エンジニアが個別にコーディングエージェントを CloudWatch、オブザーバビリティツール、ソースリポジトリ、チケットシステムの Model Context Protocol ( MCP ) サーバーに接続する従来のアプローチとは大きく異なります。実際には、セットアップを完了するエンジニアもいれば、部分的にしか設定しないエンジニアもおり、まったく設定しないエンジニアもいます。結果として、チーム全体でツールの不整合が生じ、新入社員のたびにオンボーディングの負担が発生します。DevOps Agent では、管理者が Agent Space を一度設定すれば、エンジニアは オペレーター Web アプリ にログインするか、Slack を通じてやり取りするだけです。エージェントはコンテキストを考慮した応答を提供し、会話履歴を維持し、ユーザーごとのセットアップなしでアプリケーショントポロジーに対する自然言語クエリをサポートします。 URL 短縮サービスチームの場合 、オンコールローテーションに新しく参加する SRE は、3 つの Lambda 関数のロググループ、DynamoDB メトリクスダッシュボード、GitHub リポジトリへのアクセスを設定するのに丸一日費やす必要はありません。Agent Space にログインして「この DynamoDB テーブルに接続されているすべての Lambda 関数を表示して」と聞くだけで、トポロジー、テレメトリアクセス、コードコンテキストがすでに揃っています。 図 4. AWS DevOps Agent の MCP サーバーおよびコミュニケーションインテグレーション 図 5. AWS DevOps Agent のテレメトリインテグレーション 図 6. AWS DevOps Agent のマルチクラウドおよびパイプラインインテグレーション 4. Collaboration (コラボレーション) DevOps Agent は受動的な Q&amp;A ツールではなく、自律的なチームメンバーです。CloudWatch アラーム、PagerDuty アラート、Dynatrace Problem、ServiceNow チケット、または Webhook で設定したその他のイベントソースを通じてインシデントがトリガーされると、エージェントは人間のプロンプトなしに即座に調査を開始します。仮説を生成し、テレメトリおよびコードデータソースにクエリを実行して検証し、コラボレーションチャネル全体で調整を行います。Slack に調査タイムラインを投稿し、ServiceNow チケットを更新し、関係者に調査結果をルーティングします。MCP による拡張性と、CloudWatch、 Datadog 、 Dynatrace 、 New Relic 、 Splunk 、 Grafana 、GitHub、GitLab、Azure DevOps との 組み込みインテグレーション により、チームの運用データがどこにあっても、エージェントはシグナルを取得できます。エージェントはまた、週次で予防的な改善提案も行い、最近のインシデントを分析して、コード最適化、オブザーバビリティカバレッジ、インフラストラクチャのレジリエンス、ガバナンスプラクティスにわたる具体的な改善を提案します。さらに、DevOps Agent はより広範なフロンティアエージェントエコシステム内で動作し、調査結果には Kiro が修正を実装するためのエージェント対応の指示を含めることができます。 URL 短縮サービスで深夜3時に DynamoDB スロットリングイベントが発生した場合 、DevOps Agent はアラームを検出し、自律的に調査を行い、トラフィックスパイクがテーブルのプロビジョンドキャパシティを超えたことを特定し、緩和策を Slack に投稿します。これらすべてが、オンコールエンジニアがページの内容を読み終える前に完了します。週次の予防評価では、オンデマンドキャパシティモードへの切り替えと、将来のスパイクを早期に検出するための ConsumedWriteCapacityUnits に対する CloudWatch アラームの追加を推奨します。 図 7. AWS DevOps Agent の Slack 調査通知 図 8. AWS DevOps Agent の Ops Backlog における予防推奨 5. Continuous Learning (継続的学習) ここが AWS DevOps Agent がLLM を薄くラップしただけのツール (LLM ラッパー) と最も明確に差別化されるポイントです。エージェントは洗練された 3 階層の スキル体系 を実装しています。 AWS 提供スキル – AWS のエンジニアとサイエンティストが開発した組み込み機能で、実証済みの運用アプローチを反映し、内部で継続的にメンテナンスされています。 ユーザー定義スキル – 組織固有のコンテキストやワークフローに合わせてエージェントをより効果的に動作させるために定義するカスタムスキルです。 学習済みスキル – バックグラウンドで継続的に動作する AWS DevOps Agent の学習サブエージェントは、2 つの重要な機能を実行します。第一に、クラウドインフラストラクチャ、テレメトリデータ、コードリポジトリをスキャンして、アプリケーショントポロジーを継続的に学習・更新します。リソースとその関係を理解し、特定のアラームに関連する重要なログを絞り込むのに役立ちます。第二に、過去の調査を分析してパターンを特定し、将来のトラブルシューティングワークフローを最適化することで、時間とともにより効果的になります。 URL 短縮サービスの場合 、DevOps Agent が 1 か月間に 3 件の DynamoDB スロットリングインシデントを解決した後、学習エージェントは繰り返しパターンを特定し、同じクラスの将来の調査を加速する学習済みスキルを生成します。次にスロットリングが発生した際、エージェントは探索的な仮説をスキップし、プロビジョンドキャパシティと消費キャパシティを即座にチェックすることで、調査時間をさらに短縮します。SRE チームはカナリアデプロイプロセスを記述したランブックもアップロードでき、エージェントは最近のデプロイがインシデントと相関するかどうかを評価する際にこれを参照します。 図 9. AWS DevOps Agent のユーザー定義スキルと学習済みスキル 6. Cost Effective (コスト効率) 独自のエージェントを構築することもできますが、消費するモデルトークンの費用はかかります。さらに重要なのは、エージェントとそのインテグレーションの開発、保守、運用を行うチームを配置する必要があることです。基盤モデルの変更に伴い、モデルの品質、レイテンシ、コストを定期的に評価する必要もあります。AWS DevOps Agent では、これらすべてを AWS のエンジニアとサイエンティストのチームが代行します。 DevOps Agent は使用量ベースの料金体系を採用しており、エージェントがタスクに積極的に取り組んでいる時間に対してのみ課金されます。シートごとのライセンス料やアイドルインフラストラクチャのコストはありません。エージェントはマシンスピードで動作し、人間のエンジニアが数時間かかる調査を数分で完了し、実際のアクティブな計算の秒数に対してのみ課金されます。 内部的には、DevOps Agent はコストを削減しながら精度を向上させる大幅なデータ取得最適化を採用しています。ツール全体にわたるクエリ最適化技術により、AWS 固有のアクセスパターンとデータ特性を活用して、大規模データセット全体で最大 15 倍高速なクエリを実現します。これらの最適化により、エージェントは調査ごとの計算消費を抑えながら、より正確な結果を提供します。これは、汎用的な LLM ラッパーでは再現できない、深い AWS インテグレーションの直接的なメリットです。 URL 短縮サービスの場合 、SRE が 3 つの Lambda 関数のロググループにわたって CloudWatch Logs Insights を手動でクエリし、DynamoDB メトリクスと相関させるのに 2 時間費やす代わりに、DevOps Agent は最適化されたクエリを使用して同じ調査を数分で完了します。エンジニアリング時間のコストのほんの一部で済みます。 実証済みの実績 プレビューで AWS DevOps Agent を使用しているお客様やパートナーは、MTTR の最大 75% 削減、調査の 80% 高速化、根本原因の特定精度 94%を報告しており、3〜5 倍のインシデント解決速度を実現しています。 Western Governors University(WGU) は、191,000 人以上の学生にサービスを提供する大手オンライン大学であり、Amazon DevOps Agent を本番環境にデプロイした最初の組織の一つです。re:Invent でのプレビュー開始よりも前にデプロイを行いました。大規模な Dynatrace ユーザーである WGU は、DevOps Agent のネイティブ Dynatrace インテグレーションを活用し、Dynatrace Intelligence が問題レコードを自動的にエージェントにルーティングして調査を行い、充実した調査結果を Dynatrace に直接返すことを可能にしています。 最近の本番調査では、WGU の SRE チームが AWS DevOps Agent を使用してサービス中断シナリオを分析し、推定 2 時間の解決時間をわずか 28 分に短縮しました。MTTR が 77% 改善されたことになります。AWS DevOps Agent は AWS Lambda 関数の設定内の根本原因を迅速に特定し、それまで発見されていなかった社内ドキュメントにのみ存在していた重要な運用知識を表面化させました。 Zenchef は、レストランが予約、テーブル運営、デジタルメニュー、決済、ゲストマーケティングを手数料無料の単一システムから管理できるレストランテクノロジープラットフォームです。少数精鋭の DevOps チームが複数のビジネスユニットにわたる複数の本番環境を管理する中、社内ハッカソン中にダウンストリームパートナーに影響する API インテグレーションの問題が浮上しました。エンジニアはイベントに参加しており、監視では問題の方向性を示す重要な兆候は見られませんでした。 ハッカソンからエンジニアを引き抜く代わりに、チームは問題を AWS DevOps Agent に持ち込みました。エージェントは体系的に問題に取り組み、認証を原因から除外し、調査の焦点を Amazon Elastic Container Service (Amazon ECS) のデプロイメントに移し、最終的にデータベース内の認識されない enum 値を新バージョンが処理できなかったコードリグレッションに根本原因をトレースしました。調査全体は 20〜30 分で完了し、手動で行った場合の 1〜2 時間と比較して約 75% の削減となりました。調査結果は担当エンジニアに直接共有されました。 まとめ AWS DevOps Agent は、アーキテクチャ的に LLM ラッパーとは異なります。その トポロジーインテリジェンス サービスは AWS サービスの関係をマッピングし、アプリケーションの依存関係を理解します。検証ベースの学習エージェントを備えた 3 階層のスキル体系は、各顧客環境に固有の複合的な運用知識を生み出します。クロスアカウント調査機能、ガバナンス付き自律モデル、不変の監査証跡は、外部ラッパーでは満たせないエンタープライズ要件に対応します。 6 つの C「Context (コンテキスト)、Control (制御)、Convenience (利便性)、Collaboration (コラボレーション)、Continuous Learning (継続的学習)、Cost Effective (コスト効率) 」 はマーケティング上のカテゴリではありません。これらは具体的なエンジニアリング投資を表しています。分離のための Agent Spaces、トポロジー、パフォーマンスのための最適化されたログクエリ、クロスアカウントアクセスのためのフェデレーテッド認証情報管理、そして調査のたびに学習し改善するスキルアーキテクチャです。AWS 上で分散型の複雑なアーキテクチャアプリケーションを運用するすべてのチームにとって、DevOps Agent はインシデント対応の運用負荷を軽減しながら、将来のすべての調査をより迅速かつ正確にする組織的知識を構築します。 始める準備はできましたか？ AWS DevOps Agent ドキュメント でセットアッププロセスを確認し、 AWS DevOps Agent ワークショップ でハンズオン体験を行い、AWS アカウントチームに連絡して最初の Agent Space を設定してください。 著者について Tipu Qureshi Tipu Qureshi は AWS Agentic AI の Senior Principal Technologist で、運用エクセレンスとインシデント対応の自動化に注力しています。AWS のお客様と協力して、レジリエントでオブザーバブルなクラウドアプリケーションと自律的な運用システムを設計しています。 Bill Fine Bill Fine は AWS の Agentic AI Product Management Leader で、AWS DevOps Agent の製品戦略と顧客エンゲージメントを統括しています。 Joe Alioto Joe Alioto は、オブザーバビリティと AWS 上の一元化された運用管理に焦点を当てたクラウドオペレーションの World Wide Senior Specialist Solutions Architect です。20 年以上のハンズオン運用エンジニアリングとアーキテクチャの経験を持っています。仕事以外では、家族との時間を楽しみ、新しいテクノロジーの学習や PC ゲームを趣味としています。 Janardhan Molumuri Janardhan Molumuri は AWS の Principal Technical Leader で、20 年以上のエンジニアリングリーダーシップ経験を持ち、クラウドと AI の導入戦略や生成 AI を含む新興技術についてお客様にアドバイスしています。ソートリーダーシップ、講演、執筆に情熱を持ち、大規模な課題解決のためのテクノロジートレンドの探求を楽しんでいます。 本ブログは 2026 年 3 月 31 日に公開された Leverage Agentic AI for Autonomous Incident Response with AWS DevOps Agent &nbsp;の日本語訳です。翻訳はテクニカルアカウントマネージャーの日平が行いました。

2026 年 03 月に公開された AWS Black Belt オンラインセミナーの資料及び動画についてご案内させて頂きます。 動画はオンデマンドでご視聴いただけます。 また、過去の AWS Black Belt オンラインセミナーの資料及び動画は「 AWS Black Belt Online Seminar 一覧 」に一覧がございます。 YouTube の再生リストは「 AWS Black Belt Online Seminar の Playlist 」をご覧ください。 Amazon SageMaker 基礎編 Amazon SageMaker は、分析と AI との統合エクスペリエンスを提供し、統合開発環境の Amazon SageMaker Unified Studio、オープンなレイクハウスアーキテクチャ、データと AI のガバナンスから構成されます。 本セミナーでは、Amazon SageMaker 基礎編として、Amazon SageMaker の全体像と、Amazon SageMaker Unified Studio の各種機能とガバナンスについて解説しています。 資料（ PDF ） | 動画（ YouTube ） 対象者 AWS クラウドを活⽤したデータ基盤、AI 基盤を担当する方 生成 AI の本格活用に備えてデータ活用、分析環境の整備を検討されようとしている方 Amazon SageMaker に関心のある、ご利用予定の方 本 BlackBelt で学習できること Amazon SageMaker の全体像、および Amazon SageMaker Unified Studio の各種機能とガバナンス スピーカー 平井 健治、北里 知也 ソリューションアーキテクト、クラウドサポートエンジニア AWS re:Invent 2025 re:Cap Compute 編 AWS re:Invent 2025 で発表された Compute 関連の主要アップデートをまとめて解説するセッションです。AWS Graviton5 搭載の M9g インスタンスや、新たに発表された Nitro Isolation Engine など、AWS のコンピューティング基盤における最新の進化をキャッチアップできます。AWS re:Invent 2025 の Compute セッションを効率よく振り返りたい方におすすめの内容です。 資料（ PDF ） | 動画（ YouTube ） 対象者 Amazon EC2 の基本的な概念（インスタンスタイプなど）を理解されている方を対象としています。AWS Graviton や Nitro System といったキーワードを聞いたことがある程度の前提知識があるとスムーズに理解いただけます。 本 BlackBelt で学習できること AWS Graviton5 や新たに発表された Nitro Isolation Engine について学ぶことができます。また、AWS re:Invent 2025 の Compute 関連セッションの全体像を把握し、さらに深掘りしたいテーマへの導線を得ることができます。 スピーカー 池田 優 ソリューションアーキテクト AWS re:Invent 2025 re:Cap HPC on AWS 編 2025 年 12 月に開催された AWS 最大のカンファレンス re:Invent で発表されたアップデートを HPC on AWS の観点からご紹介します。re:Invent で発表された HPC ワークロードでお使いいただける新しい Amazon EC2 インスタンス、HPC 関連サービスのアップデート、関連する事例セッションについてご紹介します。また、まだ HPC on AWS を利用されたことがない方に向けて、その概要についてもご説明しています。 資料（ PDF ） | 動画（ YouTube ） 対象者 re:Invent 2025 の HPC on AWS 関連アップデート・セッションを知りたい方 HPC 環境を AWS 上で構築したいと考えている方 AWS 上の HPC 環境をより効果的に活用したい方 本 BlackBelt で学習できること HPC on AWS 概要 HPC 関連 re:Invent 2025 アップデート HPC 関連 EC2 インスタンス 2025 年のアップデート HPC 関連サービス 2025 年のアップデート スピーカー 杉山 遼子 ソリューションアーキテクト Amazon ECS マネージドインスタンス 2025 年9月に発表された Amazon Elastic Container Service マネージドインスタンスについて、基本的な仕組みと使い方をまとめています。起動タイプの第３の選択肢として、マネージドインスタンスをぜひご活用ください。 資料（ PDF ） | 動画（ YouTube ） 対象者 Amazon ECS の概要を理解されている方 Fargate の運用容易性と EC2 の柔軟性のトレードオフに直面している方 既存ワークロードのコンテナ化を検討している⽅ 本 BlackBelt で学習できること Fargate と EC2 の利点を兼ね備えた、第3の選択肢となるマネージドインスタンスの概要及び特徴が学べます。 スピーカー 桐生 宜昭 テクニカルアカウントマネージャー AWS Organizations 基礎編 AWS Organizations を利用することで無償で複数の AWS アカウントを一元管理することができます。本セミナーでは AWS Organizations の機能機能や他の AWS サービスとの連携についてご紹介します。 資料（ PDF ） | 動画（ YouTube ） 対象者 AWS Organizations をご利用でない方 AWS Organizations の一部の機能のみご利用中の方 本 BlackBelt で学習できること AWS 環境におけるマルチアカウント構成のメリットを理解する AWS Organizations の機能概要を把握する 他の AWS サービスとの連携について知る スピーカー 神原 滉一 クラウドサポートエンジニア AWS DevOps Agent(Preview) – 運用チーム編 – 本資料は、AWS Black Belt Online Seminar「AWS DevOps Agent (Preview) – 運用チーム編」の資料です。AWS DevOps Agent は、インシデントを自律的に解決・予防するフロンティアエージェントです。運用チームがどのように AWS DevOps Agent を活用できるかを、具体的なシナリオを交えながら解説します。 資料（ PDF ） 対象者 システムの保守・運用(インシデント/障害対応など)の業務を担当されている方。AWS DevOps Agent に関心がある、またはご利用予定の方 本 BlackBelt で学習できること 本 AWS Black Belt Online Seminar では、AWS DevOps Agent を活用した運用チームによるインシデント対応・予防の実践方法を学習できます。サーバーレスアプリケーション、GitHub Actions を用いた CI/CD パイプライン、Amazon EKS といった代表的な構成での障害調査・復旧シナリオを通じて、MTTR（平均復旧時間）の短縮や再発防止策の立案方法を習得できます。また、運用チーム向け Web App の操作方法についても理解を深めることができます。 スピーカー 古野 俊広 クラウドサポートエンジニア Amazon Connect Customer Profiles による C360 の実現とマーケティング活動での活用 Amazon Connect Customer Profiles は、複数のシステムに分散した顧客情報を統合し、360 度の顧客ビュー（C360）を実現するサービスです。 本セミナーでは、EC サイトやコンタクトセンターなど様々なデータソースから顧客情報を統合し、パーソナライズされたマーケティング活動に活用する方法を、実際のデモを交えてご紹介します。 アイデンティティ解決機能による重複レコードの統合、計算属性による自動的なビジネス指標の算出、Amazon Bedrock を活用した AI 支援セグメンテーションなど、実践的な機能を詳しく解説します。 資料（ PDF ） | 動画（ YouTube ） 対象者 本セミナーは、IT マーケティングの検討・実装を担当される方、カスタマーセンターのシステム構築に携わる方を対象としています。 特に、サイロ化された顧客情報の統合に課題を感じている方や、Amazon Connect を既に利用しているが Customer Profiles はまだ活用していない方に最適な内容です。 顧客データの統合やパーソナライゼーション施策に関する基本的な知識があると、より理解が深まります。 本 BlackBelt で学習できること 本セミナーでは、Amazon Connect Customer Profiles を使った顧客 360 度ビューの実現方法を学習できます。 具体的には、オブジェクトタイプマッピングによる外部データの統合手法、ルールベースおよび機械学習を用いたアイデンティティ解決による重複顧客レコードの統合、購買総額や問い合わせ頻度などのビジネス指標を自動計算する計算属性の活用方法を習得できます。 さらに、Amazon Bedrock を活用した自然言語ベースの顧客セグメント作成とトレンド分析、Amazon AppFlow、Amazon Kinesis、Amazon EventBridge を使ったデータ統合アーキテクチャの設計についても理解を深めることができます。 スピーカー 松本和久・髙橋 伸幸 ソリューションアーキテクト AWS re:Invent 2025 re:Cap インダストリー編 – 流通小売・消費財業界からみた注目サービス AWS re:Invent 2025 で発表された Agentic AI サービスの中から、流通小売・消費財業界の業務に変革をもたらすサービスをピックアップして紹介します。店舗運営・分析企画では Amazon Quick による分析業務の統合・効率化、コンタクトセンターでは Amazon Connect AI agents によるリアルタイム支援とコールサマリー自動生成、基幹業務では Amazon Bedrock AgentCore による AI エージェントの本番運用基盤について、具体的なユースケースとともに解説します。 資料（ PDF ） | 動画（ YouTube ） 対象者 流通小売・消費財業界で Agentic AI サービスの導入や業務効率化を検討されているビジネスリーダーおよび技術担当者の方を対象としています。AWS re:Invent 2025 で発表された注目サービスのポイントを効率的にキャッチアップしたい方にもおすすめです。前提知識として、Amazon Quick、Amazon Connect、Amazon Bedrock などの AWS サービスの概要を把握されていると、より理解が深まります。 本 BlackBelt で学習できること 流通小売・消費財業界の主要業務（店舗運営・分析企画、コンタクトセンター、基幹業務）において、Agentic AI サービスがどのような変革をもたらすかを具体的なユースケースとともに学ぶことができます。Amazon Quick の Spaces ・ Quick Flows ・ Quick Research ・ Chat Agents による分析業務の統合・効率化、Amazon Connect AI agents によるコールセンターの一次対応自動化やコールサマリー自動生成、Amazon Bedrock AgentCore の Gateway ・ Runtime ・ Observability ・ Policy ・ Evaluations による AI エージェントの本番運用に必要な機能を体系的に理解できます。 スピーカー 櫻井良 ソリューションアーキテクト AWS re:Invent 2025 re:Cap インダストリー編 – 流通小売・消費財業界向け NRF 2026 現地レポート NRF 2026（全米小売業協会カンファレンス）の現地レポートをお届けします。 AI Agent が社内業務から顧客接点まで全領域に浸透するトレンドを、顧客事例セッションや AWS ブースのデモを交えて解説します。 AWS ブースでは Amazon Bedrock と Amazon Bedrock AgentCore を活用したマルチエージェントシステムのデモとして、製品イノベーション（Luggage Lab）、サプライチェーン障害対応、Agentic Commerce、コスメ提案エージェントなどが展示されました。 資料（ PDF ） | 動画（ YouTube ） 対象者 流通小売・消費財業界で AI 活用やデジタルトランスフォーメーションを検討されている方を対象としています。 Agentic AI やマルチエージェントシステムといった最新の AI トレンドに関心のあるビジネス・技術担当者にもおすすめです。 本 BlackBelt で学習できること NRF 2026 で見られた流通小売・消費財業界における AI Agent 活用の最新トレンドを学べます。 Amazon Bedrock や Amazon Bedrock AgentCore を活用したマルチエージェントシステムの具体的なアーキテクチャやデモ事例を通じて、サプライチェーン障害対応の自動化、ERP 例外処理のエージェント化、Agentic Commerce の仕組みを理解できます。 スピーカー 堀内 保大 ソリューションアーキテクト AWS re:Invent 2025 re:Cap インダストリー編 – 流通小売・消費財業界向け 事例セッションから見る​流通小売消費財業界のトレンド AWS re:Invent 2025 で発表された流通小売・消費財業界の事例セッションを基に、AI エージェント活用の 3 つの共通パターンを解説します。Manchester Airports Group や Grainger における Amazon Bedrock AgentCore を活用したマルチエージェント構成、Alexa+ や Petco での Amazon Connect による顧客体験向上、VF Corporation でのクリエイティブ生成・コンテンツ最適化の事例を通じて、業界における AI 活用の最新トレンドをお伝えします。 資料（ PDF ） | 動画（ YouTube ） 対象者 流通小売・消費財業界で AI 活用や DX 推進を検討されているビジネスリーダーおよび技術担当者の方を対象としています。AWS re:Invent 2025 の業界別セッションのポイントを効率的にキャッチアップしたい方にもおすすめです。前提知識として、AWS の基本的なサービス（Amazon Bedrock、Amazon Connect 等）の概要を把握されていると、より理解が深まります。 本 BlackBelt で学習できること AWS re:Invent 2025 の流通小売・消費財業界における事例セッションから抽出した、AI マルチエージェントの活用、AI サービスによるカスタマーエクスペリエンス向上、クリエイティブ生成・コンテンツ最適化の 3 つの共通パターンを学ぶことができます。各事例では、Amazon Bedrock AgentCore や Amazon Connect などの AWS サービスを活用した具体的なアーキテクチャと、導入によるコスト削減・業務効率化の成果を確認できます。また、AI 導入を成功させるための「明確な ROI が見込めるユースケースから着手する」「内部プロセスから開始する」といった実践的なアプローチも学ぶことができます。 スピーカー 山下 智之 ソリューションアーキテクト

本記事は 2026 年 3 月 31 日 に公開された「 Announcing the AWS Sustainability console: Programmatic access, configurable CSV reports, and Scope 1–3 reporting in one place 」を翻訳したものです。 多くの皆さんと同じように、私も一人の親です。子どもたちにのためにどんな世界を築いているか、いつも考えています。だからこそ、今日の発表は多くの方にとって意味があると思います。本日、AWS のサステナビリティに関するレポートとリソースを一か所に集約したスタンドアロンサービス、 AWS Sustainability コンソール の提供開始をお知らせします。 Amazon は 2019 年に The Climate Pledge を通じて、2040 年までに事業全体でネットゼロカーボンを達成する目標を掲げました。この取り組みは、AWS のデータセンターやサービスの構築方針にも反映されています。さらに AWS は、お客様自身のワークロードに対する環境フットプリントの測定と削減も支援しています。AWS Sustainability コンソールは、こうした取り組みの最新のステップです。 AWS Sustainability コンソールは、 AWS Billing コンソール 内の カスタマーカーボンフットプリントツール (CCFT) を基盤として、お客様からのご要望に応じた新機能を導入しています。 これまで、カーボンフットプリントデータにアクセスするには、請求レベルの権限が必要でした。しかし、サステナビリティ担当者やレポートチームは、コストや請求データへのアクセス権を持っていない（また、持つべきでもない）ことが一般的です。そのため、必要な担当者にデータアクセスを提供するには、サステナビリティのワークフローを考慮していない既存の権限構造に対応する必要がありました。AWS Sustainability コンソールは Billing コンソールとは独立した権限モデルを備えており、サステナビリティ担当者は請求権限なしで排出量データに直接アクセスできるようになりました。 このコンソールには、AWS の利用に起因する スコープ 1, 2, 3 の排出量 が含まれ、AWS リージョンや Amazon CloudFront 、 Amazon Elastic Compute Cloud (Amazon EC2) 、 Amazon Simple Storage Service (Amazon S3) といったサービスごとの内訳を確認できます。基となるデータと算定方法は今回のローンチでは変更されておらず、 CCFT と同じです。変わったのは、データへのアクセスと活用方法です。 サステナビリティレポートの要件が複雑化する中、排出量データへのより柔軟なアクセスが求められています。コンソールにはレポートページが追加され、マーケットベース方式 (MBM) とロケーションベース方式 (LBM) の両方のデータを含む月次およびの年次の二酸化炭素排出量レポートをダウンロードできます。また、含めるフィールド、時間粒度、その他のフィルターを選択してカスタム CSV レポートを作成することもできます。 組織の会計年度が暦年と一致しない場合、コンソールをレポート期間に合わせて設定できるようになりました。設定すると、すべてのデータビューとエクスポートに会計年度と四半期が反映されるため、財務チームとサステナビリティチームが並行して作業する際の摩擦が解消されます。 また、新しい API や AWS SDK を用いて、排出量データを独自のレポートパイプライン、ダッシュボード、コンプライアンスワークフローに統合することもできます。これは、データエクスポートを設定せずに多数のアカウントにまたがる特定月のデータをを取得したい場合や、既存の AWS Organizations 構造と一致しないカスタムアカウントグループを作成する必要がある場合に効果的です。 リリースされた最新の機能や算定方法の更新については、 詳細はこちら タブの リリースノート ページで確認できます。 実際に見てみましょう Sustainability コンソールを紹介するため、 AWS マネジメントコンソール を開き、画面上部の検索バーで “Sustainability” と検索しました。 二酸化炭素排出量 セクションでは、二酸化炭素換算トン (MTCO2e) で表された二酸化炭素排出量の推定値を確認できます。MBM と LBM の両方でスコープ別の排出量が表示されます。画面右側では、日付範囲の調整やサービス、リージョンなどによるフィルタリングが可能です。 補足すると、スコープ 1 は自社が所有または管理する排出源からの直接排出 (例えば、データセンターの燃料使用によるもの) を指します。スコープ 2 は購入したエネルギーの生産に伴う間接排出で、マーケットベース方式 (MBM) では再生可能エネルギー証書などのエネルギー属性証書を考慮し、ロケーションベース方式 (LBM) では地域の平均グリッド排出量を使用します。スコープ 3 はサーバー製造やデータセンター建設など、バリューチェーン全体のその他の間接排出を含みます。これらの算定方法の詳細については、第三者機関である Apex による独立した検証 を受けた ドキュメント をご覧ください。 API や AWS Command Line Interface (AWS CLI) を使って、排出量データをプログラムで取得することもできます。 aws sustainability get-estimated-carbon-emissions \ --time-period='{"Start":"2025-03-01T00:00:00Z","End":"2026-03-01T23:59:59.999Z"}' { "Results": [ { "TimePeriod": { "Start": "2025-03-01T00:00:00+00:00", "End": "2025-04-01T00:00:00+00:00" }, "DimensionsValues": {}, "ModelVersion": "v3.0.0", "EmissionsValues": { "TOTAL_LBM_CARBON_EMISSIONS": { "Value": 0.7, "Unit": "MTCO2e" }, "TOTAL_MBM_CARBON_EMISSIONS": { "Value": 0.1, "Unit": "MTCO2e" } } }, ... ビジュアルコンソールと新しい API により、引き続き利用可能な データエクスポート に加えて、データの活用手段が 2 つ増えました。コンソールでホットスポットを特定し、ステークホルダー向けレポートの作成を自動化できます。 Sustainability コンソールは今後も機能を拡充していきます。お客様とともにコンソールの機能を拡充しながら、新しい機能を引き続きリリースしていきます。 今すぐ始めましょう AWS Sustainability コンソールは、追加費用なしで本日からご利用いただけます。AWS マネジメントコンソールからアクセスできます。2022 年 1 月までさかのぼる過去のデータも利用可能なため、排出量の傾向をすぐに確認し始めることができます。 今すぐ コンソール をお試しください。AWS のサステナビリティへの取り組みについて詳しくは、 AWS Sustainability ページをご覧ください。 — seb 著者について Sébastien Stormacq Seb は 80 年代半ばに初めて Commodore 64 に触れて以来コードを書き続けています。情熱、好奇心、お客様視点、創造性を独自に組み合わせた彼のスタイルで、ビルダーの皆さんが AWS クラウドの価値を引き出せるよう支援しています。ソフトウェアアーキテクチャ、開発者ツール、モバイルコンピューティングに関心があります。彼に何かを売り込みたいなら、それにAPIがあることを確認してください。Bluesky、X、Mastodon などで @sebsto をフォローしてください。 翻訳は Technical Account Manager の 石渡 が担当しました。

本記事は 2026 年 3 月 12 日に公開された Ryan Yanchuleff, Kartik Rao, Arnab Satpati による “ Enterprise governance: control your MCP servers and models ” を翻訳したものです。 AI コーディングツールを評価するエンタープライズのセキュリティおよびコンプライアンスチームは、一貫して 2 つの機能を優先しています。MCP サーバー接続の一元管理と、組織全体で使用される AI モデルのガバナンスです。 どちらも、企業が新しいカテゴリの開発者ツールに対してどう向き合うかを表しています。MCP サーバーはデータベース、ドキュメント、API、内部ツールに接続することで IDE を拡張し、実際の生産性向上をもたらします。AI モデルは定期的にリリースされ、それぞれデータ処理の特性と推論リージョンが異なります。エンタープライズ規模では、組織は開発環境の他の部分と同様に、これらに対してもポリシー主導の管理を期待しています。 コンプライアンス要件が高い組織にとって、これらの管理機能は広範な導入の前提条件となることが多いです。セキュリティチームは、MCP サーバーへのアクセスが組織のポリシーに沿っていること、そしてモデルの使用が承認された範囲内に収まっていることを、エンジニアリングチーム全体へのロールアウトを承認する前に確認する必要があります。 本日、Kiro に 2 つの新しいエンタープライズガバナンス機能を提供します。管理者が承認済み MCP サーバーを許可リストで管理できる MCP サーバーレジストリと、組織が開発者が使用できるモデルを定義できるモデルガバナンス管理です。Kiro はこれらのポリシーを IDE と CLI の両方で確定的に適用します。 問題: ガードレールのない MCP MCP は AI コーディングツールが外部システムに接続するための標準的な方法となっています。Kiro はローンチ以来 MCP をサポートしており、まず ローカルサーバー 、次に リモートサーバー に対応しました。開発者は MCP サーバーを使用して、Kiro をドキュメントシステム、データベース、チケットツール、クラウドインフラなどに接続しています。 MCP の導入が組織全体に拡大するにつれ、エンタープライズのセキュリティチームは開発環境内の他の統合ポイントに適用するのと同じ一元的な監視を求めるようになります。何百人もの開発者が MCP を通じて外部システムに接続している場合、管理者はパッケージレジストリ、CI/CD プラグイン、API アクセスを管理するのと同じように、使用が承認されているサーバーを定義して適用する方法が必要です。 これはエンタープライズのお客様から最も一貫して寄せられたリクエストの 1 つでした。個々の開発者の裁量に任せるのではなく、ポリシーを通じて MCP サーバーへのアクセスを管理する方法を管理者に提供してほしいというものです。組織は、セキュリティチームが求めるガバナンス体制を維持しながら、MCP の導入を迅速に進めたいと考えていました。 仕組み: MCP レジストリ Kiro の MCP ガバナンスは管理者に 2 つの管理機能を提供します。MCP を無効にする MCP のオン/オフトグルと、管理者が Kiro 用の承認済み MCP サーバーの JSON 許可リストを設定できる MCP レジストリです。どちらの管理機能も、エンタープライズユーザー向けに作成される Kiro プロファイル の一部であり、そのアカウントのすべてのサブスクライバーに対してアカウントレベルで設定できます。 レジストリ自体は JSON ファイルで、Amazon S3、nginx、内部 Web サーバーなど任意の HTTPS エンドポイントに作成してホストします。Kiro 管理コンソールのプロファイルに URL を追加すると、Kiro が確定的な方法で残りの処理を行います。すべての Kiro クライアントは起動時にレジストリを取得し、24 時間ごとに再同期します。ローカルにインストールされた MCP サーバーがレジストリに存在しなくなった場合、Kiro はそれを終了させ、開発者が再追加できないようにします。レジストリがサーバーの新しいバージョンを指定している場合、Kiro はそのサーバーを更新後のバージョンで自動的に再起動します。 開発者が Kiro CLI で /mcp add を実行すると、レジストリのサーバーのみが表示されます。レジストリで定義されたサーバーパラメーター（URL、パッケージ識別子、ランタイム引数）は読み取り専用です。開発者は独自の環境変数（認証キーやローカルパス用）と HTTP ヘッダーを追加できますが、リストにないサーバーには接続できません。 レジストリはリモートとローカルの両方の MCP サーバーをサポートしています。 リモートサーバー : streamable-http または sse トランスポートで接続し、エンドポイント URL と HTTP ヘッダーを設定可能です。 ローカルサーバー : npm、PyPI、OCI レジストリのパッケージとして定義され、 stdio トランスポートで動作します。Kiro は npx 、 uvx 、または docker を使用してダウンロードおよび実行します。適切なパッケージランナーが開発者のマシンにインストールされている必要があります。 MCP レジストリオープン標準に基づく構築 Kiro のレジストリファイル形式は、 MCP レジストリ標準 の一部を採用しました。これは MCP サーバーの検出と配布のためのオープンソース仕様で、MCP プロジェクト（元々は Anthropic が作成し、現在はオープン標準として管理されています）によって維持されています。これにより、MCP ガバナンスへの投資が特定のサービスプロバイダーに縛られることはありません。レジストリ仕様は、MCP サーバーのカタログ化、バージョン管理、検出方法の標準化されたデータモデルを定義しています。 Kiro のレジストリ定義は、JSON 形式の仕様から サーバースキーマ の一部に従っています。各サーバーエントリには、名前（ファイル内で一意）、説明、バージョン（セマンティックバージョニング推奨）、および remotes 配列（HTTP ベースのサーバー用）または packages 配列（ローカル stdio サーバー用）のいずれかが含まれます。簡略化した例を以下に示します。 { "servers": [ { "server": { "name": "my-remote-server", "description": "My server description", "version": "1.0.0", "remotes": [ { "type": "streamable-http", "url": "https://acme.com/my-server" } ] } }, { "server": { "name": "my-local-server", "description": "My server description", "version": "1.0.0", "packages": [ { "registryType": "npm", "identifier": "@acme/my-server", "transport": { "type": "stdio" } } ] } } ] } 完全な JSON スキーマと属性リファレンスについては、 Kiro MCP ガバナンスドキュメント を参照してください。 モデルガバナンス: 開発者が使用できるモデルを管理する Kiro は オープンウェイトモデル や Anthropic の最新モデル（ Opus 4.6 や Sonnet 4.6 など）のような新しいモデルオプションを追加し続けています。選択肢が増えることは開発者にとって良いことです。しかし、モデル承認プロセスを持つ企業にとって、新しいモデルが登場するたびに、誰かが使用できるようになる前に回答が必要なコンプライアンス上の問題が生じます。 本日、Kiro エンタープライズのお客様向けにモデルガバナンスも提供します。Kiro の管理者は、未承認のモデルを無効にすることで、開発者が利用できるモデルを制限できるようになりました。 明確にしておくと、これは「独自モデルの持ち込み」ではありません。モデルガバナンスは Kiro にモデルを追加するものではありません。すでに利用可能なリストからモデルを削除するものです。組織がまだモデルを承認していない場合、レビュープロセスが完了するまで開発者にオプションとして表示されないよう無効にできます。 なぜこれが重要なのか エンタープライズのモデル承認プロセスには正当な理由があります。モデルによってトレーニングデータの出所、ライセンス条件、データ処理の特性が異なります。新しいモデルを使用する前に法的レビューを必要とする組織もあります。数週間かかる技術評価プロセスを持つ組織もあります。 モデルガバナンスがなければ、Kiro が新しいモデルをリリースするたびに、組織内のすべての開発者がすぐに利用できるようになります。管理者は承認プロセスを適用する方法がなく、IDE でモデルを選択する前に開発者がポリシードキュメントを確認することに頼ることになります。それでは組織規模には対応できません。 データレジデンシーと実験的モデル これは特にデータレジデンシー要件を持つお客様にとって重要です。Kiro の一般提供モデルはリージョナルなクロスリージョン推論を使用しており、データは選択した地域（米国またはヨーロッパ）内に留まります。しかし、 実験的サポート でリリースされた新しいモデルはグローバルなクロスリージョン推論を使用する場合があり、リクエストが選択した地域外の AWS リージョンで処理される可能性があります。 データレジデンシー要件が高い組織にとって、この区別は重要です。グローバルに推論をルーティングする実験的モデルは、モデル自体が技術的に優れていても、コンプライアンス義務と互換性がない場合があります。 モデルガバナンスは管理者にこれを処理するための簡単な方法を提供します。データレジデンシー要件に対してレビューが完了するまで実験的モデルを無効にします。モデルが実験的段階からリージョナル推論を備えた一般提供段階に移行したら、有効にします。開発者は Kiro のタイムラインではなく、組織のタイムラインで新しいモデルにアクセスできます。 仕組み 管理者は AWS マネジメントコンソールの Kiro 管理設定を通じてモデルの可用性を設定します。インターフェースには Kiro がサポートするすべてのモデルと、その現在のステータス（GA または実験的）および推論スコープが表示されます。管理者はモデルのオン/オフを切り替えられます。無効にされたモデルは、IDE と CLI の両方で組織内のどの開発者のモデルセレクターにも表示されません。 Kiro が新しいモデルをリリースすると、管理者は準備が整うまで簡単にオフにできます。開発者は組織が承認したモデルのみを見ることができます。 今すぐ始めましょう MCP ガバナンスとモデルガバナンスは、 AWS IAM Identity Center 、 Okta、または Microsoft Entra ID を通じて認証する Kiro エンタープライズのお客様向けに、Kiro IDE 0.11.28 または Kiro CLI 1.23 以降で利用可能です。 Kiro 管理設定コンソール で MCP レジストリとモデルポリシーを設定してください。 翻訳は Solutions Architect の吉村 が担当いたしました。

2026 年 3 月 23 日週の出来事で私が最も心を躍らせたのは、AWS Agentic AI バイスプレジデントである Swami Sivasubramanian が開始した 2026 年 AWS AI &amp; ML Scholars プログラム です。これは、世界中の学習者最大 100,000 人に AI 教育を無料で提供するプログラムで、基本的な生成 AI スキルを学ぶチャレンジフェーズと、その後で上位 4,500 名の成績優秀者に提供される 3 か月間の Udacity NanoDegree (授業料全額支給) という 2 つのフェーズがあります。AI または機械学習の経験がなくても、18 歳以上であれば誰でも応募できます。応募締め切りは 2026 年 6 月 24 日です。詳細を確認して応募するには、 AWS AI &amp; ML Scholars ウェブページ をご覧ください。 私は AWS Summit シーズンの開幕もとても楽しみにしています。今シーズンの皮切りは AWS Summit Paris (4 月 1 日)、その後に AWS Summit London (4 月 22 日) が続きます。AWS Summit は無料の対面式イベントで、ビルダーとイノベーターがクラウドと AI について学び、大きく考え、新しいつながりを築くことができる場です。お近くで開催される AWS Summit を調べて 、ぜひご参加ください。 それでは、2026 年 3 月 30 日週の AWS ニュースを見ていきましょう。 2026 年 3 月 23 日週のリリース 2026 年 3 月 23 日週のリリースのうち、私が注目したリリースをいくつかご紹介します。 数秒で行える Amazon Aurora PostgreSQL サーバーレスデータベース作成の発表 – Amazon Aurora PostgreSQL がエクスプレス設定の提供を開始しました。これは、事前設定済みのデフォルト値を使用する効率化されたセットアップで、データベースの作成と接続を数秒で行えるようにします。2 回クリックするだけで、Aurora PostgreSQL サーバーレスデータベースを起動できます。作成中または作成後に特定の設定を変更することもできます。 AWS 無料利用枠での Amazon Aurora PostgreSQL の提供開始 – AWS 無料利用枠で Amazon Aurora PostgreSQL を利用できるようになりました。AWS を初めてご利用になる場合は、サインアップ時に 100 USD 相当の AWS クレジットが付与され、Amazon Relational Database Service (Amazon RDS) などのサービスを使用することで、さらに 100 USD 相当のクレジットを追加獲得できます。 Agent Plugin for AWS Serverless の発表 – 新しい Agent Plugin for AWS Serverless を使用すると、Kiro、Claude Code、Cursorn といった AI コーディングアシスタントを使って、サーバーレスアプリケーションを簡単に構築、デプロイ、トラブルシューティング、管理できます。このプラグインは、スキル、サブエージェント、モデルコンテキストプロトコル (MCP) サーバーを 1 つのモジュラーユニットにパッケージ化することにより、構造化された機能で AI アシスタントを拡張します。AWS で本番環境対応のサーバーレスアプリケーションを構築するための開発過程全体を通じて、必要なガイダンスと専門知識を自動的に読み込みます。 Amazon SageMaker Studio がリモート IDE としての Kiro および Cursor IDE のサポートを開始 – Kiro IDE と Cursor IDE から、Amazon SageMaker Studio にリモートで接続できるようになりました。この機能により、Amazon SageMaker Studio のスケーラブルなコンピューティングリソースにアクセスしながら、Kiro および Cursor の既存のセットアップ (仕様主導の開発、会話型コーディング、自動機能生成など) を利用することが可能になります。 AWS マネジメントコンソールでのビジュアルカスタマイゼーション機能の導入 – アカウントの色といった視覚的設定で AWS マネジメントコンソールをカスタマイズし、表示するリージョンとサービスを管理できるようになりました。使用していないリージョンやサービスを非表示にすることで認知負荷と不必要なスクロール動作が低減し、集中力の向上と作業の迅速化に役立ちます。 Ruby アプリケーションの構築を簡素化するための Aurora DSQL コネクタの発表 – Ruby 用 Aurora DSQL コネクタ (pg gem) を使用して、Aurora DSQL で Ruby アプリケーションを簡単に構築できるようになりました。Ruby 用コネクタは、接続ごとにトークンを自動生成することで認証を簡素化し、セキュリティを強化するため、従来のパスワードに起因するリスクが排除されるとともに、既存の pg gem 機能との完全な互換性も維持されます。 AWS Lambda が Lambda Managed Instances で実行される関数のファイル記述子に対する上限を緩和 – AWS Lambda が、Lambda Managed Instances (LMI) で実行される関数のファイル記述子の上限を 1,024 から 4 倍の 4,096 に引き上げました。今後は、同時実行性が高いウェブサービスやファイルを多用するデータ処理パイプラインなどの I/O 集約型ワークロードを制限範囲内で実行できるようになります。 AWS Lambda が Lambda Managed Instances で最大 32 GB のメモリと 16 個の vCPU のサポートを開始 – Lambda Managed Instances 上の AWS Lambda 関数で、最大 32 GB のメモリと 16 個の vCPU がサポートされるようになりました。インフラストラクチャを管理しなくても、データ処理、メディアトランスコーディング、科学的シミュレーションなどのコンピューティング集約型ワークロードを実行できます。また、メモリと vCPU の比率 (2:1、4:1、または 8:1) をワークロードに合わせて調整することも可能です。 Amazon Polly の双方向ストリーミング API の発表 – 従来のテキスト読み上げ API はリクエスト/レスポンスパターンを使用します。Amazon Polly の新しい双方向ストリーミング API は、大規模言語モデル (LLM) レスポンスなど、テキストや音声を段階的に生成する会話型 AI アプリケーション用に設計されており、テキスト全文が提供される前に音声の合成を開始できます。 AWS からの発表の一覧は、 ニュースブログ チャネルと「 AWS の最新情報 」ページでご覧いただけます。 今後の AWS イベント カレンダーを確認して、近日開催予定の AWS イベントにサインアップしましょう。 AWS Summit – 先ほどお勧めした 2026 年の AWS Summit にぜひご参加ください。AWS Summit は、クラウドおよび AI 関連の新興テクノロジーを探求し、ベストプラクティスについて学び、業界の同業者や専門家とつながることができる無料の対面イベントです。近日開催予定の AWS Summit には、パリ (4 月 1 日)、ロンドン (4 月 22 日)、バンガロール (4 月 23〜24 日)、シンガポール (5 月 6 日)、テルアビブ (5 月 6 日)、ストックホルム (5 月 7 日) などがあります。 AWS Community Day – コミュニティリーダーたちがコンテンツを計画、調達、提供し、テクニカルディスカッション、ワークショップ、ハンズオンラボが行われるコミュニティ主導のカンファレンスです。近日開催予定のイベントには、サンフランシスコ (4 月 10 日) およびルーマニア (4 月 23～24 日) があります。 AWS Builder Center に参加して、ビルダーとつながり、ソリューションを共有し、開発をサポートするコンテンツにアクセスしましょう。今後開催される AWS 主導の対面および仮想イベント、スタートアップイベント、デベロッパー向けのイベントについては、 AWS イベントとウェビナー をご覧ください。 2026 年 3 月 30 日週のニュースは以上です。2026 年 4 月 6 日週にお届けする次回の Weekly Roundup もお楽しみに! –&nbsp; Prasad この記事は、Weekly Roundup シリーズの一部です。AWS からの興味深いニュースや発表を簡単にまとめて毎週ご紹介します! 原文は こちら です。

本記事は 2026 年 4 月 2 日 に公開された「 Agentic AI for observability and troubleshooting with Amazon OpenSearch Service 」を翻訳したものです。 Amazon OpenSearch Service は、組織のオブザーバビリティワークフローを支えるサービスです。Site Reliability Engineering (SRE) チームや DevOps チームは、テレメトリデータを集約・分析する統合ビューとして活用できます。しかしインシデント発生時、シグナルの相関分析や根本原因の特定には、ログ分析の深い専門知識と何時間もの手作業が必要です。根本原因の特定は依然として手動に頼る部分が大きく、多くのチームにとってサービス復旧の遅延やエンジニアリングリソースの消耗を招くボトルネックとなっています。 以前のブログ記事では、 オブザーバビリティエージェントの構築方法 を Amazon OpenSearch Service と Amazon Bedrock を使って紹介し、平均復旧時間 (MTTR) の短縮を実現しました。今回、Amazon OpenSearch Service はこれらの機能の多くを OpenSearch UI に直接組み込みました。追加のインフラストラクチャは不要です。MTTR の短縮を加速する 3 つのエージェント AI 機能を提供します。 エージェントチャットボット — 表示中のコンテキストと基盤データにアクセスし、エージェント推論を適用してツールでデータをクエリし、インサイトを生成します。 調査エージェント — 仮説駆動型の分析でシグナルデータを深掘りし、各ステップで推論過程を説明します。 エージェントメモリ — 両エージェントを支え、使うほど精度と速度が向上します。 本記事では、各機能が連携してエンジニアがアラートから根本原因まで数分で到達する方法を紹介します。また、調査エージェントが複数のインデックスにまたがるデータを自動的に相関分析し、根本原因の仮説を導き出すサンプルシナリオも解説します。 エージェント AI 機能の連携 AI 機能は OpenSearch UI の Ask AI ボタンからアクセスできます。次の図のように、 エージェントチャットボット のエントリポイントとなります。 エージェントチャットボット チャットボットを開くには、Ask AI を選択します。 チャットボットは現在のページのコンテキストを理解しているため、質問する前から表示中の内容を把握しています。データに関する質問、調査の開始、概念の説明を依頼できます。リクエストを理解すると、チャットボットはツールを使ってデータにアクセスし、Discover ページでクエリを生成・実行して、データに基づいた回答を生成します。Dashboard ページでも使用でき、特定のビジュアライゼーションから会話を開始して、次の画像のようにサマリーを取得できます。 調査エージェント 多くのインシデントは 1〜2 回のクエリでは解決できないほど複雑です。調査エージェントを活用できます。調査エージェントは plan-execute-reflect エージェント を使用します。反復的な推論と段階的な実行が必要な複雑なタスク向けのエージェントです。プランナーとして Large Language Model (LLM) を 1 つ、エグゼキューターとしてもう 1 つの LLM を使用します。エンジニアがエラーレートの急上昇やレイテンシーの異常を発見した場合、調査エージェントに調査を依頼できます。調査エージェントの重要なステップの 1 つが再評価です。各ステップの実行後、エージェントはプランナーと中間結果を使ってプランを再評価します。プランナーは必要に応じてプランを調整したり、ステップをスキップしたり、新しい情報に基づいてステップを動的に追加したりできます。プランナーを使って、エージェントは最も可能性の高い仮説と推奨事項を中心とした根本原因分析レポートを生成します。すべての推論ステップ、発見事項、最終仮説を裏付ける根拠を含む完全なエージェントトレースも提供されます。フィードバックの提供、独自の発見事項の追加、調査目標の反復、エージェントの推論の各ステップの確認と検証が可能です。経験豊富なインシデント対応者の作業を模倣しつつ、数分で自動的に完了します。チャットボットから「/investigate」スラッシュコマンドを使って、進行中の会話を基に調査を開始したり、別の調査目標で新たに開始したりもできます。 エージェントの動作 自動クエリ生成 SRE や DevOps エンジニアとして、主要サービスでレイテンシーが上昇しているというアラートを受け取った状況を考えてみましょう。OpenSearch UI にログインし、Discover ページに移動して Ask AI ボタンを選択します。Piped Processing Language (PPL) クエリ言語の専門知識がなくても、「レイテンシーが 10 秒を超えるリクエストをすべて検索」と入力できます。チャットボットはコンテキストと表示中のデータを理解し、リクエストを検討して適切な PPL コマンドを生成し、クエリバーを更新して結果を取得します。クエリでエラーが発生した場合も、チャットボットはエラーを学習して自己修正し、クエリを反復して結果を取得します。 調査と調査管理 通常であれば複数のログを手動で分析・相関して根本原因を探る必要がある複雑なインシデントでは、 Start Investigation を選択して調査エージェントを起動できます。調査の目標と、指示したいコンテキストや仮説を提供できます。例えば、「サービス全体で広範囲に発生している高レイテンシーの根本原因を特定してください。低速スパンの TraceID を使用して、関連するログインデックスの詳細なログエントリと相関させてください。影響を受けたサービス、オペレーション、エラーパターン、インフラストラクチャまたはアプリケーションレベルのボトルネックをサンプリングなしで分析してください」のように指定します。 エージェントは会話の一部として、デバッグしようとしている問題の調査を提案します。 エージェントはインデックス、関連する時間範囲などの関連情報とともに目標を設定し、調査用の Notebook を作成する前に確認を求めます。Notebook は OpenSearch UI 内でリッチなレポートを作成する機能で、ライブかつコラボレーティブです。調査の管理に役立ち、後日の再調査も可能です。 調査が開始されると、エージェントはまずログシーケンスとデータ分布の簡易分析を行い、外れ値を検出します。次に、調査を一連のアクションに計画し、特定のログタイプと時間範囲のクエリなど各アクションを実行します。各ステップで結果を振り返り、最も可能性の高い仮説に到達するまでプランを反復します。エージェントの作業中は中間結果が同じページに表示され、推論をリアルタイムで追跡できます。調査エージェントがサービストポロジーを正確にマッピングし、調査の重要な中間ステップとして活用している様子を確認できます。 調査が完了すると、調査エージェントは最も可能性の高い仮説として不正検出のタイムアウトを結論付けます。関連する発見事項として、決済サービスのログエントリ「currency amount is too big, waiting for fraud detection」が示されます。これは、高額取引が不正検出の呼び出しをトリガーし、トランザクションのスコアリングと評価が完了するまでリクエストをブロックするという既知のシステム設計と一致します。エージェントは 2 つの別々のインデックス（元の期間データを格納するメトリクスインデックスと、決済サービスのエントリを格納する関連ログインデックス）のデータを相関させてこの発見に至りました。トレース ID を使ってインデックスを紐付け、レイテンシーの測定値とその原因を説明する特定のログエントリを結び付けました。 仮説と裏付けとなる証拠を確認すると、ドメイン知識や過去の類似問題の経験と合致する妥当な結果だと判断できます。仮説を承認し、仮説調査で提供された影響トレースのリクエストフロートポロジーを確認できます。 最初の仮説が有用でなかった場合は、レポート下部の代替仮説を確認し、より正確なものがあれば選択できます。追加の入力や前回の修正を加えて再調査を開始し、調査エージェントに再検討させることも可能です。 使い始めるには エージェント AI 機能（制限あり）は OpenSearch UI で無料で利用できます。アカウントの OpenSearch Service ドメインで AI 機能を無効にしていない限り、OpenSearch UI アプリケーションですぐに利用可能です。AI 機能の有効化・無効化は、AWS マネジメントコンソールで OpenSearch UI アプリケーションの詳細ページに移動し、AI 設定を更新します。 registerCapability API で AI 機能を有効化、 deregisterCapability API で無効化することもできます。詳細は Agentic AI in Amazon OpenSearch Services を参照してください。 エージェント AI 機能は、ログインユーザーの ID と権限を使用して接続先データソースへのアクセスを認可します。ユーザーがデータソースへのアクセスに必要な権限を持っていることを確認してください。詳細は Getting Started with OpenSearch UI を参照してください。 調査結果は OpenSearch UI のメタデータシステムに保存され、サービスマネージドキーで暗号化されます。カスタマーマネージドキーを設定して、すべてのメタデータを独自のキーで暗号化することもできます。詳細は Encryption and Customer Managed Key with OpenSearch UI を参照してください。 AI 機能は Amazon Bedrock の Claude Sonnet 4.6 モデルで動作します。詳細は Amazon Bedrock Data Protection を参照してください。 まとめ Amazon OpenSearch Service に追加されたエージェント AI 機能は、コンテキストを理解するエージェントチャットボット、完全な説明可能性を備えた仮説駆動型の調査、コンテキストの一貫性を保つエージェントメモリを提供し、平均復旧時間の短縮を支援します。エージェント AI 機能により、エンジニアリングチームはクエリの作成やシグナルの相関分析に費やす時間を減らし、確認された根本原因への対応により多くの時間を充てられます。ぜひ各機能を試して、アプリケーションで活用してみてください。 著者について Muthu Pitchaimani Amazon OpenSearch Service の Search Specialist です。大規模な検索アプリケーションとソリューションを構築しています。ネットワーキングとセキュリティに関心があり、テキサス州オースティンを拠点としています。 Hang (Arthur) Zuo Amazon OpenSearch Service の Senior Product Manager です。OpenSearch UI プラットフォームと、オブザーバビリティおよび検索ユースケース向けのエージェント AI 機能をリードしています。エージェント AI とデータプロダクトに関心があります。 Mikhail Vaynshteyn Amazon Web Services の Solutions Architect です。ヘルスケアおよびライフサイエンスのお客様を担当し、データ分析サービスを専門としています。幅広いテクノロジーとセクターにわたる 20 年以上の業界経験があります。 この記事は Kiro が翻訳を担当し、Solutions Architect の Takayuki Enomoto がレビューしました。