すべてのプロダクト
Search

このプロダクト

    Edge Security Acceleration:ESA による OSS アクセスの高速化

    ドキュメントセンター

    Edge Security Acceleration:ESA による OSS アクセスの高速化

    最終更新日:Jun 18, 2026

    Object Storage Service (OSS) から画像、音声、動画、ドキュメントなどの静的リソースを配信する場合、ESA の高速化機能を使用すると、アクセス速度の大幅な向上、ネットワーク遅延の削減、データ転送コストの低減を実現できます。

    ユースケース

    あるウェブサイトが、画像や動画などの大量の静的アセットを保存するために OSS を使用しており、主に中国本土以外のユーザーにサービスを提供しています。ユーザーベースの拡大に伴い、ファイルのダウンロードやアセットの読み込みにかかる応答時間が増加し、地理的に離れたユーザーではより大きな遅延が発生します。この問題を解決するために、このウェブサイトは ESA を使用して OSS へのアクセスを高速化します。このソリューションは、最小限のコストで高速なコンテンツ配信を提供し、Web Application Firewall (WAF) や DDoS 保護などのセキュリティ機能を備えているため、全体的なユーザーエクスペリエンスとウェブサイトのセキュリティが向上します。

    仕組み

    静的リソースをプライベート OSS バケットに保存し、ESA を使用してアクセスを高速化します。クライアントがリクエストを送信すると、ESA はドメイン名に基づいて最速の POP (Point of Presence) を自動的に選択します。POP にリクエストされたリソースがキャッシュされている場合、リソースは直接ユーザーに提供されます。リソースがキャッシュされていない場合、POP はオリジンサーバーにオリジンフェッチリクエストを送信します。その後、POP はリソースをユーザーに返し、後続のリクエストのためにキャッシュします。

    image

    注意事項

    • この機能を初めて使用する際は、デフォルトの権限ポリシーを有効にする必要があります。ポリシーを有効にすると、ESA に OSS アカウント内のすべてのバケットへの読み取り専用アクセス権が付与されます。このアクセスでは、Security Token Service (STS) からの一時的なトークンが使用され、PUT などの書き込みや削除操作は許可されません。

    • 永続的なセキュリティトークンを設定する場合、OSS バケットに対する PUT などの書き込みや削除操作を防ぐために、その権限を制限するようにしてください。RAM ユーザーの OSS アクセス権限の設定方法の詳細については、「漏洩したアカウント認証情報による不正アクセスリスクの軽減」をご参照ください。

    • アクセラレーションドメイン名に認可を付与し、プライベートバケットのオリジンフェッチ機能を有効にすると、そのアクセラレーションドメイン名を使用してプライベートバケット内のすべてのリソースにアクセスできるようになります。ビジネスニーズに基づいて慎重に判断してください。プライベートバケットのコンテンツが ESA 高速化のオリジンコンテンツとして不適切な場合は、認可を付与したり、この機能を有効にしたりしないでください。

    • ウェブサイトが攻撃のリスクにさらされている場合は、高度な DDoS 保護サービスを購入し、プライベートバケットのオリジンフェッチ機能を認可または有効にする際には注意してください。

    • プライベート OSS バケットからのオリジンフェッチのための ESA 機能は、OSS の静的 Web サイトホスティング機能のデフォルトのインデックスページ設定と互換性がありません。両方の機能を同時に使用する必要がある場合は、「プライベート OSS バケットからのオリジンフェッチを有効にした後にドメイン名にアクセスすると "You are forbidden to list buckets" エラーが報告される」をご参照ください。

    • プライベートバケットのオリジンフェッチ機能を有効にすると、ESA の POP (Point of Presence) は、オリジンフェッチリクエストに Authorization という名前のヘッダーを追加します。これには、プライベート OSS バケットの認証署名が含まれます。ヘッダーと URL パラメーターの両方に署名が含まれている場合、OSS へのオリジンフェッチリクエストは認証に失敗することにご注意ください。

    前提条件

    ウェブサイトの追加

    ウェブサイトのルートドメイン(例:example.com)を ESA に追加すると、ルートドメインとそのすべてのサブドメインを高速化し、管理できます。

    ステップ 1:ウェブサイトの追加

    1. ESA コンソールで、サイト管理 ページに移動し、サイトを追加 をクリックします。

    2. サイトの入力 ページで、追加するウェブサイトのルートドメイン (例: example.com) を入力し、次へ をクリックします。

      image

    3. エリアと接続方式の選択 セクションで、グローバル (中国本土を除く) を選択します。接続方式 では、CNAME を選択し、次へ をクリックします。

      image

    4. プランの選択 ページで、新規プラン を選択するか、購入済みプラン を紐付けることで適切なプランを選択できます。その後、コンソールの指示に従ってプランの購入を完了してください。

      新規プラン

      新規プラン タブで、プランを選択してください

      image

      購入済みプラン

      購入済みプラン タブで、紐付ける既存のプランを選択してください。

      image

    プランの選択 ページで、ニーズに応じてプランを関連付けます:

    • パッケージを購入していない場合は、新規プラン タブで適切なパッケージ仕様を選択します。合計料金 を確認し、お支払いへ進む をクリックします。支払いが完了したら、コンソールに戻って確認します。

    • 利用可能なプランがある場合は、購入済みプラン タブでそれを選択し、完了 をクリックします。

    • 従量課金を有効にするには、従量課金の有効化 タブで設定を完了し、サービス規約を選択してから 完了 をクリックします。

    • 既存の従量課金インスタンスを関連付けるには、購入済みの従量課金インスタンス タブでインスタンスを選択し、完了 をクリックします。

    説明

    • システムに [現在のプランは、選択されているエリアをサポートしていません。プランを変更するか、前の手順に戻ってエリアを変更してください。] というメッセージが表示された場合は、選択したアクセラレーションリージョンをカバーするプランを選択するか、前へ をクリックしてアクセラレーションリージョンを変更してください。

    • ウェブサイトがサブドメインの場合、[入力されたサイトはサブドメインです。選択中のプランではルートドメイン (例: example.com) のみサポートされています。サブドメインを追加するには、有料プランにアップグレードしてください。] というメッセージが表示されます。プラン機能の比較については、「適切なプランの選択」をご参照ください。

    プランを関連付けると、選択した DNS 設定方法に基づいてシステムが自動的に進行します:

    • ESA によるワンストップ管理(NS 接続)を選択した場合:DNS レコード設定ページにリダイレクトされます。NS 接続設定を完了するために進んでください。

    • CDN ユーザー向け(CNAME 接続)を選択した場合:ウェブサイトの概要ページにリダイレクトされます。

    ステップ 2:ドメイン所有権の検証

    ドメイン名を初めて ESA に追加する際は、ドメインの所有権を検証する必要があります。

    1. 概要 ページで、ESA が生成した レコードタイプホストレコード、および レコード値 をコピーします。

      image

    2. Alibaba Cloud DNS コンソールにログインします。インターネットの権威ある DNS 解決 ページで、ドメイン名(例:example.com)を見つけ、Actions 列の 解決設定 をクリックします。

    3. Add Record をクリックし、ステップ 1 でコピーした値でパラメーターを入力してから、OK をクリックします。

      • [Record Type]: TXT

      • [Hostname]: _esaauth

      • [Query Source]: [デフォルト]

      • [Record Value]: verify_3***9e1

      • [TTL]: 10 (推奨)

    4. ESA コンソールに戻ります。ウェブサイトの概要ページで、認証 をクリックします。

      システムに[検証成功]と表示された場合、検証は完了です。

    ドメイン名の追加と解決

    高速化を有効にするには、アクセラレーションドメイン名を ESA に追加し、Alibaba Cloud DNS でその DNS レコードを作成する必要があります。このセクションでは、ドメイン名 images.example.com とプライベート OSS バケットエンドポイント bucket***aliyuncs.com を例として使用します。実際には、これらの例を実際のドメイン名とバケットエンドポイントに置き換えてください。

    説明

    [ホスト名] の値の一般的な例には、wwwwww.example.com に解決)、@(ルートドメイン example.com を解決)、mailmail.example.com に解決、通常はメールサービス用)、および *(ワイルドカード解決、*.example.com のような他のすべてのサブドメインに一致)があります。プランによって、ワイルドカードドメインの数に制限があります

    ステップ 1:ESA にドメインを追加

    CNAME 値を取得するには、ESA サーバーで加速ドメイン名や OSS プライベートバケットアドレスなどの情報を設定するための DNS レコードを追加する必要があります。

    1. ESA コンソールで、サイト管理 を選択し、サイト 列で対象のウェブサイトをクリックします。

    2. 左側のナビゲーションペインで、DNS > レコード の順に選択して レコードの追加 をクリックし、以下のようにレコードのパラメーターを入力して、次へ をクリックします。

      • [レコードタイプ]: [CNAME]。

      • [ホストレコード]: images.

      • [プロキシのステータス]:プロキシアクセラレーションを有効にします。

      • [レコード値]:[OSS] を選択します。

      • [back-to-origin タイプ]:プライベートアクセス - 同一アカウント を選択します。

      • [権限付与]:デフォルトでは、同一の OSS アカウント内のプライベートバケットへのアクセスは自動的に認可されます。

      • [OSS バケット]: bucket***aliyuncs.com を選択します。

      • [TTL]: デフォルトは 自動 です。

    3. 画像とビデオ を選択し、完了 をクリックします。

    4. CNAME 設定ウィザードで、ホストレコードレコード値をコピーします。次に、Alibaba Cloud DNS コンソールに移動してCNAME レコードを追加します。

      image

    ステップ 2:ドメインの解決

    ESA から CNAME 値を取得した後、Alibaba Cloud DNS に対応する CNAME レコードを追加する必要があります。ユーザーがアクセラレーションドメイン名にアクセスすると、Alibaba Cloud DNS はリクエストを適切な ESA の POP (Point of Presence) に解決し、そこで高速化サービスが提供されます。

    1. Alibaba Cloud DNS コンソールの[パブリックゾーン] ページで、対象のドメイン名 (例: example.com) を見つけ、操作 列の 解決設定 をクリックします。

    2. Add Record をクリックし、ESA からコピーした ホストレコードレコード値 を使用してパラメーターを入力します:

      • [Record Type]: CNAME

      • [Hostname]: images

      • Query Sourceデフォルト

      • [Record Value]: images.example.com.a1.initzz.com

      • [TTL]: 10 (推奨)

    3. 数分待ってから、ESA に戻り、アクセラレーションドメイン名が有効になっているかどうかを確認します。CNAME のステータス設定済み に変わると、アクセラレーションが有効になります。

      image

    ステップ 3:高速化の検証

    ESA のアクセラレーションドメイン名とバケットエンドポイントを介して同じファイルにアクセスし、ESA の高速化効果を検証します。

    この例では、アクセラレーションドメイン名経由のファイルアクセスには約 128 ミリ秒かかったのに対し、バケットエンドポイント経由では 163 ミリ秒かかりました。これは約 21% の速度向上を示しています。

    説明

    このデータは参考用です。実際の効果は、ネットワーク環境や地理的な場所などの要因によって異なる場合があります。通常、POP (Point of Presence) に近いユーザーやネットワーク接続が良いユーザーほど、高速化の効果はより顕著になります。

    ESA アクセラレーションドメイン名経由のアクセスimage
    バケットエンドポイント経旧のアクセスimage

    セキュリティ保護の有効化

    転送中のデータのセキュリティとウェブサイト全体のセキュリティ体制を向上させるために、複数のセキュリティ機能を設定できます。これには、フラッド攻撃から防御するための DDoS 保護、ウェブアプリケーションを悪意のある攻撃から保護するための Web Application Firewall (WAF)、転送中のデータ暗号化を保証するための SSL 証明書管理が含まれます。これらの機能が連携して、より安全で信頼性の高いウェブサイト環境の構築を支援します。

    異常アクセスの保護

    異常アクセスからの保護は、ウェブサイトセキュリティの重要な部分です。悪意のある攻撃から防御し、ウェブサイトの安定性と可用性を確保するのに役立ちます。ESA は、ネイティブの WAF 機能と、事前定義済みルールおよびカスタムルールを組み合わせて、クライアントのリクエストトラフィックをインテリジェントにフィルタリングします。これにより、正当でクリーンなトラフィックのみがサーバーに到達し、潜在的なセキュリティリスクが軽減されます。また、ボット対策を有効にすることで、悪意のあるリソースのスクレイピングを効果的に防ぎ、サービスの安定性を確保できます。

    image

    実行中、ESA[セキュリティ分析][イベント分析] モジュールを使用して、クライアントのリクエストデータをリアルタイムで収集・分析し、異常な動作を特定します。WAF カスタムルールと組み合わせることで、ブロック、チャレンジ、リダイレクトなど、さまざまな保護アクションを柔軟に設定し、異なる種類の攻撃に的確に対応できます。

    さらに、ESA はデフォルトで DDoS 基本保護機能を有効にします。この機能は、大規模な DDoS 攻撃や CC 攻撃から効果的に防御し、高トラフィック攻撃時でもウェブサイトの運用を維持します。

    これらの多層的な保護措置により、ESA は異常なアクセスを迅速に特定してブロックするだけでなく、複雑な攻撃に対する堅牢なセキュリティを提供し、ウェブサイトを包括的に保護します。

    転送中のデータ暗号化

    転送中のデータを暗号化することは、ネットワーク通信を保護するための重要な手段であり、送信中に機密データが傍受されたり改ざんされたりするのを効果的に防ぎます。ESA は、クライアントとオリジンサーバー間の包括的なデータ転送セキュリティソリューションを提供し、あらゆる段階でデータの安全性を確保します。

    image

    デフォルトでは、ESA は SSL/TLS 暗号化を有効にします。SSL/TLS プロトコルは、クライアントとサーバー間に暗号化されたチャネルを確立し、転送中のデータの機密性と完全性を保証します。

    セキュリティをさらに強化するために、無料のエッジ証明書をリクエストできます。エッジ証明書をデプロイすると、クライアントは HTTPS を介して ESA の POP と通信できるようになります。これにより、転送中のデータが暗号化され、認証されることが保証されます。

    さらに、ESA ではエッジ TLS 相互認証機能を有効にすることができます。この機能は、クライアントと ESA の POP との間に双方向の ID 検証メカニズムを確立し、認可されたクライアントのみがサーバーにアクセスできるようにします。この相互認証メカニズムは、不正アクセスや悪意のある攻撃を防ぐことで、データ転送のセキュリティを向上させます。

    これらの多層的なセキュリティ対策により、転送中のビジネスデータがさまざまなネットワークの脅威から保護されます。

    推奨設定

    ESA は、リソースアクセスパフォーマンスの向上、ネットワークパフォーマンスの最適化、キャッシュヒット率の向上を目的とした、複数の最適化戦略を提供します。

    リソースアクセスパフォーマンスの最適化

    ウェブサイト設定を有効化し最適化することで、ESA はアプリケーションのパフォーマンスを大幅に向上させます。具体的には、ESAカスタム画像変換リソースの最小化転送プロトコルのアップグレードなど、いくつかの高度な技術を使用してアクセスされるリソースを包括的に最適化します。これらの最適化により、ウェブサイトのアクセス速度が複数の側面から向上し、必要なリソースをより迅速に取得できるようになり、全体的なエクスペリエンスが向上します。

    • カスタム画像変換:ユーザーのデバイスや画面サイズに基づいて画像サイズとフォーマットを自動的に調整し、不要なデータ転送を削減します。

    • リソースの最小化:冗長なコードや不要なデータを削除することで静的リソースを圧縮・最適化し、リソースファイルのサイズを削減します。

    • 転送プロトコルのアップグレード:HTTP/2 や HTTP/3 などの最新の転送プロトコルをサポートし、データ転送効率を向上させ、遅延を削減します。

    ネットワークパフォーマンスの最適化

    ネットワーク転送速度をさらに向上させるため、ESA は、プロトコルサポートから通信方法まで、全体的なネットワークパフォーマンスを向上させるいくつかのネットワーク最適化設定を提供します。

    • IPv6 プロトコルのサポート:ESA は IPv6 プロトコルと完全に互換性があり、ネットワークアドレスリソースの利用率を向上させ、ネットワーク接続効率を最適化します。

    • WebSocket による低遅延通信:ESA はリアルタイム通信に WebSocket プロトコルを使用し、データ転送遅延を削減し、リアルタイムアプリケーションの応答速度を向上させます。

    • gRPC による効率的なサービスインタラクション:ESA は、効率的な gRPC 通信メカニズムに基づいた低遅延・高スループットのサービスインタラクションを提供し、非常に高いパフォーマンス要件が求められるシナリオに適しています。

    • 過負荷を防ぐインテリジェントなレート制限:ESA は、インテリジェントなトラフィック制御と負荷分散技術を使用してネットワークの輻輳や過負荷を防ぎ、高同時実行シナリオでも安定したネットワーク転送速度を確保します。

    キャッシュヒット率の向上

    リソースのアクセス速度を向上させるために、ESA でウェブサイトのキャッシュポリシーを設定したり、キャッシュルールを作成したりすることで、頻繁に使用されるリソースファイルを POP に保存できます。ユーザーがファイルをリクエストすると、POP が直接応答します。これにより、長距離のオリジンフェッチリクエストを回避し、リソースの読み込み時間を大幅に短縮します。

    • ウェブサイトのキャッシュポリシー:ビジネスニーズに基づいてキャッシュルールを柔軟に設定し、どのリソースをキャッシュし、どのリソースをキャッシュしないかを指定して、キャッシュヒット率を最大化します。

    • POP ストレージ:人気のあるリソースや静的ファイルを世界中に分散した POP に保存し、ユーザーが近くの場所からリソースにアクセスできるようにして、ネットワーク距離と遅延を削減します。