ターム 3：さくらのクラウドでのアーキテクチャ設計

本資料はさくらインターネット株式会社の公式教材（CC BY-SA 4.0）を元に作成・再構成しています。詳細は NOTICE を参照してください。

このタームのゴール：さくらのクラウドの個別機能を「システム構成・セキュリティ・可用性・拡張性・コスト」の 4 観点で組み立てる設計力を身につける。試験の出題比重が最も高い領域。

WARNING

数値の取り扱い（重要）：本タームに登場するサーバプラン上限・ディスクサイズ・SLA・料金体系などの数値は、シラバス v2.0（2026-03-30 改定）／公式オンライン教材 202602 に記載されたものを試験対策の基準値として転記しています。実サービスのプラン仕様は随時更新されるため、本番運用時はさくらのクラウドマニュアルで最新値を確認してください。試験では教材 202602 の値が正解です。

IMPORTANT

実受験者の声からのフラグ：

3.1.3 ネットワークと 3.2 セキュリティは試験で出題が目立つ領域。確認問題まで丁寧に取り組む
「ディスクサイズ・プラン名」のような細かい数字 / ネーミングが問われることがある（3.1.1 / 3.1.2 で押さえる）
他社クラウドとの接続（AWS / SINET / LGWAN / OCX 等、3.1.3 後半）は確実に押さえる

このタームの中項目：

3.1 さくらのクラウドで実現するシステム構成設計
3.2 セキュリティの設計
3.3 可用性と拡張性の設計
3.4 コストパフォーマンスの設計

3.1 さくらのクラウドで実現するシステム構成設計

3.1.1 コンピューティングリソース

学習目標：さくらのクラウドで提供される各種コンピューティングリソースの特徴を把握し、システムの要件に応じたシステム構成設計の考え方を理解する キーワード：サーバプラン（CPU・メモリ・NIC）、専有ホスト、コア専有、高火力 VRT（GPU）プラン、パブリックアーカイブ、スタートアップスクリプト、機密 VM プラン

サーバの概要

サーバは、さくらインターネットによる自社構築・自社運用のクラウド基盤で仮想マシンを利用できるサービス。伸縮自在かつ高品質低価格の仮想サーバを利用できる。

サーバプランの構成

サーバプランは CPU の仮想コア数 / メモリサイズ / NIC 数 の組み合わせで決まる。プラン変更（リサイズ）はサーバ停止 → 再起動が必要で、プラン変更するとリソース ID も変わり、作成日時は引き継がれない（試験頻出）。

公式仕様（v2.0 教材より）

項目	通常プラン	コア専有プラン
最小	CPU 1 コア / メモリ 1GB	CPU 2 コア / メモリ 4GB
最大	CPU 20 コア / メモリ 224GB	CPU 192 コア / メモリ 1024GB

IMPORTANT

コア数とメモリの組み合わせには範囲がある：CPU 1 コアならメモリ 1〜5GB、CPU 20 コアならメモリ 16〜224GB。「組み合わせは自由」ではないことが試験で問われる。

軸	内容
NIC 数	1 〜複数（追加可、1 台のサーバに最大 10 個まで）
ディスク数	1 台のサーバに最大 3 台まで接続可能
料金単位	時間額 / 日額 / 月額（プランによる）
ゾーン差	東京リージョン・石狩リージョンで料金が異なるケースあり

サーバの作成と削除

モード	内容
シンプルモード	いくつかのメニュー選択と情報入力で簡単にサーバを作成
通常モード	詳細な条件でサーバを作成（コア専有プラン / 高火力 VRT は通常モード必須）

サーバ削除前には停止が必要。サーバに接続されているディスクも同時に削除できる。

サーバのステータスと電源操作

ステータス	説明
UP（起動）	電源が投入された状態
DOWN（停止）	電源が未通電の状態
CLEANING（準備中／起動処理中）	サーバのシャットダウン完了後、クラウド基盤上のデータベースを更新している状態。電源操作不可だが、通常数秒〜数十秒で停止状態に遷移

電源操作	説明
起動	サーバへ電源投入
cloud-init 起動	cloud-init 対応アーカイブから作成したディスクが接続されたサーバを起動する際、cloud-config により起動後の構成情報を設定可能
シャットダウン	サーバの電源ボタン押下をエミュレート。ACPI 対応 OS なら安全にシャットダウン処理が走る
強制リブート	リセットボタン押下をエミュレート。状態に関わらず OS 動作を中断し起動手順開始
強制停止	サーバの電源が即座にオフ

WARNING

強制停止 / 強制リブートは OS のシャットダウン処理が走らないため、ディスクの不整合によって次回起動時に不具合が出る可能性がある。

TIP

ACPI（Advanced Configuration and Power Interface）：OS とハードウェア（またはハイパーバイザ）間で電源管理やデバイス構成を制御するための業界標準仕様。

電源操作とホストサーバの変更

ホストサーバが変更される	変更されない
シャットダウン → 起動 / OS からのシャットダウン → 起動 / 強制停止 → 起動 / 強制リブート	OS 上でリブート

サーバのプラン変更とクローン

WARNING

プラン変更時の注意（試験頻出）：

CPU の仮想コア数とメモリサイズを個別／同時に変更可能
変更にはサーバの停止が必要
リソース ID は変わる（自動連携用 ID をハードコードしている場合は要修正）
作成日時は引き継がれない
その他サーバ停止が必要な操作：NIC ドライバのタイプ変更 / ディスクの追加 / NIC の追加

クローン機能は既存のサーバを元に新規でサーバを作成する機能。追加した NIC や 2 つ目以降のディスクのコピーは行われない。

サーバのタグ機能

サーバやディスクなどのリソースに付与することで、種類や役割に応じた分類ができる。特殊タグを付与すると特殊な機能が使用できる。

特殊タグ	機能
`@keyboard-us`	サーバ上のキーボードを US 配列として設定
`@group=A`〜`@group=D`	サーバをグループ化し、起動するホストサーバを分離する（値が異なるサーバ同士は別ホストで起動）
`@auto-reboot`	サーバ停止時に自動起動（コントロールパネルや API で停止した場合は自動起動されない）
`@boot-cdrom`	サーバ起動時に仮想 CD-ROM から起動
`@boot-network`	サーバ起動時にネットワークから起動（PXE Boot）
`@cpu-topology`	CPU トポロジ（コア／ソケット数）の設定
`@pin`	特定の専有ホストへサーバを固定（専有ホスト専用）

TIP

サーバのホストにメンテナンス予定がある場合、@mainte-YYYYMMDD-* 形式のタグが自動付与される。

サーバの NIC とスイッチ接続

デフォルト：NIC は「インターネットに接続」=共有セグメント（無料のグローバルネットワーク）に接続
共有セグメント接続の NIC にはグローバル IP アドレスが自動的に 1 つ付与される
NIC はサーバ作成後も追加可能（最大 10 個、追加・削除はサーバ停止中のみ）
追加した NIC はグローバルネットワーク接続不可、スイッチに接続
複数の NIC を共有セグメントや同じスイッチに接続することはできない（試験頻出）

NIC タブで操作できること

操作	内容・制約
詳細表示	NIC のリソース ID や MAC アドレスを確認
MAC アドレス	NIC 作成時にグローバルに一意なアドレスが自動割当。利用者側で変更不可
DNS 逆引きレコード設定	サーバ IP に対する逆引きレコード設定。1 つ目の NIC のみ設定可能。事前に正引きレコードが必要
IPv4 アドレス設定	コントロールパネル上で表示される IPv4 アドレス。2 つ目以降の NIC のみ設定可能。サーバ OS の設定には反映されない（OS 側は別途設定）
推奨ネームサーバ	ゾーンに応じた DNS の IP アドレスが NIC タブに表示される（無料）。東京リージョンと石狩リージョンで別

IMPORTANT

NIC ドライバは特別な要件がない限り VirtIO を選択する（仮想環境で高パフォーマンス）。Linux で VirtIO 以外を選択すると、ダウンロード方向の通信遅延や予期しないパケット分割／重複が起こることがある。複数 NIC を使ったボンディング構成は不可。

ディスクと ISO イメージの操作

1 台のサーバに最大 3 台のディスクを接続可能（接続・取り外しはサーバ停止中のみ、ホットアタッチ非対応）
1 台のサーバに挿入できる ISO イメージは 1 つ（仮想 CD ドライブに指定）
ISO イメージはパブリック ISO イメージ／利用者がアップロードした ISO の両方が使える

シンプル監視・アクティビティ・コンソール

タブ	機能
シンプル監視	サーバに対して監視している項目と監視方法・チェック間隔を一覧確認。対応プロトコルは 10 種類：ping / tcp / http / https / dns / ssh / smtp / pop3 / ftp(ftps) / snmp（公式 simplemonitor/index.html）
アクティビティ	CPU 時間 / NIC のトラフィック / ディスクの転送量を時間経過のグラフで確認
コンソール	サーバの仮想ディスプレイ・キーボード／マウス入力をコントロールパネルや VNC クライアント経由で操作

コンソール接続の特徴

ネットワーク未接続のサーバでも操作可能（SSH/RDP に依存しない、試験頻出）
用途：シングルユーザモード / ネットワーク設定ミスからの復旧 / GUI 操作 / OS インストール直後の確認
HTML5 モード：ブラウザ上で完結。ペースト機能（文字列／IP／GW／NS）、NMI 送信（Non-Maskable Interrupt、メモリダンプ取得用）、Ctrl+Alt+Del 送信可能
VNC クライアント：.vnc ファイルをダウンロードして外部クライアントで接続
日本語配列前提（JP/JP106）。他配列だと「_」等の一部キーが入力できない場合あり

コア専有プラン

ホストサーバの CPU コアを 1 つのサーバ専用で利用するプラン（通常プランは複数サーバで共用）。安定した動作が期待できる。シンプルモードでは選択不可、通常モードで作成する。

ホストサーバに搭載されている CPU に応じて 3 つのタイプがある（試験頻出）：

タイプ	最小プラン	最大プラン	利用可能ゾーン
コア専有プラン（Intel® Xeon® Processor）	CPU 2 コア / メモリ 4GB	CPU 10 コア / メモリ 96GB	すべてのゾーン
コア専有プラン（AMD EPYC™ 7003 Series）	CPU 32 コア / メモリ 120GB	CPU 128 コア / メモリ 480GB	石狩第 3 ゾーンを除く全ゾーン
コア専有プラン（AMD EPYC™ 9004 Series）	CPU 192 コア / メモリ 1024GB（単一プラン）	同左	東京第 2 ゾーン / 石狩第 3 ゾーン

IMPORTANT

Intel Xeon と AMD EPYC ではホストサーバの仕様が異なり、動作確認済み OS など一部の仕様に相違がある（詳細はクラウドマニュアル）。ゾーンによる料金の違いは原則なし。

高火力 VRT（GPU）プラン

NVIDIA GPU を搭載した仮想サーバプラン。GPU はサーバで専有となる。AI / 機械学習・3D レンダリング・科学技術計算用途。シンプルモードでは選択不可。

提供プラン（v2.0 教材より）

項目	NVIDIA V100	NVIDIA H100
搭載 GPU	NVIDIA V100 32GB × 1	NVIDIA H100 SXM 80GB × 1
CPU	4 コア	24 コア
メモリ	56GB	240GB
ゾーン	石狩第 1 ゾーンのみ	石狩第 1 ゾーンのみ

IMPORTANT

試験頻出ポイント：

V100 / H100 とも GPU 1 基構成。複数 GPU の大規模学習は 高火力 PHY（物理サーバ）側で対応する
石狩第 1 ゾーンでのみ利用可能
OS に Windows Server は選択不可（Linux のみ）
GPU ドライバはサーバ作成後に利用者がインストールする
時間額は 24 時間まで適用（通常プランは 10 時間まで）。それ以外は通常プランと同じ料金体系

高火力シリーズの位置づけ（再掲）

サービス	提供形態	用途
高火力 VRT	仮想サーバ（さくらのクラウド内）	GPU 検証・小〜中規模 AI 学習
高火力 PHY	物理サーバ	性能最大化・大規模学習
高火力 DOK	コンテナサービス（Docker on Kubernetes 相当）	サーバレスで GPU を使う

専有ホストプラン

物理サーバ 1 台を 1 ユーザーが占有して利用するコンピューティングプラン。CPU のオーバーコミット率を利用者側でコントロール可能。ベアメタルや専用サーバではなく、仮想化基盤の一部として物理ホストを専有する形態（試験頻出）。

提供プラン（v2.0 教材より、3 種類）

プラン	物理コア数	最大仮想コア数	物理メモリ容量	用途	ゾーン
標準専有ホスト	20 コア	200 仮想コア	224GB	Windows 以外の仮想サーバを起動	すべてのゾーン
Windows 専有ホスト	20 コア	200 仮想コア	224GB	Windows の仮想サーバを起動	すべてのゾーン
専有ストレージ用ホスト	96 コア	960 仮想コア	1024GB	専有ストレージに対応	東京第 2 ゾーンのみ

WARNING

教材 202602 と公式マニュアルの差異：教材では3 タイプ（上記）。一方、公式マニュアル（最新）では標準と Windows 専用の 2 タイプに整理されている。試験対策では教材の 3 タイプを正解とし、実サービスでは現行マニュアルを参照する。

専有ホストプランの主な制約・特徴

観点	内容
上限	1 ゾーンあたり上限 3 台
起動できるリソース	仮想サーバのみ（アプライアンス：VPN ルータ、ロードバランサ等は起動不可）
タグ	`@group` タグは効力なし／`@pin` タグは有効（特定の専有ホストへの固定用途）
Nested VM	利用可能（Hyper-V 仮想サーバ内で Hyper-V を実行可能。公式 SCB3.1.1 L2971-2972。有効化条件の詳細はクラウドマニュアルを参照）
割り当て操作	サーバ割り当ての追加／解除は停止中のサーバのみ。解約時は全サーバの割り当て解除が必要
Windows ディスク	標準ホストでは Windows インストール済みディスク利用不可（Windows 専有ホストが必要）
ネットワーク／ストレージ	専有ホストの提供範囲はホストサーバ部分のみ。ネットワークやストレージは別リソース（通常プランと同様）

TIP

GCP としては：sole-tenant node が「専有ホスト」に対応。一般的な VM は GCE のマルチテナント。

専有ホストを使うべきケース

要件	解決策
同一ホスト上で他の利用者と共用が許されない	コンプライアンス要件
ホストサーバのスペックでライセンスコストが変わるソフトウェア	ソフトウェアのライセンス要件
CPU のオーバーコミット率を利用者でコントロールしたい	負荷状況に応じたキャパシティプランニング

機密 VM プラン

機密コンピューティングを提供するプラン。AMD Secure Encrypted Virtualization (AMD SEV) を用いて、VM のメモリを VM 固有の暗号鍵で暗号化し、当該 VM 以外からのメモリアクセスを CPU 内蔵機能により拒否する。

IMPORTANT

想定脅威：通常の VM では攻撃者がハイパーバイザに侵入したり、ハイパーバイザ管理者に悪意がある場合に VM への干渉が可能。機密 VM プランはこれを防止。用途：金融・医療・公共機関など、高度なセキュリティを求められる業務システム。

パブリックアーカイブ

各種 OS が初期インストール済みのアーカイブ。サーバ作成時にディスクのソースとして指定すると、インストール作業なしで OS がブートするサーバを作成できる。無料（有償 OS は別途ライセンス料金）。

Linux 系パブリックアーカイブ

Ubuntu / Rocky Linux / AlmaLinux / Debian / FreeBSD / Red Hat Enterprise Linux など。アーカイブの提供ポリシーに沿って、新しい OS の公開と古い OS の取り下げが行われる（提供ポリシー）。

Red Hat Enterprise Linux Server の制約

石狩第 3 ゾーン / 東京第 2 ゾーンで cloud-init 対応アーカイブが提供
**コア専有プラン（Intel Xeon）**に対応（プラン範囲は公式マニュアルを参照）

Windows Server パブリックアーカイブ（3 種類）

アーカイブ	特徴
Windows Server Datacenter Edition	標準のアーカイブ。リモートデスクトップ機能は管理目的のみで利用許可
Windows Server for RDS	デスクトップ用途。リモートデスクトップ接続のためのライセンスが 1 つ組み込み済み（追加利用者数に応じて RDS SAL ライセンスを別途契約）
Windows Server for MS SQL	SQL Server がインストール済みのアーカイブ（複数のエディションが提供）

対応するディスク：最小 100GB、最大 2TB
for RDS と for MS SQL には MS Office の利用ライセンスが組み込まれたアーカイブも別途提供
アーカイブには ActiveDirectory のユーザー数無制限 CAL ライセンス相当が含まれる

cloud-init 対応アーカイブ

サーバの初回起動時に、あらかじめ指定した構成情報に従って自動的に初期設定する仕組み。

設定例
OS の基本設定（ホスト名、パスワード、タイムゾーン等）
SSH の公開鍵の設置、指定したパッケージのインストール
スクリプトの実行

TIP

cloud-init 対応アーカイブは**アーカイブ名末尾に「cloudimg」**が付与されている。

スタートアップスクリプト

サーバ起動時に自動的に実行されるスクリプト。サーバ作成時の初期設定を自動化できる。無料（Linux のパブリックアーカイブに対して動作保証）。

2 つのクラス（試験頻出）

クラス	形式	実行タイミング
SHELL クラス	シェルスクリプト	サーバ起動時に毎回実行
YAML_CLOUD_CONFIG クラス	YAML 形式（cloud-init）	サーバ初回起動時のみ実行

IMPORTANT

SHELL クラスを初回起動時のみ実行したい場合は、スクリプト内に特殊タグ @sacloud-once を付与する。

スクリプト用の特殊タグ

特殊タグ	説明
`@sacloud-once`	コメントとして記述すると、起動時に 1 回のみ実行
`@sacloud-desc` / `@sacloud-desc-begin` / `@sacloud-desc-end`	ディスク作成画面のスタートアップスクリプト選択欄に表示する説明文
`@sacloud-require-archive`	指定 OS 以外のパブリックアーカイブを選択した場合に警告を表示。想定しない環境への適用を防止
`@sacloud-tag`	スタートアップスクリプトのリソースにタグを付与。`@require-core` / `@require-memory-gib` と組み合わせて、必要な仮想コア数・メモリに満たない場合に警告を表示

bash

#!/bin/bash
# @sacloud-once   ← 初回起動時のみ実行
apt-get update
apt-get install -y nginx
systemctl enable nginx
systemctl start nginx

TIP

GCP としては：startup-script metadata と同じ仕組み。Compute Engine も Sakura も「初期 boot 時にスクリプト実行」のパターン。

サーバプランの検討（判断軸）

要件	選択
一般的な Web/DB	通常プラン（共有）
ノイジーネイバーが許せない（性能安定性）	コア専有プラン
規制要件・ライセンス都合で物理ホスト専有が必須	専有ホスト
GPU 必須（中小規模 AI 学習・レンダリング）	高火力 VRT
複数 GPU / 大規模 AI 学習	高火力 PHY
機密性が極めて高い（金融・医療・公共）	機密 VM プラン
一括セットアップ自動化	スタートアップスクリプト + パブリックアーカイブ（cloud-init 対応）

サーバ構築時の補足事項

OS とライセンスの注意点

項目	内容
Oracle Database	ライセンスの都合上、さくらのクラウド上では使用不可。利用者持ち込みも不可。専用サーバ PHY やハウジングの物理サーバ上で稼働させ、クラウドとブリッジ／ハイブリッド接続して連携する
Windows Server ライセンス	SPLA（Service Provider Licence Agreement）で提供。さくらのクラウド上で稼働している Windows Server OS のライセンスを別の環境で使うことは不可
OS サポート範囲	無料 OS のサポート範囲は初回のサーバ起動まで。OS の設定は利用者の責任範囲。テクニカルサポートは有償サポート契約を別途検討
Windows Server サポート	一般的な情報提供のみ。さくらインターネット経由でマイクロソフト社のプロフェッショナルサポートを利用できるが、手数料と対応時間がかかる

DNS / NTP の利用

さくらインターネットが名前解決用ネームサーバと時刻同期用 NTP サーバを無料で提供
パブリックアーカイブから作成したサーバには上記サーバの設定が標準で投入されている
独自の DNS / NTP を使う場合は設定変更が必要

✅ キーワードチェックリスト

[ ] サーバプランの 3 要素（CPU / メモリ / NIC）と上限値を即答できる
[ ] 通常プラン・コア専有プラン・専有ホスト・高火力 VRT・機密 VM の使い分けを説明できる
[ ] コア専有プラン 3 タイプ（Intel Xeon / AMD EPYC 7003 / AMD EPYC 9004）の仕様とゾーンを区別できる
[ ] 高火力 VRT は V100 / H100 の 2 プラン、石狩第 1 ゾーンのみ、24 時間時間額制を覚えた
[ ] 専有ホスト 3 タイプ（教材基準）／2 タイプ（マニュアル基準）の整理ができる
[ ] パブリックアーカイブとスタートアップスクリプトの役割を区別できる
[ ] スタートアップスクリプト 2 クラス（SHELL / YAML_CLOUD_CONFIG）と @sacloud-once を説明できる
[ ] ディスク最大 3 台 / NIC 最大 10 個 / ISO 最大 1 個の上限を覚えた
[ ] コンソール接続はネットワーク未接続でも操作可能（試験頻出）
[ ] Oracle DB 不可、Windows Server SPLA ライセンスは持ち出し不可

🎯 確認問題

問 1：「他テナントの負荷影響を一切受けず、物理サーバを丸ごと借り切りたい」要件に最も合うのはどれか。

(A) サーバプランの最大プランを選ぶ
(B) コア専有を有効化
(C) 専有ホストを利用
(D) スタートアップスクリプトを設定

解答

(C) 専有ホスト。「物理ホストを丸ごと専有」の要件にぴったり。コア専有は CPU 単位の専有で、物理ホストは共有のまま。

問 2：サーバ起動時に自動で nginx をインストールしたい場合、最も簡単な方法はどれか。

(A) パブリックアーカイブを使う
(B) 専有ホストを使う
(C) スタートアップスクリプトを使う
(D) 高火力 VRT を使う

解答

(C)。スタートアップスクリプトに apt-get install -y nginx 等を書けば boot 時に自動実行。

問 3：高火力 VRT（GPU）プランで NVIDIA H100 を使いたい場合、利用可能なゾーンとして正しいものはどれか。

(A) すべてのゾーン
(B) 東京第 2 ゾーンのみ
(C) 石狩第 1 ゾーンのみ
(D) 石狩第 3 ゾーンのみ

解答

(C) 石狩第 1 ゾーンのみ。V100 / H100 ともに石狩第 1 ゾーンでのみ提供されている。

問 4：専有ホストプランについて、誤っているものはどれか（教材 v2.0 基準）。

(A) アプライアンス（VPN ルータ等）も起動できる
(B) @group タグは効力がない
(C) 仮想サーバ内で Hyper-V による Nested VM を利用できる
(D) 標準ホストでは Windows インストール済みディスクは利用できない

解答

(A)。専有ホストで起動できるのは仮想サーバのみ。アプライアンス（VPN ルータ・ロードバランサ等）は起動不可。

問 5：スタートアップスクリプトの SHELL クラスを初回起動時のみ実行したい場合、スクリプト内に記述する特殊タグはどれか。

(A) @boot-network
(B) @sacloud-once
(C) @auto-reboot
(D) @sacloud-require-archive

解答

(B) @sacloud-once。SHELL クラスは毎回実行が既定だが、このタグをコメントとして記述すると初回のみ実行に変わる。

問 6：さくらのクラウド上で使用できない OS／ソフトウェアの組み合わせとして、正しいものはどれか。

(A) Windows Server Datacenter Edition
(B) Red Hat Enterprise Linux Server
(C) Oracle Database
(D) SQL Server（Windows Server for MS SQL アーカイブ）

解答

(C) Oracle Database。ライセンスの都合上、さくらのクラウド上で Oracle Database は使用不可（持ち込み不可）。利用する場合は専用サーバ PHY やハウジングで稼働させ、クラウドとブリッジ／ハイブリッド接続する。

3.1.2 ストレージ

学習目標：さくらのクラウドで提供される各種ストレージ（ディスクリソース、ストレージサービス）の特徴を把握し、システムの要件に応じたシステム構成設計の考え方を理解する キーワード：ディスクプラン（標準・SSD・ディスク IOPS・クローン）、専有ストレージ、ISO イメージ、NFS アプライアンス、オブジェクトストレージ

ディスクプランの種類

サーバに接続するブロックストレージデバイス。標準プランと SSD プランの 2 種類から選択できる（v2.0 教材より）。

項目	標準プラン	SSD プラン
媒体	HDD ベース	SSD
特徴	コストパフォーマンスに優れる	高速・低レイテンシのアクセスが可能
最小サイズ	40GB	20GB
最大サイズ	12TB	16TB
東京第 2 ゾーン / 石狩第 3 ゾーンの下限	2TB から	（通常通り 20GB から）
料金	サイズと時間額・日額・月額	サイズと時間額・日額・月額（標準より高価）

TIP

クローンは「ディスクプラン」ではなく、既存ディスクから新規ディスクを作成する機能。シラバスの v2.0 キーワード「ディスクプラン（標準・SSD・ディスク IOPS・クローン）」は機能・オプションを含めた総称として把握する。

WARNING

8TB / 12TB / 16TB のディスクはストレージ分散機能に非対応（試験頻出）。可用性設計でストレージ分散を使う場合は、ディスクサイズの上限に注意。

IMPORTANT

料金単位：時間額・日額・月額があり、プランとリージョンによっても料金が異なる場合がある。

ディスクのインターフェース（VirtIO / IDE）

インターフェース	種別	特徴
VirtIO（デフォルト）	準仮想化	マルチキュー・非同期処理対応で高性能。最近の Linux / Windows + VirtIO ドライバが対象
IDE	完全仮想化	古い Linux 等の VirtIO 未対応 OS で使用。同時に複数 I/O を発行できない

IMPORTANT

IDE と VirtIO が混在する場合、接続順に関わらず IDE のディスクが先に認識される（試験頻出）。

ディスクの作成・削除

ディスクはサーバと同時、もしくは個別に作成できる。

ディスクソース（作成時に選択）

ソース	説明
ブランク	何もデータの入っていない空のディスクを作成
ディスク	同一ゾーン内の既存ディスクを元に新規ディスクを作成
アーカイブ	パブリックアーカイブ（さくら提供 OS イメージ）を元に作成
マイアーカイブ	利用者で作成したアーカイブを元に作成

WARNING

ディスクソース「ディスク」は同一ゾーン内のみ。別ゾーンに移したい場合は「ディスク → マイアーカイブ化 → 別ゾーンでアーカイブをソースに新規ディスク作成」という流れになる。

削除の条件

削除はサーバに未接続のディスクに対して実施可能（サーバ削除と同時も可）
削除したディスクは復旧不可

ディスクの接続・取り外し

観点	内容
接続上限	1 サーバあたり最大 3 台
接続・取り外しの条件	サーバ停止中のみ（ホットアタッチ非対応）
単独利用	サーバを作らずディスク単独で作成 / 削除可能

ディスクの修正機能

パブリックアーカイブからコピーされたディスクに対して、OS の初期設定（ホスト名・IP・パスワード・SSH 公開鍵・スタートアップスクリプト等）をディスク内設定に自動反映する機能。

観点	内容
対象	パブリックアーカイブからコピーされた直後のディスク（CentOS Stream / AlmaLinux / Rocky Linux / Debian / Ubuntu / Windows 等）
非対応	ISO から独自インストールしたディスク、ブランク、LVM 構成のディスク
実行条件	ディスクが接続されたサーバの電源 OFF、または未接続
修正項目（Linux）	ネットワーク（IP / マスク / GW / DHCP）、ホスト名、パスワード、SSH 鍵、認証方式、スタートアップスクリプト、パーティション UUID
修正項目（Windows）	IP / サブネットマスク / GW / 優先・代替 DNS のみ（初回サーバ作成時のみ動作）

IMPORTANT

スタートアップスクリプトと組み合わせると、プロビジョニングの完全自動化が可能。

ディスクの拡張（スケーリング）

WARNING

既存ディスクのサイズを直接変更することはできない（試験頻出）。スケールアップは「ディスク移行＋拡張」が実態。

標準的な手順

より大きい容量のディスクを新規作成（サイズアップ目標値）
新規作成時にソースとして既存ディスクを指定しデータコピー
新ディスクをサーバに接続し、元ディスクを取り外す（サーバ停止が必要）
サーバ起動後、OS 側でパーティション拡張

パーティション拡張機能（コントロールパネル）

ディスクサイズ	パーティション拡張機能
〜6TB	対応（ファイルシステムは ext2 / ext3 / ext4 限定、最後のパーティションのみ）
8TB / 12TB / 16TB	非対応（`growpart` 等で手動拡張、試験頻出）

IMPORTANT

ファイルシステム制限：パーティション拡張機能は ext2 / ext3 / ext4 のみ。NTFS / xfs / btrfs などは OS 側ツールで拡張する。 拡張時の条件：対象ディスクがサーバに未接続、または接続されているサーバが停止中であること。

ディスク暗号化

観点	内容
方式	AES256-XTS（透過的暗号化）
対象	ホストキャッシュ / ストレージ間ネットワーク / ストレージ内データ
有効化のタイミング	ディスク作成時のみ（後から有効化／無効化不可、試験頻出）
アーカイブの暗号化	アーカイブの暗号化には対応していない
暗号化ディスクからのアーカイブ取得	不可（暗号化ディスクをソースにアーカイブは作成できない、試験頻出）
暗号化ディスクへの自動バックアップ	不可（暗号化ディスクに自動バックアップを有効化することはできない、試験頻出）
対象範囲	データベースアプライアンス／NFS アプライアンスのディスク領域も暗号化可能

IMPORTANT

暗号化したい場合は、新規ディスクを暗号化 ON で作成し、データを移行する。

WARNING

暗号化ディスクはアーカイブ取得不可・自動バックアップ不可（公式 SCB3.2.2 L617-620）。バックアップ運用が必要な場合は暗号化を有効化する前に運用設計を確認する。

TIP

暗号化方式：AES256-XTS による透過的暗号化。顧客管理型（KMS で鍵管理）。 2025-09-17 以降の運用変更：ディスク暗号化は KMS（鍵管理サービス）キーの事前作成・指定方式に変更された。新規ディスク作成時に KMS キーを事前作成し指定する運用となる。 既存利用者向け移行措置：2025-09-17 以前の利用者には、弊社が自動発行した KMS キーが無償提供される（既存ディスクの暗号化機能を継続利用可能）。出典：公式マニュアルdisk-encryption.html。

専有ストレージ

通常のディスクは共有ストレージ上に配置されるが、専有ストレージは物理ストレージを専有できるブロックストレージ（SSD）サービス。性能・セキュリティ要件が厳しい用途で利用。

基本仕様（v2.0 教材より）

項目	値
最大ストレージ容量	32TB
最大ディスクサイズ	16TB（1 ディスクあたり）
最大 IOPS	50,000
最大スループット	1GB/s
スナップショット保存可能容量	合計 27TB まで
プラン	なし（単一プラン）
料金	月額固定料金のみ（時間額・日額の設定なし）。ディスク作成有無に関わらず契約分の課金が発生
提供ゾーン	東京第 2 ゾーン

利用上の特徴

観点	内容
前提	専有ホスト（専有ストレージ用）の別契約が必要。専有ストレージで作成したディスクは特定の専有ホスト上のサーバにのみ接続可能
申込	利用前に事前申し込み＋さくらインターネットによる審査が必要
追加課金	ストレージ内で作成したディスクやスナップショットには別課金なし

スナップショット機能

ディスクの状態を任意のタイミングで保存できるバックアップ
ディスクごとに最大 16 個のスナップショット取得可能
世代管理可能

オンライン容量拡張

サーバを停止することなくディスク容量を拡張可能（容量縮小は不可）
容量拡張後、パーティション／ファイルシステムの拡張を実施する必要あり
対象ディスクにスナップショットがあると拡張不可

ISO イメージ機能

カスタム OS インストール用のイメージ。パブリックアーカイブにない OS や独自構成の OS を入れたい場合に持ち込み、サーバの仮想 CD ドライブに挿入してインストールできる。

種別	説明
パブリック ISO イメージ	OS の開発元が配布するインストールイメージを格納した ISO。無料
プライベート ISO イメージ	利用者が ISO 用ディスク領域にアップロードしたイメージ。同一ゾーン内のサーバでのみ使用可。ISO 保存用のディスク領域に料金が発生

IMPORTANT

1 台のサーバに挿入できる ISO イメージは 1 枚（仮想 CD ドライブが 1 基のため、試験頻出）。

NFS アプライアンス

複数クライアントからアクセス可能な大容量の NFS ファイルサーバ。複数のサーバから同じファイルを参照する用途（Web サーバクラスタの共通コンテンツ等）に使う。

提供プラン

プラン	最小〜最大サイズ
標準プラン	100GB 〜 12TB
SSD プラン	20GB 〜 4TB

同じサイズなら SSD プランのほうが高価。

基本仕様

観点	内容
対応プロトコル	NFSv3 / NFSv4
マウントポイント	`/export`
接続方法	スイッチに接続し IPv4 アドレスを付与（グローバル IP には接続不可、作成後の変更不可、IPv6 非対応）
ユーザー認証	機構なし（ネットワークレベルでアクセス制御）
その他	クローン機能で複製可能。SNMP エージェントによるアプライアンス内監視可能

TIP

GCP としては：Filestore が同じ位置づけ。NFS プロトコルでマウントする共有ファイルストレージ。

設計上の活用

オートスケール構成のステートレス化：スケール対象サーバにデータを持たせず、NFS アプライアンスへ集約
バッチ処理のデータ受け渡し、ログ集約・データ共有

オブジェクトストレージ

Amazon S3 互換 API を備えたスケーラブルなオブジェクトストレージ。サイト・バケット・オブジェクトの 3 層構造。

基本仕様（公式 objectstorage/about.html）

項目	仕様
プロトコル	Amazon S3 プロトコル採用（S3 互換 API）
1 バケット最大容量	10TiB（個別相談で緩和可）
データ耐久性	年間 99.999999999% 相当（11 ナイン）

構成要素（階層）

サイト（リソースが作成される物理的な位置）
  └─ バケット（オブジェクトを格納する領域）
       └─ （フォルダ：擬似的なフォルダ）
            └─ オブジェクト（実ファイル）

削除順序（試験頻出）

下位リソースから順に削除：

オブジェクト → 2. バケット → 3. サイト

バケット内にオブジェクトがある状態でバケット削除不可
サイト内にバケットがある状態でサイト削除不可
解約時はサイトまで削除しないとオブジェクトストレージの利用継続と判定される

2 種類の API（試験頻出）

API	役割	可能な操作
さくらのオブジェクトストレージ API（独自 API）	コントロールパネル / 独自 API のみで可能な管理系操作	バケットの新規作成・削除等（S3 互換 API では不可）
Amazon S3 互換 API	作成済みバケット内のデータ操作	オブジェクト PUT / GET / マルチパートアップロード等（読み書き双方対応）

IMPORTANT

コントロールパネルだけでは全操作不可（オブジェクト表示は最新 100 件のみ等の制限あり）。バケットバージョニング等は S3 互換 API でのみ可能。

アクセスキー

シークレットアクセスキーは発行直後以降は再表示不可
ただし、既存キーを削除して再発行は可能（「変更不可」と断定するのは誤り）

パーミッション（バケット単位）

パーミッション	説明
`NONE`	読み込みも書き込みも禁止（デフォルト）
`READ`	読み込みのみ許可
`WRITE`	書き込みのみ許可
`READ/WRITE`	読み込み・書き込み許可

IMPORTANT

サイト作成時に発行されるキーも存在するが、セキュリティの観点からパーミッションによって発行されたキーの使用を推奨。

ACL（オブジェクト単位／バケット単位）

ACL	バケット	オブジェクト
`private`（デフォルト）	認証必要な API 経由のみ	API 経由のみ
`public-read`	認証不要 URL でリスト取得	アクセスキー不要 URL でアクセス
`authenticated-read`	認証ユーザー限定	-

IMPORTANT

デフォルトは private（セキュア・バイ・デフォルト、試験頻出）。public-read は認証不要でアクセス可能。private バケットへの一時的な公開アクセスには 署名付き URL（Presigned URL） の仕組みを使う。

料金

基本料金 + 超過分の従量加算
アーカイブプランのみバケット容量に応じた固定料金
さくらインターネット外部へのデータ転送は課金対象（内部のデータ転送・外部からの通信は無料）

アーカイブプラン

アクセス頻度が低いデータを長期間保存する用途に適したオブジェクトストレージ
東京第 1 サイトでのみ利用可能
容量を予め決めておき、そのぶんの固定料金を払う

リージョン間レプリケーション

リージョンを跨いでバケット間でオブジェクトを複製する機能
石狩第 1 サイト → 東京第 1 サイトの片方向のみ
有効化後、非同期で反映（即時ではない）

URL アクセス

アップロードしたオブジェクトは URL を利用して HTTPS アクセス可能。

https://<S3エンドポイント>/<バケット名>/<フォルダ名>/<オブジェクト名>

TIP

GCP としては：Cloud Storage が S3 互換オブジェクトストレージに相当。ACL / IAM / 署名付き URL の概念も同じ。

ストレージ形式の選択（判断軸）

形式	用途
ディスク（ブロックストレージ）	データベースの高速・低遅延な読み書き、サーバ OS のストレージ
NFS アプライアンス（ファイルストレージ）	文書、画像、動画など、ネットワーク経由でのファイル共有
オブジェクトストレージ	大量の静的コンテンツの保存、データアーカイブ、バックアップ用途

観点	ディスク	NFS アプライアンス	オブジェクトストレージ
アクセス方法	ブロック（OS がマウント）	ファイル（NFS マウント）	HTTP API（S3 互換）
共有	単一サーバに排他接続	複数サーバから同時マウント可	同時アクセス可（API）
容量上限	プラン上限あり	プラン上限あり	事実上無制限
一貫性	強い	強い	結果整合性が多い
単価	高	中	低

TIP

GCP としては：Persistent Disk = ディスク、Filestore = NFS アプライアンス、Cloud Storage = オブジェクトストレージ。

✅ キーワードチェックリスト

[ ] ディスクプラン 2 種（標準・SSD）とサイズ範囲を即答できる
[ ] 既存ディスクの直接サイズ変更は不可、拡張は「新規ディスク作成＋移行」が実態
[ ] 8TB / 12TB / 16TB はパーティション拡張機能非対応を覚えた
[ ] ディスクインターフェース（VirtIO / IDE）の使い分けと混在時は IDE が先に認識を説明できる
[ ] ディスク追加・取り外しはサーバ停止中のみ（ホットアタッチ非対応）
[ ] ディスク暗号化はディスク作成時のみ有効化可能（AES256-XTS）
[ ] ディスクの修正機能はパブリックアーカイブからコピーされたディスク限定
[ ] 専有ストレージは月額固定料金・東京第 2 ゾーンのみ・最大 32TB / 50,000 IOPS
[ ] ISO イメージは 1 サーバに 1 枚まで
[ ] NFS アプライアンスの提供プラン（標準 / SSD）、対応プロトコル（NFSv3 / NFSv4）を覚えた
[ ] オブジェクトストレージの削除順序（オブジェクト → バケット → サイト）
[ ] オブジェクトストレージの 2 種類の API（独自 API / S3 互換 API）の使い分け
[ ] オブジェクトストレージの ACL デフォルトは private（セキュア・バイ・デフォルト）
[ ] アーカイブプランは東京第 1 サイトのみ、リージョン間レプリケーションは石狩第 1 → 東京第 1 片方向

🎯 確認問題

問 1：さくらのクラウドのディスク追加に関する制約として正しいものはどれか。

(A) 起動中のサーバにもホットアタッチで追加できる
(B) 1 サーバあたり最大 5 台まで追加できる
(C) ディスクの接続・取り外しはサーバ停止中のみ可能
(D) RAID 構成が必須

解答

(C)。ホットアタッチ非対応で、サーバ停止中のみ接続・取り外しが可能。1 サーバの最大接続数は 3 台。RAID は不要（さくら側の基盤で冗長性は担保）。

問 2：ディスクのサイズを 100GB から 500GB へ拡張したい。正しい手順はどれか。

(A) コントロールパネルで既存ディスクのサイズを直接変更する
(B) 500GB の新規ディスクを作成し、既存ディスクをソースに指定してデータコピー、サーバ停止中に差し替える
(C) サーバを再起動すれば自動で拡張される
(D) NFS アプライアンスへ移行する

解答

(B)。既存ディスクの直接サイズ変更は不可。「新規大容量ディスクを作成 → ソースに指定してコピー → サーバ停止中に差し替え → パーティション拡張」が標準手順。

問 3：オブジェクトストレージで、サイトを削除する際の前提条件として正しいものはどれか。

(A) サイト内にバケットが残っていても削除できる
(B) バケット内にオブジェクトが残っていてもサイトは削除できる
(C) 全てのオブジェクトとバケットを削除した後でサイトを削除する
(D) アクセスキーを削除すればサイトも削除される

解答

(C)。削除順序は オブジェクト → バケット → サイト の下位リソースから順に行う。

問 4：オブジェクトストレージの ACL デフォルト設定として正しいものはどれか。

(A) public-read（誰でも URL で読み取り可能）
(B) private（API 経由のアクセスのみ許可）
(C) authenticated-read（任意の認証ユーザーが読み取り可能）
(D) 設定されない（明示的に指定する必要がある）

解答

(B) private。セキュア・バイ・デフォルト思想で、明示的に public-read 等に変更しない限り認証必須。

問 5：ディスクの修正機能について正しい説明はどれか。

(A) 全てのディスクで実行できる
(B) サーバ起動中でも実行可能
(C) パブリックアーカイブからコピーされたディスクのみ対象で、サーバ電源 OFF または未接続が必須
(D) ISO からインストールしたディスクでも利用できる

解答

(C)。対象はパブリックアーカイブからコピーされた直後のディスク。ISO・ブランク・LVM 構成は非対応。実行条件は「ディスク接続サーバの電源 OFF または未接続」。

問 6：ディスクのインターフェースについて正しいものはどれか（複数選択）。

(A) VirtIO がデフォルトで選択される
(B) IDE は古い OS など VirtIO 未対応 OS で利用する
(C) IDE と VirtIO が混在している場合、VirtIO のディスクが先に認識される
(D) IDE はマルチキュー・非同期処理に対応している

解答

(A) と (B)。デフォルトは VirtIO（高性能、Linux カーネル 2.6.25 以降）。IDE は古い OS の互換性確保用。混在時は IDE が先に認識されるため (C) は誤り。マルチキュー対応は VirtIO 側の特徴で (D) は誤り。

3.1.3 ネットワーク

学習目標：さくらのクラウドで提供される各種ネットワークリソースの特徴を把握し、システムの要件に応じたシステム構成設計の考え方を理解する。さくらのクラウドで実現可能なネットワーク構成のパターンを把握し、それぞれの構成がどのようなシナリオや要件に適しているのか理解する キーワード：リージョンとゾーン、スイッチとルータ＋スイッチ、パケットフィルタ、ローカルルータ、ロードバランサ・GSLB・エンハンスドロードバランサ、VPN ルータ、ブリッジ接続とハイブリッド接続、マップ表示、外部接続（AWS・SINET・LGWAN・プライベートリンク・ダイレクトアクセス・外部回線接続・OCX）、DNS アプライアンス、シンプル監視

このセクションはターム 3 の中核。一番ボリュームが大きい。

リージョンとゾーン

リージョンとゾーンはリソースの作成される場所を指す。

概念	内容
リージョン	データセンターがある地理的な単位（石狩 / 東京）。ゾーンの地理的な位置を把握するための概念。リージョン配下には必ず 1 つ以上のゾーンがある。リージョンに直接リソースを配置することはできない
ゾーン	リージョン内にあるネットワークの管理単位。各ゾーンは物理的に独立。リソースを配置できる単位

リージョンとゾーンの比較（v2.0 教材より）

観点	リージョン	ゾーン
拠点の最小単位	国内の地域	データセンター建屋内のフロア / 同一地域内や隣接する都道府県など
データセンター	リージョンごとに異なる	ゾーンごとに異なる場合もあるが同じ場合もある（同じ場合は建屋やフロアが異なる）
電源設備	共用しない	同一建屋内に他ゾーンがある場合、建屋の電源設備が単一障害点となる
ネットワーク設備	経路が多重化されたバックボーン回線で接続	上位の同一論理ネットワーク内に複数ゾーンを収容
ネットワーク遅延	数百〜数千 km の地理的距離に応じた遅延	同一論理 NW 内のためリージョン間より低遅延
DR 観点の分散配置 / 冗長構成	有効	同一リージョン内ではDR 用途として推奨されない

提供リージョンとゾーン

石狩リージョン：第 1 / 第 2 / 第 3 ゾーン
東京リージョン：第 1 / 第 2 ゾーン

ゾーンと各種操作

操作	例
同一ゾーン内に存在するリソースに対してのみ可能	サーバとディスクの接続 / ISO イメージの接続 / スイッチの接続 / アーカイブからのディスク作成 / アーカイブの作成 / 専有ホストでのサーバ起動
ゾーンを跨いで接続が可能	ブリッジ接続 / ハイブリッド接続

グローバルリソース

リージョンやゾーンに依存しないリソースをグローバルリソースと呼ぶ。

ローカルルータ
GSLB
エンハンスドロードバランサ
シンプル監視
DNS アプライアンス

Sandbox ゾーン

コントロールパネルや API の操作をテストするための環境。サービス用のゾーンとは独立しており、利用中の環境に影響を与えない。

作成したリソースに料金が発生しない
ただしリソース本来の機能は動作せず、サーバへのログインなども不可

バックボーン

さくらのクラウドのバックボーンネットワークは高い可用性と優れたトラフィック配信能力を持つ。国内の代表的なインターネットエクスチェンジ（IX）と多数の大手 ISP に東京および大阪で接続されている。

IMPORTANT

リージョン間冗長は災害復旧（DR）に直結。異なるリージョンに同じ構成を持つことで、片リージョンの広域災害でもサービス継続できる。

スイッチとルータ＋スイッチ

機能	用途
スイッチ	LAN 内で使用する L2 スイッチ相当。プライベートネットワークの L2 接続用。プランは存在しない
ルータ＋スイッチ	スイッチに加えてルータ機能や複数の IP アドレスがバンドルされた L3 スイッチ相当

ルータ＋スイッチは インターネット接続を提供するエッジルータ + サブネット という一体型構成。

公式仕様（v2.0 教材より）

項目	内容
ルータの帯域幅プラン	最小 100Mbps、最大 10Gbps（広帯域ほど高価）
10Gbps プランの提供ゾーン	東京第 2 ゾーンのみ
グローバル IP アドレス個数	最小 16 個（/28）〜最大 256 個（/24）
ルータ料金	時間額・月額（日額の設定なし）
スイッチ料金	時間額・日額・月額
グローバル IP 料金	月額のみ（個数が多いほど高価）

WARNING

1 つのスイッチに対して 1 つの CIDR 範囲を割り当てる。1 つのサーバは最大 10 個のネットワークに接続可能（試験頻出、公式 SCB3.1.3_Network3 L1773）。

NIC 数と接続可能ネットワーク数の関係：「NIC 10 個 ≒ 接続可能ネットワーク 10 個」と理解する（NIC 1 つにつき 1 ネットワーク接続が原則）。具体的な構成例：

共有セグメント 1 + スイッチ 9 = 計 10 接続
ルータ＋スイッチ 1 + スイッチ 9 = 計 10 接続
スイッチ 10 = 計 10 接続

CIDR 範囲（文脈で異なる、公式マニュアル参照）：

VPN ルータのプリフィックス設定：/16〜/29（公式マニュアル https://manual.sakura.ad.jp/cloud/network/vpn-router/vpn-interface.html ）
ローカルルータのプリフィックス：/8〜/29（公式マニュアル https://manual.sakura.ad.jp/cloud/network/localrouter.html ）

クラウド内のネットワーク設計時は、使用するアプライアンス（VPN ルータかローカルルータか）でプリフィックス範囲が異なる点に注意。

サービスエンドポイントゲートウェイ（SEG）

スイッチに対してのみ利用可能（ルータ＋スイッチには非対応）。

本機能を有効化したスイッチに直接接続されているサーバのみが利用対象
マネージドサービスへの通信は 100Mbps 共有回線（ベストエフォート） を使用

パケットフィルタ

サーバの仮想 NIC に受信／送信するパケットを、指定した条件でフィルタリングする L3/L4 のファイアウォール機能。無料で利用可能。

設定可能な条件

プロトコル（TCP / UDP / ICMP / IP）
送信元ネットワーク
送信元ポート
宛先ポート

ルールの動作仕様（試験頻出）

観点	内容
ルール評価順	上から順に評価され、条件にマッチしたパケットに対してアクション（許可／拒否）が実行
デフォルト動作	いずれの条件にもマッチしない場合は許可（デフォルト許可、試験頻出）
デフォルト拒否にしたい場合	末尾に「送信元ネットワーク空欄／アクション拒否」のルールを追加
ステート管理	ステートレス（戻りのパケットも許可するルールが必要）

WARNING

VPN ルータのファイアウォールは「ステートフル」、パケットフィルタは「ステートレス」。両者の対比が出題されやすい（後述）。

TIP

GCP としては：VPC Firewall Rules が同等。Sakura のパケットフィルタは「NIC アタッチ型」、GCP は「VPC のリソース」とスコープが異なる点に注意。

ローカルルータ

複数のローカルネットワーク（スイッチ）を閉域網で接続する機能。

異なる会員 ID やプロジェクトのローカルルータとも接続可能
時間額・日額・月額あり
グローバルリソース（ゾーンに依存しない）

ロードバランサ系の使い分け

種類	レイヤ	動作方式	リソース種別	主機能
ロードバランサ	L4	DSR（Direct Server Return）	ゾーンリソース	TCP の単純な分散
エンハンスドロードバランサ	L7	Proxy 型	グローバルリソース	HTTP/HTTPS、SSL 終端、Cookie セッション維持、ルール、サーバグループ
GSLB（Global Server Load Balancing）	DNS レベル	DNS 応答切替	グローバルリソース	地理的に離れたエンドポイント間の振り分け（DR / リージョン冗長）

WARNING

「LB」「ELB」「GSLB」の区別は試験頻出。L4 か L7 か DNS か の 3 階層で覚える。

IMPORTANT

DSR 方式は試験頻出の引っ掛けポイント。さくらの 標準ロードバランサは DSR（Direct Server Return）方式で、仮想 IP に届いたパケットは MAC アドレスだけ書き換えられて実サーバへ送られ、実サーバはクライアントへ直接レスポンスを返す。利用者は実サーバ側で次の設定が必要：

ループバックインタフェースに仮想 IP を設定する
arp_ignore=1 / arp_announce=2 で ARP の応答を抑制する（仮想 IP 重複を防ぐ）

一方、エンハンスドロードバランサ（L7）は Proxy 型で、レスポンスも LB を経由するためサーバ側の特殊設定は不要。「DSR の利点はレスポンスが LB を通らないので LB の帯域消費が少なく、配信系に強い」が要点。

ロードバランサ（L4、v2.0 教材より）

項目	内容
対応プロトコル	TCP のみ（UDP / IPv6 非対応）
接続先	スイッチかルータ＋スイッチ
プラン	標準プラン / ハイスペックプランの 2 種類
冗長化	プランとは別にシングル構成 / 冗長構成を選択（冗長構成は VRRP）
料金	プランと冗長化の有無に応じた時間額・日額・月額（公式 SCB3.1.3_Network1 L1757）
仮想 IP（VIP）・ポート番号	最大 20 個
実サーバ数	1 台あたり最大 40 台
振り分けアルゴリズム	least connection（固定）
セッション維持	機能なし
ヘルスチェック方法	http / https / tcp / ping から選択
電源操作	サーバと同様に停止／再起動可能。削除前に停止が必要

GSLB（DNS 応答ベース、v2.0 教材より）

項目	内容
動作方式	DNS ラウンドロビンによる負荷分散
対応プロトコル	DNS（A レコード）
IPv6	対応（実サーバ登録も IPv6 設定可能）
冗長化	デフォルトで冗長構成（明示設定不要）
プラン	プランなし（単一プラン）
実サーバ数	1 台あたり最大 12 台
実サーバ登録	グローバル IP アドレスで登録
振り分けアルゴリズム	ラウンドロビン / 重み付け応答
セッション維持	機能なし（DNS なので）
ヘルスチェック実行間隔	10〜60 秒（公式 SCB3.1.3_Network1 L2684-2687）
ヘルスチェックタイムアウト	10〜60 秒
サーバダウン判定リトライ回数	3 回（公式 SCB3.1.3_Network1 L2687）
DNS 応答 TTL	10 秒
電源操作	なし（L4 LB と異なる）
料金	時間額・日額・月額すべて設定あり（公式 SCB3.1.3_Network1 L2316）
FQDN 払出し	ロードバランサ作成時に専用 FQDN が払い出される → 権威 DNS に CNAME レコードとして登録
ヘルスチェック方法	L4 LB と同様
ソーリーサーバ	設定可能（さくらネットワーク外でも可）

IMPORTANT

重み付け応答を使うと「いずれか 1 つ」のみの応答になるため、フェイルオーバー高速化目的では使わない方が良い。GSLB は DNS 応答なのでセッション維持・同時接続数上限の制約がない。

エンハンスドロードバランサ（L7、v2.0 教材より）

項目	内容
動作方式	プロキシ型（実サーバからのレスポンスは ELB を経由）
対応プロトコル	HTTP / HTTPS / TCP。WebSocket 対応
IPv6	非対応
プラン	CPS（Connection Per Second）に応じたプラン
配置	固定リージョン / エニーキャスト（東京・石狩の両リージョンに常時アクティブで配置、接続元に近い側で処理）
VIP フェイルオーバー	DDoS 等で疎通不可になった際 VIP を自動切替。デフォルト無効、作成時のみ有効化可能。有効時は VIP に加え FQDN が払出される。無応答検知から動作まで 5 分程度（試験頻出）
ヘルスチェック方法	http / tcp から選択
待ち受けプロトコル	http / https / tcp の 3 択から選択可能。https 選択時は SSL 証明書設定が必要。http は https へリダイレクト設定可能
ELB ↔ 実サーバ間通信	http または tcp の 2 択（https 不可）。教材 SCB3.1.3 明記：「エンハンスドロードバランサと実サーバ間の通信は、http か tcp となることに注意する」「https で通信することはできない」（試験頻出）

エンハンスドロードバランサの L7 機能群

機能	概要
SSL オフロード	ELB に SSL 証明書を設定し HTTPS 処理を実サーバから ELB にオフロード。Let's Encrypt の無料証明書を自動更新可能
セッションアフィニティ	Cookie を付与して同じ実サーバへ接続させる
ルール	リクエストヘッダ（ホスト / パス / 送信元 IP 等）で条件分岐。アクション：実サーバ転送 / リダイレクト / 固定レスポンス。サーバグループへの転送も可能
オリジンガード	バックエンド実サーバが ELB 経由の接続のみ許可する仕組み
サーバグループ	実サーバをグループ化、ルールから参照
ロギング	Syslog 経由でアクセスログ／ヘルスチェックログを取得

エンハンスドロードバランサの実サーバ要件（試験頻出）

設定可能	設定不可
さくらのクラウド	さくらのレンタルサーバ等の共用型サービスのアドレス
さくらの VPS	他社サービスのアドレス
さくらの専用サーバ PHY	-

いずれもグローバル IP アドレスを持つものに限る。

LB 選択指針（用途別）

要件	推奨
ログイン機能を有する Web アプリ（セッション維持必須）	エンハンスドロードバランサ（Cookie で実サーバ固定）
TCP コネクション単位の粒度の細かな分散	ロードバランサ（L4）
地理冗長（DR、DNS レベル切替）	GSLB
SSL 終端を LB 側で行いたい	エンハンスドロードバランサ
WebSocket を使う	エンハンスドロードバランサ
大量配信で LB の帯域を節約したい	ロードバランサ（DSR）

ソーリーサーバ（試験頻出）

実サーバ全滅時に応答を返すバックアップサーバ。配置場所が LB の種類で異なる点に注意。

LB の種類	ソーリーサーバの配置
ロードバランサ	LB と同じスイッチに接続させる必要がある
エンハンスドロードバランサ	さくらインターネットのネットワーク内に配置
GSLB	制限なし（さくらネットワーク外でも可）

VPN ルータ

VPN 接続、ファイアウォール、ゲートウェイセキュリティ機能を持つ仮想ルータ。クラウド内部のプライベートネットワークを構築し、利用者の拠点側 NW と VPN で接続できる。

提供プラン（4 プラン構成・スループット値は公式 Web 参照）

プラン	冗長化	上流ネットワーク	スループット（参考値）	サイト間 VPN 拠点数（参考値）	リモートアクセス VPN クライアント数（参考値）
スタンダード	×	共有セグメント	80Mbps（参考）	4 拠点（参考）	100（参考）
プレミアム	○	ルータ＋スイッチ	800Mbps（参考）	20 拠点（参考）	200（参考）
ハイスペック（1,600Mbps）	○	ルータ＋スイッチ	1,600Mbps（参考）	50 拠点（参考）	200（参考）
ハイスペック（4,000Mbps）	○	ルータ＋スイッチ	4,000Mbps（参考）	50 拠点（参考）	200（参考）

プランに応じた時間額・日額・月額。IPv6 非対応。

WARNING

数値は公式 Web の参考値：プランごとの性能目安は公式 Web（https://cloud.sakura.ad.jp/products/vpn-router/ ）の参考値を引用。目安値を超えるパケットが到達すると処理の遅延が発生する可能性がある。実値は必ず公式マニュアル（https://manual.sakura.ad.jp/cloud/ ）と上記 Web で確認すること。

試験で確実に問える観点：

スタンダードは共有セグメント接続・冗長化不可
プレミアム／ハイスペックはルータ＋スイッチ接続・冗長化可能
スタティック NAT と IP エイリアスはプレミアム／ハイスペック専用機能
プランごとに VPN 接続可能なクライアント数と拠点数の上限が異なる

提供される代表的な機能

リモートアクセス VPN
サイト間 VPN
NAT（IP マスカレード / ポートフォワーディング / スタティック NAT）
ファイアウォール
DHCP 機能
DNS フォワーディングサーバ機能
スタティックルート機能

リモートアクセス VPN

端末がインターネット経由で VPN ルータと直接 VPN 接続する機能。

対応プロトコル：PPTP、L2TP/IPSec、WireGuard（公式マニュアルvpn-wireguard.html）
端末は VPN ルータのグローバル IP に対して VPN 接続
端末への割当 IP はクラウド内部のプライベート NW の範囲内から割り当て

IMPORTANT

WireGuard の制約（試験頻出）：

VPN ルータ v2 のみ対応（v1 は WireGuard 非対応）
使用ポート：UDP 51820
認証方式：共通鍵なし、BASE64 形式の公開鍵で認証

サイト間 VPN

拠点側ルータがインターネット経由で VPN ルータと VPN 接続する機能。

対応プロトコル：IPSec
お互いのルータの**グローバル IP（固定）**に対して VPN 接続
対向 ID、対向ネットワークのプリフィックスを指定。事前共有鍵を共有
接続状況は**ステータス（UP / DOWN）**で確認可能

IMPORTANT

閉域接続機能を使用すると、サイト間以外のトラフィックについて VPN ルータから直接インターネット送受信ができなくなる（試験頻出）。

NAT 機能（VPN ルータ標準機能）

機能	内容
IP マスカレード（Forward NAT）	プライベート NW のサーバからインターネット向けの通信を実現。デフォルトで動作
ポートフォワーディング（Reverse NAT）	グローバル側 IF の特定ポートに着信する通信をプライベート NW のサーバに転送
スタティック NAT（1 対 1）	IP エイリアスとして設定したグローバル IP に着信した通信を指定したローカル IP に転送

ファイアウォール機能（VPN ルータ標準機能）

グローバル NW 側 / プライベート NW 側のそれぞれの IF に対する受信／送信パケットをフィルタリング
フィルタ条件（TCP/UDP）：送信元 NW、送信元ポート、宛先 NW、宛先ポート
ICMP / IP：送信元 NW、宛先 NW
登録番号順に評価、いずれにもマッチしない場合は許可（パケットフィルタと同じ）
動作はステートフル（戻りパケットは自動的に許可、パケットフィルタとは対照）

WARNING

VRRP の VRID 重複に注意：同一ネットワーク上に VRRP が有効なアプライアンス（VPN ルータ / ロードバランサ等）が複数ある場合、VRID が重複しないように設定が必要。VRID が重複すると正常に VRRP の切り替えが行われない。

作成後の VRID 変更可否（試験頻出、公式 SCB3.1.3_Network3 L1926-1927）：

リソース	作成後の VRID 変更
VPN ルータ	変更可能
ローカルルータ	変更可能
ロードバランサ	変更不可

ログ

VPN ルータのログは 2 種類：

VPN のログ
ファイアウォールのログ（ルールにマッチしたもの）

Syslog サーバへ転送可能（利用者側で Syslog サーバを用意する）。

電源操作

停止や再起動が可能（サーバと同様の操作）

スタティックルート

VPN ルータやローカルルータに設定可能。大規模ネットワークの経路制御で使う。

ブリッジ接続とハイブリッド接続

機能	内容
ブリッジ接続	異なるゾーンのスイッチを L2 で繋ぐ（同一 L2 セグメント化）
ハイブリッド接続	さくらの専用サーバ PHY / ハウジングとクラウドを L2 で接続

ハイブリッド接続の公式仕様（v2.0 教材より）

項目	内容
プラン	プランなし（基本料金 + 物理回線接続費用）
接続スイッチ数	1 ハイブリッド接続 = 1 ゾーンにつき 1 スイッチ（複数スイッチ接続不可）
接続対象	同一プロジェクト内のスイッチのみ
解約方法	書面提出のみ（コントロールパネル / 会員メニューでオンライン解約不可）
冗長化方式	マルチシャーシ LAG（Static）/ マルチシャーシ LAG（LACP）/ Active-Standby の 3 方式
帯域	共有回線のためベストエフォート
ブリッジ接続からの移行	ダウンタイムなく切り替え可能、変更前のブリッジは自動削除

IMPORTANT

ハイブリッド接続ではループ検出パケットが定期送信されており、検出時には収容機器が自動的にポートをダウンする。復旧には利用者からさくらインターネットへの問い合わせが必要。

マップ表示

コントロールパネル上でリソース間の接続関係を視覚化する機能。複雑な構成の把握に役立つ。

マップ表示の仕様（試験頻出）

選択しているゾーンのリソースのみ表示（他ゾーン・グローバルリソースは表示されない）
リソース名、リソース ID、IP アドレスを表示
色分け：赤=共有セグメント / 緑=ルータ＋スイッチ / 青=スイッチ
サーバ／アプライアンス：四角い箱、NIC ＝黒丸、スイッチ接続＝黒線

外部接続オプション

クラウドを「外の世界」と繋ぐ多様な選択肢：

カテゴリ	接続先	サービス名	概要
他社クラウド	AWS	AWS 接続オプション	他社クラウド（AWS）へ閉域接続。マルチクラウドの基盤
学術 / 公共	学術ネット（SINET）	SINET 接続	大学・研究機関の学術ネットワーク接続
学術 / 公共	自治体総合行政ネット	LGWAN 接続	自治体間業務ネットへの閉域接続
プライベートリンク	顧客の閉域網（アルテリア）	プライベートリンク for アルテリア	アルテリア網経由の専用接続
プライベートリンク	顧客の閉域網（BBIX）	プライベートリンク for BBIX	BBIX 経由の専用接続
プライベートリンク	OCX 経由閉域	OCX by BBIX（プライベートリンク）	BBIX が提供する OCX 経由の閉域接続
プライベートリンク	顧客の閉域網（NTT ドコモビジネス）	プライベートリンク for NTT ドコモビジネス	NTT ドコモビジネス網経由の専用接続
利用者オンプレ向け閉域接続	専用線	ダイレクトアクセス	利用者のオンプレミス環境向け物理専用線でクラウドに直結
一般回線	一般 ISP 等の外部回線	外部回線接続	持込回線でデータセンターに接続
マルチクラウド広域	OCX（Open Connectivity eXchange）	OCX 接続	オンデマンドで複数クラウド / 拠点間を L2 接続できる広域閉域網サービス。マルチクラウド連携の柱

IMPORTANT

試験頻出（マルチクラウドの目的）：他社クラウドへの閉域接続は単なる「連携手段」ではなく、さくらクラウド側で障害が発生した場合でもサービスを継続するための事業継続性（BCP）の基盤。マルチクラウド構成は冗長化による可用性向上を主目的とする（コスト削減や管理一元化が主目的ではない）。

TIP

GCP としては：Cloud Interconnect / Cross-Cloud Interconnect / Partner Interconnect 等の組み合わせに該当。「閉域でクラウドに繋ぐ」用途で似た役割。

DNS アプライアンス

所有するドメインの名前解決を行う権威 DNS サーバをクラウドで作成できるマネージド DNS。DNS サーバの運用コストを削減できる。

公式仕様（v2.0 教材より）

項目	内容
プラン	プランなし（単一プラン）
リソース種別	グローバルリソース（ゾーン内だけでなくリージョン間でも冗長化）
料金	日額・月額のみ（時間額の設定なし）／管理するゾーン数に応じて加算。クエリ数・トラフィック量に応じた従量課金はなし（公式 SCB3.1.3_Network3 L801-803）
ゾーン転送	非対応
対応ドメイン	日本語ドメイン名（IDN）の登録可能 — Punycode に自動変換
登録可能レコード（教材記載）	A / AAAA / NS / CNAME / MX / TXT / PTR（公式 SCB3.1.3_Network3 L1055「一般的なレコードタイプを登録できる」+ Tips で ALIAS レコードにも言及）。※SRV / CAA / HTTPS / SVCB は manual.sakura.ad.jp のappliance/dns/index.htmlに拡張記載あり（教材本文の明示は基本 7 種 + ALIAS）
登録不可レコード	SOA レコードの編集は不可・SPF レコードの登録は不可（公式 SCB3.1.3_Network3 L1056 明記。SPF は TXT レコードで表現する）
利用前提	利用者所有のドメイン、またはさくらインターネットのドメイン取得代行サービスで取得したドメイン。上位ドメインの NS レコードで権限委譲が必要

プライベートホストゾーン

内部リソースの名前解決を行うプライベートホストゾーンを作成可能。

IMPORTANT

ALIAS と CNAME の使い分け（試験頻出）：

ALIAS：ゾーン頂点（例：example.jp）で使える。CNAME はゾーン頂点で使えない
CNAME：サブドメイン（例：www.example.jp）で使える

シンプル監視

グローバルネットワークからのネットワーク監視と通知を提供する外形監視サービス。監視サーバの運用コストを削減できる。グローバルリソース。

公式仕様（v2.0 教材より）

項目	内容
プラン	プランなし
監視対象	グローバル IP（IPv4 のみ、プライベート IP 不可） / FQDN / SSL 証明書有効期限
監視方法（10 種）	ping / tcp / http / https / dns / ssh / smtp / pop3 / ftp(ftps) / snmp（公式マニュアルsimplemonitor/index.html）
設定値	チェック間隔 / 再試行回数 / 再試行間隔 / 監視タイムアウト（ping 以外を指定した場合に必要、1〜30 秒）
通知先	メール / Webhook（両方可）。再通知間隔 1h〜72h（通常監視デフォルト 2h / SSL 証明書監視・請求アラートデフォルト 24h）
SSL 証明書有効期限アラート	チェック間隔 10 分 / 再試行間隔 30 秒 / 再試行回数 5 回
料金（無料対象）	さくらのクラウド / 専用サーバ PHY / VPS のグローバル IP に対する監視は無料
料金（有料対象）	上記以外は `監視対象数` × `監視方法` で課金

ログ（試験頻出）

シンプル監視の詳細画面の「ログ」タブで確認可能。

ログ種別	内容
`SERVICE ALERT`	監視に失敗、失敗から回復
`SERVICE NOTIFICATION`	ダウン検知、復旧通知

WARNING

SSL 証明書監視は HTTPS サービスを提供する任意の FQDN を対象にできる（さくらクラウド外の URL も監視可）。試験では「監視対象 = FQDN / グローバル IP / SSL 証明書」の区別が問われる。

ネットワーク構成のパターン例

パターン 1：単一ゾーンの三層構成

パターン 2：リージョン間 DR 構成

✅ キーワードチェックリスト

[ ] リージョンとゾーンの定義、グローバルリソース（ローカルルータ／GSLB／ELB／シンプル監視／DNS アプライアンス）を区別できる
[ ] Sandbox ゾーンは API テスト用で料金が発生せず、リソース本来の機能は動作しないことを覚えた
[ ] スイッチとルータ＋スイッチの違いを説明できる
[ ] パケットフィルタのデフォルト動作は「許可」、ステートレス動作を覚えた
[ ] パケットフィルタ（ステートレス）と VPN ルータの FW（ステートフル）の対比を説明できる
[ ] LB / ELB / GSLB の役割境界（L4 / L7 / DNS）を区別できる
[ ] DSR 方式とプロキシ方式の違い、実サーバ側で必要な追加設定を説明できる
[ ] L4 LB（TCP のみ、IPv6 非対応、最大 20 VIP / 40 実サーバ）の数値を覚えた
[ ] GSLB（IPv6 対応、デフォルト冗長、最大 12 実サーバ、DNS TTL 10 秒）の数値を覚えた
[ ] ELB は CPS プラン、固定リージョン／エニーキャスト、**VIP フェイルオーバー（作成時のみ有効化）**を理解
[ ] ELB の実サーバにはさくらの共用型サービス（レンサバ等）や他社サービスは登録不可
[ ] VPN ルータ 4 プラン（スタンダード / プレミアム / ハイスペック 1.6Gbps / 4Gbps）と拠点数を覚えた
[ ] VPN ルータ：リモートアクセス VPN は PPTP / L2TP/IPSec / WireGuard、サイト間 VPN は IPSec
[ ] ハイブリッド接続の解約は書面提出のみ、コントロールパネルから作成不可
[ ] DNS アプライアンスはグローバルリソース、ゾーン転送非対応、プライベートホストゾーンを作成可能
[ ] ALIAS と CNAME の使い分け（ゾーン頂点 vs サブドメイン）
[ ] シンプル監視のログ：SERVICE ALERT（成功／失敗）、SERVICE NOTIFICATION（通知）
[ ] 外部接続オプション（AWS / SINET / LGWAN / プライベートリンク / OCX）を 1 文ずつ説明できる
[ ] マップ表示は現在選択中ゾーンのリソースのみ表示（他ゾーン・グローバルリソースは表示されない）

🎯 確認問題

問 1：HTTPS リクエストを SSL 終端しつつ、複数の Web サーバに分散したい。最適なのはどれか。

(A) ロードバランサ（L4）
(B) エンハンスドロードバランサ
(C) GSLB
(D) パケットフィルタ

解答

(B) エンハンスドロードバランサ。L7 で SSL 終端・Cookie セッション維持が可能。L4 LB は SSL 終端不可。

問 2：オンプレ拠点とさくらのクラウドを IPSec VPN で安全に接続したい。最適なのはどれか。

(A) パケットフィルタ
(B) VPN ルータ
(C) ハイブリッド接続
(D) DNS アプライアンス

解答

(B) VPN ルータ。IPSec VPN の終端アプライアンス。ハイブリッド接続は専用サーバや PHY との L2 接続で、IPSec ではない。

問 3：東京と石狩の両ゾーンに同じ Web 構成を置き、災害時に自動で切替えたい。最適なのはどれか。

(A) エンハンスドロードバランサのみ
(B) GSLB
(C) パケットフィルタ
(D) ブリッジ接続

解答

(B) GSLB。DNS レベルで地理冗長を実現する。ELB（固定リージョン）は単一ゾーン内分散、ブリッジ接続は L2 接続なので別物。

問 4：さくらのクラウドの標準ロードバランサ（L4）を導入したサーバで、追加で設定が必要な作業として正しいものはどれか。

(A) 何もしなくてよい
(B) サーバの NIC を 2 枚にする
(C) ループバックインタフェースに仮想 IP を設定し、ARP 応答を抑制する
(D) IPSec VPN を有効化する

解答

(C)。引っ掛けポイント：さくらの標準 LB は DSR（Direct Server Return）方式。レスポンスは LB を経由せず実サーバから直接クライアントに返るため、実サーバ側でループバックに仮想 IP を設定し、arp_ignore=1 / arp_announce=2 で ARP 応答を抑制する必要がある。エンハンスドロードバランサ（L7 Proxy 型）ではこの設定は不要。

問 5：パケットフィルタについて、正しい説明はどれか。

(A) いずれの条件にもマッチしないパケットはデフォルトで拒否される
(B) ステートフル動作で、戻りパケットは自動的に許可される
(C) いずれの条件にもマッチしないパケットはデフォルトで許可される
(D) 利用に月額料金が発生する

解答

(C)。パケットフィルタはいずれの条件にもマッチしない場合はデフォルト許可。動作はステートレスのため戻りのパケットも明示的に許可ルールが必要。VPN ルータのファイアウォールはステートフルなので対比して覚える。無料で利用可能。

問 6：エンハンスドロードバランサの実サーバとして登録可能なものはどれか。

(A) さくらのレンタルサーバ
(B) さくらの専用サーバ PHY（グローバル IP）
(C) 他社クラウド上のサーバ
(D) 共用セグメントのプライベート IP

解答

(B)。ELB の実サーバは「さくらのクラウド／VPS／PHY のグローバル IP」に限定。レンタルサーバ等の共用型サービスや他社サービスは登録不可。

問 7：DNS アプライアンスについて、誤っているものはどれか。

(A) ゾーン頂点で ALIAS レコードが使える
(B) ゾーン転送に対応している
(C) クエリ数・トラフィック量に応じた課金は発生しない
(D) プライベートホストゾーンを作成できる

解答

(B) ゾーン転送には非対応。それ以外の (A)(C)(D) は正しい。

問 8：マップ表示機能について、正しい説明はどれか。

(A) 全ゾーンとグローバルリソースを一画面に表示できる
(B) 現在選択しているゾーンのリソースのみ表示される（他ゾーン・グローバルリソースは表示されない）
(C) 表示色は赤＝スイッチ、緑＝ルータ＋スイッチ、青＝共有セグメント
(D) 画像ファイルとしてはダウンロードできない

解答

(B)。マップ表示は現在選択中ゾーンのリソースのみ。色分けは赤＝共有セグメント／緑＝ルータ＋スイッチ／青＝スイッチで (C) は誤り。画像ファイルとしてダウンロード可能なので (D) も誤り。

3.1.4 データベース

学習目標：さくらのクラウドで提供されるデータベースの特徴を把握し、システムの要件に応じたシステム構成設計の考え方を理解する キーワード：データベースアプライアンス（RDBMS・サーバへの DB インストール・クローン）、リードレプリカ、冗長化オプション、データベースクラスタ

データベースの提供形態

形態	説明
データベースアプライアンス	RDBMS を備えるデータベースサーバのマネージドサービス。バックアップ・冗長化・パッチ管理が組み込み
サーバへの DB インストール	自分で OS にインストール。自由度高、運用責任あり
クローン	既存 DB から複製作成

データベースアプライアンスの公式仕様（v2.0 教材より、試験頻出）

項目	内容
対応 RDBMS	PostgreSQL / MariaDB
ディスク	全プラン共通で SSD。料金はアプライアンスに含まれており、ディスクとしての個別リソース管理不可
ネットワーク接続	スイッチまたはルータ＋スイッチ（共有セグメントへの接続不可）
冗長化オプション時の接続	スイッチのみ接続可能
TCP ポート	指定可能（任意ポート）
利用者の権限制限	PostgreSQL の Superuser ロール / MariaDB の SUPER 権限・ALL PRIVILEGES 権限は付与されない
バージョン表記	X.Y.Z 形式（X.Y がメジャーバージョン、Z がマイナー）
電源操作	停止・再起動などサーバと同等の操作が可能

プラン体系（試験頻出）

構成	プランの選び方
冗長化オプションあり	プラン = CPU 仮想コア数 × メモリサイズの組み合わせ。ディスクサイズは全プラン共通
冗長化オプションなし	プラン = ディスクサイズ。プランごとに仮想コア数とメモリサイズが決まる

料金はプランと冗長化オプションの有無で異なる時間額・日額・月額（公式 SCB3.1.4 L185）。

IMPORTANT

専有ホスト（専有ストレージあり）／専有ストレージ上にデータベースアプライアンスを作成可能。この場合、作成したアプライアンスの料金は発生せず、専有ホスト・専有ストレージの固定料金のみが発生する（コスト設計の重要ポイント）。

冗長化オプション

データベースサーバ 2 台による冗長化構成。

項目	内容
構成	データベースサーバを 2 台で冗長化（常時同期）
配置	同一ゾーンに同一スペックで作成
必要 IP アドレス数	3 個（仮想 IP 1 個 + 各サーバの実 IP 2 個）
レプリケーション	不可

リードレプリカ

データベースアプライアンスをマスターとして指定し、読み取り専用のデータベースサーバを複製として作成する。マスターの負荷軽減用途。

項目	内容
配置ゾーン	マスターと同一ゾーン
スペック	マスターと同じプランで複製
作成上限	マスター 1 台あたり最大 3 台
同期方式	非同期レプリケーション（数秒〜数十秒の同期遅延）
マスター昇格	不可（あくまで読み取り専用）
バックアップ	取得不可
事前準備	マスター側でリードレプリカを有効化し、レプリカユーザ（replica）のパスワードを設定

WARNING

冗長化オプションとリードレプリカは併用不可（試験頻出）。データベース一覧画面の「構成」表記で判別する。

データベースクラスタ

3 台のノードで構成されたデータベースサーバを利用する機能。Galera Cluster を使用した Active-Active 型のマルチマスター構成（試験頻出）。冗長化オプション・リードレプリカと並ぶ高可用性手段の一つ。各ノードを各ゾーン（A / B / C）に 1 台ずつ配置することが必須（同一ゾーンへの集約不可）。各ノードに独立した 3 つの IP アドレスが割り当てられ、アプリケーションは任意のノードに対して読み書きを実行できる。

項目	内容
クラスタ実装	Galera Cluster（公式マニュアルdatabase-cluster.html）
構成	3 ノード Active-Active マルチマスター
ゾーン配置	各ノードを各ゾーン（A / B / C）に 1 台ずつ配置することが必須
IP アドレス	3 つの独立 IP（ノードごとに割り当て）
1 ノード障害時	残存 2 ノードで稼働継続（読み書き可能）
2 ノード障害時	読み込み / 書き込みともに停止

クローン機能

データベースの内容や設定情報を含めて複製する機能。

項目	内容
クローン先のプラン	クローン元と同じ、もしくは上位プラン
冗長化オプションあり	クローン不可
用途	バージョン更新時のメジャーバージョンアップ、テスト環境構築、別ゾーン展開

バックアップ

データベースアプライアンスには 2 種類のバックアップ方式がある（試験頻出）。

方式	取得	復元時点	必要要件	冗長化オプションありで使用
バックアップ（v1）	手動 / 自動	バックアップを取得した時点	冗長化オプションありの場合は NFS アプライアンスなどの NFS 領域が必要	使用可（NFS 領域あれば）
継続的バックアップ	自動のみ	ポイントインタイムリカバリ（任意の時点に戻せる）	特定のデータベースエンジン・バージョンのみ使用可能。NFS アプライアンスが必須。新しいデータベースアプライアンスを新規作成する形で復元	使用不可

IMPORTANT

保管世代数（公式 SCB3.1.4 L779）：データベースアプライアンスのバックアップデータは 最大 8 世代まで保管可能。

混同注意：3.1.5 の 自動バックアップ機能（ディスク向け）は最大 10 世代。DB アプライアンスの 8 世代と数値が異なるため試験で取り違えやすい（DB は 8、ディスク自動バックアップは 10）。

アクセス制限

データベース接続を許可する IP アドレスまたはネットワーク範囲を指定可能。

バージョン更新機能

項目	内容
対象	パッチバージョンのみ（X.Y.Z の Z 部分）
方式	時間指定の自動更新または任意のタイミングで手動更新
メジャーバージョン更新	不可（クローン機能を使って新規アプライアンスとして移行）

TIP

GCP としては：Cloud SQL（MySQL/PostgreSQL/SQL Server）と非常に近い。read replica / 高可用性構成 / 自動バックアップが共通機能。AlloyDB はより高性能寄り。

マネージド vs セルフホスト

観点	データベースアプライアンス	サーバへの DB インストール
構築工数	低（数分で起動）	高
バージョン選択	限定（マネージドが対応する範囲）	自由
パッチ管理	自動	自前
拡張機能	制限あり	自由
Oracle Database	利用不可	クラウド上では利用不可（PHY / ハウジングで稼働してブリッジ／ハイブリッド接続）
コスト	やや高	低（運用工数除く）
性能安定性・最重要システム	良	専用サーバ PHY が最適（cloud-init 等とは別の物理サーバサービス）

WARNING

「自由度が必要だから DB を自前で立てる」決定は運用工数を見落としがち。試験でも「マネージドの利点」を問う出題が多い → バックアップ・冗長化・パッチ管理が自動を要点として暗記。

IMPORTANT

性能安定性が最重要・コストは二の次・バックアップ必須・24/365 といった要件には専用サーバ PHY 上での構築が最適とされる出題傾向あり。

✅ キーワードチェックリスト

[ ] DB アプライアンスの対応 RDBMS（PostgreSQL / MariaDB）と権限制限（Superuser / SUPER 等不可）を覚えた
[ ] 冗長化オプションありとなしでプラン構造が異なる（CPU×メモリの組み合わせ vs ディスクサイズ）
[ ] 冗長化 2 台 / 必要 IP 3 個（仮想 + 実 2）
[ ] リードレプリカは同一ゾーン・同プラン・最大 3 台・非同期・マスター昇格不可・バックアップ不可
[ ] 冗長化オプションとリードレプリカは併用不可
[ ] データベースクラスタは 3 台ノード・Active-Active マルチマスター
[ ] 専有ホスト（専有ストレージあり）／専有ストレージ上のアプライアンスは料金が発生しない
[ ] バックアップ 2 種：v1（時点復元）／継続的（ポイントインタイム、NFS 必須、冗長化あり不可）
[ ] メジャーバージョン更新はクローン経由、パッチ更新は自動／手動
[ ] クローンは元と同じか上位プラン、冗長化ありはクローン不可
[ ] Oracle Database はクラウド上では利用不可

🎯 確認問題

問 1：データベースアプライアンスの「リードレプリカ」の主目的はどれか。

(A) マスタの書き込み性能向上
(B) 読み取りクエリの負荷分散
(C) データの暗号化
(D) ライセンスコスト削減

解答

(B)。読み取り専用の複製を作って、SELECT クエリを分散させる。書き込みはマスタに集約。マスタへの昇格は不可。

問 2：データベースアプライアンスのクローン機能について、正しい説明はどれか。

(A) クローン先は元より下位のプランでもよい
(B) クローン先は元と同じ、もしくは上位のプランを選択する必要がある
(C) 冗長化オプションありのアプライアンスもクローン可能
(D) クローンはバックアップの取得時点でしか復元できない

解答

(B)。クローン先のプランは元と同じか上位。冗長化オプションありはクローン不可（試験頻出）。

問 3：データベースアプライアンスの継続的バックアップについて、誤っているものはどれか。

(A) ポイントインタイムリカバリが可能
(B) NFS アプライアンスが必須
(C) 冗長化オプションありでも使用可能
(D) 復元は新しいデータベースアプライアンスを新規作成する形で行う

解答

(C)。継続的バックアップは冗長化オプションありでは使用不可。それ以外の (A)(B)(D) は正しい。

問 4：データベースアプライアンスのメジャーバージョンを更新したい場合に取るべき手順はどれか。

(A) コントロールパネルから「バージョン更新」機能でメジャーアップグレードを実行する
(B) 自動アップグレード設定で次回更新を待つ
(C) クローン機能で新規アプライアンスを作成し、上位バージョンを指定する
(D) バックアップから復元すると自動的にメジャーバージョンが更新される

解答

(C)。バージョン更新機能はパッチバージョン（X.Y.Z の Z）のみ対象。メジャーバージョン更新はクローン機能を使って新規アプライアンスとして移行する。

3.1.5 データ処理

学習目標：さくらのクラウドで提供されるデータ処理の特徴を把握し、システムの要件に応じたシステム構成設計の考え方を理解する キーワード：アーカイブ、ディスクマイグレーション

アーカイブ

ディスクのバックアップと復旧、複製のための機能。

種類	説明
パブリックアーカイブ	さくらインターネットから提供されている、各種 OS がプリインストールされた状態のアーカイブ（3.1.1 参照）
マイアーカイブ	ユーザーがディスクを元に作成するアーカイブ

マイアーカイブの仕様（v2.0 教材より）

項目	内容
サイズ範囲	最小 20GB 〜最大 1TB
料金	サイズに応じた時間額・日額・月額（公式 SCB3.1.5 L168）
ディスク作成	マイアーカイブをソースに指定して新規ディスク作成可能
ディスク修正	修正機能が対応する OS であれば、ネットワーク情報・パスワードを変更してディスクに書き込み可能
プラン変更	元になったディスクのプランとは無関係。標準プランのディスクから作成したアーカイブを元に SSD プランのディスクを作成することも可能
用途	ディスクのバックアップを安価に保管する場合などに使用

用途例

用途
定期バックアップ
構築済みサーバの複製テンプレート化
別ゾーンへの構成複製

自動バックアップ機能

定期的にアーカイブを作成する機能。

公式仕様（v2.0 教材より、試験頻出）

項目	内容
保持世代数	最大 10 世代（古い世代から自動削除）
最小バックアップ期間	1 日
指定可能なディスク最大サイズ	1TB（試験頻出：自動バックアップ可能なディスクサイズの上限）
取得タイミング	スケジュール指定（週単位で曜日指定、複数曜日選択可、日時指定は不可）（公式 SCB3.1.5 L523）
料金体系	自動バックアップの実行 1 回ごとにディスクサイズに応じた料金 + 作成したアーカイブの保存料金（世代ごとに別途）

IMPORTANT

試験頻出：自動バックアップの最大世代数は 10、指定可能なディスクの最大サイズは 1TB。保持世代を超えると古い世代から自動削除される（手動でアーカイブ自体を保護したい場合は別途「アーカイブ」を作成）。

ディスクマイグレーション

機能	内容
ディスクをソースとした新規ディスク作成	さくらのクラウド上の既存ディスクをソースに新規ディスク作成
raw イメージのマイアーカイブアップロード	手元にある raw イメージをマイアーカイブにアップロード可能（オンプレ → クラウド移行で活用）

TIP

GCP としては：アーカイブ = Persistent Disk Snapshot に近い、ディスクマイグレーション = PD のリージョン間コピー / migrate に該当。自動バックアップ = PD の Scheduled Snapshots（こちらは世代上限を ResourcePolicy で設定）。

✅ キーワードチェックリスト

[ ] パブリックアーカイブとマイアーカイブの違いを説明できる
[ ] マイアーカイブの**サイズ範囲（20GB〜1TB）**を覚えた
[ ] 元ディスクのプランとアーカイブからのディスクのプランは無関係（HDD アーカイブから SSD ディスク作成可）
[ ] 自動バックアップの最大保持世代 10 世代、指定可能ディスクサイズ最大 1TBを答えられる
[ ] ディスクマイグレーションで raw イメージをマイアーカイブにアップロード可能

3.1.6 他サービスとの連携

学習目標：さくらのクラウドと他サービス（VPS、専用サーバ、ハウジング）の連携方法と、実現可能なネットワーク構成のパターンを把握する。それぞれの構成がどのようなシナリオと要件に適しているのか理解する。さくらのマーケットプレイスの特徴とサービスを把握し、それらがどのようなケースで利用されるのか理解する キーワード：他サービスとの連携（VPS・専用サーバ・ハウジング）、さくらのマーケットプレイス

さくら内サービス連携（v2.0 教材より）

VPS との連携

手段	内容
ブリッジ接続	さくらのクラウド ↔ さくらの VPS を L2 のプライベート接続で結ぶ
エンハンスドロードバランサ	バックエンドの実サーバとしてさくらの VPS を登録可能
VPN 経由	VPN ルータ経由でさくらの VPS に接続可能

専用サーバ PHY との連携

手段	内容
ブリッジ接続	さくらのクラウド ↔ 専用サーバ PHY を L2 のプライベート接続で結ぶ
VPN 経由	VPN ルータ経由で専用サーバ PHY に接続可能

ハウジングとの連携

手段	内容
ハイブリッド接続	プライベート接続が可能

こんなときに使う

既存の物理基盤を活かしつつ新規開発はクラウドで（段階的クラウド移行）
重い DB は物理（PHY）、軽量フロントエンドはクラウドの自動スケール
ハウジングの自社機器とクラウドのアプライアンス資源を組み合わせる
ELB のバックエンドに VPS を登録してハイブリッド運用

さくらのマーケットプレイス

さくらインターネット以外のベンダーが開発したサービスを、さくらのクラウドが公式に提供・再販するもの。さくらインターネットからライセンスが提供される（ターム 2.4 既出）。

料金体系

形式	内容
定期払い	月額・年額の定期課金
1 回払い	永久ライセンス等の一括支払い

利用方法（提供形態）

方式	内容
OS / アーカイブ提供	構築済み OS / アーカイブとして提供
ライセンス申し込み型	ライセンスのみ申し込み、利用者が自身で適用

サポート

さくらインターネットによる無償サポートが付帯。

提供されるカテゴリ

バックアップサービス
セキュリティサービス
セキュリティアプライアンス
WAF サービス
監視サービス
分析サービス

嬉しさ
ワンクリックで構築済み環境が起動
ベストプラクティス済みのテンプレートが利用できる
検証環境を素早く立ち上げられる
サードパーティ製品のライセンス調達を一本化

✅ キーワードチェックリスト

[ ] VPS との連携 3 手段（ブリッジ / ELB バックエンド登録 / VPN）が分かる
[ ] 専用サーバ PHY との連携 2 手段（ブリッジ / VPN）が分かる
[ ] ハウジングはハイブリッド接続で連携
[ ] マーケットプレイスはさくらインターネットからライセンス提供 + 無償サポート付帯
[ ] マーケットプレイスの料金体系 2 種（定期払い／1 回払い）と提供形態 2 種（OS・アーカイブ／ライセンス申込）

🎯 確認問題

問 1：さくらのクラウドとさくらの VPS を L2 で接続する機能はどれか。

(A) ハイブリッド接続
(B) ブリッジ接続
(C) VPN ルータ
(D) パケットフィルタ

解答

(B)。さくらの VPS との L2 プライベート接続はブリッジ接続を使う。ハイブリッド接続は専用サーバ PHY やハウジング向け、VPN ルータは IPSec などの暗号化通信。

問 2：さくらのマーケットプレイスについて、誤っているものはどれか。

(A) さくらインターネット以外のベンダーが開発したサービスを公式に再販する
(B) ライセンスはさくらインターネットから提供される
(C) 利用者の費用で別途ベンダーのサポート契約が必要（無償サポートはない）
(D) 料金は定期払いと 1 回払いの 2 種類がある

解答

(C)。マーケットプレイスはさくらインターネットによる無償サポートが付帯する。

3.2 セキュリティの設計

3.2.1 リソースのセキュリティ

学習目標：クラウド環境におけるリソースのセキュリティの基本的な考え方を学び、セキュリティリスクに対応する方法を理解する。さくらのクラウドで提供されるリソースのセキュリティに関連する機能、サービス、および選択可能なネットワーク構成を理解する キーワード：会員 ID とプロジェクト、プリンシパル、IAM ポリシー、ID ポリシー、ロール、認証方式（2 要素認証、シングルサインオン、ユーザープロビジョニング）、サーバアクセスのセキュリティ（SSH・RDP）、イベントログ

会員 ID とプロジェクト

概念	内容
会員 ID	さくらインターネットのサービス申込時に利用者ごとに一意に付与される ID（アルファベット 3 文字 + 数字 5 文字で構成）。管理者権限が付与されており、会員 ID で作成したすべてのプロジェクトにアクセス可能
プロジェクト	リソースの作業空間。リソースの管理と請求処理がプロジェクト単位で区分
クラウドユーザ	リソースを操作するためのユーザ。社員・メンバーごとに作成
ユーザグループ	ユーザをグループ化し、グループごとにアクセス権限をコントロール。所属する全ユーザにまとめて権限適用可能
サービスプリンシパル	システムやアプリが API にアクセスするための認証手段。自動処理やシステム連携で利用

リソース管理の階層

組織 > フォルダ > プロジェクトという階層でリソースを管理できる。

リソース ID（試験頻出）

各リソースに付与される一意の 12 桁の数字。請求、メンテナンス通知、サポートへの問い合わせ時に使用する。

TIP

GCP としては：GCP の「組織 → プロジェクト」と類似。Sakura の「組織 → フォルダ → プロジェクト」も同じ階層概念。

IAM の構成要素

要素	内容
プリンシパル	認証主体（ユーザー / アカウント / ユーザーグループ / API キー）
IAM ポリシー	プリンシパルに対する権限の集合
ID ポリシー	プリンシパルの ID 管理ポリシー（パスワード強度等）
ロール	あらかじめ定義された権限セット

IMPORTANT

会員 ID は管理者権限が付与されている（試験頻出）。会員 ID でログインすると、その会員 ID で作成した全プロジェクトにアクセス可能。日常運用ではユーザーを作成して権限を絞るのが基本。

アクセスレベル（リソース操作権限）

リソース操作権限は 4 段階。数値が大きいほど小さい権限を包含する。

レベル	名称	許可される操作
1	リソース閲覧	リソースの参照のみ
2	電源操作	1 の操作 + サーバ/アプライアンスの電源操作
3	設定編集	2 の操作 + 請求金額の増減が発生しない範囲のリソース作成/削除、既存リソースの設定変更
4	作成・削除	3 の操作 + 請求金額が増減する作業を含む全操作 + API キーの発行/参照

IMPORTANT

API キーはプロジェクト単位で作成され、API キーに対してもアクセスレベルを設定可能。

IAM ロール一覧（公式 v2.0 教材より）

リソース操作ロール

ロール	主な権限
KMS 管理者	KMS の全操作
クラウド HSM 管理者	クラウド HSM の全操作
シークレットマネージャ管理者	シークレットマネージャの全操作
リソース閲覧	リソース参照
電源操作	電源操作（上位互換）
設定編集	リソース設定変更
作成・削除	課金が増減する操作含む全操作・API キー発行/参照

サービス別アクセス権限

請求情報・イベントログの閲覧、および以下のサービスのコントロールパネルへのアクセスは個別ロールで付与する：

ロール	対象
請求閲覧権限	プロジェクトの請求情報の参照
オブジェクトストレージ	オブジェクトストレージへのアクセス
さくらのウェブアクセラレータ	さくらのウェブアクセラレータへのアクセス
さくらの専用サーバ PHY	さくらの専用サーバ PHY へのアクセス
AppRun	AppRun へのアクセス
高火力 DOK	高火力 DOK へのアクセス
API ゲートウェイ	API ゲートウェイへのアクセス
ワークフロー	ワークフローへのアクセス
イベントログ	イベントログの参照

オーナーロールとセキュリティコントロール

ロール	主な権限
オーナー	プロジェクト管理権限（IAM 設定/更新、プロジェクト削除、API キー発行/参照を含む全操作）
セキュリティコントロール管理者	全設定・評価・チケット・自動アクションの管理
セキュリティコントロール運用者	設定変更は限定、参照+一部運用（チケット更新等）
セキュリティコントロール閲覧者	全項目の参照のみ
セキュリティコントロールエージェント	内部処理用（自動付与）

認証方式

基本（v2.0 教材より）

方式	内容
パスワード認証	基本のログイン認証
2 要素認証	会員 ID・ユーザの認証で、パスワード認証に加えて利用可能
シングルサインオン（SSO）	SAML 2.0 準拠の外部 IdP（Google Workspace 等）と連携。メールアドレスを登録したクラウドユーザのみ SSO 認証可能（試験頻出）
ユーザープロビジョニング	外部 IdP で一元管理されているユーザやグループの情報をさくらのクラウドへ自動反映できる

シングルサーバコントロールパネル

サーバ 1 台ごとに個別に制御するためだけの権限を持った API キー（シングルサーバ API キー） を発行し、そのキーでログインすると、対象のサーバのみの操作が可能なコントロールパネルにアクセスできる。

IMPORTANT

試験頻出：「特定のサーバだけを操作させたい運用者へ権限を絞りたい」シナリオでシングルサーバ API キー → シングルサーバコントロールパネルが解として出題される。

サーバアクセスのセキュリティ

プロトコル	用途	推奨
SSH	Linux サーバへのリモートシェル	鍵認証必須、パスワード認証は無効化推奨
RDP	Windows サーバへのリモートデスクトップ	ネットワーク制限 + 強固なパスワード or VPN 経由

IMPORTANT

SSH のセキュリティは試験で頻出。「鍵認証 / パスワード認証無効化 / ポート変更 / Fail2Ban」のパターンを覚える。

ログの取得と保管

イベントログ（試験頻出）

項目	内容
対象	コントロールパネルと API の操作履歴、およびログイン履歴
保存期間	1 年
長期保存	1 年以上保持したい場合は CSV 形式でエクスポート
エクスポート上限	最大 1000 件

TIP

GCP としては：Cloud Audit Logs（Admin Activity / Data Access）に相当。「監査ログは無効にできない」が共通点。

その他のログ

ログ種別	内容
ネットワークログ（ファイアウォール）	ログ記録が有効化かつルールにマッチしたもののみ記録
サーバのログ	利用者の責任範囲。さくらインターネットからは提供されない
ウェブアクセラレータのアクセスログ	リクエスト内容・応答ステータス等を、指定先のオブジェクトストレージに定期的に自動アップロードできる

✅ キーワードチェックリスト

[ ] 会員 ID とプロジェクトの階層関係を説明できる
[ ] IAM ポリシー / ID ポリシー / ロールの違いを区別できる
[ ] 2 要素認証 / SSO / ユーザープロビジョニングを 1 文ずつ説明できる
[ ] SSH の鍵認証推奨理由を説明できる
[ ] イベントログの目的（監査・追跡）を説明できる

🎯 確認問題

問 1：複数の社内システムを 1 回の認証でアクセスできるようにする仕組みはどれか。

(A) 2 要素認証
(B) SSO
(C) ユーザープロビジョニング
(D) IAM ポリシー

解答

(B) SSO（Single Sign On）。1 回のログインで複数システム利用可能に。

3.2.2 データのセキュリティ

学習目標：クラウド環境におけるデータセキュリティの基本的な考え方を学び、セキュリティリスクに対応する方法を理解する。さくらのクラウドで提供されるデータセキュリティ関連の機能、サービス、および選択可能なネットワーク構成を理解する キーワード：第三者機関による認証（ISO27017・ISO27018・ISMS・ISMAP・PCI DSS・SOC）、データ漏洩対策、マルウェア対策、データの暗号化

第三者機関による主な認証

認証	内容
ISO/IEC 27001（ISMS）	情報セキュリティ管理の国際規格
ISO/IEC 27017	クラウドサービスのセキュリティ管理
ISO/IEC 27018:2019	クラウド事業者の個人情報（PII）保護に関する国際規格
ISMAP	政府情報システムのためのセキュリティ評価制度（日本）
PCI DSS	クレジットカード業界のセキュリティ基準
SOC（SOC 1/2/3）	内部統制 / セキュリティ・可用性等の第三者保証報告書

さくらの取得状況（v2.0 教材より、試験頻出）

取得主体	取得認証（教材記載）
さくらインターネット（会社）	公式 corporate/security に明記：プライバシーマーク（JIS Q 15001 準拠）／ISMS 認証 ICMS-SR0063（2006-04-13 初回登録）／ISMS クラウドセキュリティ認証 Cloud-SR0063（2018-08-17 初回登録）／ISO/IEC 27018:2019 認証 CloudPII-SR0063（2026-02-18 取得、試験ホットトピック化の可能性）／PCI DSS V4.0 ICMS-PCI0063（2017-03-15）
さくらのクラウド（サービス）	ISMS クラウドセキュリティを取得、ISMAP のクラウドサービスリストに登録（公式 SCB3.2.2 L133-134 教材本文に明記）。ガバメントクラウド条件付き認定（2023 年度）（公式 SCB3.2.2 L181-185）。※SOC2 Type 1 は公式教材に記述なし
データセンター（拠点：石狩）	PCI DSS Ver.4.0 の全 12 要件のうち要件 9（物理アクセス制限）と要件 12（情報セキュリティポリシー維持）に準拠（公式 SCB3.2.2 L156-161 明記、教材は石狩 DC のみ）。また、石狩データセンターは「SOC2 Type2 報告書」及び「SOC3 報告書」を監査法人より受領（公式 SCB3.2.2 L135-136 教材本文に明記）。
データセンター（補足：5 拠点）	※教材記載は石狩のみ。東京西新宿・東新宿・代官山 / 大阪堂島 / 石狩の 5 拠点記述はcorporate/security補足。試験では教材通り「石狩 DC が PCI DSS 要件 9・12 に準拠」を押さえる

IMPORTANT

ガバメントクラウド認定：さくらのクラウドは 2023 年度に デジタル庁が募集した「ガバメントクラウド整備のためのクラウドサービス」に認定された。ただし2025 年度末までに技術要件をすべて満たすことを前提とした条件付き認定。

IMPORTANT

ISMAP は日本政府が求めるクラウドの認証。政府案件・自治体案件を扱う場合は必須要件になりやすい。

SSL 証明書の選択（v2.0 教材より）

認証局が発行する SSL 証明書には3 種類ある。

種類	名称	認証レベル	備考
DV	ドメイン認証	ドメイン所有確認のみ	Let's Encrypt はこれ（無料・自動）
OV	組織認証	組織実在性も確認	中規模ビジネスサイト
EV	拡張認証	厳格な組織確認	金融・大企業の決済サイト

IMPORTANT

Let's Encrypt 統合機能：エンハンスドロードバランサとさくらのウェブアクセラレータの SSL 証明書登録機能では、Let's Encrypt 証明書の登録・更新を自動化できる。サーバ内で証明書を格納せず、コントロールパネル上で一元管理できる点が試験で問われる。

暗号化通信の利用（v2.0 教材より）

経路	暗号化方式
コントロールパネル / API	標準で SSL/TLS による暗号化
オブジェクトストレージ	HTTPS による暗号化通信に対応
アーカイブ・ISO イメージのアップロード	標準で FTPS を使用

ウェブサイトでの HTTPS 利用

利用者自身で SSL/TLS 証明書を取得して、以下のいずれかで利用：

方法	内容
直接 Web サーバに配置	利用者管理の Web サーバに証明書をインストール
エンハンスドロードバランサに登録	ELB の SSL 終端機能で対応、Let's Encrypt 自動更新可能
ウェブアクセラレータに登録	静的コンテンツ配信を Let's Encrypt で SSL 化

接続元ネットワークの制限（v2.0 教材より）

不要な通信はファイアウォール／パケットフィルタ／サーバ OS のセキュリティ機能でフィルタリングする。

対象	制限の方針
GSLB / エンハンスドロードバランサ	それらのリソースからのみ実サーバへのアクセスを許可（ヘルスチェックの接続元 NW）
シンプル監視	監視リソースからのアクセスのみ許可
ウェブアクセラレータのオリジン	ウェブアクセラレータからのアクセスのみ許可
ウェブアクセラレータへのアクセス	アクセス制御リスト（ACL）で特定の IP 範囲に制限可能
データベースアプライアンス	送信元ネットワークの制限機能を使用

ディスクの暗号化検討（v2.0 教材より、試験頻出）

観点	内容
対象	サーバ上のディスク読み書き時の暗号化・復号化（オプション機能）
有効化のタイミング	ディスク作成時のみ（後から有効化不可、3.1.2 参照）
自動バックアップとの併用	ディスク暗号化を有効化した場合、自動バックアップは使用できない（試験頻出）
アーカイブの暗号化	非対応（ソースが暗号化済みでもアーカイブ自体は暗号化されない）
オブジェクトストレージの暗号化	バケット単位で有効化。後から有効化可能だが、有効化前に格納したオブジェクトは遡及的に暗号化されない

マルウェア対策の検討（v2.0 教材より）

サーバ OS やアプリケーションのセキュリティ対策はユーザー側の責任。

対策	手段
マルウェア対策ソフトウェア導入	アンチウイルス（パターンマッチング + 振る舞い検知）
セキュリティアプライアンス導入	IDS/IPS（侵入検知 / 防止）
セキュリティアップデートの運用	定期的なパッチ適用
多層防御	複数の対策を重ねる
マーケットプレイス活用	セキュリティサービス・WAF・監視サービス等が提供されている

データ漏洩対策

通信経路の暗号化（SSL/TLS）
データ at rest の暗号化（ディスク暗号化）
アクセスログの監査
DLP（Data Loss Prevention）の活用

データの暗号化（3 状態の整理）

状態	対策
転送中（in transit）	SSL/TLS、IPSec VPN
保管時（at rest）	ディスク暗号化（AES256-XTS）、オブジェクトストレージのバケット暗号化
処理中（in use）	機密 VM プラン（AMD SEV）等の機密コンピューティング

TIP

GCP としては：GCP は at rest / in transit をデフォルトで暗号化。Sakura のオブジェクトストレージ等も暗号化サポート。Confidential Computing は GCP の特徴で、Sakura は機密 VM プランで提供。

✅ キーワードチェックリスト

[ ] 6 つの認証（ISO27001/27017/27018/ISMAP/PCI DSS/SOC）の対象範囲を説明できる（PCI DSS は石狩 DC で要件 9・12 準拠、ISMS クラウドセキュリティ / ISMAP = サービス側 / SOC2 Type2 + SOC3 = 石狩 DC）
[ ] コントロールパネル / API は SSL/TLS、アーカイブ・ISO アップロードは FTPS
[ ] ディスク暗号化はディスク作成時のみ、自動バックアップと併用不可、アーカイブには暗号化対応せず
[ ] オブジェクトストレージ暗号化はバケット単位、有効化前のオブジェクトは遡及暗号化されない
[ ] データ暗号化の 3 状態（転送中 / 保管時 / 処理中）を説明できる
[ ] サーバ OS のマルウェア対策は利用者責任、マーケットプレイスでも提供

3.2.3 アプリケーションのセキュリティ

学習目標：クラウド環境におけるアプリケーションセキュリティの基本的な考え方を学び、セキュリティリスクに対応する方法を理解する。さくらのクラウドで提供されるアプリケーションセキュリティ関連の機能、サービス、および選択可能なネットワーク構成を理解する キーワード：グローバルネットワークとローカルネットワーク、不正アクセス対策、DDoS 対策

グローバルとローカルネットワーク

種類	内容
グローバルネットワーク	インターネットに直接公開される側（ルータ＋スイッチ等）
ローカルネットワーク	プライベートな通信のみ（スイッチ）

設計の鉄則：外部公開は最小限のサーバのみ。DB は必ずローカルに。

マルチレイヤーセキュリティ

複数のネットワークレイヤーに対して防御手段を重ねることで、アプリケーションのセキュリティを高める。単一の対策に依存せず、フィルタ + WAF + 監査 + DDoS 緩和を重ねるのが鉄則。

通信パケットのフィルタリング（v2.0 教材より）

パケットフィルタ機能と VPN ルータのファイアウォール機能の使い分けが試験頻出。

	パケットフィルタ機能	VPN ルータのファイアウォール機能
インスペクション方式	ステートレス	ステートフル（戻り通信も自動で許可）
ネットワーク上の位置	サーバの NIC	仮想アプライアンスとしてネットワーク境界に設置
ログ	なし	ルールにマッチした場合に出力（有効化が必要）
料金	無料	VPN ルータの利用料

IMPORTANT

試験頻出の引っ掛け：

パケットフィルタはステートレスなので、戻り通信も明示ルールが必要（双方向ルール設計が必要）。
VPN ルータ FW はステートフルなので、戻り通信は自動許可される。
パケットフィルタはログを出さない（ログが必要なら VPN ルータ FW や別途ロギング機構が必要）。
デフォルト方針：パケットフィルタはデフォルト許可（ルールなしなら全通過）。設計時は「拒否したい通信を明示する」発想が必要。

不正アクセス対策（クラウド側）

パケットフィルタ / VPN ルータ FW で送信元 IP 制限
認証強化（2 要素 / SSO）
イベントログ監査
WAF（エンハンスドロードバランサ機能、ホスト型 WAF）

DDoS 対策

エッジでの吸収：CDN・大容量帯域での緩和
レート制限：単位時間あたりの接続数を制限
トラフィック解析：異常検知 + 自動対処

さくらのクラウドが提供する DDoS 対策（v2.0 教材より）

対策	内容
バックボーンレベルの DDoS 対策	サービス提供基盤全体に対して常時実施。攻撃を検知した場合はさくらインターネットで状況を確認し、個別に対応される
エンハンスドロードバランサ + VIP フェイルオーバ	DDoS で IP への到達性が失われた際に自動的に別 VIP に変更される。無応答検知からフェイルオーバ動作までの目安時間は 5 分程度（試験頻出の具体値）
マーケットプレイス提供のセキュリティアプライアンス	DoS 攻撃対策機能を備えた製品が選べる

WAF（v2.0 教材より）

WAF タイプ	配置	特徴
ホスト型 WAF	サーバ上でエージェント稼働	さくらのクラウドではセキュリティベンダーとの協業で無料提供あり
クラウド型 WAF	セキュリティベンダーの WAF サービスを経由	クラウド型 WAF サービスとして提供
アプライアンス型 WAF	マーケットプレイスのセキュリティアプライアンス	ネットワーク境界に配置

IMPORTANT

複数エージェント運用時の一元管理：ホスト型 WAF 製品で複数のエージェントを運用する際には、マーケットプレイスの対象プラン選択により一元管理を実現できる。WAF の設定代行に対応するライセンスもあり、運用負荷を軽減できる。

WARNING

1 つの NIC に適用可能なパケットフィルタルール数には最大値があるため、想定されるルール数を考慮して設計する必要がある（試験頻出の引っ掛けポイント）。

TIP

GCP としては：Cloud Armor が WAF + DDoS 対策。Sakura ではバックボーン DDoS 対策 + エンハンスドロードバランサ VIP フェイルオーバ + 各種 WAF オプションで対応。

ネットワーク構成例（v2.0 教材より）

3 層構成の典型的な配置：

グローバルネットワーク
   ↓
VPN ルータ（ステートフル FW + リモートアクセス VPN）
   ↓
ローカルネットワーク（管理セグメント）
   ↓
Web サーバ
   ↓
ローカルネットワーク（バックエンドセグメント）
   ↓
DB サーバ（ローカルのみ）

TIP

設計の鉄則：

DB サーバはグローバルに直接接続しない（ローカル NW のみ）
Web ⇔ DB のセグメントを Web ⇔ Internet と分離する
管理用 VPN（リモートアクセス VPN）を VPN ルータで集約する

🎯 確認問題

問 1：パケットフィルタ機能と VPN ルータのファイアウォール機能の説明として正しいものはどれか。

(A) パケットフィルタはステートフル、VPN ルータ FW はステートレス
(B) パケットフィルタはステートレス、VPN ルータ FW はステートフルで戻り通信を自動許可する
(C) パケットフィルタはネットワーク境界に設置され、VPN ルータ FW はサーバ NIC に適用される
(D) 両者とも有料オプションである

解答

(B)。教材 202602 の対比表通り。

パケットフィルタ = ステートレス + サーバ NIC + ログなし + 無料
VPN ルータ FW = ステートフル + ネットワーク境界 + ログ有効化可 + VPN ルータ料金

問 2：DDoS 攻撃への対策としてさくらのクラウドが提供する機能の説明として正しいものはどれか。

(A) すべての DDoS 攻撃を自動的に遮断するサービスがオプションで提供される
(B) サービス提供基盤全体に対してバックボーンレベルで DDoS 攻撃対策が施されている
(C) DDoS 対策には専用の物理ハードウェアを利用者が手配する必要がある
(D) エンハンスドロードバランサには VIP フェイルオーバ機能は含まれない

解答

(B)。バックボーンレベルでの常時対策 + 攻撃検知時はさくらインターネットで個別対応。エンハンスドロードバランサの VIP フェイルオーバは利用者側の追加対策として有効（無応答検知からフェイルオーバまで約 5 分）。

問 3：Web 三層構成の典型的なネットワーク設計として最も適切なものはどれか。

(A) Web も DB もグローバル NW に直接接続する
(B) すべてのサーバを VPN ルータの内側に置き、Web のみグローバル NW から到達できるよう経路設定する
(C) DB をグローバル NW に置き、Web はローカル NW に置く
(D) パケットフィルタを使わずすべての通信を許可する

解答

(B)。教材 202602 のネットワーク構成例「グローバル NW → VPN ルータ → ローカル NW → Web → ローカル NW → DB」と整合。DB はローカル NW のみで運用するのが鉄則。

✅ キーワードチェックリスト

[ ] グローバル / ローカルネットワークの使い分けを説明できる
[ ] パケットフィルタ（ステートレス・無料）と VPN ルータ FW（ステートフル・有料）の違いを 4 項目で対比できる
[ ] WAF の 3 タイプ（ホスト型 / クラウド型 / アプライアンス型）と提供形態を説明できる
[ ] DDoS 対策の代表的な 3 手法（バックボーン / VIP フェイルオーバ / マーケットプレイス）を挙げられる
[ ] Web 三層構成の典型的なネットワーク配置（グローバル → VPN ルータ → ローカル → Web → ローカル → DB）を図示できる

3.3 可用性と拡張性の設計

3.3.1 可用性の設計

学習目標：クラウド環境における可用性向上の基本的な考え方を学び、それを実現するための方法を理解する。さくらのクラウドにおいて保証された可用性のレベルを把握し、障害やメンテナンス発生に伴うさくらインターネットの対応について理解する。さくらのクラウドで提供される可用性を向上させる機能、サービス、および選択可能なネットワーク構成を理解する キーワード：さくらのクラウドの品質保証（SLA）、責任分界点、ダウンタイムの考え方、メンテナンスや障害の確認、アクティビティの確認（アクティビティグラフ）、災害復旧（DR）、アプライアンスによる可用性の向上、リージョン間冗長、他のサービスとの併用（VPS・専用サーバ・ハウジング）、他社クラウドとの連携（AWS 接続オプション）

さくらのクラウドの SLA

さくらのクラウドの公式 SLA は 月間サーバ稼働率 99.95% 以上を保証（v2.0 教材の正本値）。未達時は SLA に基づく返金が定められている。

月間稼働率の計算式（公式）

月間稼働率 ＝ (月間総稼動時間 − 累計障害時間) ÷ 月間総稼動時間 × 100

用語	定義
月間総稼働時間	暦月の初日から末日までの期間
累計障害時間	さくらインターネットがサービスサイトの障害情報で報告した時間、または利用者が証明できる時間

稼働率に伴う減額

SLA で定められた稼働率を満たさない場合、当該稼働を満たさなかった部分に相当する当該利用サービスの利用料金を減額できる
減額申請には、影響を受けたサーバのリソース ID やサーバの稼働時間等に関する情報の提出が必要

IMPORTANT

「SLA は事業者が約束する稼働率水準」「未達は返金等の補償につながる」を押さえる。99.95% は試験頻出の正確値（100% ではない）。

責任分界点

クラウド事業者と利用者の責任範囲が分かれる境界。サービスモデル（IaaS / PaaS / SaaS）によって境界が変動することが最重要ポイント。

IaaS（さくらのクラウド・専用サーバ）の場合：

領域	責任
データセンター・物理機器	さくら
仮想化基盤（ハイパーバイザー）	さくら
ゲスト OS	利用者
ミドルウェア・アプリ	利用者
データ	利用者

PaaS / マネージドサービス（AppRun・データベースアプライアンス）の場合：

領域	責任
物理〜仮想化基盤〜 OS 〜ランタイム / DB エンジン	さくら（マネージド範囲が広い）
アプリケーション / DB スキーマ / データ	利用者

WARNING

「責任分界点はクラウドなら必ずハイパーバイザーまで」と覚えると PaaS の問題で誤答する。AppRun ならランタイムまでマネージド、データベースアプライアンスなら DB エンジンまでマネージド、というように 責任境界はサービスごとに上下する。

設備の冗長性（v2.0 教材より）

さくらインターネット側がデフォルトで担保している冗長化：

仮想サーバが収容されるホストサーバは冗長化されている（個別ホスト障害時の影響を緩和）
ストレージ機器のディスクは RAID による冗長構成
重要なネットワーク経路は回線、ネットワーク機器、インタフェース等が 2 重化されている

障害とメンテナンスの公式定義（v2.0 教材より）

種別	定義
障害	機器の突発的な故障やコントロールパネルの不具合などにより、通常の品質でサービスが提供できなくなる状態
メンテナンス	さくらのクラウドを構成するハードウェアやソフトウェアなどについて、あらかじめ予定を決定した上で交換・アップデートを行うこと

ダウンタイムの考え方

種類	内容
計画ダウンタイム	事前告知のメンテナンス（SLA 計算外のケースあり）
障害ダウンタイム	予期しない障害（SLA 計算対象）

メンテナンス・障害の確認

公式情報は用途別に 2 つの URL で提供される（公式サポート / 通知ポリシー）
- サービス稼働状況の可視化：https://status.cloud.sakura.ad.jp/（リアルタイムの稼働情報ダッシュボード）
- メンテナンス・障害情報の告知：https://help.sakura.ad.jp/status/cloud/（計画メンテナンス / 障害告知）
コンソール内のお知らせでも通知
重要な変更はメール通知

IMPORTANT

試験頻出の引っ掛け：「status.cloud.sakura.ad.jp に全告知が集約されている」は誤り。稼働情報の可視化（status.cloud） と メンテナンス・障害告知（help.sakura/status/cloud） は別 URL で運用される。

障害・メンテナンス時の連絡方法（v2.0 教材より、試験頻出）

対象	障害時の連絡	メンテナンス時の連絡
サーバ / アプライアンス	ウェブ掲載 + メール通知	ウェブ掲載 + メール + コントロールパネル上の通知
それ以外（共通サービス・ネットワーク）	ウェブ掲載のみ	ウェブ掲載のみ

IMPORTANT

試験頻出の引っ掛け：「すべての障害はメール通知される」は誤り。サーバ・アプライアンス以外（共通インフラ・ネットワーク・コントロールパネル等）はウェブ掲載のみで、メール通知されない。

メンテナンス発生時の対応

サーバ：あらかじめ利用者側で対象サーバ・アプライアンスの停止・起動を行い、起動先ホストを変更することで、通知されたメンテナンス日になる前に利用者側の都合の良いタイミングでメンテナンスを適用できる
データベースアプライアンス：利用者側で**[アップデート] ボタンの押下が必要**（自動更新されない）

WARNING

データベースアプライアンスのメンテナンスは他のリソースと異なり、利用者がコントロールパネルから明示的にアップデート操作する必要がある。自動更新を期待していると本番事故になりやすい（試験頻出）。

システムの監視（v2.0 教材より）

シンプル監視の制約：

シンプル監視はさくらのクラウドのグローバルネットワークから監視が行われる
プライベートネットワークの監視には、ポートフォワーディングが必要
通知方法はメールと Webhookが利用可能
シンプル監視の機能だけでは監視結果に基づいた自動アクションが実現できない（Webhook 経由で外部システムと連携する必要あり）

シンプル監視以外の選択肢：

マーケットプレイス提供の監視サービスを利用
利用者側でクラウド内に監視サーバを構築（Zabbix・Prometheus 等）

アクティビティグラフ

リソースの稼働状況（CPU 使用率・トラフィック・IO 等）を時系列でグラフ表示。

TIP

GCP としては：Cloud Monitoring の Metrics Explorer に相当。

冗長構成と分散配置（v2.0 教材より）

リージョン間の冗長構成

手段	内容
ブリッジ	東京リージョンと石狩リージョン各リージョン内のスイッチを相互に接続する仮想機能
データベースクラスタ	3 台のノードで構成された Active-Active 型マルチマスター構成のデータベースサーバ機能。公式 SCB3.1.4 図示では3 つのゾーン（ゾーン A / B / C）に配置（教材上はリージョン跨ぎ前提の明記なし、ゾーン間配置として記述）
ハイブリッド接続	さくらのクラウドとクラウド以外（ハウジングなど）を併用する構成で、相互のプライベート接続を実現
エニーキャスト	エンハンスドロードバランサを使ったリージョン冗長でロードバランサ自体を冗長化
CRR（Cross-Region Replication）	オブジェクトストレージでリージョン間レプリケーション

WARNING

ベアメタル系の制約：専用サーバ PHY / 高火力 PHY は石狩リージョンでしか利用できないため、東京⇔石狩のリージョン間冗長を組む場合、ベアメタル側は石狩のみで冗長化することになる（試験頻出の引っ掛け）。

単一ゾーン内の冗長構成

データベースアプライアンスの冗長化オプション
- フェイルオーバーは約 30 秒程度
- プラン変更とクローン機能が利用できなくなる（制約事項）

VPN ルータの冗長化（公式マニュアル https://manual.sakura.ad.jp/cloud/support/technical/appliance.html ）

VRRP による冗長化が可能なのはプレミアム／ハイスペックプランのみ（スタンダードは冗長構成不可）
プラン選定時は障害発生時の復旧時間目安も考慮する

プラン	サイト間 VPN / L2TP/IPsec / PPTP の復旧時間	NAT / PPTP / DHCP サーバの復旧時間
スタンダード	10〜15 分程度	1 分程度
プレミアム／ハイスペック	10〜15 分程度	15 秒程度

IMPORTANT

公式 SCB3.3.1 表記：サイト間 VPN / L2TP/IPsec / PPTP の復旧時間は両プランとも 10〜15 分で共通。差が出るのはNAT / DHCP 系で、スタンダードは 1 分、プレミアム／ハイスペックは 15 秒まで短縮される。「冗長化非対応のスタンダードでもサイト間 VPN の復旧時間目安は同じ」という点が試験で問われやすい引っ掛け。

NFS アプライアンスの可用性（公式 SCB3.3.1 L1593-1599）

観点	内容
冗長化機能	VRRP 非対応・冗長構成不可（シングル構成のみ）
ホスト障害時	自動復旧プログラムが作動して自動で再起動される
再起動の目安時間	10〜15 分程度
利用者で冗長化したい場合	利用者側で NFS サーバを構築して冗長化する

WARNING

NFS アプライアンスはさくらのクラウド側では冗長化できない（試験頻出）。可用性が必須の用途では、利用者構築の NFS サーバ + VRRP やマーケットプレイス製品の利用を検討する。

他社クラウドとの冗長構成

AWS 接続オプション：AWS 環境とのクラウド間の閉域網接続が可能
シングルサインオン（SSO）連携：他社クラウドサービスとの認証運用効率化が可能（公式 SCB3.3.1 L1663-1668 Tips）。※SSO 連携を有効にするとクラウドユーザは SSO 認証のみが利用可能となるため、外部クラウドで障害が発生した場合の影響を考慮して導入を検討する

リソースの分散収容

特殊タグ @group：サーバをグループ化して起動先ホストを分離できる
- 異なるグループ名のタグが付与されているサーバはそれぞれ別のホストで起動する（同一ホスト集中による単一障害点を回避）

バックアップの保存場所（重要）

自動バックアップ機能で取得したアーカイブおよびデータベースアプライアンスのバックアップ機能で取得したデータは同一ゾーンに保持される
- DR 目的でリージョン間にバックアップを保管したい場合は手動でアーカイブを別ゾーンにコピーするなど追加対策が必要

IMPORTANT

「自動バックアップを取っていれば DR は OK」は誤り。同一ゾーン保持なので、ゾーン全体障害時にバックアップごと失われるリスクがある。重要データは別ゾーンへ手動コピーするか、オブジェクトストレージ CRR を組み合わせる必要がある（試験頻出）。

災害復旧（DR）の構成パターン

パターン	内容
同一リージョン内冗長	別ゾーンに同構成を持つ。一般的な高可用化
リージョン間冗長	東京 ⇔ 石狩のような物理距離を取る。広域災害対応
他社クラウド連携	AWS 接続オプション等で別ベンダーにフェイルオーバー
他サービス併用	VPS / 専用サーバ / ハウジングを含む構成

アプライアンスによる可用性向上

ロードバランサ・エンハンスドロードバランサ：故障サーバを自動切り離し
データベースアプライアンス（冗長化オプション）：マスタの自動フェイルオーバー
GSLB：ゾーン間 / リージョン間のフェイルオーバー

✅ キーワードチェックリスト

[ ] さくらのクラウド SLA が月間サーバ稼働率 99.95% 以上を保証すると説明できる
[ ] 責任分界点（ハイパーバイザーまで事業者 / ゲスト OS 以上利用者）を説明できる
[ ] 計画ダウンタイムと障害ダウンタイムの違いを説明できる
[ ] 設備の冗長性（ホスト冗長化 / RAID / NW 2 重化）を 3 点挙げられる
[ ] サーバ・アプライアンス障害はウェブ + メール、それ以外はウェブ掲載のみと説明できる
[ ] DB アプライアンスのメンテナンスは利用者が [アップデート] ボタンを押す必要があると説明できる
[ ] シンプル監視がグローバル NW から監視され、自動アクションには Webhook 連携が必要だと説明できる
[ ] リージョン間冗長の手段（ブリッジ / DB クラスタ / ハイブリッド接続 / エニーキャスト / CRR）を挙げられる
[ ] 自動バックアップが同一ゾーン保持であり DR 単独では不十分と説明できる
[ ] @group タグでサーバを別ホスト分散できると説明できる
[ ] DR 構成（同一リージョン / リージョン間 / 他社連携）を区別できる

🎯 確認問題

問 1：IaaS における「責任分界点」の一般的な考え方として正しいものはどれか。

(A) すべての領域が事業者責任
(B) すべての領域が利用者責任
(C) ハイパーバイザーまで事業者、ゲスト OS 以上は利用者
(D) ハードウェアまで利用者、ソフトウェアは事業者

解答

(C)。IaaS の責任分界点は「仮想化基盤までが事業者、ゲスト OS から上が利用者」が標準。

問 1b：AppRun（PaaS）の責任分界点として最も適切なものはどれか。

(A) ハイパーバイザーまでが事業者
(B) OS / ランタイムまでが事業者、アプリ・データが利用者
(C) すべてが利用者責任
(D) IaaS と同じく利用者がゲスト OS を管理する

解答

(B)。引っ掛けポイント：「責任分界点 = ハイパーバイザーまで」と覚えていると PaaS で誤答する。AppRun はランタイムまでマネージドなので、利用者はアプリとデータのみが責任範囲。

問 1c：データベースアプライアンスを利用する際の責任分界点として最も適切なものはどれか。

(A) ハイパーバイザーまでが事業者
(B) OS とミドルウェアまでが事業者、利用者は DB スキーマ / データを管理
(C) ライセンスのみが利用者責任
(D) すべて利用者責任

解答

(B)。マネージド DB は DB エンジン本体・パッチ・バックアップまで事業者管理。利用者は論理スキーマと格納データに集中する。

問 2：障害発生時のさくらインターネットからの連絡について、正しい説明はどれか。

(A) すべての障害がメールで通知される
(B) サーバ / アプライアンスの障害はウェブ掲載 + メールで通知され、それ以外はウェブ掲載のみ
(C) ウェブ掲載は行われず、すべてメール通知のみ
(D) コントロールパネルにのみ通知され、メールでは通知されない

解答

(B)。教材 202602 の正本記述。サーバ・アプライアンス以外（共通インフラ・ネットワーク・コントロールパネル等）はウェブ掲載のみ。

問 3：自動バックアップ機能で取得したアーカイブの保存場所として正しいものはどれか。

(A) 自動的に複数リージョンに複製される
(B) 取得元と同一ゾーンに保持される
(C) 必ず別リージョンのオブジェクトストレージに転送される
(D) ハウジング施設にオフライン保管される

解答

(B)。自動バックアップ・データベースアプライアンスのバックアップとも同一ゾーン保持。DR 目的では別ゾーンへの手動コピーや、オブジェクトストレージの CRR 等を組み合わせる必要がある。

問 4：データベースアプライアンスのメンテナンス対応として正しいものはどれか。

(A) さくらインターネット側で自動的に再起動される
(B) 利用者がコントロールパネルで [アップデート] ボタンを押す必要がある
(C) サーバと同じくホスト変更操作で利用者都合のタイミングに適用できる
(D) メンテナンスは存在しない

解答

(B)。データベースアプライアンスは利用者の明示的なアップデート操作が必要。サーバの「停止・起動でホスト変更」とは異なる扱いになるので注意。

問 5：エンハンスドロードバランサを使ったリージョン間冗長で、ロードバランサ自体を冗長化するために利用する技術はどれか。

(A) GSLB
(B) ブリッジ
(C) エニーキャスト
(D) CRR

解答

(C)。エニーキャストにより複数リージョンの ELB を同じ IPで公開し、ネットワーク経路上で最寄り or 生存リージョンに到達できるようにする。GSLB は DNS ベース、ブリッジはローカル NW 接続、CRR はオブジェクトストレージレプリケーション。

3.3.2 拡張性の設計

学習目標：クラウド環境における拡張性向上の基本的な考え方を学び、それを実現するための方法を理解する。さくらのクラウドで提供されるリソースの上限値と制限値を理解する。さくらのクラウドで提供される拡張性を向上させる機能、サービス、および選択可能なネットワーク構成を理解する キーワード：負荷に応じたスケーリング（オートスケール）、スケーラブルなストレージ（オブジェクトストレージ）、リソースの上限、リソースの制限

スケールアップ vs スケールアウト

概念	内容	適した用途
スケールアップ（垂直）	1 台のリソース（CPU・メモリ）を増やす	DB のような状態を持つサービス
スケールアウト（水平）	台数を増やして分散	Web/API のステートレスサービス

オートスケール

負荷に応じて自動で台数増減する機能。サーバの CPU 時間（CPU TIME）またはルータ＋スイッチのトラフィックを 10 分間隔で監視し、しきい値を超えるとスケールアウト / インを実行（公式 SCB3.4.4 L429-431：指定できるオートスケール発動トリガーはこの 2 種のみ）。加えて API / モニタリングスイート（EventBus 経由）連携によるトリガーも可能（公式オートスケール）。

システムの拡張性：各リソースのスケーリング方法（v2.0 教材より）

サーバのスケーリング

種類	方法	ダウンタイム
垂直スケール（スケールアップ）	プラン変更（CPU・メモリ増強）	ダウンタイムが発生（停止が必要）
水平スケール（スケールアウト）	台数増減	ステートレスなアプリケーションが前提
オートスケール	負荷ベース or スケジュール実行	スケールアウト時はダウンタイムなし
台数維持機能	ヘルスチェックに失敗したサーバを自動的に入れ替え	-

IMPORTANT

試験頻出の引っ掛け：

垂直スケール（プラン変更）はダウンタイムを伴う。「無停止でスケールアップ」は誤り。
水平スケールはステートレスなアプリが前提。セッションやファイル状態をサーバ自身に持たない設計が必要。
オートスケールはスケジュール実行も可能（負荷ベースだけではない）。
オートスケールで頻繁にプラン変更すると料金が高騰する（主リスク）。さくらのプランは時間単位課金で、頻繁な変更は料金積算を増やす。可用性低下より料金高騰が公式記述の主眼。

ルータ+スイッチのスケーリング

トラフィックに応じて**ルータ+スイッチの帯域を自動的に増減（プラン変更）**できる
このスケーリングは 無停止で行われる（サーバのプラン変更とは挙動が異なる）

TIP

ルータ+スイッチは無停止プラン変更可能。これがサーバの「停止必須プラン変更」との違い。

ディスクのスケーリング

ディスクサイズの増加はサーバの停止が必須
対象のディスクをコピー元として、よりサイズの大きいディスクを新たに作成する
新規ディスク作成後、パーティションの拡張を行う
8/12/16 TB ディスクはコントロールパネル / API のパーティション拡張機能が非対応（手動操作が必要）

データベースアプライアンスのスケーリング

プラン変更により CPU / メモリ / ディスク容量を拡張できる（DB アプライアンスの停止が必要）
リードレプリカを使用することで読み取り性能を向上できる
- 有効化にはデータベースアプライアンスの停止が必要

スケーラブルなストレージ（v2.0 教材より）

オブジェクトストレージの容量設計：

項目	値
1 バケットあたりの最大容量	10 TiB
1 プロジェクトあたりのバケット数	20 個
1 プロジェクトあたりの実質最大容量	200 TiB（10 TiB × 20 バケット）

IMPORTANT

試験頻出の数字：バケットあたり 10 TiB / プロジェクトあたり 20 バケット / 合計 200 TiB。「事実上容量無制限」と表現されることがあるが、実際は明確な数値上限がある。これを超える場合はバケットの分割設計や別プロジェクトの利用が必要。

ただし上記は上限値（緩和申請可能）であって制限値ではない。要件次第でサポートへの問い合わせで緩和申請可能（公式記載）。設計時は「現状の上限」と「申請による拡張余地」を区別する。

ディスクはプラン上限があるので、巨大なストレージ要件にはオブジェクトを使う。

リソースの上限値と制限値（v2.0 教材の正式定義）

概念	定義	例
上限値	API のプログラミングミスによる誤操作や急速な在庫枯渇による他の利用者への影響を防ぐため、プロジェクトやゾーン、各サーバ単位で設定された作成可能なリソース数や拡張数の上限。サポートへの問い合わせで緩和申請可能	プロジェクト数 / メモリ割当量 / ディスク合計 / 自動バックアップ設定数
制限値	さくらのクラウドのクラウド基盤システムの制約により変更できない上限値	サーバ接続ディスク数 / アーカイブ最大サイズ / パケットフィルタルール数

WARNING

試験頻出の最重要区別：

上限値 = 申請で緩和可能
制限値 = システム制約で変更不可 「上限を上げて」とサポートに依頼できるのは上限値だけ。制限値（例：パケットフィルタの 30 ルール、ディスク 3 個）は設計時に絶対値として受け入れる必要がある。

主なリソース上限値（緩和申請可、v2.0 教材より）

リソース	上限
プロジェクト	1 会員 ID あたり 3 個
サーバの合計メモリ（メモリ割当量）	1 プロジェクトあたり、ゾーンごとに合計 300 GB（公式リソース上限値）
ディスクの合計サイズ	1 プロジェクトあたり、各ゾーンごとに合計 20 TB
自動バックアップの作成上限数	1 プロジェクトあたり 5 設定

IMPORTANT

試験頻出：上限値は「1 ゾーン / 1 プロジェクト」単位で計算される。複数ゾーンに分散すれば実質的に倍増できるが、1 プロジェクト内の合計ではなくゾーン×プロジェクトのマトリクスで枠が決まる点に注意。

上限を超える要件はサポートへの引き上げ申請で対応する。

主なリソース制限値（変更不可、v2.0 教材より）

リソース	制限値
サーバ 1 台あたりに接続可能なディスク数	最大 3 個
1 つのアーカイブの最大サイズ	1 TB
1 つのパケットフィルタに登録可能なルール数	30 個

ネットワーク関連の制限（v2.0 教材より、試験頻出）

サーバの 2 枚目以降の追加 NIC は共有セグメント、ルータ+スイッチに接続できない（ローカルスイッチに限定）
スイッチに接続できるリソースの数に明示制限はないが、実質的に 200 台程度が上限
共有セグメントのアウトバウンド通信は 100 Mbps に制限される（インバウンドは無制限）
スイッチ、ルータ+スイッチの場合、サーバ搭載のメモリ量に応じてアウトバウンドの帯域が制限される

WARNING

試験頻出の引っ掛け：

共有セグメントの 100 Mbps 制限はアウトバウンドのみ（インバウンドは制限なし）
2 枚目以降の NIC はローカルスイッチ専用（共有セグメントやルータ+スイッチには付けられない）
スイッチ・ルータ+スイッチ経由のアウトバウンド帯域はサーバのメモリ量に依存（プラン選択時にネットワーク帯域も実質的に決まる）

TIP

GCP としては：プロジェクトごとに quota が設定され、必要に応じて引き上げ申請。Sakura も同様で、必要な場合はサポートに問い合わせる。GCP の compute.googleapis.com/instances quota が「リソース上限」、apiratelimit 系が「制限」に相当する。

✅ キーワードチェックリスト

[ ] スケールアップ（垂直、ダウンタイム発生）とスケールアウト（水平、ステートレス前提）の違いを説明できる
[ ] オートスケールが負荷ベースとスケジュール実行の両方をサポートすると説明できる
[ ] 台数維持機能でヘルスチェック失敗サーバが自動入替されると説明できる
[ ] ルータ+スイッチのプラン変更は無停止で行えると説明できる
[ ] ディスク拡張はコピー → 新規大容量ディスク作成 → パーティション拡張の手順と説明できる
[ ] DB アプライアンスのプラン変更・リードレプリカ有効化は停止が必要と説明できる
[ ] オブジェクトストレージは 10 TiB / バケット × 20 バケット = 200 TiB / プロジェクトと説明できる
[ ] **上限値（緩和申請可）と制限値（変更不可）**の違いを説明できる
[ ] パケットフィルタのルール上限 30 個（制限値）と説明できる
[ ] 共有セグメントのアウトバウンド 100 Mbps 制限（インバウンド無制限）と説明できる
[ ] 2 枚目以降の追加 NIC はローカルスイッチのみ接続可能と説明できる

🎯 確認問題

問 1：ステートレスな Web サーバの負荷増加に対応する最適な方法はどれか。

(A) スケールアップ（より大きなプランへ変更）
(B) スケールアウト + オートスケール
(C) 専有ホストへ移行
(D) ディスクを SSD に変更

解答

(B)。ステートレスならスケールアウトが効きやすく、オートスケールで自動化できる。

問 2：上限値と制限値の説明として正しいものはどれか。

(A) 両方ともサポートに連絡すれば変更できる
(B) 上限値は緩和申請可能、制限値はクラウド基盤の制約で変更不可
(C) 上限値は変更不可、制限値は申請で変更可能
(D) 両方とも個別の API リクエストで動的に変更できる

解答

(B)。教材 202602 の正式区分。

上限値：プロジェクト数 / メモリ合計 / ディスク合計 / 自動バックアップ数等 → 申請で緩和可
制限値：ディスク 3 個 / アーカイブ 1 TB / パケットフィルタ 30 ルール等 → 変更不可

問 3：オブジェクトストレージの容量上限について、1 プロジェクトあたりで実質的に利用可能な最大容量はどれか。

(A) 10 TiB
(B) 20 TiB
(C) 100 TiB
(D) 200 TiB

解答

(D)。バケットあたり 10 TiB × 20 バケット = 200 TiB。「事実上容量無制限」と謳われるが、明確な数値上限が存在する。ただしこれは上限値（緩和申請可能）であって制限値ではないため、要件次第でサポートに申請して拡張できる。

問 4：ディスクのサイズ拡張手順として正しいものはどれか。

(A) サーバ起動中にコントロールパネルから直接サイズ変更できる
(B) 既存ディスクをコピー元として、より大きいサイズの新ディスクを作成し、パーティション拡張を行う（サーバ停止が必要）
(C) アーカイブを作成してからリストアで自動拡張する
(D) NFS マウントで容量を増やす

解答

(B)。教材 202602 の手順通り。サーバ停止 → ディスクコピーで大容量化 → パーティション拡張。なお 8/12/16 TB のディスクはコントロールパネル / API のパーティション拡張機能に非対応で、OS 内で手動操作する必要がある。

問 5：共有セグメントのアウトバウンド通信制限として正しいものはどれか。

(A) インバウンドのみ 100 Mbps に制限される
(B) アウトバウンドのみ 100 Mbps に制限され、インバウンドに制限はない
(C) 双方向とも 100 Mbps に制限される
(D) サーバプランによらず常に 1 Gbps 確保される

解答

(B)。アウトバウンドのみ 100 Mbps、インバウンドは無制限。送信側帯域がボトルネックになるサービス（動画配信・大量データ送信）では、ルータ+スイッチ等の別構成を検討する。

3.4 コストパフォーマンスの設計

3.4.1 さくらのクラウドのコスト設計

学習目標：さくらのクラウドの料金体系、支払方法、および割引制度を理解する。さくらのクラウドにおいてコストの可視性を高める方法を理解する キーワード：利用料金の計算方法（課金条件）、リソースの使用状況とコストの把握（契約リソース機能、利用料金管理機能、最適化サジェスト機能）、クーポン・割引パスポート、プリペイド、料金アラート機能

料金体系（v2.0 教材より、試験頻出）

さくらのクラウドの料金体系は 2 種類 ある。

料金体系	内容	代表例
従量課金	リソースの利用時間に伴って課金	大部分のクラウドリソース
月額料金制	時間割・日割の設定なし。月額固定	ライセンス、ルータ＋スイッチのプリフィックス、専有ストレージ

IMPORTANT

ライセンス・ルータ＋スイッチの料金体系の例外（公式 SCB3.4.1 Tips、試験頻出の引っ掛けポイント）：

Windows Server Datacenter Edition ライセンス：従量課金
Windows Server for リモートデスクトップ / for リモートデスクトップ（MS Office 付き）ライセンス：月額料金制
ルータ＋スイッチ本体：従量課金
ルータ＋スイッチのプリフィックス（追加 IP アドレス）：月額料金制

従量課金の比較ルール（試験頻出の数字）

時間割・日割・月額のうち、一番安い料金が自動適用される。換算ルールは公式の構造的設計：

期間	換算ルール
10 時間分の時間割	= 1 日分の日割と同じ金額
20 日分の日割	= 1 か月分の月額と同じ金額

IMPORTANT

つまり、20 日以上使うと月額が適用される。シンプル監視と DNS アプライアンスは時間割料金なし、ルータ＋スイッチのルータ部は日割料金なしなど、リソースごとに利用可能な料金単位が異なる点に注意。

課金の最小単位

最小 1 時間単位（1 時間未満は 1 時間分として切り上げ）
契約ごとに契約開始から解約までの利用時間を秒単位で算出し、時間割 + 日割の合計と月額を比較

データ転送量

大部分のクラウドリソースはデータ転送量に課金されない（コスト見積りが立てやすい大きな利点）
例外：オブジェクトストレージ等ではデータ転送量に課金が発生

サーバ・ディスクの課金期間

リソース	課金期間
サーバ	1 か月間の起動時間の総和（停止中は非課金）
ディスク	作成された時点から削除されるまでの期間（停止中も課金）

データベースアプライアンスの課金（複雑、試験頻出）

構成	課金期間
冗長化オプションなしまたはリードレプリカ	起動時間の総和（データベース停止時非課金制度の対象）
冗長化オプションあり	作成から削除までの期間（停止しても課金）

WARNING

データベース停止時非課金制度の適用範囲（試験頻出の細かい数字）：

適用：2024 年 9 月 26 日以降に作成された冗長化オプションなしの DB / リードレプリカ
非適用：冗長化オプションありの DB / 2024 年 9 月 25 日以前に作成されたもの

月額料金制の注意点

月額料金制のリソースは作成するたびに月額料金が発生
同一月内で作成・削除を繰り返すと相当数の料金が発生するため注意

支払い方法 / 割引制度

制度	内容
クレジットカード	個人 / 法人とも一般的
請求書払い	法人向け
通常のプリペイド	法人のみ。プリペイド ID 登録から 1〜36 ヶ月間利用可能な前払いの支払い方法。事前の見積りによる予算確保が必要な場合などに使用
単年度プリペイド	法人のみ。プリペイド ID 登録からその年度の 3 月末まで利用可能。国公立大学や公的機関など単年度会計組織の法人向けを想定
クーポン	キャンペーンや合格者特典で配布
割引パスポート	一定期間の利用コミットに対して割引。12 ヶ月 = 20% / 24 ヶ月 = 35% / 36 ヶ月 = 50%（※教材 v2.0 SCB3.4.1 では「割引率や料金例はクラウドマニュアルで確認できる」と記載のみで具体数値は無く、数値の正本は公式マニュアル割引パスポート）。対象はサーバ（通常プラン）・専有ホスト・VPN ルータ・ロードバランサ・オブジェクトストレージアーカイブプランで、対象外はサーバのコア専有プラン・ディスク料金・Windows ライセンス料（公式 SCB3.4.1 L808-810 明記、試験頻出の引っ掛け）。GCP の CUD: Committed Use Discounts と対応する考え方

IMPORTANT

試験頻出（プリペイドは 2 種類、公式 SCB3.4.1 L449-453）：

種類	利用可能期間	主な利用想定
通常のプリペイド	プリペイド ID 登録から 1〜36 ヶ月	予算確保が必要な法人
単年度プリペイド	プリペイド ID 登録からその年度の 3 月末まで	単年度会計組織（国公立大学・公的機関等）

共通：法人のみ・個人はプリペイドを申込めない。通常プリペイドと単年度プリペイドは別物として区別する。

IMPORTANT

試験頻出（割引パスポートの数値、公式割引パスポート）：

コミット期間	割引率
12 ヶ月	20% OFF
24 ヶ月	35% OFF
36 ヶ月	50% OFF

対象リソース：サーバ（通常プラン）・専有ホスト・VPN ルータ・ロードバランサ・オブジェクトストレージアーカイブプラン。対象外：サーバのコア専有プラン・ディスク料金・Windows ライセンス料（公式 SCB3.4.1 L808-810。サーバを契約しても、コア専有プラン／ディスク／Windows ライセンスは別途課金）。

「サーバ全料金が 50% OFF になる」は誤り。コア専有プラン・ディスク・Windows ライセンスが対象外な点を必ず押さえる（試験頻出引っ掛け）。 ※割引率の数値（20/35/50%）は教材 v2.0 PDF に明記なし、公式マニュアル正本に基づく。

コスト可視化機能

機能	役割
契約リソース機能	現在契約中のリソースを一覧化
利用料金管理機能	期間別・サービス別の料金把握
最適化サジェスト機能	使われていないリソース・割安プランの提案
料金アラート機能	利用料金がしきい値を超えたら通知

TIP

GCP としては：Billing → 予算アラート / Recommender が同じ役割。「予算アラート」「Recommender」を覚えていれば対応概念で接続できる。

✅ キーワードチェックリスト

[ ] 課金単位の種類（時間 / 日 / 月）を説明できる
[ ] コスト可視化機能 4 種を区別できる

3.4.2 コンピューティングリソースのコスト設計

学習目標：クラウド環境のコンピューティングリソースにおけるコストパフォーマンス向上の基本的な考え方を学び、それを実現するための方法を理解する。さくらのクラウドで提供されるコストパフォーマンスに適したコンピューティングリソースのサービス、リソース、プラン、および機能について理解する キーワード：コンピューティングリソースプラン選定（スモールスタート）、自動スケール機能の活用（オートスケール）、API による作業の自動化（さくらのクラウド API・usacloud・Terraform）

スモールスタートの考え方

検証段階は最小プランから開始
利用状況のメトリクスを見ながら段階的に拡張
「使わないリソースはすぐ消す」が鉄則

オートスケールでのコスト最適化

夜間の負荷低下時に台数を減らす → 課金時間削減
急なアクセス急増にも追従しつつ、平時のコストを抑える

API による自動化

3 つの代表的なツール：

bash

# usacloud（さくらのクラウド公式 CLI）
usacloud server create --name web-1 --memory 1 --cpu 1 \
  --os-type ubuntu --disk-plan ssd --disk-size 20

# usacloud で停止
usacloud server shutdown web-1

# usacloud で削除
usacloud server delete web-1

hcl

# Terraform sakuracloud provider
terraform {
  required_providers {
    sakuracloud = {
      source  = "sacloud/sakuracloud"
      version = "~> 2.0"
    }
  }
}

resource "sakuracloud_server" "web" {
  name   = "web-1"
  zone   = "is1a"
  core   = 1
  memory = 1
  disks  = [sakuracloud_disk.web.id]
}

resource "sakuracloud_disk" "web" {
  name              = "disk-web-1"
  source_archive_id = data.sakuracloud_archive.ubuntu.id
  size              = 20
}

API / CLI / IaC による自動化で：

検証環境を必要な時だけ起動して即削除
同一構成を複数環境（開発 / ステージング / 本番）で再現
定型作業の人件費を削減

TIP

GCP としては：gcloud CLI = usacloud、Terraform google provider = sakuracloud provider。同じ「宣言的 IaC」の構造で別プロバイダを記述できるのが Terraform の利点。

NOTE

コラム：「自動化はコスト削減か」 短期的には自動化の導入コストの方が高く見える場合がある。運用が長期化するほど自動化のリターンが大きい。試験では「IaC のメリット」が問われやすい（→ 再現性 / 監査性 / 人為ミスの削減）。

✅ キーワードチェックリスト

[ ] スモールスタートの考え方を説明できる
[ ] オートスケールがコスト削減にも寄与すると説明できる
[ ] usacloud / Terraform / API の関係を区別できる

3.4.3 ストレージのコスト設計

学習目標：クラウド環境の各種ストレージにおけるコストパフォーマンス向上の基本的な考え方を学び、それを実現するための方法を理解する。さくらのクラウドで提供されるコストパフォーマンスに適したストレージのサービス、リソース、プラン、および機能について理解する キーワード：ストレージのプラン選定（HDD・SSD）、外部ストレージの活用（NFS アプライアンス・オブジェクトストレージ）、変更の少ないデータの扱い（アーカイブ・オブジェクトストレージ）、定期的なアーカイブの作成（自動バックアップ）

プラン選定の考え方

用途	プラン
OS / DB 本体	SSD（高 IOPS）
ログ・バックアップ	標準（HDD）
共有ファイル	NFS アプライアンス
静的コンテンツ・アーカイブ	オブジェクトストレージ

「変更の少ないデータ」の扱い

データ性質	推奨ストレージ
頻繁に更新	SSD ディスク
ほぼ読み取りのみ	オブジェクトストレージ
長期保管・参照頻度低	アーカイブ + オブジェクトストレージ

自動バックアップ

定期的にアーカイブを自動作成
世代管理（古いものを削除）でストレージ費用を抑える

アーカイブ削除運用のベストプラクティス（試験頻出）

運用方針	適切性
参照頻度が低いデータを定期的に確認し削除	◯（正解の運用）
削除基準を設けず無制限保存	× ストレージコスト増大
一定期間ごとに一律削除	× 法定保管要件に違反する可能性
バックアップは一切作成しない	× DR が破綻

IMPORTANT

試験頻出：アーカイブ削除基準は「参照頻度ベースで定期見直し」が正解。

無制限保存 = コスト最適化の観点で不適切
一律削除 = コンプライアンス（電子帳簿保存法・個人情報保護法等の保管期間）に違反する可能性
基準なし = 棚卸しできない

TIP

GCP としては：Cloud Storage のストレージクラス（Standard / Nearline / Coldline / Archive）にデータライフサイクル管理を組み合わせるのと同じ発想。

✅ キーワードチェックリスト

[ ] HDD と SSD の使い分け基準を説明できる
[ ] NFS アプライアンスとオブジェクトストレージのコスト特性を区別できる
[ ] 自動バックアップがコスト最適化にも寄与する理由を説明できる
[ ] アーカイブ削除運用は参照頻度ベースで定期見直しが正解と説明できる

🎯 確認問題

問 1：オブジェクトストレージのアーカイブデータの削除基準として、最も適切なものはどれか。

(A) 削除基準を設けず無制限に保存する
(B) 参照頻度が低いデータを定期的に確認し削除する
(C) 作成から 30 日経過したものを一律で削除する
(D) バックアップは作成せず、ストレージコストをゼロにする

解答

(B)。コスト最適化と保管要件（法令）の両立。一律削除は法定保管期間に違反するリスク、無制限保存はコスト増、バックアップなしは DR が破綻。

3.4.4 ネットワークのコスト設計

学習目標：クラウド環境のネットワークリソースにおけるコストパフォーマンス向上の基本的な考え方を学び、それを実現するための方法を理解する。さくらのクラウドで提供されるコストパフォーマンスに適したネットワークのサービス、リソース、プラン、および機能について理解する キーワード：ネットワークのプラン選定、トラフィック課金、帯域に応じたスケーリング（オートスケール）

ネットワークプランの選び方

想定トラフィック量とピーク帯域を見積もる
上限帯域（Mbps） を満たすプラン（共有セグメント / 専有グローバル / ルータ＋スイッチ）を選定
通信パターン（同一ゾーン内 / ゾーン間 / インターネット向け）を整理し、必要なリソースを設計

IMPORTANT

さくらのクラウド本体（IaaS コア）は「データ転送量による従量課金なし」（公式料金ページ：「データ転送量による従量課金一切なし」と明記）。アウトバウンド転送量で従量課金されるのは 個別サービス（後述）のみ。プラン選定の主軸は「帯域上限」と「冗長性」であり、転送量そのものではない。

個別サービスの転送量課金（例外パターン）

さくらのクラウド本体（サーバ・スイッチ等）は転送量課金なしだが、以下のサービスは別課金体系：

サービス	課金体系（要点）
オブジェクトストレージ	バケット単位の月額、リクエスト数、転送条件などの個別料金（公式サービス基本情報）
AWS 接続オプション	接続料金・転送量に応じた個別料金（公式 AWS接続オプション）
ウェブアクセラレータ	配信トラフィック量に応じた個別料金

WARNING

試験対策では「さくらのクラウド本体＝転送量課金なし」「オブジェクトストレージ / AWS 接続等＝個別課金」の切り分けが重要。

トラフィック設計の対策

転送量課金は本体ではほぼ発生しないが、帯域上限超過・配信負荷増大は別問題として対策が必要：

観点	対策
配信負荷を下げる	CDN を活用（ウェブアクセラレータ等）してオリジンへのアクセスを減らす
転送データを軽量化	画像最適化（ImageFlux）で転送量を削減
キャッシュ戦略	クライアント側 / プロキシ側でキャッシュ
帯域不足対策	エンハンスドロードバランサのオートスケールでプラン変更

帯域オートスケール

エンハンスドロードバランサ等で帯域を需要に応じて拡張できる。

エンハンスドロードバランサのプラン選定（試験頻出）

公式 SCB3.4.4 L309-316 / L459-464 によるプラン選定の考慮事項：

観点	公式記述
性能要件	性能に応じたプランが提供されており、性能要件に合わせて適切なプランを選択する
上限超過時の挙動	プランの上限値を越える秒間あたりの新規接続が発生した場合、処理中の接続が完了するまで接続待機状態となる（即時エラー応答ではなく、クライアントからの再送が行われるまで時間がかかる状態）
プラン超過の確認手段	アクティビティグラフよりセッション数を確認し、超過する場合はより高い上限値を持つプランへ変更する
プラン変更時の注意	月内に複数回プランを変更すると、月内の利用時間の積算がリセットされコストが増加する可能性がある
自動化	オートスケール機能でプラン変更可。発動トリガーはサーバの CPU 時間（CPU TIME）またはルータ＋スイッチのトラフィックを 10 分間隔で監視（公式 SCB3.4.4 L429-431：この 2 種のみ）。加えて API / モニタリングスイート（EventBus 経由）連携によるトリガーも可能（公式オートスケール）。ELB のコネクション数を直接トリガーには指定できないため、セッション数ベースの自動化はモニタリングスイート経由で構成する

IMPORTANT

試験頻出：上限超過時は接続拒否ではなく接続待機状態となる点と、アクティビティグラフのセッション数で確認 → プラン変更という運用フローが公式記述。教材 v2.0 PDF には「予測値の 2 倍マージン」という具体的な倍率記載はない（運用上の目安値）。

TIP

エニーキャストの活用：エンハンスドロードバランサを利用する際は、パフォーマンス向上のためエニーキャストを選択することも検討する。設置先リージョン固定よりもクライアントへのレスポンスタイム短縮が期待できる。

✅ キーワードチェックリスト

[ ] トラフィック課金が「外向きが課金対象」だと理解する
[ ] CDN / 画像最適化 / キャッシュが転送量削減策だと説明できる
[ ] エンハンスド LB のプラン選定では「上限超過時は接続待機状態になる」「アクティビティグラフのセッション数で確認 → プラン変更」を説明できる

3.4.5 データベースのコスト設計

学習目標：クラウド環境のデータベースリソースにおけるコストパフォーマンス向上の基本的な考え方を学び、それを実現するための方法を理解する。さくらのクラウドで提供されるコストパフォーマンスに適したデータベースのサービス、リソース、プラン、および機能について理解する キーワード：データベースのプラン選定、サーバでのデータベース運用（アプライアンスとの比較）、他のサービスでのデータベース運用（専用サーバ・ハウジングへの DB 設置）

DB 形態の選び方

規模・要件	推奨形態
小規模 / マネージドの恩恵を最大化	データベースアプライアンス
中規模 / バージョン自由度が必要	サーバへの自前インストール
大規模 / 物理性能必須	専用サーバ PHY / ハウジング

自前インストール vs アプライアンスのコスト比較

項目	アプライアンス	自前
ライセンス	アプライアンス料金に内包	OSS なら無料、商用 DB は別途
運用工数	低（自動バックアップ等）	高（バックアップ / パッチ）
障害対応	ベンダー対応の SLA に基づく	自前
月額	中〜高	低（ただし人件費含まず）

IMPORTANT

「月額単価だけ」見ると自前が安いが、運用工数を含めた TCO（Total Cost of Ownership）で考えることが試験的にも実務的にも重要。

データベースアプライアンスの料金特性（試験頻出）

観点	内容
ゾーンによる料金差	ゾーン差なし（公式 SCB3.4.5：「使用するデータベースエンジンや選択するゾーンに関わらず、利用料金に差は無い」）
エンジン種別による料金差	PostgreSQL / MariaDB で料金は変わらない（同上、公式 SCB3.4.5）
バックアップ（v1）	標準機能で追加料金不要（時点復元・最大 8 世代の保管が基本料金内で利用可能）
継続的バックアップ（PITR）	バックアップ機能自体は基本料金内だが、保存先として NFS アプライアンスが必須となるため、NFS アプライアンスの利用料金が別途発生する（公式 SCB3.1.4 / SCB3.1.5_DataProcessing）
冗長化オプション	別途追加料金（停止しても課金される、コスト前提が変わる）。冗長化オプションありで v1 バックアップを使う場合は NFS 領域が必要

IMPORTANT

試験頻出の引っ掛け：

「PostgreSQL は MariaDB より高い」は誤り（エンジン種別では料金は変わらない）
「ゾーンによって料金が変わる」は誤り（ゾーン・エンジン種別とも料金差なし、公式 SCB3.4.5 明記）
「バックアップは別料金」は誤り（v1 バックアップは追加料金なしで利用可能）
「継続的バックアップも完全無料」は誤り（NFS アプライアンスのコストが別途発生）
冗長化オプションは別料金 + 停止時も課金、という別の料金体系の落とし穴あり

✅ キーワードチェックリスト

[ ] DB 形態 3 種（アプライアンス / 自前 / 物理）を規模別に使い分けられる
[ ] TCO の観点で「自前 vs マネージド」を語れる
[ ] DB アプライアンスはゾーン・エンジン種別ともに料金差なしと説明できる（公式 SCB3.4.5）
[ ] DB アプライアンスの v1 バックアップは追加料金不要、継続的バックアップは NFS アプライアンス費用が別途必要と説明できる

🎯 確認問題

問 1：「データベースアプライアンスではなくサーバへ自前で DB を入れる」選択をする最も合理的な理由はどれか。

(A) 月額単価が安い
(B) アプライアンスが対応しないバージョン / 拡張機能を使いたい
(C) 物理サーバを利用したい
(D) 自動バックアップが不要

解答

(B)。バージョンや拡張機能の自由度が自前 DB の主な動機。(A) は TCO で見ると逆転しやすい。(C) は専用サーバ PHY の話。

問 2：データベースアプライアンスの料金特性として正しいものはどれか。

(A) エンジン種別（PostgreSQL / MariaDB）で料金が異なる
(B) ゾーン・エンジン種別とも料金差はない
(C) ゾーンごとに料金が異なり、エンジン種別では変わらない
(D) 自動バックアップは別料金オプション

解答

(B)。公式 SCB3.4.5：「使用するデータベースエンジンや選択するゾーンに関わらず、利用料金に差は無い」。DB アプライアンスはゾーン・エンジン種別とも料金差なし。v1 バックアップは標準機能で追加料金不要（最大 8 世代）。一方、継続的バックアップは NFS アプライアンスのコストが別途発生する点に注意。

3.4.2 コンピューティングリソースの確認問題（補強）

問 1：開発環境と本番環境のコスト最適化の組み合わせとして最も適切なものはどれか。

(A) 開発・本番ともクラウド最大プラン
(B) 開発・本番とも専有ホスト
(C) 開発環境は VPS、本番環境はクラウド
(D) 開発・本番とも同一の中規模プラン固定

解答

(C)。スモールスタートの基本思想：開発・検証用途には月額固定の VPSでコストを抑え、本番は従量課金 + 拡張性のあるクラウドを使う。両方高スペック・両方専有は過剰投資、同一プラン固定は柔軟性なし。

問 2：コストパフォーマンスを上げるためのリソース管理として、最も適切な運用はどれか。

(A) タグによる管理で用途・環境・担当者を整理し、棚卸しでコストを最適化
(B) 未使用リソースも起動継続して即応性を確保
(C) すべてのサーバを常時最大プランで運用
(D) コスト確認は手動で月末に行う

解答

(A)。タグによる管理 + 料金アラート + 棚卸し運用が定石。「未使用も起動」「常時最大」「手動月末」はいずれも不適切。

3.4.1 サーバ・ディスク課金の補強確認問題

問 1：サーバとディスクの課金条件として正しい組み合わせはどれか。

(A) サーバは作成時点から課金、ディスクは起動時から課金
(B) サーバは起動時から（停止時に課金停止）、ディスクは作成時点から（削除まで課金）
(C) 両方とも作成時点から課金
(D) 両方とも起動時から課金

解答

(B)。

サーバ：起動時間ベース（電源 OFF 時間は非課金）
ディスク：作成時点から削除まで（サーバ稼働状態に関係なく常時課金）
典型的な落とし穴：サーバを停止してもディスク課金は継続。不要ディスクは削除が必要。

ターム 3 総合確認問題

ターム 3 のシラバス全範囲をカバーする追加 50 問。試験頻出領域なので問題数を厚くしている。

問 11：さくらのクラウドの「サーバプラン」を構成する 3 要素として正しい組み合わせはどれか。

(A) CPU・メモリ・GPU
(B) CPU・メモリ・NIC
(C) CPU・ディスク・帯域
(D) コア専有・パブリックアーカイブ・スタートアップスクリプト

解答

(B)。CPU コア数・メモリ容量・NIC 数の組み合わせで構成。

問 12：「コア専有」と「専有ホスト」の違いとして正しいものはどれか。

(A) コア専有は物理ホスト全体を専有、専有ホストは CPU 単位
(B) コア専有は CPU を論理的に専有、専有ホストは物理ホスト丸ごと専有
(C) どちらも同じ機能
(D) コア専有は無料、専有ホストは有料

解答

(B)。コア専有 = サーバ専用に CPU コアを割り当て（ホストサーバの CPU コアを 1 つのサーバ専用で利用するプラン）、専有ホスト = 物理ホスト丸ごと専有。

問 13：パブリックアーカイブの典型的な利用シーンはどれか。

(A) Web サーバ前段で SSL を終端する
(B) サーバ作成時に Ubuntu などの公式 OS イメージを選択する
(C) DNS の権威サーバを構築する
(D) IPSec VPN を終端する

解答

(B)。パブリックアーカイブはさくら提供の OS イメージカタログ。

問 14：スタートアップスクリプトの主な役割はどれか。

(A) ディスクを暗号化する
(B) サーバ起動時に自動でセットアップ処理を行う
(C) 利用料金を集計する
(D) サーバを物理的に専有する

解答

(B)。boot 時に実行されるスクリプトで初期設定を自動化。

問 15：ディスクの「IOPS 指定プラン」を選ぶ典型的な動機はどれか。

(A) 容量単価を最も安くしたい
(B) IOPS（1 秒あたり IO 回数）を制御し、安定したレイテンシを保証したい
(C) ディスクを物理的に専有したい
(D) Windows OS を使いたい

解答

(B)。高負荷 DB やレイテンシ重視のワークロードで IOPS 保証を得るためのプラン。

問 16：「ISO イメージ」を使う典型シーンはどれか。

(A) すべての OS をワンクリックで起動する
(B) マーケットプレイスやパブリックアーカイブに無いカスタム OS をインストールする
(C) ディスクのバックアップを取得する
(D) DDoS 攻撃を防ぐ

解答

(B)。仮想 CD として接続してインストール。

問 17：オブジェクトストレージとディスクの最も本質的な違いはどれか。

(A) アクセスプロトコル（HTTP API vs ブロック）
(B) 単価
(C) 容量上限
(D) すべて

解答

(D) すべて。HTTP API vs ブロック、単価安 vs 高、容量上限「事実上無制限 vs プラン上限」、用途も静的コンテンツ vs OS/DB と全てが異なる。

問 18：さくらのクラウドの「リージョン」と「ゾーン」の関係として正しいものはどれか。

(A) ゾーンの中にリージョンがある
(B) リージョンの中に複数のゾーンがある
(C) リージョンとゾーンは同義
(D) リージョンは物理、ゾーンは仮想

解答

(B)。地理的に離れたリージョン > リージョン内の複数ゾーン。

問 19：「スイッチ」と「ルータ＋スイッチ」の違いとして最も適切なものはどれか。

(A) スイッチはルーティング機能・グローバル IP 帯域を持つ
(B) ルータ＋スイッチはルーティング機能・グローバル IP 帯域を持つ一体型
(C) スイッチは L3、ルータ＋スイッチは L2
(D) ルータ＋スイッチはローカル通信専用

解答

(B)。ルータ＋スイッチが「エッジルータ + サブネット」の一体型。

問 20：パケットフィルタが動作するレイヤとして正しいものはどれか。

(A) L2
(B) L3 / L4
(C) L7 専用
(D) L1（物理）

解答

(B)。IP / ポートでフィルタリングする L3/L4 のファイアウォール。

問 21：「ローカルルータ」の役割として正しいものはどれか。

(A) インターネット側のルーティング
(B) ゾーン間 / ネットワーク間の接続とルーティング
(C) DNS の権威サーバ
(D) SSL 証明書の発行

解答

(B)。複数スイッチや別ゾーンへの接続。

問 22：L4 のロードバランサで実現できない機能はどれか。

(A) TCP/UDP の単純な分散
(B) SSL 終端
(C) クライアントの送信元 IP に基づく分散
(D) コネクション数の偏り防止

解答

(B) SSL 終端。L4 では HTTP/HTTPS の内容を見ないので終端不可。SSL 終端はエンハンスドロードバランサ（L7）で行う。

問 23：エンハンスドロードバランサで提供される機能として最も適切なものはどれか。

(A) IPSec VPN 終端
(B) DNS の権威サーバ
(C) SSL 終端 + Cookie ベースのセッション維持 + L7 ルール / リダイレクト / オリジンガード
(D) コンテナの自動デプロイ

解答

(C)。L7 LB の典型機能。WAF は ELB の機能ではなく、さくらのクラウドではセキュリティベンダー協業によるホスト型 WAF として別途提供（公式 SCB3.2.3 L399-404）。

問 24：GSLB の動作レイヤとして正しいものはどれか。

(A) L2 スイッチング
(B) L3 ルーティング
(C) DNS レベルの振り分け
(D) BGP ピアリング

解答

(C)。Global Server Load Balancing は DNS 応答を切り替えて地理的に振り分ける。

問 25：「オンプレ拠点 ⇔ さくらのクラウド」を IPSec で接続したい場合に使うアプライアンスはどれか。

(A) パケットフィルタ
(B) ローカルルータ
(C) VPN ルータ
(D) シンプル監視

解答

(C) VPN ルータ。

問 26：「ブリッジ接続」の特徴として正しいものはどれか。

(A) L7 HTTP プロキシ
(B) 異なるゾーンのスイッチを L2 で繋ぐ
(C) DNS の権威サーバ
(D) GPU 物理サーバの専有

解答

(B)。L2 接続で同一セグメント化する。

問 27：「ハイブリッド接続」が結ぶ対象として典型的なのはどれか。

(A) さくらのクラウドとさくらの専用サーバ PHY / ハウジング
(B) さくらのクラウドと外部の Linux PC
(C) さくらのクラウドとモバイルアプリ
(D) さくらのクラウドと家庭用ルータ

解答

(A)。クラウドと物理基盤を L2 で繋ぐ用途。

問 28：「OCX」「プライベートリンク」「ダイレクトアクセス」が共通して指向する接続性はどれか。

(A) インターネット経由の暗号化通信
(B) 閉域 / 専用線によるさくらのクラウドへの接続
(C) 海外データセンターへの接続
(D) 個人向け Wi-Fi 接続

解答

(B)。いずれもインターネットを経由しない閉域 / 専用線系の接続オプション。

問 29：DNS アプライアンスの主な役割はどれか。

(A) HTTPS 終端
(B) ドメインの権威 DNS をクラウドで運用する
(C) IDS / IPS
(D) IoT デバイス管理

解答

(B)。マネージド権威 DNS。

問 30：シンプル監視で実現できることとして正しいものはどれか。

(A) サーバ内部の CPU 使用率の細かいプロファイリング
(B) 外部からの死活監視（URL / TCP ポート等）と通知
(C) DB の自動チューニング
(D) コンテナの自動デプロイ

解答

(B)。外形監視 + 通知。

問 31：データベースアプライアンスのマネージド機能として標準的でないものはどれか。

(A) 自動バックアップ
(B) リードレプリカ
(C) 冗長化オプション
(D) アプリのデプロイ

解答

(D)。アプリのデプロイは利用者責任の領域。バックアップ / レプリカ / 冗長化はマネージド側。

問 32：アーカイブの典型的な利用シーンとして適切なものはどれか。

(A) リアルタイムのトラフィック分析
(B) ディスクの定期スナップショット / 構成テンプレート化
(C) DNS の動的更新
(D) IPSec VPN の終端

解答

(B)。時点バックアップと構成複製がアーカイブの主な使い道。

問 33：ディスクマイグレーションの主な役割はどれか。

(A) ディスクを暗号化する
(B) ディスクをゾーン / プラン間で移動する
(C) ディスクのフォーマットを変更する
(D) ディスクのスナップショットを撮る

解答

(B)。リソース集約や DR で別ゾーンへ移動するときに使う。

問 34：さくらの IAM 階層の正しい順序はどれか。

(A) プロジェクト → 会員 ID
(B) 会員 ID → プロジェクト
(C) 会員 ID → ロール → プロジェクト
(D) プロジェクト → ロール → 会員 ID

解答

(B)。会員 ID の配下に複数プロジェクトがある。プロジェクトは請求・権限の単位。

問 35：「IAM ポリシー」と「ID ポリシー」の違いとして正しいものはどれか。

(A) IAM ポリシーは権限、ID ポリシーは ID 管理（パスワード強度等）
(B) どちらも同じ
(C) IAM ポリシーは無料、ID ポリシーは有料
(D) IAM ポリシーは法人専用

解答

(A)。権限管理と ID 管理は別の軸。

問 36：シングルサインオン（SSO）の主な利点として最も適切なものはどれか。

(A) パスワードを忘れない
(B) 1 回の認証で複数システムにアクセスできる
(C) 自動的に 2 要素認証になる
(D) ハードウェアが不要になる

解答

(B)。SSO は「1 回ログイン → 複数システム利用」。

問 37：SSH を本番運用するときの推奨設定として最も適切なものはどれか。

(A) パスワード認証 + ポート 22
(B) 鍵認証 + パスワード認証無効化 + ポート変更 / IP 制限
(C) すべての IP から root ログイン可
(D) パスフレーズなしの鍵を使う

解答

(B)。鍵認証 / パスワード認証無効 / 接続元制限が基本セット。

問 38：イベントログの主な役割として正しいものはどれか。

(A) 課金計算
(B) アカウント / リソースに関する操作履歴の記録（監査・追跡用）
(C) DNS の動的更新
(D) ロードバランサのヘルスチェック

解答

(B)。誰がいつ何を操作したか。Cloud Audit Logs と同等の役割。

問 39：「ISMAP」が対象とするのは主にどれか。

(A) クレジットカード業界
(B) 日本政府情報システムのセキュリティ評価
(C) 国際物流
(D) 自動車製造

解答

(B)。Information system Security Management and Assessment Program。日本政府案件で頻出。

問 40：データの暗号化「at rest（保管時）」の例として最も適切なものはどれか。

(A) HTTPS 通信
(B) IPSec VPN
(C) ディスク暗号化、オブジェクトストレージの SSE
(D) Confidential Computing

解答

(C)。at rest = 保存中。HTTPS / IPSec は in transit、Confidential Computing は in use の暗号化。

問 41：「グローバルネットワーク」に直接公開するべきでないものはどれか。

(A) ロードバランサ
(B) Web サーバ
(C) データベース
(D) リバースプロキシ

解答

(C) データベース。DB はローカルネットワークに閉じ、アプリ層からのみアクセスできるようにする。

問 42：DDoS 対策として典型的な手法はどれか。

(A) パケットフィルタで送信元 IP を許可リスト化
(B) エッジでの吸収（CDN・大容量帯域）+ レート制限 + 異常検知
(C) すべての通信を停止
(D) IPS の停止

解答

(B)。多層的に DDoS を緩和。

問 43：さくらのクラウドの公式 SLA（月間サーバ稼働率）として宣言されている値はどれか。

(A) 99.0%
(B) 99.9%
(C) 99.95%
(D) 99.99%

解答

(C) 99.95%。SLA で月間サーバ稼働率 99.95% 以上を保証。未達時は利用者による減額申請（影響を受けたサーバのリソース ID やサーバの稼働時間等の情報提出）が可能。

問 44：クラウドにおける責任分界点で、利用者が責任を持つ範囲として最も典型的なのはどれか。

(A) データセンターの物理セキュリティ
(B) ハイパーバイザーのパッチ管理
(C) ゲスト OS とその上のミドルウェア・アプリ・データ
(D) ネットワーク機器の電源管理

解答

(C)。IaaS の責任分界点。

問 45：計画ダウンタイムと障害ダウンタイムの違いとして正しいものはどれか。

(A) 計画は事前告知あり、障害は予期しない
(B) 計画は事業者ミス、障害は天災
(C) 計画は無料、障害は有料
(D) 違いはない

解答

(A)。計画ダウンタイムは事前告知、障害は突発的。SLA 計算の扱いも異なるケースがある。

問 46：「リージョン間冗長」の利点として最も適切なものはどれか。

(A) 単一サーバの性能向上
(B) 広域災害でもサービス継続できる可能性が高まる
(C) ライセンスコストが安くなる
(D) ネットワーク遅延がゼロになる

解答

(B)。物理距離を取った冗長で、地震 / 停電などの広域災害に強くなる。

問 47：オブジェクトストレージが「スケーラブル」と言われる理由として最も適切なものはどれか。

(A) 容量・リクエスト数が事実上無制限で、利用量に応じて自動的にスケールする
(B) 標準で 200TiB（10 TiB/バケット × 20 バケット）まで利用可能で、緩和申請で拡張できる
(C) サーバを止めずに増設できる
(D) クライアント側で勝手に拡張される

解答

(B)。公式 SCB3.3.2 L1016-1018 によれば「1 バケットあたり最大 10TiB、1 プロジェクトあたり最大 20 個、標準で最大 200TiB」の明確な上限値あり。「事実上無制限」は誤り。緩和申請で拡張可能な点が「スケーラブル」と呼ばれる根拠。

問 48：「リソースの上限」と「リソースの制限」の使い分けとして正しいものはどれか。

(A) 上限値は緩和申請可能、制限値はクラウド基盤の制約で変更不可
(B) 上限値は絶対値、制限値は API レート等の一時的なもの
(C) どちらも同じ
(D) 上限値は無料、制限値は有料

解答

(A)。公式 SCB3.3.2 の定義に基づき、上限値はサポートへの問い合わせで緩和申請が可能（プロジェクトやゾーン、サーバ単位で設定された作成可能リソース数の上限）、制限値はさくらのクラウドの基盤システムの制約により変更できない（例：パケットフィルタの 30 ルール、ディスク 3 個）。本文 L2756-2763 と整合。

問 49：さくらのクラウドのコスト可視化機能のうち、「使われていないリソースを発見・提案する」役割はどれか。

(A) 契約リソース機能
(B) 利用料金管理機能
(C) 最適化サジェスト機能
(D) 料金アラート機能

解答

(C) 最適化サジェスト機能。

問 50：「料金アラート」を設定する典型的なシナリオはどれか。

(A) サーバ起動時の通知
(B) 月間利用料金がしきい値を超えたら通知する
(C) DNS レコード更新時の通知
(D) SSH ログイン時の通知

解答

(B)。予算超過の早期発見が目的。

問 51：「スモールスタート」の考え方として最も適切なものはどれか。

(A) 必ず本番クラスのプランから始める
(B) 最小プランで始めて、利用状況を見ながら拡張する
(C) すぐにオートスケールを最大値に設定する
(D) すべて専有ホストで構築する

解答

(B)。クラウドの「使った分だけ」原則を活かす。

問 52：「Terraform sakuracloud provider」の主な役割はどれか。

(A) Sakura のリソースをコードで宣言的に管理する
(B) サーバを物理的に専有する
(C) DNS のキャッシュを管理する
(D) GPU のドライバを配布する

解答

(A)。IaC ツール Terraform で Sakura リソースを管理するプロバイダ。

問 53：「usacloud」とは何か。

(A) さくらのクラウドの公式 CLI
(B) US 専用のクラウドサービス
(C) USB 接続のセキュリティキー
(D) UDP のセキュリティプロトコル

解答

(A) usacloud = さくらのクラウド公式 CLI。GCP の gcloud に相当。

問 54：ストレージプランの選定で「ログのような大量・読み取り頻度低のデータ」に最も合うのはどれか。

(A) SSD ディスク
(B) 標準（HDD）ディスク
(C) ディスク IOPS 指定
(D) 高火力 PHY

解答

(B)。HDD は容量単価が安く、ログ / バックアップに適する。

問 55：さくらのクラウドで「データ転送量による従量課金」が発生し得るサービスはどれか。

(A) サーバ（仮想マシン）のインターネット向けアウトバウンド通信
(B) オブジェクトストレージのリクエスト・転送
(C) 同一ゾーン内のサーバ間通信
(D) スイッチ内の L2 通信

解答

(B)。さくらのクラウド本体（IaaS コア）は 「データ転送量による従量課金なし」（公式料金ページ）。一方、オブジェクトストレージはバケット単位の月額・リクエスト数・転送条件等の個別課金体系（公式基本情報）。AWS 接続オプションも同様に個別課金。試験頻出の引っ掛け：「クラウドだから外向き通信は課金」は他社サービスの常識で、さくらのクラウド本体には当てはまらない。

問 56：「データベースを専用サーバ PHY に設置する」決定が合理的なケースはどれか。

(A) 短期間の検証用途
(B) 大規模 DB で物理性能と完全な専有が必須なケース
(C) GPU が必要なケース
(D) IoT データ収集用

解答

(B)。仮想化オーバーヘッドを許容できない大規模 DB の選択肢。

問 57：「自前 DB（サーバへの DB インストール）vs データベースアプライアンス」の TCO 評価で見落とされやすいコストはどれか。

(A) ライセンス料
(B) 運用工数（バックアップ・パッチ・障害対応）
(C) 電気代
(D) サーバラックの賃料

解答

(B)。月額だけ見ると自前が安いが、運用工数を含めるとマネージドの優位が見える。

問 58：「AWS 接続オプション」の主な用途として正しいものはどれか。

(A) AWS へのデータ移行のみに使う
(B) さくらのクラウドと AWS を接続して、ハイブリッドクラウド / 他社クラウド連携を実現する
(C) AWS の請求書をまとめて発行する
(D) AWS の SLA を変更する

解答

(B)。クラウド間連携でフェイルオーバーや業務分散を実現。

問 59：以下の組み合わせで誤っているものはどれか。

(A) リードレプリカ → 読み取り負荷分散
(B) GSLB → 地理的な振り分け（DR）
(C) パケットフィルタ → L7 アプリ層の WAF
(D) スタートアップスクリプト → サーバ初期セットアップ自動化

解答

(C)。パケットフィルタは L3/L4 のフィルタリング。WAF はエンハンスドロードバランサの機能領域。

問 60：以下の状況で最初に検討すべきコスト削減策はどれか。「夜間（22-7 時）の Web アクセスがほとんどない」

(A) サーバプランを最小プランに固定
(B) オートスケール設定で夜間の台数を減らす
(C) ハウジングに切り替え
(D) リージョンを変更

解答

(B)。需要連動でリソースを増減させるのがクラウドの強み。固定縮小（A）は昼に足りなくなる。

ターム 3 全体まとめ

3.1 システム構成設計：コンピュート / ストレージ / ネットワーク / DB / データ処理 / 他サービス連携を組み合わせて要件を満たす
3.2 セキュリティ設計：リソース / データ / アプリの 3 視点で多層防御を構成。IAM・認証・暗号化・第三者認証を理解
3.3 可用性 + 拡張性：SLA 月間サーバ稼働率 99.95% / 責任分界点 / DR パターン / オートスケール
3.4 コスト：スモールスタート + コスト可視化 + IaC で運用コストも含めた最適化

これでシラバス v2.0 の全範囲をカバー。最後は README の GCP 索引と章末確認問題で総ざらいする。

ターム 3：さくらのクラウドでのアーキテクチャ設計 ​

3.1 さくらのクラウドで実現するシステム構成設計 ​

3.1.1 コンピューティングリソース ​

サーバの概要 ​

サーバプランの構成 ​

公式仕様（v2.0 教材より） ​

サーバの作成と削除 ​

サーバのステータスと電源操作 ​

電源操作とホストサーバの変更 ​

サーバのプラン変更とクローン ​

サーバのタグ機能 ​

サーバの NIC とスイッチ接続 ​

NIC タブで操作できること ​

ディスクと ISO イメージの操作 ​

シンプル監視・アクティビティ・コンソール ​

コンソール接続の特徴 ​

コア専有プラン ​

高火力 VRT（GPU）プラン ​

提供プラン（v2.0 教材より） ​

高火力シリーズの位置づけ（再掲） ​

専有ホストプラン ​

提供プラン（v2.0 教材より、3 種類） ​

専有ホストプランの主な制約・特徴 ​

専有ホストを使うべきケース ​

機密 VM プラン ​

パブリックアーカイブ ​

Linux 系パブリックアーカイブ ​

Red Hat Enterprise Linux Server の制約 ​

Windows Server パブリックアーカイブ（3 種類） ​

cloud-init 対応アーカイブ ​

スタートアップスクリプト ​

2 つのクラス（試験頻出） ​

スクリプト用の特殊タグ ​

サーバプランの検討（判断軸） ​

サーバ構築時の補足事項 ​

OS とライセンスの注意点 ​

DNS / NTP の利用 ​

✅ キーワードチェックリスト ​

🎯 確認問題 ​

3.1.2 ストレージ ​

ディスクプランの種類 ​

ディスクのインターフェース（VirtIO / IDE） ​

ディスクの作成・削除 ​

ディスクソース（作成時に選択） ​

削除の条件 ​

ディスクの接続・取り外し ​

ディスクの修正機能 ​

ディスクの拡張（スケーリング） ​

標準的な手順 ​

パーティション拡張機能（コントロールパネル） ​

ディスク暗号化 ​

専有ストレージ ​

基本仕様（v2.0 教材より） ​

利用上の特徴 ​

スナップショット機能 ​

オンライン容量拡張 ​

ISO イメージ機能 ​

NFS アプライアンス ​

提供プラン ​

基本仕様 ​

設計上の活用 ​

オブジェクトストレージ ​

基本仕様（公式 objectstorage/about.html） ​

構成要素（階層） ​

削除順序（試験頻出） ​

2 種類の API（試験頻出） ​

アクセスキー ​

パーミッション（バケット単位） ​

ACL（オブジェクト単位／バケット単位） ​

料金 ​

アーカイブプラン ​

リージョン間レプリケーション ​

URL アクセス ​

ストレージ形式の選択（判断軸） ​

✅ キーワードチェックリスト ​

🎯 確認問題 ​

3.1.3 ネットワーク ​

リージョンとゾーン ​

リージョンとゾーンの比較（v2.0 教材より） ​

提供リージョンとゾーン ​

ターム 3：さくらのクラウドでのアーキテクチャ設計

3.1 さくらのクラウドで実現するシステム構成設計

3.1.1 コンピューティングリソース

サーバの概要

サーバプランの構成

公式仕様（v2.0 教材より）

サーバの作成と削除

サーバのステータスと電源操作

電源操作とホストサーバの変更

サーバのプラン変更とクローン

サーバのタグ機能

サーバの NIC とスイッチ接続

NIC タブで操作できること

ディスクと ISO イメージの操作

シンプル監視・アクティビティ・コンソール

コンソール接続の特徴

コア専有プラン

高火力 VRT（GPU）プラン

提供プラン（v2.0 教材より）

高火力シリーズの位置づけ（再掲）

専有ホストプラン

提供プラン（v2.0 教材より、3 種類）

専有ホストプランの主な制約・特徴

専有ホストを使うべきケース

機密 VM プラン

パブリックアーカイブ

Linux 系パブリックアーカイブ

Red Hat Enterprise Linux Server の制約

Windows Server パブリックアーカイブ（3 種類）

cloud-init 対応アーカイブ

スタートアップスクリプト

2 つのクラス（試験頻出）

スクリプト用の特殊タグ

サーバプランの検討（判断軸）

サーバ構築時の補足事項

OS とライセンスの注意点

DNS / NTP の利用

✅ キーワードチェックリスト

🎯 確認問題

3.1.2 ストレージ

ディスクプランの種類

ディスクのインターフェース（VirtIO / IDE）

ディスクの作成・削除

ディスクソース（作成時に選択）

削除の条件

ディスクの接続・取り外し

ディスクの修正機能

ディスクの拡張（スケーリング）

標準的な手順

パーティション拡張機能（コントロールパネル）

ディスク暗号化

専有ストレージ

基本仕様（v2.0 教材より）

利用上の特徴

スナップショット機能

オンライン容量拡張

ISO イメージ機能

NFS アプライアンス

提供プラン

基本仕様

設計上の活用

オブジェクトストレージ

基本仕様（公式 objectstorage/about.html）

構成要素（階層）

削除順序（試験頻出）

2 種類の API（試験頻出）

アクセスキー

パーミッション（バケット単位）

ACL（オブジェクト単位／バケット単位）

料金

アーカイブプラン

リージョン間レプリケーション

URL アクセス

ストレージ形式の選択（判断軸）

✅ キーワードチェックリスト

🎯 確認問題

3.1.3 ネットワーク

リージョンとゾーン

リージョンとゾーンの比較（v2.0 教材より）

提供リージョンとゾーン