こんにちは。CData Software Japan リードエンジニアの杉本です。
CData Connect AI 導入のご相談をいただく中で、今までなかなか対応できず歯がゆい思いをしていたユースケースがあります。
それは「社内のオンプレミスデータベースをAI から参照できるようにして活用したいが、ファイアウォールを開けたり、ネットワークをクラウドに解放するのはセキュリティ上難しい」という話です。
これはオンプレだけでなく、Azure やAWS 上でクローズドな形のネットワークになっているSAP などの基幹システムもそうですね。
それが今回なんと「Connect Gateway」という新機能で対応できるようになりました! これは社内ネットワーク内のSQL Server・PostgreSQL・MySQLなどのデータベースを、ファイアウォールの設定を変えることなく、CData Connect AI 経由でAIから安全に利用できるようになるというものです。
本記事では Connect Gateway の仕組みとセキュリティ特性を解説したうえで、実際のセットアップ手順を順を追って説明していきます!
この記事でわかること
Connect Gateway とは
Connect Gateway は、CData Connect AI に含まれるオンプレミス型のリバーストンネルエージェントです。社内ネットワークにDocker コンテナとしてブリッジの役割を果たすエージェントを設置し、CData Connect AI クラウドとの間に暗号化されたトンネルを確立します。
https://docs.cloud.cdata.com/ja/Connect-Gateway
これにより、ファイアウォール内のデータベースやSAP などの基幹システムを、インターネットに直接公開することなく、任意のAI アプリケーションやアシスタントから安全に参照できるようになります!
アーキテクチャの全体像
通信は常にGateway 側(社内ネットワーク)からアウトバウンドで開始されます。外部から社内への直接アクセスは発生しません。
ちなみに、複数拠点にGateway を設置することも可能です。拠点ごとにConnect AI へGateway を登録することで、各拠点のデータソースに対してAI からアクセスできるようになります。
また、同一拠点に複数のDockerコンテナを立てることでHA(高可用性)構成にも対応しています。1台が停止した場合も、残りのインスタンスへ自動的にルーティングされます。
通信の仕組み — 3つのポイント
Connect Gateway の通信設計には、エンタープライズ利用を想定した3つの重要な特性があります。
ポイント | 内容 |
|---|
アウトバウンドのみ | GatewayはアウトバウンドのHTTPS接続(cloud.cdata.com)のみを使用します。インバウンドのファイアウォール解放は不要です。 |
Azure Relayによるトンネル | Microsoft Azure Relay テクノロジーを使用した暗号化トンネルで通信します。パブリックにエンドポイントは公開されません。 |
Raw Byte 転送 | Gateway はMySQL やPostgreSQL などのプロトコルを解釈しません。データの中身を読み取ることなく、生のバイト列をそのまま転送します。 |
またセキュリティに関しても、CDataは複数の第三者認証・評価を取得しており、Connect AI はそれらのスコープに含まれていますので、安心してエンタープライズのお客様にもご利用いただけるようになっています。
https://jp.cdata.com/security/
対応データソース(2026年3月時点)
現在、Connect Gatewayは以下のコネクタに対応しています。
カテゴリ | 対応データソース |
|---|
データベース | PostgreSQL / MySQL / SQL Server |
データウェアハウス | Snowflake / Databricks |
エンタープライズ | SAP Gateway(SAP S/4 Hana) |
今後も積極的に対応データソースを増やしていく予定ですが、上記以外のコネクタが必要な場合は、CDataサポート(https://www.cdata.com/support/submit.aspx)へお気軽にお問い合わせください!
導入手順
Connect Gatewayの導入は大きく2つのステップで完了します。
ステップ1:Connect AI 側でGateway を登録
ステップ2:社内環境にDocker コンテナとしてGateway をインストール・セットアップ
ステップ3:Connect AI でデータソースの接続を設定
前提条件
事前に以下をご用意ください。
今回は検証目的のため、私のMac Book Pro 上でDocker およびPostgreSQL のデータベースを構成して検証しました。
ステップ1:Connect AI でGateway を登録する
まず、Connect AI の管理画面でGatewayの登録を行います。
Connect AI にログインし、「Sources」メニューから「Add Connection」をクリックします。新規接続の追加画面、または既存接続の編集画面を開いてください。
次に、「Connect Gateway」タブをクリックし、「Add」ボタンを押します。「Add Gateway」ダイアログが表示されます。
Gateway を設置する場所を識別するための名前(例:「ServerRoom」「OsakaOffice」)を入力し、「Confirm」をクリックします。
登録が完了すると、Gatewayリストに「Pending」ステータスで表示されます。この画面で以下の3つの値をコピーしておいてください。次のステップで使用します。
環境変数名 | 説明 | 取得場所 |
|---|
ACCOUNT_ID
| 組織固有のアカウントID | Gateways一覧の「Account Id」 |
GATEWAY_LOCATION_ID
| このGatewayインスタンスの識別子 | Gateways一覧の「Location Id」 |
GATEWAY_API_KEY
| GatewayがConnect AIと認証するためのAPIキー | Gateways一覧の「Key」(目のアイコンで表示) |
ステップ2:Dockerコンテナとしてインストールする
ホストマシンで以下のコマンドを実行し、Gatewayコンテナを起動します。先ほどコピーした3つの値を <>部分に置き換えてください。
docker run で実行する場合
docker run \
--name my-onprem-gateway \
-e GATEWAY_LOCATION_ID= \
-e GATEWAY_API_KEY= \
-e ACCOUNT_ID= \
connectaipublic.azurecr.io/connectgateway:latest
Dockerイメージがまだない場合は、初回実行時に自動的にpullされます。
継続稼働させる場合はDocker Composeの使用を推奨します。以下の内容を docker-compose.yml として保存してください。
docker-compose.yml
version: "3.8"
services:
onprem-gateway:
image: connectaipublic.azurecr.io/connectgateway:latest
container_name: my-onprem-gateway
restart: unless-stopped
environment:
GATEWAY_LOCATION_ID:
GATEWAY_API_KEY:
ACCOUNT_ID:
以下のコマンドで起動・操作します。
# 起動
docker compose up -d
# ログ確認
docker compose logs -f
# 停止
docker compose down
ステップ3:接続テストと設定の完了
Docker コンテナが起動したら、Connect AI の画面に戻り動作確認を行います。
「Add/Edit Connection」画面の「Gateways」タブを開き、「Test Gateways」ボタンをクリックします。Gateway が正常に起動・接続されていれば、Status が「Success」に変わります。
次に「Basic Settings」タブに戻り、「Connection Type」で「Connect Gateway」を選択します。ドロップダウンから、登録したGatewayのロケーション名を選択してください。
あとは通常の接続設定と同様に、データソース側の認証情報(ホスト名・ユーザー名・パスワード等)を入力し、「Save & Test」をクリックすれば設定完了です。
これだけで、ファイアウォール内のオンプレミスデータベースへの接続が完了しました。
うまくデータモデルが確認できました!
Claude に繋いでリクエストしてみたところ、うまく私のデスクトップにあるPostgreSQL のデータを読み込むことができました。
よくある質問
Q. インバウンドのファイアウォール解放は必要ですか?
不要です。Gateway はアウトバウンドのHTTPS 接続(cloud.cdata.com)のみを使用します。外部から社内ネットワークへの直接アクセスは発生しません。
Q. データはクラウド上に保存されますか?
保存されません。クエリ結果はConnect AI を経由してAIクライアントへ返却されますが、CData側でデータが蓄積されることはありません。
Q. Gateway が停止した場合はどうなりますか?
同一ロケーションに複数のDocker コンテナを立てることでHA(高可用性)構成が可能です。1台が停止した場合、リクエストは自動的に残りのインスタンスへルーティングされます。
Q. 複数の拠点・データソースに対応できますか?
対応しています。拠点ごとにGateway コンテナを設置し、Connect AI側でそれぞれ登録することで、複数拠点のデータソースをまとめて管理できます。
Q. 対応していないコネクタはどうすればよいですか?
現時点ではPostgreSQL・MySQL・SQL Server・Snowflake・Databricks・SAP Gateway に対応しています(2026年3月時点)。それ以外のコネクタが必要な場合は、CData サポートへお気軽にお問い合わせください。
おわりに
このようにConnect Gateway を使うことで、オンプレミスのデータベースをクラウドに出すことなく、AI から安全にアクセスできるようになります!
ファイアウォールの設定変更も不要で、Docker さえ動く環境があればすぐに試せるのが大きな利点です。
「社内DB をAI で活用したいが、セキュリティ上の懸念がある」とお考えの方は、ぜひトライアルで実際に動かしてみてください♪
なにかわからないことがあれば、お気軽にサポートやお問い合わせからどうぞ!
https://jp.cdata.com/contact/
