OpenClawオンプレ構成例|社内完結で運用するためのサーバー設計(法人向け)

最終更新: 2026年2月

OpenClawをクラウド環境で運用する場合、APIキーや業務データが外部ネットワークを経由するため、情報漏洩リスクが高まります。金融機関・医療機関・製造業など、厳格なデータ管理が求められる業界では、オンプレミス(自社サーバー)での運用が推奨されます。

本記事では、OpenClawをオンプレで運用するための構成例を、小規模(1台構成)と中規模(分離構成)の2パターンで解説します。ネットワーク設計・バックアップ・ログ保存・更新運用まで、法人で事故を減らすための設計をまとめます。

オンプレ導入が必要になるケース

以下のような企業は、オンプレミス導入を検討すべきです。

  • 機密情報を扱う業界: 金融・医療・法律・製造業など、顧客情報や営業秘密を外部に出せない
  • 社内規定でクラウド禁止: 情報システム部門がクラウドサービスの利用を制限している
  • 外部API課金を削減したい: 長期運用でAPI課金が高額になる見込みがある
  • 監査・コンプライアンス対応: ISO27001、ISMS、GDPRなどの基準で、データの保管場所が限定される
  • ネットワーク分離が必須: 本番環境が外部ネットワークと完全に分離されている

一方、以下のような企業はクラウド運用が向いています。

  • サーバー管理の人的リソースがない
  • 初期投資を抑えて小規模で試したい
  • リモートワーク中心で、社内ネットワークへのアクセスが困難
判断基準: 「扱うデータが外部に出せるか」「サーバー管理のリソースがあるか」の2点で判断してください。どちらも満たす場合はオンプレが推奨されます。

構成例(小規模・中規模)

小規模(1台構成)

社員数50名以下、利用部署が限定されている場合の構成です。1台のサーバーにすべての機能を集約します。

┌─────────────────────────────────────┐ │ 社内ネットワーク (192.168.1.0/24) │ │ │ │ ┌─────────────────────────────┐ │ │ │ OpenClawサーバー (1台) │ │ │ │ ・Docker (OpenClaw本体) │ │ │ │ ・Nginx (リバースプロキシ) │ │ │ │ ・PostgreSQL (監査ログDB) │ │ │ │ ・バックアップスクリプト │ │ │ └─────────────────────────────┘ │ │ ↑ │ │ ┌───────────┴───────────┐ │ │ │ クライアントPC (社員) │ │ │ │ ブラウザで接続 │ │ │ └─────────────────────┘ │ └─────────────────────────────────────┘
項目 推奨スペック
CPU 4コア以上(8コア推奨)
メモリ 16GB以上(32GB推奨)
ストレージ SSD 500GB以上(ログ・バックアップ含む)
OS Ubuntu Server 22.04 LTS または RHEL 9
ネットワーク Gigabit Ethernet(社内LAN接続)

メリット: 構成がシンプルで、保守が容易。初期投資が最小限。

デメリット: 1台が故障すると全機能が停止。負荷が集中する。

中規模(分離構成)

社員数100名以上、複数部署で利用する場合の構成です。アプリケーションサーバーとDBサーバーを分離します。

┌────────────────────────────────────────┐ │ 社内ネットワーク (192.168.1.0/24) │ │ │ │ ┌─────────────────────────────────┐ │ │ │ ロードバランサー (1台) │ │ │ │ ・Nginx or HAProxy │ │ │ └────────┬────────────────────────┘ │ │ ↓ │ │ ┌────────┴────────┐ │ │ │ │ │ │ ↓ ↓ │ │ ┌─────────┐ ┌─────────┐ │ │ │App#1 │ │App#2 │ │ │ │OpenClaw │ │OpenClaw │ │ │ │(Docker) │ │(Docker) │ │ │ └────┬────┘ └────┬────┘ │ │ │ │ │ │ └─────┬───────┘ │ │ ↓ │ │ ┌────────────────┐ │ │ │ DBサーバー │ │ │ │ PostgreSQL │ │ │ │ (監査ログ) │ │ │ └────────────────┘ │ │ │ │ ┌────────────────┐ │ │ │バックアップサーバー│ │ │ │ NAS / 外部HDD │ │ │ └────────────────┘ │ └────────────────────────────────────────┘

メリット: 高可用性。負荷分散。DBとアプリを独立して保守できる。

デメリット: 初期投資が高い。構成が複雑で、保守に専門知識が必要。

ネットワーク設計(外部通信の扱い)

オンプレミスのネットワーク設計 — 完全閉域・プロキシ経由・直接接続の3パターン

外部通信制御の3パターン

オンプレ環境では、外部ネットワークへの通信を制御することがセキュリティの要です。以下の3つのパターンがあります。

パターン1: 完全閉域(推奨レベル:最高)

OpenClawサーバーを外部ネットワークと完全に分離し、インターネット接続を一切行わない構成です。

  • メリット: 情報漏洩リスクがゼロ。監査・コンプライアンス対応が容易。
  • デメリット: 外部APIが使えない。ライブラリの更新にオフライン手順が必要。
# iptablesで外部通信を完全遮断 sudo iptables -A OUTPUT -d 192.168.0.0/16 -j ACCEPT sudo iptables -A OUTPUT -d 10.0.0.0/8 -j ACCEPT sudo iptables -A OUTPUT -j DROP

パターン2: プロキシ経由(推奨レベル:高)

外部通信が必要な場合は、プロキシサーバー経由で接続し、ログをすべて記録します。

  • メリット: 外部APIが使える。通信ログで監査可能。
  • デメリット: プロキシサーバーの構築・保守が必要。通信が遅延する。

パターン3: 直接接続(推奨レベル:中)

OpenClawサーバーが直接インターネットに接続する構成です。中小企業で多く採用されますが、セキュリティリスクが高まります。

  • 必須対策: ファイアウォールで許可するドメイン・IPを明示的に指定。外部への通信を監視・ログ記録。
注意: 金融・医療など高いセキュリティが求められる業界では、完全閉域またはプロキシ経由を推奨します。直接接続は避けてください。

バックアップと復旧手順

バックアップと復旧手順 — 日次フルバックアップ・週次・月次の3層設計

バックアップ3層設計と復旧フロー

オンプレ環境では、バックアップは自動化が必須です。以下の3層でバックアップを設計します。

バックアップ対象

  • 監査ログDB: 日次で完全バックアップ
  • OpenClaw設定ファイル: 週次でバックアップ
  • Dockerイメージ: バージョンアップ前に保存
  • ユーザーデータ: 実行履歴、下書きデータなど

バックアップ保管ルール

バックアップ種別 頻度 保管期間
フルバックアップ 毎日 30日間
週次バックアップ 毎週日曜 3ヶ月間
月次バックアップ 毎月1日 1年間

バックアップ自動化スクリプト例

#!/bin/bash # OpenClaw日次バックアップスクリプト BACKUP_DIR="/backup/openclaw" DATE=$(date +%Y%m%d) # DBバックアップ docker exec openclaw-db pg_dump -U postgres openclaw_db > \ "$BACKUP_DIR/db_$DATE.sql" # 設定ファイルバックアップ tar -czf "$BACKUP_DIR/config_$DATE.tar.gz" \ /opt/openclaw/config # 30日前のバックアップを削除 find "$BACKUP_DIR" -type f -mtime +30 -delete

復旧手順

  1. バックアップから設定ファイルを復元
  2. Dockerコンテナを再作成
  3. DBバックアップからデータを復元
  4. 動作確認(ログ閲覧、承認フローのテスト)
  5. 監査ログに復旧作業を記録

復旧手順は必ずマニュアル化し、年2回の復旧訓練を実施してください。障害時に初めて手順を確認すると、復旧に時間がかかります。

更新運用(壊さずアップデートする方法)

Blue-Green更新戦略のフロー図 — 検証環境テスト→バックアップ→本番更新→ロールバック計画

安全なアップデートのためのBlue-Green戦略

OpenClawやDocker、OSのアップデートは定期的に必要ですが、本番環境で直接更新すると障害リスクが高まります。以下の手順で安全にアップデートします。

  1. 検証環境で更新テスト: 本番と同じ構成の検証環境で、更新後の動作を確認
  2. バックアップ取得: 本番環境の完全バックアップを取得
  3. メンテナンス告知: 社内に更新日時を事前通知
  4. 本番環境で更新: 営業時間外に更新作業を実施
  5. 動作確認: ログ確認、承認フローのテスト実行
  6. ロールバック計画: 問題が発生した場合、5分以内にバックアップから復旧できる手順を用意
注意: 「営業時間中にちょっとだけ更新」は絶対に避けてください。必ず検証環境でテストし、バックアップを取得してから更新してください。

OpenClawオンプレミス構築 導入前チェックリスト

構築を始める前に、以下の項目を確認してください。抜け漏れがあると、後工程での手戻りや本番障害の原因になります。

  • サーバー調達とラッキング: 必要スペックを満たすサーバーを調達し、ラック搭載・電源・物理配線まで完了させる
  • ネットワーク設計(VLAN分離、ファイアウォール): OpenClawサーバーを独立したVLANに配置し、外部通信を許可するIPとポートをファイアウォールで明示的に制限する
  • OS・ミドルウェアのインストールと初期設定: Ubuntu Server 22.04 LTS(またはRHEL 9)インストール、Docker・Nginx・PostgreSQLのセットアップ、セキュリティパッチの適用まで完了させる
  • バックアップ・リストア手順の確立: バックアップスクリプトの自動化とcron設定、リストア手順をマニュアル化し、実際にリストアテストを実施する
  • 監視・アラートの設定: CPU・メモリ・ディスク使用率の閾値アラート、死活監視(ping/ポート監視)、ログ集約ツール(Prometheus + Grafana等)を導入する
  • 運用ドキュメントの整備: 構成図・IP一覧・更新手順・障害対応フローをドキュメント化し、担当者が休暇中でも他のメンバーが対応できる状態にする
  • 負荷テストの実施: 想定同時接続数の1.5倍以上のトラフィックをかけ、レスポンスタイムとリソース使用率が許容範囲内であることを確認する
ポイント: これらの項目は「後で対応すればいい」と思われがちですが、本番稼働後に整備しようとすると、業務への影響を避けながら作業する必要があり、工数が2〜3倍に膨らみます。稼働前に完了させることが、長期的なコスト削減につながります。

まとめ

OpenClawをオンプレで運用するためには、構成設計・ネットワーク分離・バックアップ・更新運用の4点を事前に設計する必要があります。小規模なら1台構成、中規模以上なら分離構成を推奨します。

特に、バックアップと復旧手順は必ずマニュアル化し、定期的に訓練を実施してください。障害時に初めて手順を確認すると、復旧に時間がかかり、業務影響が拡大します。

オンプレ構築が難しい場合は、VPS運用や構築代行サービスも検討しましょう。詳しくは関連記事を参照してください。

よくある質問

既存のオンプレサーバーでOpenClawを動かせますか?
Dockerが動作するLinux環境であれば基本的に可能です。ただしCPU/メモリの空きリソースとネットワーク設定の確認が必要です。
クラウドとオンプレのハイブリッド構成は可能ですか?
可能です。処理はオンプレで行い、モデルAPIの呼び出しのみクラウド経由にする構成が一般的です。データの外部送信範囲を明確に定義しましょう。
オンプレミス環境に必要なサーバースペックは?
最小構成でCPU 4コア、メモリ16GB、SSD 500GBです。中規模(同時接続100人程度)ではCPU 8コア、メモリ32GB、SSD 1TB推奨です。冗長構成にする場合はこれを2セット用意してください。
クラウドとオンプレのハイブリッド構成(アプリ+バックアップ分離)は可能ですか?
可能です。アプリケーションサーバーをオンプレに、バックアップやCDNをクラウドに配置するハイブリッド構成は、セキュリティとスケーラビリティを両立できる選択肢です。VPN接続で安全にデータ同期できます。
オンプレからクラウドへの移行は後からできますか?
Docker環境で構築していれば比較的容易です。docker-compose.ymlとデータボリュームをクラウドサーバーにコピーし、DNS設定を切り替えるだけで移行できます。非Docker環境の場合は1〜2週間の移行作業を見込んでください。
社内ネットワークからのみアクセスさせたい場合は?
ファイアウォールで社内IPアドレスのみ許可する設定が最も簡単です。リモートワーク対応が必要な場合はVPN(WireGuard推奨)を併用してください。NginxのallowとdenyディレクティブでもIP制限が可能です。
災害対策(DR)はどう考えるべきですか?
最低限、日次バックアップの遠隔地保管(クラウドストレージ等)を実施してください。RTO(復旧目標時間)を4時間以内にする場合は、別リージョンにスタンバイサーバーを用意するコールドスタンバイ構成を推奨します。

関連記事

OpenClaw導入手順(Docker)
OpenClaw導入手順(Docker)
Dockerで動かす方法と詰まりポイント
 OpenClawをVPSで運用する方法
OpenClawをVPSで運用する方法
オンプレ寄りで始める現実的な構成
 OpenClawのセキュリティ設計
OpenClawのセキュリティ設計
権限最小化・承認フロー・監査ログの基本

OpenClawの導入を検討していますか?

設計・構築・保守まで、構築代行会社を比較して最適なパートナーを見つけましょう。

構築代行会社を比較する →
構築代行会社を比較する
目次
  1. オンプレ導入が必要になるケース
  2. 構成例(小規模・中規模)
  3. ネットワーク設計(外部通信の扱い)
  4. バックアップと復旧手順
  5. 更新運用(壊さずアップデートする方法)
  6. 導入前チェックリスト
  7. まとめ
  8. よくある質問
無料で比較 構築代行会社を
比較して選ぶ 比較する →