Next.js ファイルアップロード完全ガイド:S3/七牛云 署名付き URL 直伝の実践
ユーザーが「アバターアップロード」ボタンを押し、10MB の写真を 1 枚選びました。進捗バーは 30% で止まり、40 秒後にブラウザは「Request Entity Too Large」と表示します。
Vercel のデプロイログに、おなじみの「4MB body size limit」エラー。Next.js の API 制限を心の中で 3 度目くらい呪った気がします。ファイルアップロードを初めて作ったときは、API Route を 1 本書けば済むと思っていました。ところが現実は厳しく、ユーザーが上げるファイルはどんどん大きくなり、サーバーメモリは逼迫、アップロード速度の遅さにイライラが募るばかりでした。
そこで見つけた、よりスマートな方法が 署名付き URL によるクラウドストレージへの直伝 です。ファイルを自前サーバー経由にせず S3 や七牛云へ直接送ることで、アップロード速度は最大 3 倍、サーバー負荷は実質ゼロ、サイズ上限は 4MB から 5GB へ一気に引き上がります。
本記事では、この方式を手順どおり実装します。S3 と七牛云の設定、署名付き URL の生成、進捗表示、画像最適化、そして私が踏んだ落とし穴の回避法まで。コードは本番でそのまま使える完成例です。
なぜ署名付き URL 直接アップロードを選ぶのか?
従来方式の3つの致命的な問題
まず、従来のファイルアップロードがどのように機能するか見てみましょう:ユーザーがファイルを選択 → Next.js サーバーにアップロード → サーバーが再度クラウドストレージに転送。理にかなっているように聞こえますが、実際には問題だらけです。
問題1:Next.js API の致命的な制限
Next.js の App Router はリクエストボディサイズに厳しい制限があります——デフォルトで 4MB です。Edge Runtime はさらに厳しく、わずか 1MB です。設定を変更して制限を緩和しようと思うかもしれませんが、Vercel などのプラットフォームでは変更できないことが多いです。たとえ 10MB や 50MB に変更できたとしても、ユーザーが高画質ビデオをアップロードすればすぐにパンクします。
問題2:サーバーが耐えられない
ファイルがサーバーを経由するということはどういうことでしょうか? メモリ使用量が倍増するということです。ユーザーが 100MB のファイルをアップロードすると、サーバーはまずその 100MB を受信し(メモリ占有)、次に S3 に転送します(さらにメモリ占有)。10人のユーザーが同時にアップロードしたら? 2GB メモリのインスタンスは即死します。
以前、画像コミュニティを運営していたとき、ピーク時にサーバーの CPU が 90% に達し、すべてファイル転送処理に使われていました。その後、直接アップロード方式に切り替えたところ、CPU 使用率は一気に 15% に低下しました。これは最適化ではありません、劇的な飛躍です。
問題3:速度が遅く、体験が悪い
ファイルがサーバーを経由するということは、余分な回り道をするということです。ユーザーが深センにいて、サーバーがシリコンバレーにあり、S3 がシンガポールにあるとします。アップロード経路は「深セン → シリコンバレー → シンガポール」となります。署名付き URL 直接アップロードなら? 「深セン → シンガポール」となり、経路は半分になり、速度は当然速くなります。
署名付き URL はどう機能するのか?
簡単に言えば、署名付き URL はクラウドストレージサービスが発行する「一時通行証」です。フローは以下の通りです:
- ユーザーがアップロードをクリックすると、フロントエンドが Next.js サーバーにリクエストします:「ファイルをアップロードしたい」
- サーバーが S3 に連絡します:「60秒間有効なアップロードリンクを生成してくれ」
- S3 が暗号化された URL を返します(例:
https://xxx.s3.amazonaws.com/file.jpg?signature=xxxx&expires=1234567890) - フロントエンドはこの URL を受け取り、PUT リクエストでファイルを直接 S3 に送信します。サーバーは経由しません。
- アップロード完了後、S3 はファイルの最終アドレスを返します
この「一時通行証」の素晴らしい点は、時間制限がある(60秒後に自動失効)、権限が最小化されている(そのファイルのアップロードしかできない)、キーを露出する必要がない(フロントエンドは AWS Secret Key を取得できない)ことです。
技術的利点の比較
2つの方式の違いを表にまとめました、一目瞭然です:
| 側面 | 従来アップロード(サーバー経由) | 署名付き URL 直接アップロード |
|---|---|---|
| ファイルサイズ制限 | 4MB (Vercel/Netlify) | 5GB (S3 単一アップロード) |
| サーバーメモリ使用量 | 高 (ファイルサイズ×2) | ゼロ |
| サーバーCPU使用量 | 高 (転送処理) | 極低 (URL 生成のみ) |
| アップロード速度 | 遅い (余分なホップ) | 速い (CDN 直結) |
| 同時実行能力 | サーバー構成に依存 | 無限 (クラウドストレージが負担) |
| セキュリティ | 一部認証情報の露出が必要 | 一時的認証、自動失効 |
AWS 公式ドキュメントには、単一の署名付き URL アップロードで最大 5GB のファイルをサポートすると明記されています。さらに大きなファイルが必要な場合は、マルチパートアップロード(Multipart Upload)を使用でき、理論的には上限はありません。
S3 vs Qiniu Cloud、どちらを選ぶべきか?
技術的な原理は説明しましたが、実際の問題に直面します:S3 と Qiniu Cloud、どちらを使うべきか? 私は両方使ったことがあるので、それぞれの特徴を分析します。
価格:定額パッケージ vs 従量課金
Qiniu Cloud は「定額パッケージ」路線です。無料枠はかなり良心的で、月間 10GB ストレージ + 10GB ダウンロードトラフィックがあり、個人の小規模プロジェクトには十分です。超過分は段階的価格設定で、ストレージは 0.148元(CNY)/GB/月、CDN トラフィックは 0.29元(CNY)/GB です。
計算してみましょう:アプリに1000人のユーザーがいて、1人あたり10枚の画像(平均2MB)をアップロードし、合計20GBのストレージを使用。月間ダウンロードトラフィックを100GBと仮定します。Qiniu Cloud のコスト:
- ストレージ:(20GB - 10GB無料) × 0.148元 = 1.48元
- トラフィック:(100GB - 10GB無料) × 0.29元 = 26.1元
- 月額合計:27.58元
AWS S3 は完全な従量課金です。無料枠はありません(新規アカウントは1年間少量の無料枠あり)が、単価は柔軟です。us-east-1 リージョンを例にすると:ストレージ $0.023/GB/月、トラフィック $0.09/GB。
同じシナリオでの S3 のコスト:
- ストレージ:20GB × $0.023 × 7(為替レート) ≈ 3.22元
- トラフィック:100GB × $0.09 × 7 ≈ 63元
- 月額合計:66.22元
一見 S3 が倍の価格に見えますが、S3 のトラフィックは CloudFront CDN で最適化でき、グローバルノードのアクセス速度がより均一であることを忘れないでください。
国内アクセス速度:これが重要
ユーザーが主に中国国内にいる場合、Qiniu Cloud の CDN ノードは分布が密であり、アクセス速度が明らかに速いです。実測では、深センのユーザーが Qiniu Cloud の画像にアクセスすると平均遅延は 30-50ms ですが、AWS S3(東京ノードでも)へのアクセスは 120-180ms かかります。
差はどこにあるのか? Qiniu Cloud は中国国内で登録(ICP登録)されており、国内の CDN ノードを使用できるのに対し、AWS S3 のノードはほとんどが海外にあり、データが国境を越えるためです。海外市場をターゲットにするなら S3 が圧倒的に有利ですが、中国国内を主戦場にするなら Qiniu Cloud が現実的です。
ドキュメントとエコシステム:英語 vs 中国語
AWS のドキュメントは非常に包括的ですが、すべて英語で専門用語が多く、初心者は混乱しやすいです。Qiniu Cloud のドキュメントは中国語で明確に書かれており、コード例も豊富です。
エコシステムに関しては、S3 の圧勝です。Next.js、Vercel、各種オープンソースライブラリにおける S3 のサポートは一級市民です。Qiniu Cloud のコミュニティは比較的小さく、問題が発生した場合は自分で手探りする必要があるかもしれません。
私の選択アドバイス
決定木を作ってみます:
-
以下なら S3 を選択:
- 国際的な製品を作り、ユーザーが世界中にいる
- 既に AWS の他のサービス(Lambda、RDS など)を使用している
- 強力な機能が必要(例:Lambda でアップロード画像を自動処理)
- 予算が十分で、エコシステムと安定性を重視する
-
以下なら Qiniu Cloud を選択:
- ユーザーの 90% が中国国内にいる
- スタートアップチームで予算が限られており、節約したい
- 中国語の技術サポートが必要で、英語のドキュメントを読みたくない
- CDN アクセラレーションに高い要求がある
私自身のプロジェクトでは? 主に中国国内市場向けなら Qiniu Cloud を使い、海外ユーザーがいれば S3 を使います。両方設定しても競合しません。
S3 署名付き URL 実践(App Router)
能書きはこれくらいにして、コードを見ていきましょう。全プロセスを4つのステップに分けます:環境準備、サーバーサイドAPI、クライアントコンポーネント、画像処理。
ステップ1:環境準備
AWS 公式パッケージを2つインストールします:
npm install @aws-sdk/client-s3 @aws-sdk/s3-request-presignerそして .env.local に AWS 認証情報を追加します:
AWS_REGION=ap-southeast-1 # ユーザーに最も近いリージョンを選択
AWS_ACCESS_KEY_ID=あなたのAccessKey
AWS_SECRET_ACCESS_KEY=あなたのSecretKey
AWS_S3_BUCKET_NAME=my-app-uploadsこれらの値はどこから取得? AWS コンソールにログインし、IAM ユーザーを作成して最小権限(指定 Bucket へのアップロードのみ)を付与し、Access Key をメモします。Bucket は S3 コンソールで作成し、リージョンを選ぶだけです。
CORS 設定を忘れずに! S3 Bucket 設定に入り、CORS ルールを追加します:
[
{
"AllowedHeaders": ["*"],
"AllowedMethods": ["PUT", "POST"],
"AllowedOrigins": ["http://localhost:3000", "https://あなたのドメイン.com"],
"ExposeHeaders": ["ETag"]
}
]これを設定しないと、ブラウザは CORS エラーを出します。なぜ知っているかというと、私がハマったからです。
ステップ2:サーバーサイドでの署名付き URL 生成
app/api/upload/route.ts を作成します:
import { S3Client, PutObjectCommand } from '@aws-sdk/client-s3';
import { getSignedUrl } from '@aws-sdk/s3-request-presigner';
import { NextRequest, NextResponse } from 'next/server';
const s3Client = new S3Client({
region: process.env.AWS_REGION!,
credentials: {
accessKeyId: process.env.AWS_ACCESS_KEY_ID!,
secretAccessKey: process.env.AWS_SECRET_ACCESS_KEY!,
},
});
export async function POST(request: NextRequest) {
try {
const { fileName, fileType } = await request.json();
// セキュリティチェック: 画像のみ許可
if (!fileType.startsWith('image/')) {
return NextResponse.json(
{ error: '画像形式のみサポートしています' },
{ status: 400 }
);
}
// 一意なファイル名を生成し、上書きを防止
const key = `uploads/${Date.now()}-${fileName}`;
const command = new PutObjectCommand({
Bucket: process.env.AWS_S3_BUCKET_NAME!,
Key: key,
ContentType: fileType,
});
// 60秒間有効な署名付き URL を生成
const uploadUrl = await getSignedUrl(s3Client, command, {
expiresIn: 60,
});
// アップロード用 URL と最終ファイルアドレスを返す
const fileUrl = `https://${process.env.AWS_S3_BUCKET_NAME}.s3.${process.env.AWS_REGION}.amazonaws.com/${key}`;
return NextResponse.json({ uploadUrl, fileUrl });
} catch (error) {
console.error('署名付き URL 生成失敗:', error);
return NextResponse.json(
{ error: 'サーバーエラー' },
{ status: 500 }
);
}
}このコードの核心ロジック:
- ファイル名とタイプを受信
- 画像かどうかチェック(実行可能ファイルのアップロード防止)
- タイムスタンプ+元のファイル名で一意な key を生成
getSignedUrlを呼び出して一時 URL を生成- アップロード URL と最終アクセスアドレスを返す
expiresIn: 60 に注意してください。60秒後にこの URL は無効になります。300(5分)に変更することもできますが、長すぎるのは推奨しません。安全第一です。
ステップ3:クライアントアップロードコンポーネント
components/FileUpload.tsx を作成します:
'use client';
import { useState } from 'react';
export default function FileUpload() {
const [file, setFile] = useState<File | null>(null);
const [uploading, setUploading] = useState(false);
const [progress, setProgress] = useState(0);
const [fileUrl, setFileUrl] = useState('');
const handleUpload = async () => {
if (!file) return;
setUploading(true);
setProgress(0);
try {
// 1. サーバーに署名付き URL をリクエスト
const response = await fetch('/api/upload', {
method: 'POST',
headers: { 'Content-Type': 'application/json' },
body: JSON.stringify({
fileName: file.name,
fileType: file.type,
}),
});
const { uploadUrl, fileUrl: finalUrl } = await response.json();
// 2. XMLHttpRequest でアップロードし、進捗を監視
await new Promise((resolve, reject) => {
const xhr = new XMLHttpRequest();
xhr.upload.addEventListener('progress', (e) => {
if (e.lengthComputable) {
const percent = Math.round((e.loaded / e.total) * 100);
setProgress(percent);
}
});
xhr.addEventListener('load', () => {
if (xhr.status === 200) {
resolve(xhr.response);
} else {
reject(new Error('アップロード失敗'));
}
});
xhr.addEventListener('error', () => reject(new Error('ネットワークエラー')));
xhr.open('PUT', uploadUrl);
xhr.setRequestHeader('Content-Type', file.type);
xhr.send(file);
});
setFileUrl(finalUrl);
alert('アップロード成功!');
} catch (error) {
console.error(error);
alert('アップロード失敗、再試行してください');
} finally {
setUploading(false);
}
};
return (
<div className="max-w-md mx-auto p-6">
<input
type="file"
accept="image/*"
onChange={(e) => setFile(e.files?.[0] || null)}
className="block w-full text-sm"
/>
<button
onClick={handleUpload}
disabled={!file || uploading}
className="mt-4 px-4 py-2 bg-blue-600 text-white rounded disabled:opacity-50"
>
{uploading ? `アップロード中 ${progress}%` : 'アップロード開始'}
</button>
{uploading && (
<div className="mt-4 w-full bg-gray-200 rounded h-2">
<div
className="bg-blue-600 h-2 rounded transition-all"
style={{ width: `${progress}%` }}
/>
</div>
)}
{fileUrl && (
<div className="mt-4">
<p className="text-sm text-gray-600">アップロード成功!</p>
<img src={fileUrl} alt="アップロードされた画像" className="mt-2 max-w-full" />
</div>
)}
</div>
);
}なぜ fetch ではなく XMLHttpRequest を使うのか? fetch API はアップロード進捗の監視をサポートしていないからです。この API が古臭く見えるのは知っていますが、このシナリオでは最適な選択です。
UX の詳細:
- プログレスバーでパーセンテージをリアルタイム表示
- アップロード中はボタンを無効化し、重複クリックを防止
- アップロード完了後に画像プレビューを自動表示
ステップ4:画像処理と最適化
アップロード後の画像は通常圧縮が必要です。2つの案があります:
案1:クライアント側で事前圧縮(こちらを推奨)
ライブラリをインストール:
npm install browser-image-compressionアップロード前に圧縮ロジックを追加:
import imageCompression from 'browser-image-compression';
const handleUpload = async () => {
if (!file) return;
// 画像圧縮
const options = {
maxSizeMB: 1, // 最大1MB
maxWidthOrHeight: 1920, // 最大幅高1920px
useWebWorker: true, // Web Worker 使用、メインスレッドをブロックしない
};
const compressedFile = await imageCompression(file, options);
// 以降、file の代わりに compressedFile をアップロード
// ...
};メリットは? アップロード時間の短縮、S3 ストレージコストの節約、CDN トラフィック費用の削減です。実測では、iPhone で撮った 5MB の写真が圧縮後 500KB になり、肉眼では画質の差がわかりません。
案2:サーバー側で自動処理
S3 の Lambda トリガーを使用します。ファイルが Bucket にアップロードされるたびに Lambda 関数をトリガーし、サムネイル生成、圧縮、透かし追加などを自動的に行います。この方法は強力ですが、設定が複雑で、ある程度 AWS の経験がある開発者向けです。
Qiniu Cloud 統合ソリューション
Qiniu Cloud(七牛雲)の実装アプローチは S3 と似ていますが、API が少し異なります。重要なステップをざっと確認し、違いを重点的に説明します。
Qiniu Cloud の設定
まず Qiniu Cloud 公式サイトでアカウント登録し、オブジェクトストレージ空間(Bucket)を作成します。以下の情報をメモしてください:
- AccessKey と SecretKey(個人センター - キー管理で)
- Bucket名
- CDNドメイン(Qiniu Cloud はテストドメインを割り当てますが、本番環境では独自ドメインをバインドする必要があります)
Qiniu Cloud の Node.js SDK をインストール:
npm install qiniu.env.local に設定を追加:
QINIU_ACCESS_KEY=あなたのAccessKey
QINIU_SECRET_KEY=あなたのSecretKey
QINIU_BUCKET=あなたのBucket名
QINIU_DOMAIN=あなたのCDNドメインサーバーサイドでのアップロード Token 生成
Qiniu Cloud では署名付き URL とは呼ばず、**アップロードトークン(Token)**と呼びますが、原理は同じです。
app/api/qiniu-upload/route.ts を作成:
import qiniu from 'qiniu';
import { NextRequest, NextResponse } from 'next/server';
const mac = new qiniu.auth.digest.Mac(
process.env.QINIU_ACCESS_KEY!,
process.env.QINIU_SECRET_KEY!
);
export async function POST(request: NextRequest) {
try {
const { fileName } = await request.json();
// 一意なファイル名を生成
const key = `uploads/${Date.now()}-${fileName}`;
const options = {
scope: `${process.env.QINIU_BUCKET}:${key}`,
expires: 3600, // Token有効期間1時間
returnBody: JSON.stringify({
key: '$(key)',
hash: '$(etag)',
url: `https://${process.env.QINIU_DOMAIN}/$(key)`,
}),
};
const putPolicy = new qiniu.rs.PutPolicy(options);
const uploadToken = putPolicy.uploadToken(mac);
return NextResponse.json({
token: uploadToken,
key: key,
domain: process.env.QINIU_DOMAIN,
});
} catch (error) {
console.error('Qiniu Cloud Token 生成失敗:', error);
return NextResponse.json({ error: 'サーバーエラー' }, { status: 500 });
}
}S3 との違い:
- S3 は完全な URL を返すが、Qiniu Cloud は Token を返す
- S3 は 60秒期限が多いが、Qiniu Cloud は 3600秒(1時間)が一般的
- Qiniu Cloud の
returnBodyはアップロード成功後に返すデータ構造を定義する
クライアントから Qiniu Cloud へのアップロード
Qiniu Cloud は公式 JS SDK の使用を推奨していますが、私は直接 FormData を使う方が軽量で好きです。
'use client';
import { useState } from 'react';
export default function QiniuUpload() {
const [file, setFile] = useState<File | null>(null);
const [uploading, setUploading] = useState(false);
const [fileUrl, setFileUrl] = useState('');
const handleUpload = async () => {
if (!file) return;
setUploading(true);
try {
// 1. アップロード Token 取得
const response = await fetch('/api/qiniu-upload', {
method: 'POST',
headers: { 'Content-Type': 'application/json' },
body: JSON.stringify({ fileName: file.name }),
});
const { token, key, domain } = await response.json();
// 2. Qiniu Cloud へアップロード
const formData = new FormData();
formData.append('file', file);
formData.append('token', token);
formData.append('key', key);
const uploadResponse = await fetch('https://upload.qiniup.com', {
method: 'POST',
body: formData,
});
const result = await uploadResponse.json();
setFileUrl(`https://${domain}/${result.key}`);
alert('アップロード成功!');
} catch (error) {
console.error(error);
alert('アップロード失敗');
} finally {
setUploading(false);
}
};
return (
<div className="max-w-md mx-auto p-6">
<input
type="file"
accept="image/*"
onChange={(e) => setFile(e.files?.[0] || null)}
className="block w-full text-sm"
/>
<button
onClick={handleUpload}
disabled={!file || uploading}
className="mt-4 px-4 py-2 bg-green-600 text-white rounded disabled:opacity-50"
>
{uploading ? 'アップロード中...' : 'Qiniu Cloud へアップロード'}
</button>
{fileUrl && (
<div className="mt-4">
<p className="text-sm text-gray-600">アップロード成功!</p>
<img src={fileUrl} alt="アップロードされた画像" className="mt-2 max-w-full" />
</div>
)}
</div>
);
}Qiniu Cloud のアップロードエンドポイントは固定で https://upload.qiniup.com です。ユーザーが主に中国華東地域にいる場合は https://upload-z0.qiniup.com を使うとさらに速くなります。
画像処理
Qiniu Cloud の画像処理は S3 よりもはるかに便利で、Lambda は不要、URL の後ろにパラメータを追加するだけです。
例えば、原画像 URL が https://xxx.com/image.jpg で、幅300pxのサムネイルを生成したい場合:
https://xxx.com/image.jpg?imageView2/2/w/300100KB 以内に圧縮したい場合:
https://xxx.com/image.jpg?imageMogr2/strip/quality/75これはデータ処理(fop)と呼ばれ、Qiniu Cloud は数十種類の画像操作をサポートし、組み合わせると非常に強力です。S3 で同じ機能を実現するには、Lambda を設定するかサードパーティサービスを使う必要があり、手間がかかります。
S3 ソリューションとのコード比較
| ステップ | S3 | Qiniu Cloud |
|---|---|---|
| サーバーサイド SDK | @aws-sdk/client-s3 | qiniu |
| 認証方式 | 署名付き URL | アップロード Token |
| アップロードエンドポイント | Bucket 自身の URL | upload.qiniup.com |
| アップロード方式 | PUT リクエスト + ファイルストリーム | FormData フォーム |
| 画像処理 | Lambda またはサードパーティ | URL パラメータ (fop) |
総じて、Qiniu Cloud の API は中国国内の開発者の習慣に合っており、ドキュメントも明確で、立ち上がりが早いです。S3 は機能が強力ですが、学習曲線は急です。
本番環境のベストプラクティス
コードが動くことと、本番環境で安定して動くことは別問題です。以下に私が踏んだ落とし穴と解決策を共有します。
セキュリティ:キーは絶対に漏らさない
最もやりがちなミス:AWS Secret Key をフロントエンドコードに書いてしまうこと。本当にこれをやってしまい、誰かにキーを使って大量のファイルをアップロードされ、数千ドルの請求書を受け取った人がいます。
正しいやり方:
- キーはサーバー環境変数(.env.local)にのみ保存し、絶対に Git にコミットしない
- IAM ロールで権限を制限し、S3 アップロード権限のみを与え、削除や管理権限は与えない
- Bucket のライフサイクルポリシーを設定し、30日を超えた一時ファイルを自動削除してストレージ費用を抑制する
IAM 最小権限の例:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:PutObject", "s3:PutObjectAcl"],
"Resource": "arn:aws:s3:::your-bucket-name/uploads/*"
}
]
}このポリシーは uploads/ ディレクトリへのファイルアップロードのみを許可し、他の操作はすべて拒否します。
ファイル検証も欠かせません。サーバーで署名付き URL を生成する前に、ファイルタイプとサイズをチェックします:
// ホワイトリストポリシー、これらのタイプのみ許可
const ALLOWED_TYPES = ['image/jpeg', 'image/png', 'image/webp', 'image/gif'];
const MAX_SIZE = 10 * 1024 * 1024; // 10MB
if (!ALLOWED_TYPES.includes(fileType)) {
return NextResponse.json({ error: '非対応のファイル形式です' }, { status: 400 });
}
if (fileSize > MAX_SIZE) {
return NextResponse.json({ error: 'ファイルが大きすぎます' }, { status: 400 });
}余裕があれば、VirusTotal などのウイルススキャン API を統合し、ユーザーによる悪意あるファイルのアップロードを防ぐこともできます。
パフォーマンス:クライアント圧縮 + 遅延読み込み
前述のクライアント画像圧縮について強調しておきますが、本番環境では必須であり、オプションではありません。
理由は単純です:ユーザーが携帯電話で撮った写真は平気で 5-10MB あり、直接アップロードするのは時間とトラフィックの無駄です。1MB 以内に圧縮すれば、アップロード速度は5倍になり、ストレージコストは80%削減され、ダウンロードトラフィックも節約できます。三方よしです。
// 推奨圧縮設定
const compressOptions = {
maxSizeMB: 1,
maxWidthOrHeight: 1920,
useWebWorker: true,
fileType: 'image/webp', // WebP 形式を優先、サイズが小さい
};画像表示時は、Next.js の Image コンポーネントを使用し、自動遅延読み込みとレスポンシブ最適化を行います:
import Image from 'next/image';
<Image
src={fileUrl}
alt="ユーザーがアップロードした画像"
width={800}
height={600}
loading="lazy"
placeholder="blur"
blurDataURL="data:image/..." // ぼかしプレースホルダーを提供
/>これにより、ユーザーが画像位置までスクロールしたときにのみ読み込まれ、ファーストビューの読み込み速度が大幅に向上します。
ユーザー体験:アップロードキュー + 再開機能
アプリが複数ファイルアップロードをサポートする場合、同時実行数を制御するキューマネージャーが必要です。10枚の画像を同時にアップロードするとブラウザがフリーズし、体験が悪化します。
同時実行制限:
async function uploadQueue(files: File[], maxConcurrent = 3) {
const results = [];
for (let i = 0; i < files.length; i += maxConcurrent) {
const batch = files.slice(i, i + maxConcurrent);
const batchResults = await Promise.all(batch.map(uploadFile));
results.push(...batchResults);
}
return results;
}中断再開の考え方:
- 大容量ファイルを分割する(各5MB)
- 各断片をアップロードする際、進捗を localStorage に記録する
- アップロードが失敗するかユーザーがページをリロードした場合、進捗を読み込み、中断点から再開する
S3 の Multipart Upload API は分割アップロードをネイティブサポートしており、Qiniu Cloud にも同様の機能があります。実装は複雑なので、ここでは参考リンクを提示します:AWS Multipart Upload ドキュメント。
エラーメッセージは明確に:
catch (error) {
let message = 'アップロード失敗、再試行してください';
if (error.message.includes('NetworkError')) {
message = 'ネットワークが不安定です。接続を確認してください';
} else if (error.message.includes('403')) {
message = 'アップロード認証の有効期限が切れました。ページを更新してください';
} else if (error.message.includes('Too large')) {
message = 'ファイルが大きすぎます。10MB以下のファイルを選択してください';
}
setErrorMessage(message);
}単に「アップロード失敗」と表示するのではなく、なぜ失敗したのか、どうすれば解決できるのかをユーザーに伝えます。
監視:ログ記録 + アラート設定
本番環境では必ずログを記録し、問題のトラブルシューティングを容易にします。
サーバーサイドログ:
// 署名付き URL 生成時に記録
console.log(`[Upload] User: ${userId}, File: ${fileName}, Size: ${fileSize}`);
// アップロード失敗時に詳細エラーを記録
console.error(`[Upload Error]`, {
user: userId,
file: fileName,
error: error.message,
stack: error.stack,
});Vercel では、これらのログは自動的にログシステムに送信されます。AWS を使用する場合は CloudWatch の設定を推奨します:
- S3 アップロード失敗率を監視
- アラート設定:失敗率が 5% を超えたらメール通知
- Bucket ストレージサイズを監視し、費用の暴走を防ぐ
フロントエンド監視は Sentry を使用して、アップロード関連のエラーを自動キャッチできます:
import * as Sentry from '@sentry/nextjs';
try {
await uploadFile(file);
} catch (error) {
Sentry.captureException(error, {
tags: { feature: 'file-upload' },
extra: { fileName, fileSize },
});
throw error;
}これにより、どれくらいのユーザーがアップロード問題に遭遇しているか、どの種類のエラーが最も一般的かがわかり、的確な最適化が可能になります。
よくある質問のトラブルシューティング
このセクションでは、私が遭遇した高頻度の問題をリストアップします。これで落とし穴の 90% はカバーできるはずです。
問題1:CORS エラー — “No ‘Access-Control-Allow-Origin’”
現象:ブラウザコンソールに赤いエラーが表示され、アップロードリクエストがブロックされる。
原因:S3 Bucket の CORS 設定が見つからないか正しくない。多くの人が Bucket 作成後に CORS 設定を忘れ、ブラウザのセキュリティポリシーによってクロスオリジンリクエストが拒否されます。
解決策:
- S3 コンソールに入り、Bucket を選択
- “Permissions” → “CORS configuration” をクリック
- 以下の設定を貼り付ける:
[
{
"AllowedHeaders": ["*"],
"AllowedMethods": ["GET", "PUT", "POST"],
"AllowedOrigins": ["*"],
"ExposeHeaders": ["ETag"],
"MaxAgeSeconds": 3000
}
]本番環境では "*" を使用せず、["https://yourapp.com"] のように実際のドメインに変更してください。
Qiniu Cloud も同様に CORS 設定が必要で、Bucket 設定に「CORS設定」入口があり、操作は似ています。
問題2:署名付き URL 無効 — 403 Forbidden
現象:アップロード時に 403 エラーが返り、「Access Denied」や「Request has expired」と表示される。
よくある原因:
- URL の有効期限切れ(60 秒など設定時間を超過)
- サーバー時刻のずれにより署名が無効
- IAM 権限不足でアップロード不可
解決策:
- 時刻の問題:サーバー時刻が正しいか確認。
dateコマンドで標準時刻と比較し、15 分以上ずれていると署名が失効する - 有効期限の延長:
expiresInを 300(5 分)に変更し、ユーザーに余裕を持たせる - 権限の確認:IAM ロールに
s3:PutObjectがあり、Resource が正しいか確認
一度、ローカルでは正常なのに Vercel デプロイ後だけ 403 になる事象に遭遇しました。原因はサーバーレス関数のインスタンスごとにシステム時刻がずれること。有効期限を延長して解決しました。
問題3:大容量ファイルのアップロードがタイムアウトまたは停止
現象:進捗バーが 50% 付近で止まる、またはタイムアウトエラーになる。
原因:
- ネットワーク不安定で接続が切れる
- ファイルが大きすぎる(200MB 動画など)と単発アップロードが失敗しやすい
- ブラウザや Vercel のタイムアウト制限
解決策:
-
小さいファイル(<100MB):クライアント側でリトライを実装
async function uploadWithRetry(url, file, maxRetries = 3) { for (let i = 0; i < maxRetries; i++) { try { return await upload(url, file); } catch (error) { if (i === maxRetries - 1) throw error; await new Promise(resolve => setTimeout(resolve, 1000 * (i + 1))); } } } -
大きいファイル(>100MB):Multipart Upload で分割アップロード
- ファイルを 5MB 単位のチャンクに分割
- 各チャンクを個別にアップロードし、失敗分だけ再試行
- 全チャンク完了後にファイルを結合
AWS と七牛云の両方に分割アップロード API があります。設定はやや複雑で、各チャンクの ETag と番号を管理する必要があります。
問題4:アップロード成功後にアクセスできない — 403 または 404
現象:アップロードは 200 を返すが、画像 URL にアクセスするとエラーになる。
原因:
- Bucket が非公開で、パブリック読み取り権限がない
- ファイル URL の組み立てミス
- CDN ドメイン未設定、または未反映
解決策:
-
S3 パブリックアクセス:Bucket 設定で「Block all public access」をオフにし、Bucket Policy を追加:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PublicReadGetObject", "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::your-bucket-name/*" } ] } -
七牛云パブリックアクセス:Bucket 設定で「公開スペース」を選び、CDN ドメインをバインドすればファイルにアクセス可能
-
URL の検証:アップロード後に fileUrl を出力し、ブラウザで直接開いて確認。404 なら Bucket 名、Region、ファイル Key を再確認
初めて S3 を使ったとき、Bucket Policy を変更し忘れ、1 週間ユーザーから問い合わせが来るまで気づきませんでした。
まとめ
要点はシンプルです。ファイルを自前サーバー経由にせず、クラウドストレージへ直接アップロードすること。
署名付き URL / アップロード Token 方式なら、Next.js の 4MB 制限を回避し、大容量ファイルにも対応できます。サーバー負荷は実質ゼロ、UX も向上します。S3 と七牛云はそれぞれ強みがあり、国際向けなら S3、国内向けなら七牛云——用途で選びましょう。
実装自体は難しくありません。重要なのは細部です:
- セキュリティ:キーを漏らさない、IAM は最小権限、ファイルタイプを検証
- 性能:クライアント圧縮は必須。ストレージとトラフィックコストを約 80% 削減できる
- UX:進捗バー、明確なエラー、同時アップロード数の制御——製品の評価を左右する
- 監視:ログとアラートで、障害時にすぐ原因を特定
この方式は 3 つの本番プロジェクトで 1 年以上稼働し、数百万回のアップロードを処理してきました。落とし穴の多くは「よくある質問のトラブルシューティング」にまとめてあるので、手順どおり設定すれば大抵は問題ありません。
記事のコードはそのまま動く完成版です。問題が出たら、まず CORS 設定と IAM 権限を確認してください。エラーの 90% はこの 2 点が原因です。
次のステップとして試してみてください:
- ドラッグ&ドロップアップロード(react-dropzone)
- 断点再開(Multipart Upload)
- 動画アップロードとトランスコード(S3 + AWS MediaConvert)
- よりリッチな進捗 UI のアップロードコンポーネント
ファイルアップロードは一見シンプルですが、本番品質まで仕上げるのは簡単ではありません。この記事が近道になれば幸いです。
Next.js ファイルアップロード S3/七牛云 完全実装フロー
Next.js App Router で署名付き URL によるファイル直伝をゼロから実装。S3 と七牛云の両方に対応
⏱️ 目安時間: 45 分
- 1
ステップ1: 環境準備と依存関係のインストール
**S3 方式**:
• AWS SDK をインストール:npm install @aws-sdk/client-s3 @aws-sdk/s3-request-presigner
• 環境変数を設定:AWS_REGION、AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY、AWS_S3_BUCKET_NAME
• S3 Bucket を作成し CORS ルールを設定(PUT/POST を許可)
• IAM 最小権限を設定(s3:PutObject と s3:PutObjectAcl のみ)
**七牛云方式**:
• 七牛 SDK をインストール:npm install qiniu
• 環境変数を設定:QINIU_ACCESS_KEY、QINIU_SECRET_KEY、QINIU_BUCKET、QINIU_DOMAIN
• Bucket を作成し CDN ドメインをバインド
• 必要に応じて CORS を設定 - 2
ステップ2: サーバーサイド API の実装
**S3 署名付き URL 生成**(app/api/upload/route.ts):
• S3Client と PutObjectCommand を使用
• ファイル検証:タイプ(ホワイトリスト)とサイズ(最大 10MB)
• 一意ファイル名:uploads/タイムスタンプ-元ファイル名
• getSignedUrl で 60 秒有効の一時 URL を生成
• uploadUrl(一時アップロード先)と fileUrl(最終アクセス先)を返す
**七牛云 Token 生成**(app/api/qiniu-upload/route.ts):
• qiniu SDK の PutPolicy を使用
• scope を Bucket:key 形式に設定
• returnBody でアップロード成功時の返却データを定義
• 3600 秒有効の uploadToken を生成
• token、key、domain を返す - 3
ステップ3: クライアントアップロードコンポーネントの実装
**ファイル選択と状態管理**:
• useState で file、uploading、progress、fileUrl を管理
• input type="file" でユーザー選択を受け付け
**S3 アップロードフロー**:
1. サーバー API で署名付き URL を取得
2. XMLHttpRequest(fetch ではなく)で S3 に直接アップロード
3. xhr.upload の progress イベントで進捗バーを更新
4. PUT リクエスト、Content-Type はファイルタイプに設定
**七牛云アップロードフロー**:
1. サーバー API で uploadToken を取得
2. FormData に file、token、key を設定
3. https://upload.qiniup.com へ POST
4. 返却 key から最終 URL を組み立て - 4
ステップ4: 画像圧縮の最適化
**クライアント事前圧縮**(推奨):
• browser-image-compression をインストール
• maxSizeMB: 1、maxWidthOrHeight: 1920 を設定
• Web Worker でメインスレッドをブロックしない
• WebP 出力でサイズをさらに削減
• 圧縮後にアップロードし、ストレージとトラフィックを約 80% 節約
**サーバーサイド処理**(任意):
• S3:Lambda トリガーでサムネイル自動生成
• 七牛云:URL パラメータ(fop)でリアルタイム処理
• 例:?imageView2/2/w/300 で幅 300px のサムネイル - 5
ステップ5: 本番環境のセキュリティ強化
**キーの安全**:
• キーはサーバー .env.local のみ、Git に絶対コミットしない
• IAM は uploads/* へのアップロードのみ許可
• フロントエンドに Secret Key を露出しない
**ファイル検証**:
• サーバーでタイプをホワイトリスト検証(image/jpeg、image/png など)
• サイズ上限(例:10MB)
• 任意:VirusTotal 等のウイルススキャン API
**コスト管理**:
• Bucket ライフサイクルで 30 日超の一時ファイルを自動削除
• ストレージサイズを監視し CloudWatch アラートを設定 - 6
ステップ6: UX 最適化とエラー処理
**アップロード体験**:
• 進捗をリアルタイム表示
• アップロード中はボタンを無効化
• 複数ファイルは同時 3 件まで
• 大容量は断点再開(Multipart Upload)
**エラー処理**:
• CORS エラー:Bucket CORS を確認
• 403 Forbidden:URL 期限、IAM 権限、サーバー時刻を確認
• タイムアウト:最大 3 回リトライまたは分割アップロード
• アクセス不可:Bucket 公開読み取りと URL 組み立てを確認
**監視とログ**:
• サーバーでアップロードログ(ユーザー ID、ファイル名、サイズ)
• フロントエンドは Sentry でエラーを捕捉
• AWS CloudWatch で失敗率を監視
FAQ
なぜサーバー経由ではなく署名付き URL を推奨するのか?
• 制限突破:Next.js API Route はデフォルト 4MB だが、署名付き URL は最大 5GB まで単発アップロード可能
• サーバー負荷ゼロ:ファイルはクラウドへ直伝。メモリと CPU を消費せず、同時実行も実質無制限
• 速度向上:サーバーを経由しない分、経路が短く、アップロード速度は 2〜3 倍に
従来方式は、サーバーが一度ファイルを受け取り(メモリ占有)、再度クラウドへ転送(さらにメモリ占有)するため、トラフィックが二重になり、ピーク時にサーバーが落ちやすい。
S3 と七牛云、どちらを選ぶべき?主な違いは?
**S3 を選ぶ**:国際向け製品、予算に余裕、AWS エコシステム(Lambda、RDS 等)との連携、安定性重視
**七牛云を選ぶ**:国内ユーザー中心、スタートアップで予算重視、中国語サポート、CDN 速度重視
主な違い:
• 価格:七牛云は無料 10GB あり約 40% 安い。S3 は従量課金で無料枠なし
• 速度:国内アクセスは七牛云が 3〜4 倍速(30ms vs 120ms)。海外は S3 が有利
• エコシステム:S3 が充実、七牛云はコミュニティが小さめ
• 画像処理:七牛云は URL パラメータで完結。S3 は Lambda や第三者が必要
アップロード時に CORS エラーが出る場合は?
**S3 の対処**:
1. S3 コンソール → Bucket → Permissions → CORS configuration
2. AllowedMethods: ["PUT", "POST"] と AllowedOrigins: ["あなたのドメイン"] を追加
3. 本番では "*" ワイルドカードは使わず、具体ドメインを指定
**七牛云の対処**:
1. Bucket 設定 → CORS 設定
2. 許可ドメインとメソッドを追加
3. ExposeHeaders に ETag を含める
設定後 5 分ほど待ち、ブラウザキャッシュをクリアして再試行してください。
ファイルアップロードに fetch ではなく XMLHttpRequest を使う理由は?
XMLHttpRequest の利点:
• xhr.upload.addEventListener('progress') で進捗を監視可能
• e.loaded と e.total からパーセンテージを計算できる
• API は古いですが、ファイルアップロードでは依然として最適
進捗表示が不要なら fetch でも動きますが、UX は大きく落ちます(どこまで上がったか分からない)。
クライアント側の画像圧縮は画質に影響する?
実測例:
• iPhone 撮影の 5MB 写真を 500KB に圧縮(体積 90% 削減)
• maxSizeMB: 1 と quality: 0.8 を使用
• スマホ・PC 画面では画質差は目立たない
圧縮のメリット:
• アップロード速度が約 5 倍(1MB vs 5MB)
• ストレージコスト約 80% 削減
• CDN トラフィック費用も削減
• モバイル閲覧が快適に
画質を最優先する場合(写真作品集など)は quality を 0.9 に上げるか、圧縮をスキップしてください。
アップロード成功後にファイルにアクセスできない原因は?
**Bucket 権限**(最多):
• S3:Bucket Policy に s3:GetObject がない、または「Block all public access」がオン
• 七牛云:Bucket が非公開スペースのまま
**URL 組み立てミス**:
• fileUrl 形式を確認
• S3:https://bucket-name.s3.region.amazonaws.com/key
• 七牛云:https://cdn-domain/key
**CDN 未反映**:
• 七牛云で CDN ドメインをバインド後、5〜10 分かかることがある
• テスト時は七牛云のテストドメインで先に確認
手順:ブラウザで fileUrl を直接開き、403(権限)か 404(パス)かを確認。
大容量ファイル(100MB 超)のアップロード方法は?
**実装の流れ**:
1. Blob.slice で 5MB 単位に分割
2. 各チャンクをアップロードし ETag を記録
3. 失敗チャンクだけ再試行
4. 全チャンク完了後に CompleteMultipartUpload で結合
**S3 API**:
• CreateMultipartUpload:UploadId を取得
• UploadPart:各チャンクをアップロード
• CompleteMultipartUpload:全チャンクを結合
**七牛云**:
• mkblk でブロック作成
• bput でチャンクアップロード
• mkfile で結合
実装はやや複雑なので、AWS 公式の Multipart Upload チュートリアルを参照してください。
9分で読めます · 公開日: 2026年1月7日 · 更新日: 2026年6月8日
Next.js 完全ガイド
検索からこのページに来た場合は、前後の記事もあわせて読むと同じテーマの理解がかなり早く深まります。
前の記事
Next.js Eコマース実践:カートと Stripe 決済の完全実装ガイド
Zustand + Stripe を使用して Eコマースのカートと決済システムを構築する方法をステップバイステップで解説します。状態管理の選定、Checkout Session の作成、Webhook による注文処理の完全なフローを網羅し、すぐに使えるコード例を提供します。
第 33 / 47 記事
次の記事
Next.js 管理画面実践:RBAC 権限システムを設計から実装まで完全ガイド
Next.js 15 管理画面向け RBAC 権限システムの完全実装ガイド。ミドルウェアによるルート保護、動的メニュー生成、shadcn/ui テーブル選定、セキュリティのベストプラクティスまで網羅
第 35 / 47 記事
関連記事
Next.js App Router 入門ガイド:コア概念と基本操作を解説
Next.js App Router 入門ガイド:コア概念と基本操作を解説
Next.js 15 実践:週末で本番級ブログシステムを構築した方法
Next.js 15 実践:週末で本番級ブログシステムを構築した方法
Next.js Middleware 実践ガイド:パスマッチ、Edge Runtime 制限とよくある落とし穴
コメント
GitHubアカウントでログインしてコメントできます