「ガバメントクラウドに向けておさえたい10のこと」の簡単解説
ガバメントクラウドは、デジタル庁が採択したCSPによって提供されるクラウドサービスです。今回は、その中の一社であるAWSが提案する「自治体がガバメントクラウド利用に向けておさえておきたい10のこと」をご紹介します。これらの項目を理解することで、ガバメントクラウドを利用するための技術要件を把握できます。本記事では、これら10の項目の簡単な解説と、関連するKyrios Blogの記事をご紹介します。
目次[非表示]
- 1.ガバメントクラウドを提供するクラウド事業者(CSP)
- 2.AWSが示す「自治体がガバメントクラウド利用に向けておさえておきたい 10 のこと」
- 2.1.1. AWSアカウント
- 2.2.2. ID管理
- 2.3.3. セキュリティ対応
- 2.4.4. コスト管理
- 2.5.5. ネットワーク管理
- 2.6.6. マネージドサービス
- 2.7.7. IaC
- 2.8.8. データ連携
- 2.9.9. 保守 CI/CD
- 2.10.10. バックアップ / BCP
- 3.おわりに
ガバメントクラウドを提供するクラウド事業者(CSP)
ガバメントクラウドは、政府機関や公共部門向けに特化したクラウドサービスを提供するプラットフォームです。デジタル庁定めた厳しい要件を満たしたクラウド事業者(CSP, Cloud Service Provider)によって提供がされています。
要件の中には、例えばデータの所在地が明確であることや、政府機関が必要とするセキュリティ認証を取得していること、災害復旧や事業継続計画(BCP)も考慮されており、万が一のトラブルに対しても迅速に対応できる体制が整っています。
さらに、ガバメントクラウドのCSPは、政府機関が求めるカスタマイズ性や柔軟性を提供し、特定のニーズに応じたソリューションを構築することができます。これにより、各機関は独自の業務プロセスに最適化されたサービスを享受できるようになります。
ガバメントクラウド対象のクラウドサービスとCSP
- Amazon Web Services (AWS) :アマゾン ウェブ サービス ジャパン合同会社
- Google Cloud:グーグル・クラウド・ジャパン合同会社
Microsoft Azure:日本マイクロソフト株式会社
Oracle Cloud Infrastructure (OCI) :日本オラクル株式会社
また、追加で2023年に以下のクラウドサービスも追加されることが発表されました。
- さくらのクラウド:さくらインターネット株式会社
※2025年度末までに技術要件をすべて満たすことを前提とした条件付きの認定
[ 参考 ]
ガバメントクラウド (デジタル庁)
AWSが示す「自治体がガバメントクラウド利用に向けておさえておきたい 10 のこと」
CSPの一つ、AWSでは、ガバメントクラウドに関する情報を幅広く提供しています。その中で、AWS Summit 2023で紹介された「自治体がガバメントクラウド利用に向けておさえておきたい 10 のこと」が、ガバメントクラウド利用に向けて必要な技術を理解するためにおすすめです。アーカイブとして、動画と発表資料を見ることができます。
動画
資料
本記事では、10の項目について、簡単に一言ずつご紹介し、これまでのKyrios Blogの関連記事をご紹介します。
1. AWSアカウント
AWSアカウントは、課金・セキュリティ・リソース管理の基本単位です。「マルチアカウント」運用が推奨されており、開発用と本番用のアカウントを分けることで、セキュリティと独立性が向上し、予算管理も容易になります。
ガバメントクラウドにおいては、デジタル庁がAWS Control Towerを通じて、自治体にAWSアカウントを払い出す方式を採用しています。自治体利用に必要な設定(AWSアカウント作成、SSOユーザー作成、操作ログ改ざん防止、予防的統制(SCP)、発見的統制(Config Rule)、不正アクセス脅威検出、セキュリティ自動チェック)が事前に設定されているため、払い出されたアカウントを利用することで、必要なセキュリティ要件を満たすことができます。
2. ID管理
AWSアカウントへのアクセス管理は、SSO (シングルサインオン) ユーザーを通じて行われ、管理者には全ての操作が可能なAdministrator Access権限が付与されます。開発や運用に必要な権限だけを持つIAM Roleを作成し、ユーザーはその役割に切り替えて作業を行うことで、必要最低限の権限を持たせ、セキュリティを向上させます。
ガバメントクラウドでは、AWS Control Towerを用いてユーザー構成を管理しています。GCAS上でメンバーの権限を設定し、権限ごとにアクセス許可セットを割り当てた上で、AWS内でIAMロールによるアクセス制御を行うことで、適切な権限の付与と効率的な管理を実現しています。また、IAM権限の最適化やIDの定期的な棚卸しが推奨されており、不正アクセスのリスクを低減するとともに、セキュリティポリシーの遵守を促進しています。
ID管理については、次のページに詳細が記載されています。
ユーザー管理方法 (AWS編) (デジタル庁)
GCAS-SSOへの移行に伴う対応(AWS編) (デジタル庁)
関連記事・サービス
3. セキュリティ対応
AWS Security Hubは、AWS環境のセキュリティを一元的に管理するためのサービスです。このサービスは、AWSアカウントとリソースがセキュリティベストプラクティスに従っているかを自動的にチェックし、違反があれば警告を発します。
ガバメントクラウドにおいては、さまざまなセキュリティ要件が求められます。AWS Security Hubは、これらの要件に対応するために、継続的なセキュリティチェックを行い、セキュリティ基準との不一致を特定し、改善策を講じることをサポートします。
このように、AWS Security Hubは、ガバメントクラウドにおけるセキュリティ要件を満たすための強力なツールであり、組織が安全なクラウド環境を維持するために不可欠な役割を果たします。
関連記事・サービス
4. コスト管理
AWSのコスト管理においては、「Trusted Advisor」が便利なツールとして提供されています。利用状況と環境を分析し、推奨されるベストプラクティスを5つのカテゴリ(コスト最適化、パフォーマンス、セキュリティ、耐障害性、サービスの制限)で提示します。特に、コスト最適化は重要で、AWS Cost Explorerを使用して月次のコスト変動を把握し、次期予算の正確な予測を行うことができます。また、ダッシュボードでは、コスト最適化の状況や推奨アクションが視覚的に表示され、これにより、ユーザーはコストを継続的に最適化し、効率的なリソース管理を実現することが可能です。
関連記事・サービス
5. ネットワーク管理
ネットワークにおいては、Amazon VPC (Virtual Private Cloud) を利用し、自治体は自分たちのニーズに合わせたネットワークを自由に構成できます。CIDR (Classless Inter-Domain Routing) によるIPアドレスブロックの指定はなく、CIDRが庁内ネットワークやVPC間で重複しないように設計することが求められています。
インターネット接続に関しては、自治体番号事務系システムが稼働するAWSアカウントに対し、Internet Gatewayのアタッチが禁止されています。この措置は、セキュリティを強化し、予防的な統制を図るためです。また、庁内ネットワークとの接続の際は、各自治体が専用線を調達もしくは、LGCS(LGWANを利用した専用線)を利用します。
6. マネージドサービス
マネージドサービスとは、クラウドプロバイダーがインフラやアプリケーションの管理を行い、ユーザーはそのサービスを利用する形態のサービスです。ガバメントクラウドではモダナイゼーションが推奨されており、これにより行政機関は効率的で柔軟なIT環境を構築できます。特に、マネージドサービスを利用することで運用負担が軽減され、リソースを本来の業務に集中できます。
具体的なAWSのマネージドサービスとしては、データベース管理が容易なAmazon RDS、コンテナオーケストレーションを提供するAmazon ECS/EKS、サーバーレスコンピューティングを実現するAWS Lambdaなどがあります。これらのサービスはセキュリティやコンプライアンスの面でも優れており、最新の対策が講じられています。さらに、スケーラビリティや可用性も高く、需要に応じたリソース調整が容易です。これらの理由から、ガバメントクラウドにおけるマネージドサービスの利用は、効率的かつ安全な行政運営を支える重要な要素です。
ガバメントクラウドにおけるモダナイゼーションについては、次のページもぜひご覧ください。
関連記事・サービス
7. IaC
IaC (Infrastructure as Code) とは、サーバーやネットワークのインフラ構成をコードで記述し、環境の構築や管理を自動化する手法です。IaCを活用することで、インフラの構成をコードとして管理できるため、環境の再現性が高まり、エラーの発生を減少させることが可能です。これにより、迅速なデプロイメントや変更が実現し、行政サービスの提供がスムーズになります。また、手動設定作業が減ることでコスト削減にも寄与します。
AWSに関連するIaCサービスには、AWS CloudFormationやCDK for Terraform(CDKTF) があります。これらを利用することで、インフラの状態をコードとしてバージョン管理でき、信頼性が向上します。これらの利点により、ガバメントクラウドにおけるIaCの導入は、効率的で透明性の高い行政運営を支える重要な要素です。
関連記事・サービス
8. データ連携
ガバメントクラウドにおけるデータ連携は、自治体システム内での情報共有を円滑に行うための重要な要素です。データ連携はプライベートネットワークを通じて行われ、セキュリティが確保されています。特に、基幹系20業務においては、標準仕様に基づいた方法でデータを共有することが求められます。
ガバメントクラウドでは、「庁内データ連携機能」が定められており、標準準拠システム同士が効率的にデータを送受信するため、クラウド上のオブジェクトストレージを活用した「ファイル連携」が推奨されています。ファイル連携には、APIやSFTPを使用することで、暗号化された通信による安全性の確保ができます。
特に、Amazon S3を利用することで、データの後処理が容易になり、業務の効率化が図れます。このように、ガバメントクラウドにおけるデータ連携は、セキュリティを重視しつつ、業務の円滑な遂行を支える重要な役割を果たしています。
関連記事・サービス
9. 保守 CI/CD
CI/CD(継続的インテグレーション/継続的デプロイメント)は、ソフトウェア開発プロセスを自動化し、コードの変更を迅速かつ安全に本番環境にデプロイする手法です。ガバメントクラウドでは、CI/CDが自治体のシステム運用を効率化し、サービスの品質向上に寄与しています。
AWSのCI/CDサービス(CodeCommit、CodeBuild、CodeDeploy、CodePipeline)を利用することで、ソースコードの管理からビルド、テスト、デプロイまでのプロセスを自動化し、一貫したパイプラインを構築できます。これにより、開発ベンダーはリモートから迅速にシステムを更新し、運用中のサービスの中断を最小限に抑えることが可能です。
テスト環境と本番環境を同一構成に保つことで、バグの検出や修正が効率化され、問題の特定も容易になります。また、CI/CDの導入により工数を削減し、ミスを防ぐことができます。さらに、運用者の異動が多い環境でも、標準化されたパイプラインにより、担当者が代わっても同じフローでテストとリリースが行えるため、開発効率と品質管理が向上します。
関連記事・サービス
10. バックアップ / BCP
ガバメントクラウドにおけるバックアップは、基本的に利用者側の責任であり、システムの非機能要件を考慮して、適切なRPO (復旧ポイント目標)と RTO (復旧時間目標)を定義し、最適な構成を設計する必要があります。
AWS Backupなどのマネージドサービスを利用することで、バックアップ機能を効率的に組み込むことができます。また、リージョン間コピーを活用することで、さらなるデータ保護を実現します。復旧プロセスにはIaC (Infrastructure as Code)を活用し、インフラのコード管理を行うことで、迅速かつ確実な復旧が可能となります。
業務としては、RPOやRTO、その他のバックアップ要件を踏まえて最適な構成を設計し、設定、運用することが求められます。バックアップデータは、耐久性の高いAmazon S3に保管され、長期的なデータ保護を提供します。このように、ガバメントクラウドにおけるバックアップは、行政サービスの安定運営に不可欠な要素です。
おわりに
ここまで、AWSの「自治体がガバメントクラウド利用に向けておさえておきたい10のこと」に沿って、それぞれの簡単な解説とより深い学びを得られる記事をご紹介してきました。
ガバメントクラウド自体の詳細な技術解説については、次のページをご確認ください。
ガバメントクラウド導入を検討している自治体・ASPの方向けサービス
Kyriosでは、ガバメントクラウド導入をサポートするサービスを提供しています。ガバクラ移行における設計・構築や、運用管理を支援いたします。詳細は下記をご覧ください。
※本記事の内容は、編集者が各省庁等のWebサイトをもとに再編集を行ったものです。
この記事に記載された内容は記事公開日時点のものです。
