【スピーカー】
アマゾン ウェブ サービス ジャパン合同会社 パブリックセクター 技術統括本部 ガバメント・クラウド技術本部 本部長
豊原 啓治 氏
この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちはネクストモード田邉です。
AWS Summit Tokyo に初めて参加しました。
当エントリでは2023年04月21日に行われた『自治体がガバメントクラウド利用に向けておさえておきたい 10 のこと』に関する内容をレポートしたいと思います。
セッション概要
当セッション の登壇者及び概要は以下の通りです。
「ガバメントクラウドは一般的なAWSと何が違うの?何を準備しておけばよい?」というような計画に関するご質問をいただくことが増えてきました。このセッションでは、自治体がガバメントクラウドを利用するうえでおさえてほしい、ガバメントクラウドの特徴、セキュリティ対策、利用方式ごとのネットワーク構成、システムのデザイン方針、などお伝えします。
セッションレポート
以下セッションレポートです。
本セッションの目的
- 対象
- ガバメントクラウド利用を検討している自治体、企業の方
- 標準化準拠システムの企画や開発に関係する方
- 前提
- 本資料の内容は2023年3月31日時点の情報を基礎に作成しています
- 各AWSサービスの具体的な説明は含まれていません
- ゴール
- ガバメントクラウド(AWS)の概要の理解
- 自治体や開発ベンダーとして必要な業務の理解
- 計画、意思決定を促進
自治体をとりまく状況
- 2025年までに基幹業務システムの標準化準拠が必須
- 機能要件、非機能要件の仕様の統一
- ノンカスタマイズで更新、移行を容易に
- ガバメントクラウド利用が努力義務
- ガバメントクラウドとは
ガバメントクラウドにおける役割定義
- 各自治体(利用者)、デジタル庁(ガバメントクラウド)、クラウドサービス事業者の役割定義
- 単独利用方式と共同利用方式の違いと特性
おさえておきたい10のこと
自治体とAWSのワークショップにおいて、ディスカッションした結果から検討すべきポイントを体系化し、3つにカテゴライズ
- クラウド環境の管理
- ネットワーク
- アプリケーション
以下3つのカテゴリに分けて記載します。
1. クラウド環境の管理
- AWSアカウント(環境)
- ガバメントクラウドは、デジタル庁がAWSと直接契約済み。
- 自治体はデジタル庁へ申請するだけなので、事務手続きがシンプルに
- ガバメントクラウド方針
- デジタル庁が、ガバメントクラウドの統制に必要な共通環境を管理
- AWS ControlTowerとテンプレートを活用してアカウントを払い出し
- デジタル庁が利用者に払い出すAWSアカウントは利用者が管理
- 監査に必要なログは自動集約する。ガバメントクラウドの管理者は利用者のAWSアカウントにアクセスしないよう制御(違反の自動検出を実装)
- デジタル庁がAWS Control TowerでAWSアカウントを自治体へ払い出す。自治体利用に必要な機能が事前設定
- デジタル庁が設定するため、利用開始時からセキュリティ基準が高い
- AWSアカウント作成
- SSO User作成
- 操作ログ改竄帽子
- 予防的統制(SCP)
- 発見的統制(Config Rule)
- 不正アクセス脅威検出
- セキュリティ自動チェック
- AWSアカウントの複数利用について
- 環境に応じてAWSアカウントを分離することを推奨
- テスト、本番、CI/CD環境を提供
- 自治体 管理者の業務
- デジタル庁へのAWSアカウント及びID申請
- MFAの管理
- アクセス権限管理
- ID管理
- 自治体のシステム管理者がAdministrator Access権限が付与され、IAM権限の管理をおきなえる
- 開発は運用に必要な権限のみを付与したIAM Roleを作成し、開発・運用を行う
- SSOユーザーまたはIAMユーザーは適切なIAM Roleへスイッチして作業を行う
- IAM権限の最適化やIDの定期的な棚卸しを行うこと
- セキュリティ対応
- AWS Security Hubでセキュリティ管理
- 運用開始後も継続的にセキュリティ基準との不一致を対応・抑制していくこと
- コスト管理
- Trusted Advisorの利用
- AWS Trusted Advisor、 AWS Cost Explorerを使い継続的にコスト最適化していくこと
- AWSサポート
- ガバメントクラウドは、AWSの最上位サポートを利用可能
- 自治体ないし委託先の企業から直接AWSにCaseオープン可能
- AWSの利用者のリソースに問題がある場合は、AWS Personal Health Dashboardに通知があるので対応
- AWS Personal Health Dashboardの通知を対応すること
- ガバメントクラウドは、AWSの最上位サポートを利用可能
2. ネットワーク構成
- ネットワーク
- Amazon VPCは自由に構成できる
- CIDR(IPアドレスのブロック)の指定、制限はない
- CIDRが庁内ネットワーク、VPC間で重複しないように設計する
- インターネット接続
- 自治体番号事務系システムが稼働するAWSアカウントは、Internet Gatewayのアタッチが禁止されている(予防的統制)
- 庁内ネットワークとの接続
- デジタル庁から、自治体にガバメントクラウド接続サービスが提供される
- 個別にIP-VPN等の専用線を手配してもよい(Transit VIF対応していることを要確認、冗長構成が必須)
- 庁内ネットワークとガバメントクラウド上のシステムが通信できるようクラウド環境のネットワーク設計・設定を行うこと
- 自治体とAWS間のネットワーク
- 自治体とAWS上の複数ベンダー(AWSアカウント)とはTransit Gateway経由で接続する
- Transit Gatewayに接続するネットワークはCIDR重複不可
- Transit Gateway + PrivateLink
- PrivateLinkはオンプレミスまたはVPCからNetwork Load Balancer配下のアプリケーションに方方向接続
- CIDR重複しても良いため、ネットワーク調整が軽減
- ネットワーク業務をアプリケーションベンダーの業務に含めるか、分離するか検討する
- Amazon VPCは自由に構成できる
3. アプリケーション
- モダンアプリケーションへの移行
- モダンアプリケーションは、ランタイムだけではなく、データベース、オブザーバービリティ、IaC、CI/CD、マネージドサービスや自動化を取り入れ、迅速性、柔軟性、拡張性を高めている状態
- OSを管理する必要のないマネージドサービスの利用、アプリケーションやインフラの更新の自動化を取り入れること
- 先行事業:盛岡市の事例(ガバメントクラウドへリフト)
- クラウド利用及びIaCテンプレートによる自動化が作業工数を抑えられていると考えられる
- 環境構築費を約75%削減された
- AWSから自治体向けテンプレートを公開
- 自治体のシステム非機能要件の標準に配慮した構成を組み込み
- CloudWatchダッシュボードの利用
-
- システムの可観測性を高めるためのサンプルテンプレートを提供(Baseline Enviroment on AWS)
-
- 浜松市様の事例:書かない窓口サービス
- データ連携
- 自治体システム内のデータ連携の特性
- データ連携をプライベートネットワークで行う必要がある
- オンプレミスとAWS
- AWS間
- アプリケーション、インフラのCI/CD
- CI/CDを利用することで、開発ベンダーがリモートからアプリケーションのDeployができる開発環境を支援
- アプリケーション、インフラのCI/CDにマネージドサービスを取り入れること
- バックアップ
- バックアップ、リストアは利用者側の役割
- システム非機能要件を踏まえて、RPO・RTO定義し最適な構成を設計する
- AWS Backup等のマネージドサービスに組み込まれたバックアップ機能を利用
- 大阪リージョンにデータ転送可能(リージョン間コピー)
- 復旧プロセスにIaCの活用
- 業務:RPO、RTOおよびバックアップ要件を踏まえて最適な構成を設計、設定、運用すること。バックアップデータは耐久性の高いAmazon S3に保管する。
まとめ
- ガバメントクラウドは、標準化準拠システムの実行環境
- デジタル庁がCSPと契約済みのため事務手続きが軽減
- 予防的統制、発見的統制でセキュリティ基準を高めている
- AWSは先行事業の知見から短期間での検討を実現する支援が可能
- クラウド知識向上のために無償トレーニングを提供中
おわりに
ベースはAWS Well-Architected フレームワークという印象で、AWS Well-Architected フレームワークを理解することの重要性を再認識しました。
デジタル庁のガバナンス推進、AWSのテンプレートやトレーニングによる支援で自治体システムのガバメントクラウドへの移行は私の想像以上のスピードで進みそうです。
2
