本資料の作成者はガバクラの中の人ではありません。作成者は不明瞭な記載、誤った情報などがあれば訂正しますのでご連絡していただけますと嬉しいです。 The author of this document is not a member of the gov-cloud. The author would be happy to correct any unclear or incorrect statements or information. @KumaMatsu_san
札幌オフィス〒060-0004 北海道札幌市中央区北4条西6-1毎日札幌会館9Fベトナムオフィス7th Floor, Mercury Building, No.444 HoangHoa Tham Street, Thuy Khue ward, Tay HoDistrict, Hanoi city西日本オフィス〒530-0001 大阪府大阪市北区梅田2-2-2ヒルトンプラザウエストオフィスタワー19Fシリコンバレーインキュベーションセンター3350 Scott Blvd. #29 Santa Clara, CA95054東京オフィス(本社)〒108-0073東京都港区三田3-13-16 三田43MTビル12F株式会社ビッグツリーテクノロジー&コンサルティングガバメントクラウド・デジタル庁の基本方針から考えるクラウドサービスの適切な利用2023年5月23日
View Slide
2Copyright © 2023 BTC Corporation All Rights Reserved.この発表を聞いた後の皆さんはきっと・・・• 何故今、公共事業のクラウド移行が進んでいるかがわかる• ガバメントクラウドの概要がわかる• 公的文書が示す最適なクラウド構成のポイントがわかる※本資料は、デジタル庁・AWSのイベントにより公開された資料(転用NGとなっているもの以外)に基づいて作成しています。本資料の作成者はガバクラの人間ではありません。
3Copyright © 2023 BTC Corporation All Rights Reserved.自己紹介熊谷 有輝子(クマ松, Twitter:@KumaMatsu_san)株式会社ビッグツリーテクノロジー&コンサルティング(BTC) クラウドCoE所属・社員のクラウドリテラシー向上のための教育支援と技術マーケティング・公共、ヘルスケア領域のクラウドCoE支援・AWS、Azureの基盤構築AWS Top Engineer(2021年~)AWS Ambassador(2022年~)JAWS 東北支部運営(2022年~)
4Copyright © 2023 BTC Corporation All Rights Reserved.最近の AWS×公共事業を知るためのイベント
5Copyright © 2023 BTC Corporation All Rights Reserved.AWS Partner SummitやAWS Summitで取り上げられた公共セッションAWS SummitAWS Partner Summit公共事業でのクラウド利用のトレンドやクラウド提案のポイントについて、AWSがパートナー企業向けに情報を公開ガバメントクラウドを利用した自治体の事例や、独自にクラウド基盤を構築・運用する中央官庁の事例セッションが紹介される。• D2-1 公共の業界トレンドとAWS最新事例、クラウド・ビジネスの新たな成長領域• IW-1 公共調達における最新動向を踏まえたクラウド提案のポイント ~クラウドサービスの適切な利用やCLOUD法の解説引用:https://aws.amazon.com/jp/summits/tokyo/agenda/5/22(月)からオンライン配信開始※オンデマンドの配信は3/31まで
6Copyright © 2023 BTC Corporation All Rights Reserved.AWS Security and Risk Management Forum出展:https://v2.nex-pro.com/campaign/53395/apply?group=aws_salesre:Inforceの各国版「AWS Security and Risk Management Forum」でも公共セッションが数多く取り上げられている。※私のおすすめ【G-1】ゼネラルセッション AWSセキュリティ最新トレンド:お客様が機密情報をAWSに展開できた理由
7Copyright © 2023 BTC Corporation All Rights Reserved.公共事業でクラウド利用が進む背景
8Copyright © 2023 BTC Corporation All Rights Reserved.公共事業でクラウド利用が進む背景政府情報システムを整備する際に、クラウドサービスの利用を第一候補とする「クラウド・バイ・デフォルト原則」が打ち出される。クラウド・バイ・デフォルト 原則「誰一人取り残さない、人に優しいデジタル化」を目指し、行政サービスのデジタル化の指針を記載。行政機関のクラウドサービス利用の徹底についても触れられ、 2025年度末までに政府情報システムの基幹業務システムを標準化し、1,700の地方公共団体すべてが移行することを義務づけている。デジタル・ガバメント実行計画政府は、各府省庁および各自治体が共通で利用できるクラウド環境としてガバメントクラウドを整備。政府が求めるセキュリティ要求を満たしているサービスをあらかじめ評価・登録する「ISMAPクラウドサービスリスト」という形でリストアップされたもののなかから、特定の要件を満たすものをデジタル庁が調達。現在はAWSを含む4つのクラウドサービスが選定されている。ガバメントクラウド
9Copyright © 2023 BTC Corporation All Rights Reserved.システム標準化で対象となる20業務とは出展:地方公共団体情報システム標準化基本方針の概要 (digital.go.jp)https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/c58162cb-92e5-4a43-9ad5-095b7c45100c/dac15f8f/20221007_policies_local_governments_outline_01.pdf住民基本台帳関連業務(住民基本台帳、国民年金等)、国民健康保険関連業務(国見健康保険)、障害者・介護福祉関連業務(障害者福祉・介護保険)、児童/子育て支援関連業務(児童手当・児童扶養手当)等。現状、自治体ごとに個別にカスタマイズされて活用されているこれらのデータを扱うシステムを、2025年度末までに標準化されたシステムに移行することが義務付けられている。移行先はガバメントクラウドであることが努力義務
10Copyright © 2023 BTC Corporation All Rights Reserved.クラウドの利用に消極的な自治体がよく抱く誤解クラウドの会社はアメリカにあるから、クラウドに保管したデータは自由に米国政府が閲覧できる?クラウドの従業員が内部不正してデータを閲覧しないとも限らないんじゃないの?
11Copyright © 2023 BTC Corporation All Rights Reserved.CLOUD法で、アメリカが無尽蔵にデータにアクセスできる?2018年に米国で施行されたClarifying Lawful Overseas Use of Data法は、米国内に本拠地を持つ企業(CSP等)に対して、米国外に保存されているデータであっても、米国裁判所の令状を持ってアクセスできるようにする法的文書。CLOUD法とは• CSPは開示要求時に、まず顧客に通知される• 顧客が法執行に応じない場合、データは差し押さえられる可能性がある• (差し押さえになる=もはや弁護士と相談する必要があるレベルのことだが、)自分の所有するデータの管理はAWSのデフォルトキーでなくCustomer Managed Keyを使って暗号化してデータの管理を維持することで、データが復号されることを防ぐことができる顧客が知らないうちに、米国がデータにアクセスできるわけではないが参考:海外のデータの合法的使用を明確化する (CLOUD) 法律https://aws.amazon.com/jp/compliance/cloud-act/#:~:text=CLOUD%20%E6%B3%95%E3%81%AF%E7%B1%B3%E5%9B%BD%E3%81%AE,%E4%BB%8A%E5%BE%8C%E3%82%82%E8%A1%8C%E5%8B%95%E3%81%97%E3%81%BE%E3%81%99%E3%80%82クラウドの会社はアメリカにあるから、クラウドに保管したデータは自由に米国政府が閲覧できる?
12Copyright © 2023 BTC Corporation All Rights Reserved.情報開示や第三者監査による評価AWS ArtifactAWSが管理するデータセンターに私たちは入れない引用:AWS Risk and Security Management Forumの「 【G-1】ゼネラルセッション AWSセキュリティ最新トレンド:お客様が機密情報をAWSに展開できた理由」より私たちからは見えないところでAWSが行っていることが、監査や認証、その他の直接的な監査業務を通じてAWSが順守しているさまざまな種類の規制と認証基準に準拠していることをAWSが証明証明されていることの報告書を得ることができるクラウドの従業員が内部不正してデータを閲覧しないとも限らないんじゃないの?
13Copyright © 2023 BTC Corporation All Rights Reserved.ガバメントクラウドの特徴
14Copyright © 2023 BTC Corporation All Rights Reserved.ガバメントクラウドの基本方針“”政府共通のクラウドサービスの利用環境です。クラウドサービスの利点を最大限に活用することで、迅速、柔軟、かつセキュアでコスト効率の高いシステムを構築可能とし、利用者にとって利便性の高いサービスをいち早く提供し改善していくことを目指します。地方公共団体でも同様の利点を享受できるよう検討を進めます。(引用:デジタル庁 ホームページ https://www.digital.go.jp/policies/gov_cloud/ )ガバメントクラウドとは• 政府、自治体が、単にクラウドに移行するだけでなくクラウドの利用メリットを⼗分得れるよう、スマートなクラウド利用を得られるようにすること• マネージドサービス、IaC、CI/CDを通して、開発スピード向上、セキュリティ品質向上、インフラ管理構築⼯数削減、継続的改善の効果を得る。政府や自治体のアプリケーション開発を現代的なものに促進するガバメントクラウドの目的(引用: AWS Summit AWS-51「自治体がガバメントクラウド利用に向けておさえておきたい 10 のこと」)
15Copyright © 2023 BTC Corporation All Rights Reserved.ガバメントクラウドの要件ガバメントクラウドで利用されるクラウドサービスとして認定をうける要件として、まずは前述のISMAPのリストに登録される必要がある。デジタル庁はISMAPのリストに登録されたサービスから、幾つかの要件を満たすクラウドサービスを調達する。【ガバメントクラウドの要件(一部抜粋)】• 不正アクセス防止やデータ暗号化などにおいて、最新で最高レベルの情報セキュリティの確保• 契約から開発、運用、廃棄に至るまで国によってしっかりと統制ができる• データセンタの物理的所在地を日本国内とし、情報資産について、合意を得ない限り日本国外への持ち出さない• 一切の紛争は、日本の裁判所が管轄するとともに、契約の解釈が日本法に基づくこと※2022年10月3日時点ISAMP登録リストAWS MicrosoftGoogle CloudOracle Cloud
16Copyright © 2023 BTC Corporation All Rights Reserved.ガバメントクラウドの責任共有モデル(引用:AWS Security and Risk Management Forum ガバメントクラウドでのセキュリティの考え方~範囲の絞り込みと日々の監視・修正)
17Copyright © 2023 BTC Corporation All Rights Reserved.ガバメントクラウドで利用されているAWSサービスガバメントクラウドの正確な構成図は公開されていない(はず)。利用されているAWSサービスの情報は公開されており、Control Towerを利用したマルチアカウント構成が採用されている。なぜ?Management AccountAWS Control TowerAWSCloudFormationAWSOrganizationsAWS SSO AWSService CatalogLog ArchiveAccountAudit Account User AccountCore OU Custom OUUser AccountUser AccountAWS ConfigCloudFormationCloudFormation CloudFormationSNSS3VPCControl Towerを利用したマルチアカウント構成の例※ガバメントクラウドの構成図ではないですガバメントクラウドで利用されているAWSサービスAWS CloudTrail AWS ConfigAmazonGuardDutyAWSSecurity HubAWSControl TowerAWSOrganizationsAWS SSO AWSService Catalog参考:AWS Summit 2023 自治体がガバメントクラウド利用に向けておさえておきたい 10 のこと(AWS-51)
18Copyright © 2023 BTC Corporation All Rights Reserved.ガバメントクラウドの重要な構成要素IaC(Infrastructure as Code)テンプレートIaCテンプレートでマネージドサービスやコンテナ、サーバレスサービスのインフラ構成を管理し、複数の環境に対して同じインフラ構成が適用される。インフラ構成の透明化にも寄与する。テンプレートは、3種類用意されている(後述)。予防的・発見的統制(ガードレール)の導入全体ガバナンスを効かせると同時に、各システムに強い権限を与えてシステム毎の構成の柔軟性も実現させるために、ガードレール型のセキュリティの考え方を採用。さらに、統制やルール違反を自動で検知し、継続的なセキュリティ改善を促す。
19Copyright © 2023 BTC Corporation All Rights Reserved.User AccountUser Accountガバメントクラウドで利用されているIaCテンプレート参考:ガバメントクラウドにおけるIaC(Infrastructure as Code)の考え方https://cloud-gov.note.jp/n/na2ea9a24e3a1よりイメージを作成Management AccountAWS Control TowerAWSCloudFormationAWSOrganizationsAWS SSO AWSService CatalogAWSCloudFormationAWS ConfigAmazonGuardDutyAWS Security Hub環境自動適用テンプレート利用の申請を受け付けて管理領域から各システムへ環境を払い出す部分。AWSCDKガバナンスベースのテンプレート各システムで初回環境払い出し時に実施する部分。AWS CDKの実装を利用システム側へ提供し、初回実行してもらう。サンプルテンプレート一般的な構成での実装例をAWS CDKで提供。VPC地方公共団体情報システムの ガバメントクラウドの利用に関する基準【第1.0版】https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/c58162cb-92e5-4a43-9ad5-095b7c45100c/3013abc6/20221007_policies_local_governments_outline_04.pdf26ページ
20Copyright © 2023 BTC Corporation All Rights Reserved.予防的統制・発見的統制発見的ガードレール(検知)予防的ガードレール(制限)機能IAMやSCPで・・・✓ セキュリティや監査ログの設定/収集に関するサービスの削除防止✓ 東京/大阪リージョン以外の使用禁止✓ アクセスキーの作成を禁止✓ IAMユーザにMFAの有効化を強制設定内容(例)ConfigやGuardDuty、Security Hubで・・・✓ MFAが設定されているか✓ S3バケットがインターネットに公開されていないか✓ ストレージが暗号化されているか✓ Security Groupが適切に設定されているか参考:ガバメントクラウドにおけるIaC(Infrastructure as Code)の考え方https://cloud-gov.note.jp/n/na2ea9a24e3a1より作成100を超えるAWSアカウント運用におけるガードレール構築事例 https://engineering.visional.inc/blog/171/awssummit_securityguardrail/【事故を防ぐ】危険性の高い、リスクのある操作を制限【事故の検知】セキュリティ事故や不正な設定変更を監視&検知
21Copyright © 2023 BTC Corporation All Rights Reserved.ガバクラについてもっと知りたい方へAWS Summit 2022の「ガバメントクラウドで考える技術的統制と効率性〜AWSでの実現策〜」わかりやすいので是非見てみてください。※「本セッション資料や記載内容については一切の転用を禁止しております」と記載があったのでこの発表では取り扱っていません
22Copyright © 2023 BTC Corporation All Rights Reserved.政府情報システムにおけるクラウドサービスの適切な利用に関わる基本方針が示すクラウド構成の検討ポイント
23Copyright © 2023 BTC Corporation All Rights Reserved.『政府情報システムにおけるクラウドサービスの適切な利用に関わる基本方針』とは基本方針のポイント(引用:政府情報システムにおける クラウドサービスの適切な利用に 係る基本方針(案))https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/fb619f03-5fbd-4dd7-8bb1-114c6f63f0ba/c5871775/20220930_meeting_executive_01.pdfアプリケーションのモダン化クラウドスマートד”本方針では、政府情報システムが単にクラウドに移行するだけでなく、クラウドの利用メリットを⼗分に得られるようにするため、政府情報システムがスマートにクラウドを利用するための考え方を示す。『政府情報システムにおけるクラウドサービスの適切な利用に関わる基本方針』
24Copyright © 2023 BTC Corporation All Rights Reserved.1.6 クラウドサービスのスマートな利用によるメリット出展:AWS 50 政府が求めるクラウドを適切(スマート)に利用するための設計原則
25Copyright © 2023 BTC Corporation All Rights Reserved.文書から伝わる思い3.5.1 アプリケーションとシステム刷新について 見積りの取得時の留意点従来型の業務システムを、多種多様なマネージドサービスを利用し、自らサーバを構築しない業務システムとするには、アプリケーションのモダン化、刷新が必要となる。この際、刷新時のアプリケーション開発コスト(整備経費)の増加分と刷新後のランニングコスト(運用経費)の減少分を総合的に評価する必要があるが、その費用見積りについては、モダン技術に明るい事業者(担当者)に依頼することが不可欠となる。~中略~モダン技術に明るくない事業者による見積りは、従来方式を墨守するためのものが多く、正しい意思決定を阻害するため、技術的な妥当性に加え、比較対象が適切か否か、特定の意図を持った恣意的な見積りとなっていないか等、特に留意が必要となる。納品物についても、必要性の低いドキュメントを納品物と定義して、利用されない大量ドキュメントに工数(費用)と作業期間を割くのではなく、クラウドの場合は、まず、実機環境で開発構築してみて、試行錯誤や評価の後に、確定した内容のみを真に必要なドキュメントとして納品物とすることが重要である。
26Copyright © 2023 BTC Corporation All Rights Reserved.文書から伝わる思い3.5.2 アプリケーションとシステム刷新について クラウド移行に向けた刷新~中略~システムの刷新においても、オンプレミスでは、ハードウェアの老朽化により、アプリケーションの改修を最小限にとどめてインフラのみを刷新(サーバ更改)する方式が多かったが、これはクラウドへの移行では好ましくない。アプリケーションの改修を前提としない刷新では、マネージドサービスの利用も自らサーバを構築しない構成も非常に困難になってしまう。クラウド移行に向けた刷新においては、インフラとアプリケーションを同時に刷新することが合理的である。また、事業者や調達についてもインフラとアプリケーションを原則として分離するべきではない。事業者の対応能力で(インフラとアプリの)同時刷新が困難な場合は、事業者へ体制強化、自己学習、トレーニング受講、資格取得等を促したうえで、より一層の競争環境醸成を行う必要がある。~中略~コスト削減の観点から、データベースと運用管理系の機能については、マネージドサービスの利用を優先的に検討するものとする。
27Copyright © 2023 BTC Corporation All Rights Reserved.文書から伝わる思い3.5.5 クラウド上で稼働するアプリケーションについて~中略~• モダンアプリケーションとするマネージドサービスの組合せだけでシステムを構成する、自らサーバを構築せずシステムを構成するなど、クラウドならではの考え方とする。マイクロサービスアーキテクチャの採用や継続的な改善(開発)もモダンアプリケーションでは一般的である。• オンプレミス時代の旧来技術・運用を単純に踏襲しない以下に例示するような旧来技術・運用は、今日のクラウドでは高コスト化の要因となるため、原則として踏襲せず、モダンな技術・運用で再設計を行うべきである。特にセキュリティへの要求水準が高い場合は必ずモダンな技術・運用とすること。旧来技術・運用を継続使用する場合は、それが技術的負債となることに留意されたい。• オンプレミス時代の人海戦術的な方式を踏襲せず自動化するインフラ環境構築の自動化(IaC)とCI/CDパイプライン化、インフラテストの自動化、システム監視や運用の自動化、セキュリティ監視の自動化をクラウドの機能を活用して行う。
28Copyright © 2023 BTC Corporation All Rights Reserved.他にも・・・• 柔軟性の向上将来の拡張性を考慮して初期構築時に過剰なスペックのリソースを構築しない• リファレンスアーキテクチャへの準拠オンプレミス時代の人海戦術を踏襲せず、最適なクラウド利用の方法をCSPのリファレンスアーキテクチャから学ぶ。• 境界型セキュリティのみに依存しないセキュリティ対策を行う(ゼロトラスト)「外部は危険、内部は安全」という考えに基づきネットワーク保護のみを重視するのでなく、ゼロトラストの考え方に基づいて全てのレイヤーでセキュリティ対策を検討する。• 定量的計測とダッシュボードによる状況の可視化セキュリティの通知設定をして終わりにせず、管理者や関係者が速やかに常用を把握するために情報を可視化する。• 継続的なアップデートへの対応日常的にサービスのアップデートの対応を行い、適宜設計の見直しをする。• クラウドに最適化した監査オンプレミスの監査方法を踏襲するのではなく、IaCテンプレートや予防的統制・発見的統制を活用したクラウドならではの監査を行うことが可能となる。
29Copyright © 2023 BTC Corporation All Rights Reserved.まとめると・・・©️ 2021 Nohara Holdings, Inc.VPCAZ-A AZ-CALBPrivate subnetPublic subnetDB(Primary)DB(Secondary)container containerAWS FargateCloudTrail GuardDutyAWS ShieldRoute53 WAFNAT gateway NAT gatewayECSCloudWatchコンテナログ/メトリクスを集約Amazon ECR意外と普通の構成図?と思うかもしれないが、前述の文章を読むと、この構成に至るまで様々な検討を職員・事業者がしなくてはいけないことがわかる。
30Copyright © 2023 BTC Corporation All Rights Reserved.ありがとうございました!