【JAWS-UG朝会】ガバメントクラウド・デジタル庁の基本方針から考えるクラウドサービスの適切な利用

Transcript

1. 札幌オフィス 〒060-0004 北海道札幌市中央区北4条西6-1 毎日札幌会館9F ベトナムオフィス 7th Floor, Mercury Building, No.444

   Hoang Hoa Tham Street, Thuy Khue ward, Tay Ho District, Hanoi city 西日本オフィス 〒530-0001 大阪府大阪市北区梅田2-2-2 ヒルトンプラザウエストオフィスタワー19F シリコンバレーインキュベーションセンター 3350 Scott Blvd. #29 Santa Clara, CA 95054 東京オフィス(本社) 〒108-0073 東京都港区三田3-13-16 三田43MTビル12F 株式会社ビッグツリーテクノロジー＆コンサルティング ガバメントクラウド・デジタル庁の基本方針から考える クラウドサービスの適切な利用 2023年5月23日

2. 2 Copyright © 2023 BTC Corporation All Rights Reserved. この発表を聞いた後の皆さんはきっと・・・

   • 何故今、公共事業のクラウド移行が進んでいるかがわかる • ガバメントクラウドの概要がわかる • 公的文書が示す最適なクラウド構成のポイントがわかる ※本資料は、デジタル庁・AWSのイベントにより公開された資料（転用NGとなっているもの以外） に基づいて作成しています。本資料の作成者はガバクラの人間ではありません。

3. 3 Copyright © 2023 BTC Corporation All Rights Reserved. 自己紹介

   熊谷 有輝子（クマ松, Twitter:@KumaMatsu_san） 株式会社ビッグツリーテクノロジー＆コンサルティング(BTC) クラウドCoE所属 ・社員のクラウドリテラシー向上のための教育支援と技術マーケティング ・公共、ヘルスケア領域のクラウドCoE支援 ・AWS、Azureの基盤構築 AWS Top Engineer（2021年～） AWS Ambassador（2022年～） JAWS 東北支部運営（2022年～）

4. 4 Copyright © 2023 BTC Corporation All Rights Reserved. 最近の

   AWS×公共事業 を知るためのイベント

5. 5 Copyright © 2023 BTC Corporation All Rights Reserved. AWS

   Partner SummitやAWS Summitで取り上げられた公共セッション AWS Summit AWS Partner Summit 公共事業でのクラウド利用のトレンドやクラウド提案の ポイントについて、AWSがパートナー企業向けに情報を 公開 ガバメントクラウドを利用した自治体の事例や、 独自にクラウド基盤を構築・運用する中央官庁の事例セッ ションが紹介される。 • D2-1 公共の業界トレンドとAWS最新事例、クラウ ド・ビジネスの新たな成長領域 • IW-1 公共調達における最新動向を踏まえたクラウド 提案のポイント ～クラウドサービスの適切な利用や CLOUD法の解説 引用：https://aws.amazon.com/jp/summits/tokyo/agenda/ 5/22(月)からオンライン配信開始 ※オンデマンドの配信は3/31まで

6. 6 Copyright © 2023 BTC Corporation All Rights Reserved. AWS

   Security and Risk Management Forum 出展：https://v2.nex-pro.com/campaign/53395/apply?group=aws_sales re:Inforceの各国版「AWS Security and Risk Management Forum」でも公共セッションが数多 く取り上げられている。 ※私のおすすめ 【G-1】ゼネラルセッション AWSセキュリティ最新トレンド:お客様が機密情報をAWSに展開できた理由

7. 7 Copyright © 2023 BTC Corporation All Rights Reserved. 公共事業でクラウド利用が進む背景

8. 8 Copyright © 2023 BTC Corporation All Rights Reserved. 公共事業でクラウド利用が進む背景

   政府情報システムを整備する際に、クラウドサービスの利 用を第一候補とする「クラウド・バイ・デフォルト原則」 が打ち出される。 クラウド・バイ・デフォルト 原則 「誰一人取り残さない、人に優しいデジタル化」を目指し、 行政サービスのデジタル化の指針を記載。 行政機関のクラウドサービス利用の徹底 についても触れられ、 2025年度末までに政府情報システム の基幹業務システムを標準化し、1,700の地方公共団体すべ てが移行することを義務づけている。 デジタル・ガバメント実行計画 政府は、各府省庁および各自治体が共通で利用できるクラウド環境としてガバメントクラウドを整備。 政府が求めるセキュリティ要求を満たしているサービスをあらかじめ評価・登録する 「ISMAPクラウドサービスリスト」という形でリストアップされたもののなかから、 特定の要件を満たすものをデジタル庁が調達。現在はAWSを含む4つのクラウドサービスが選定されている。 ガバメントクラウド

9. 9 Copyright © 2023 BTC Corporation All Rights Reserved. システム標準化で対象となる20業務とは

   出展：地方公共団体情報システム標準化基本方針の概要 (digital.go.jp) https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/c58162cb-92e5-4a43-9ad5- 095b7c45100c/dac15f8f/20221007_policies_local_governments_outline_01.pdf 住民基本台帳関連業務（住民基本台帳、国民年金等）、国民健康保険関連業務（国見健康保 険）、障害者・介護福祉関連業務（障害者福祉・介護保険）、児童／子育て支援関連業務（児 童手当・児童扶養手当）等。 現状、自治体ごとに個別にカスタマイズされて活用されているこれらのデータを扱うシステム を、2025年度末までに標準化されたシステムに移行することが義務付けられている。 移行先はガバメントクラウド であることが努力義務

10. 10 Copyright © 2023 BTC Corporation All Rights Reserved. クラウドの利用に消極的な自治体がよく抱く誤解

    クラウドの会社はアメリカにあるから、 クラウドに保管したデータは自由に米国政府が 閲覧できる？ クラウドの従業員が内部不正して データを閲覧しないとも限らないんじゃないの？

11. 11 Copyright © 2023 BTC Corporation All Rights Reserved. CLOUD法で、アメリカが無尽蔵にデータにアクセスできる？

    2018年に米国で施行されたClarifying Lawful Overseas Use of Data法は、米国内 に本拠地を持つ企業(CSP等)に対して、米国外に保存されているデータであって も、米国裁判所の令状を持ってアクセスできるようにする法的文書。 CLOUD法とは • CSPは開示要求時に、まず顧客に通知される • 顧客が法執行に応じない場合、データは差し押さえられる可能性がある • （差し押さえになる＝もはや弁護士と相談する必要があるレベルのことだが、）自分の所有す るデータの管理はAWSのデフォルトキーでなくCustomer Managed Keyを使って暗号化して データの管理を維持することで、データが復号されることを防ぐことができる 顧客が知らないうちに、米国がデータにアクセスできるわけではないが 参考：海外のデータの合法的使用を明確化する (CLOUD) 法律 https://aws.amazon.com/jp/compliance/cloud- act/#:~:text=CLOUD%20%E6%B3%95%E3%81%AF%E7%B1%B3%E5%9B%BD%E3%81%AE,%E4%BB%8A%E5%BE%8C%E3%82%82%E8%A1%8C%E5%8B%95%E3 %81%97%E3%81%BE%E3%81%99%E3%80%82 クラウドの会社はアメリカにあるから、 クラウドに保管したデータは自由に米国政府が 閲覧できる？

12. 12 Copyright © 2023 BTC Corporation All Rights Reserved. 情報開示や第三者監査による評価

    AWS Artifact AWSが管理するデータセンターに私たちは入れない 引用：AWS Risk and Security Management Forumの 「 【G-1】ゼネラルセッション AWSセキュリティ最新トレンド:お客様が機密情報をAWSに展開できた理由」より 私たちからは見えないところでAWSが行っていることが、監査や認証、その他の 直接的な監査業務を通じてAWSが順守しているさまざまな種類の規制と認証基準 に準拠していることをAWSが証明 証明されていることの報告書を 得ることができる クラウドの従業員が内部不正して データを閲覧しないとも限らないんじゃないの？

13. 13 Copyright © 2023 BTC Corporation All Rights Reserved. ガバメントクラウドの特徴

14. 14 Copyright © 2023 BTC Corporation All Rights Reserved. ガバメントクラウドの基本方針

    “ ” 政府共通のクラウドサービスの利用環境です。クラウドサービスの利点 を最大限に活用することで、迅速、柔軟、かつセキュアでコスト効率の 高いシステムを構築可能とし、利用者にとって利便性の高いサービスを いち早く提供し改善していくことを目指します。地方公共団体でも同様 の利点を享受できるよう検討を進めます。 （引用：デジタル庁 ホームページ https://www.digital.go.jp/policies/gov_cloud/ ） ガバメントクラウドとは • 政府、自治体が、単にクラウドに移行するだけでなくクラウドの利用メリットを⼗分得れるよ う、スマートなクラウド利用を得られるようにすること • マネージドサービス、IaC、CI/CDを通して、開発スピード向上、セキュリティ品質向上、イ ンフラ管理構築⼯数削減、継続的改善の効果を得る。政府や自治体のアプリケーション開発を 現代的なものに促進する ガバメントクラウドの目的 （引用： AWS Summit AWS-51「自治体がガバメントクラウド利用に向けておさえておきたい 10 のこと」）

15. 15 Copyright © 2023 BTC Corporation All Rights Reserved. ガバメントクラウドの要件

    ガバメントクラウドで利用されるクラウドサービスとして認定をうける要件として、まずは前述のISMAP のリストに登録される必要がある。 デジタル庁はISMAPのリストに登録されたサービスから、幾つかの要件を満たすクラウドサービスを調達 する。 【ガバメントクラウドの要件（一部抜粋）】 • 不正アクセス防止やデータ暗号化などにおいて、最新で最高レベルの情報セキュリティの確保 • 契約から開発、運用、廃棄に至るまで国によってしっかりと統制ができる • データセンタの物理的所在地を日本国内とし、情報資産について、合意を得ない限り日本国外への持ち出さない • 一切の紛争は、日本の裁判所が管轄するとともに、契約の解釈が日本法に基づくこと ※2022年10月3日時点 ISAMP登録 リスト AWS Microsoft Google Cloud Oracle Cloud

16. 16 Copyright © 2023 BTC Corporation All Rights Reserved. ガバメントクラウドの責任共有モデル

    （引用：AWS Security and Risk Management Forum ガバメントクラウドでのセキュリティの考え方～範囲の絞り込みと日々の監視・修正）

17. 17 Copyright © 2023 BTC Corporation All Rights Reserved. ガバメントクラウドで利用されているAWSサービス

    ガバメントクラウドの正確な構成図は公開されていない（はず）。 利用されているAWSサービスの情報は公開されており、Control Towerを利用したマルチアカウント構成が 採用されている。 なぜ？ Management Account AWS Control Tower AWS CloudFormation AWS Organizations AWS SSO AWS Service Catalog Log Archive Account Audit Account User Account Core OU Custom OU User Account User Account AWS Config CloudFormation CloudFormation CloudFormation SNS S3 VPC Control Towerを利用したマルチアカウント構成の例 ※ガバメントクラウドの構成図ではないです ガバメントクラウドで 利用されているAWSサービス AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub AWS Control Tower AWS Organizations AWS SSO AWS Service Catalog 参考：AWS Summit 2023 自治体がガバメントクラウド利用に向けておさえておきたい 10 のこと(AWS-51)

18. 18 Copyright © 2023 BTC Corporation All Rights Reserved. ガバメントクラウドの重要な構成要素

    IaC(Infrastructure as Code)テンプレート IaCテンプレートでマネージドサービスやコンテナ、サーバレスサービスのインフラ構成 を管理し、複数の環境に対して同じインフラ構成が適用される。インフラ構成の透明化に も寄与する。テンプレートは、3種類用意されている（後述）。 予防的・発見的統制（ガードレール）の導入 全体ガバナンスを効かせると同時に、各システムに強い権限を与えてシステム毎の構 成の柔軟性も実現させるために、ガードレール型のセキュリティの考え方を採用。 さらに、統制やルール違反を自動で検知し、継続的なセキュリティ改善を促す。

19. 19 Copyright © 2023 BTC Corporation All Rights Reserved. User

    Account User Account ガバメントクラウドで利用されているIaCテンプレート 参考： ガバメントクラウドにおけるIaC(Infrastructure as Code)の考え方 https://cloud-gov.note.jp/n/na2ea9a24e3a1 よりイメージを作成 Management Account AWS Control Tower AWS CloudFormation AWS Organizations AWS SSO AWS Service Catalog AWS CloudFormation AWS Config Amazon GuardDuty AWS Security Hub 環境自動適用テンプレート 利用の申請を受け付けて管理領域から各システ ムへ環境を払い出す部分。 AWS CDK ガバナンスベースのテンプレート 各システムで初回環境払い出し時に実施する部分。 AWS CDKの実装を利用システム側へ提供し、初 回実行してもらう。 サンプルテンプレート 一般的な構成での実装例をAWS CDKで提供。 VPC 地方公共団体情報システムの ガバメントクラウドの利用に関する基準【第1.0版】 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/c58162cb-92e5-4a43-9ad5- 095b7c45100c/3013abc6/20221007_policies_local_governments_outline_04.pdf 26ページ

20. 20 Copyright © 2023 BTC Corporation All Rights Reserved. 予防的統制・発見的統制

    発見的ガードレール (検知) 予防的ガードレール (制限) 機能 IAMやSCPで・・・ ✓ セキュリティや監査ログの設定／収集に関するサービスの削 除防止 ✓ 東京／大阪リージョン以外の使用禁止 ✓ アクセスキーの作成を禁止 ✓ IAMユーザにMFAの有効化を強制 設定内容（例） ConfigやGuardDuty、Security Hubで・・・ ✓ MFAが設定されているか ✓ S3バケットがインターネットに公開されていないか ✓ ストレージが暗号化されているか ✓ Security Groupが適切に設定されているか 参考： ガバメントクラウドにおけるIaC(Infrastructure as Code)の考え方 https://cloud-gov.note.jp/n/na2ea9a24e3a1 より作成 100を超えるAWSアカウント運用におけるガードレール構築事例 https://engineering.visional.inc/blog/171/awssummit_securityguardrail/ 【事故を防ぐ】 危険性の高い、リスクのある操作を 制限 【事故の検知】 セキュリティ事故や不正な設定変更を 監視＆検知

21. 21 Copyright © 2023 BTC Corporation All Rights Reserved. ガバクラについてもっと知りたい方へ

    AWS Summit 2022の「ガバメントクラウドで考える技術的統制と効率性〜AWSでの実現策〜」 わかりやすいので是非見てみてください。 ※「本セッション資料や記載内容については一切の転用を禁止しております」と記載があったので この発表では取り扱っていません

22. 22 Copyright © 2023 BTC Corporation All Rights Reserved. 政府情報システムにおけるクラウドサービス

    の適切な利用に関わる基本方針 が示すクラウド構成の検討ポイント

23. 23 Copyright © 2023 BTC Corporation All Rights Reserved. 『政府情報システムにおけるクラウドサービスの適切な利用に関わる基本方針』とは

    基本方針のポイント （引用：政府情報システムにおける クラウドサービスの適切な利用に 係る基本方針（案）） https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/fb619f03-5fbd-4dd7-8bb1- 114c6f63f0ba/c5871775/20220930_meeting_executive_01.pdf アプリケーションの モダン化 クラウドスマート × “ ” 本方針では、政府情報システムが単にクラウドに移行するだけでなく、 クラウドの利用メリットを⼗分に得られるようにするため、 政府情報システムがスマートにクラウドを利用するための考え方を示 す。 『政府情報システムにおけるクラウドサービスの適切な利用に関わる基本方針』

24. 24 Copyright © 2023 BTC Corporation All Rights Reserved. 1.6

    クラウドサービスのスマートな利用によるメリット 出展：AWS 50 政府が求めるクラウドを適切（スマート）に利用するための設計原則

25. 25 Copyright © 2023 BTC Corporation All Rights Reserved. 文書から伝わる思い

    3.5.1 アプリケーションとシステム刷新について 見積りの取得時の留意点 従来型の業務システムを、多種多様なマネージドサービスを利用し、自らサーバを構築 しない業務システムとするには、アプリケーションのモダン化、刷新が必要となる。 この際、刷新時のアプリケーション開発コスト（整備経費）の増加分と刷新後のランニ ングコスト（運用経費）の減少分を総合的に評価する必要があるが、その費用見積りに ついては、モダン技術に明るい事業者（担当者）に依頼することが不可欠となる。 ～中略～ モダン技術に明るくない事業者による見積りは、従来方式を墨守するためのものが多 く、正しい意思決定を阻害するため、技術的な妥当性に加え、比較対象が適切か否か、 特定の意図を持った恣意的な見積りとなっていないか等、特に留意が必要となる。 納品物についても、必要性の低いドキュメントを納品物と定義して、利用されない大量 ドキュメントに工数（費用）と作業期間を割くのではなく、クラウドの場合は、まず、 実機環境で開発構築してみて、試行錯誤や評価の後に、確定した内容のみを真に必要な ドキュメントとして納品物とすることが重要である。

26. 26 Copyright © 2023 BTC Corporation All Rights Reserved. 文書から伝わる思い

    3.5.2 アプリケーションとシステム刷新について クラウド移行に向けた刷新 ～中略～ システムの刷新においても、オンプレミスでは、ハードウェアの老朽化により、アプ リケーションの改修を最小限にとどめてインフラのみを刷新（サーバ更改）する方式 が多かったが、これはクラウドへの移行では好ましくない。 アプリケーションの改修を前提としない刷新では、マネージドサービスの利用も自ら サーバを構築しない構成も非常に困難になってしまう。 クラウド移行に向けた刷新においては、インフラとアプリケーションを同時に刷新す ることが合理的である。また、事業者や調達についてもインフラとアプリケーション を原則として分離するべきではない。 事業者の対応能力で（インフラとアプリの）同時刷新が困難な場合は、事業者へ体制 強化、自己学習、トレーニング受講、資格取得等を促したうえで、より一層の競争環 境醸成を行う必要がある。 ～中略～ コスト削減の観点から、データベースと運用管理系の機能については、マネージド サービスの利用を優先的に検討するものとする。

27. 27 Copyright © 2023 BTC Corporation All Rights Reserved. 文書から伝わる思い

    3.5.5 クラウド上で稼働するアプリケーションについて ～中略～ • モダンアプリケーションとする マネージドサービスの組合せだけでシステムを構成する、自らサーバを構築せず システムを構成するなど、クラウドならではの考え方とする。マイクロサービス アーキテクチャの採用や継続的な改善（開発）もモダンアプリケーションでは一 般的である。 • オンプレミス時代の旧来技術・運用を単純に踏襲しない 以下に例示するような旧来技術・運用は、今日のクラウドでは高コスト化の要因 となるため、原則として踏襲せず、モダンな技術・運用で再設計を行うべきであ る。特にセキュリティへの要求水準が高い場合は必ずモダンな技術・運用とする こと。旧来技術・運用を継続使用する場合は、それが技術的負債となることに留 意されたい。 • オンプレミス時代の人海戦術的な方式を踏襲せず自動化する インフラ環境構築の自動化（IaC）とCI/CDパイプライン化、インフラテストの自 動化、システム監視や運用の自動化、セキュリティ監視の自動化をクラウドの機 能を活用して行う。

28. 28 Copyright © 2023 BTC Corporation All Rights Reserved. 他にも・・・

    • 柔軟性の向上 将来の拡張性を考慮して初期構築時に過剰なスペックのリソースを構築しない • リファレンスアーキテクチャへの準拠 オンプレミス時代の人海戦術を踏襲せず、最適なクラウド利用の方法をCSPのリファレンス アーキテクチャから学ぶ。 • 境界型セキュリティのみに依存しないセキュリティ対策を行う（ゼロトラスト） 「外部は危険、内部は安全」という考えに基づきネットワーク保護のみを重視するのでなく、 ゼロトラストの考え方に基づいて全てのレイヤーでセキュリティ対策を検討する。 • 定量的計測とダッシュボードによる状況の可視化 セキュリティの通知設定をして終わりにせず、管理者や関係者が速やかに常用を把握するた めに情報を可視化する。 • 継続的なアップデートへの対応 日常的にサービスのアップデートの対応を行い、適宜設計の見直しをする。 • クラウドに最適化した監査 オンプレミスの監査方法を踏襲するのではなく、IaCテンプレートや予防的統制・発見的統制 を活用したクラウドならではの監査を行うことが可能となる。

29. 29 Copyright © 2023 BTC Corporation All Rights Reserved. まとめると・・・

    ©️ 2021 Nohara Holdings, Inc. VPC AZ-A AZ-C ALB Private subnet Public subnet DB (Primary) DB (Secondary) container container AWS Fargate CloudTrail GuardDuty AWS Shield Route53 WAF NAT gateway NAT gateway ECS CloudWatch コンテナログ／ メトリクスを集約 Amazon ECR 意外と普通の構成図？と思うかもしれないが、前述の文章を読むと、この構成に至るまで様々な検 討を職員・事業者がしなくてはいけないことがわかる。

30. 30 Copyright © 2023 BTC Corporation All Rights Reserved. ありがとうございました！