自治体ネットワークとAWSの接続について

Transcript

1. 自治体ネットワークとAWSの接続について Shota SHIRATORI(NW-JAWS) #NW_JAWS #GOV_JAWS ※本資料に記載の内容は2025年2月14日12:00(JST)時点のものとなります ※本資料の見解・知見については所属する組織を代表するものではありません

2. 自己紹介 所属 NTT東日本 白鳥 翔太 業務 プロダクト開発シニアスペシャリスト（クラウド関連プロダクト） 経歴 2009年入社 ネットワークエンジニア～セールス～現職

   保有資格 しらとり しょうた 好きなAWSサービス Amazon S3 ネットワークスペシャリスト 情報セキュリティスペシャリスト 2020/2021/2022 APN AWS Top Engineers 2023/2024 Japan AWS Top Engineers 2023/２０２４ Japan AWS All Certifications Engineers 2024 AWS Ambassadors 好きな言葉 Knowledge is Power./Insist on the Highest Standards. Any sufficiently advanced technology is indistinguishable from magic. コミュニティ AWS Ambassador - Certification All-Star Award 2024 一番注目のアプデ VPC Lattice&PrivateLink関連 #NW_JAWS #GOV_JAWS

3. 本日お話しすること・しないこと • 本日お話しすること • 自治体ネットワークの概要とAWSへの接続について（主にAWSエンジニア向け） • 自治体側 • AWS側 インターネットに公開されている資料（総務省・デジタル庁・J-LIS等）からわかることをご紹介

   • 本日お話ししないこと • 具体的な接続手順や事業者のサービスについて • AWSのネットワークサービスについて • 各サイトのメンバー向け情報からの情報 • 個別の自治体の事情に基づいた見解・知見など #NW_JAWS #GOV_JAWS

4. 本題 #NW_JAWS #GOV_JAWS

5. 自治体ネットワークにおける主な関係者の整理 #NW_JAWS #GOV_JAWS 自治体 総務省 地方公共団体情報シス テム機構（JLIS） デジタル庁 通信事業者 機器ベンダー

   クラウド事業者 SIer など 関連省庁・団体 サービス提供者 地方公共団体における情報セキュリ ティポリシーに関するガイドライン https://www.soumu.go.jp/de nshijiti/jyouhou_policy/ GCASガイド https://guide.gcas.cloud.go. jp/ 総合行政ネットワーク基本規程 https://www.j- lis.go.jp/lgwan/about/cms_1 5039.html AWSとの接続に関する 主なガイドライン 自治体ネットワークを構成するには、技術的な要件だけではなく、法律、関連省庁/団体のガイドラインや規程を踏まえたうえで構成する 自治体

6. 自治体ネットワークの概要 #NW_JAWS #GOV_JAWS マイナンバー利用事務系 LGWAN接続系 インターネット接続系 LGWAN 閉域ネットワーク 閉域ネットワーク 自治体情報セキュリティ

   クラウド 総務省：「自治体の情報システムについて」 https://www.soumu.go.jp/main_content/000757995.pdf リスク分断 分離 Internet LGWAN-ASP Internet ガバメントクラウド ガバメント クラウド 社会保障 税 戸籍 など 人事給与 文書管理 など 情報収集 メール ホームページ 無害化通信 いくつかのLGWAN業務をインターネット接続系に移したり、テレワーク対応の派生モデル（α’/β/β’）もありますが、今日は触れません LGCS αモデルの場合

7. マイナンバー利用事務系ネットワークとAWSの接続 #NW_JAWS #GOV_JAWS ①地方公共団体から専用線で接続 ②ASPのデータセンタから専用線 での接続 ③都道府県WANを経由した接続 ④既に接続しているパブリックク ラウドからの接続 デジタル庁：地方公共団体情報システムガバメントクラウド移行に係る手順書【第2.0版】

   https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/c58162cb-92e5- 4a43-9ad5-095b7c45100c/2a51dc42/20240830_policies_local_governments_outline_02.pdf ガバメント クラウド マイナンバー利用事務系は基本的にガバメントクラウドとの接続に準拠。AWSからみると基本Direct Connect ガバメント クラウド ガバメント クラウド 独自調達の AWSアカウント ガバメント クラウド ガバメント クラウド 自治体 AWS Direct Connect AWS Direct Connect 専用線 自治体 A 自治体 B 閉域ネッ トワーク 自治体 A 都道府県 WAN AWS Direct Connect 専用線 自治体 B 自治体 C 自治体 A 都道府県 WAN AWS Direct Connect 専用線 自治体 B 自治体 AWS Direct Connect 専用線 AWS内の接続サービス Transit Gatewayなど

8. LGWAN接続系ネットワークとAWSの接続① #NW_JAWS #GOV_JAWS 総務省・J-LIS：LGWANガバメントクラウド接続サービスの整備状況について https://www.soumu.go.jp/main_content/000986171.pdf ガバメントクラウドと通常のAWSで異なる。ガバメントクラウドの場合は、「LGWANガバメントクラウド接続サービス （略称：LGCS）」を利用 LGWAN 中継ルータ (東)

   中継ルータ (西) AWS（LGWAN管理） LGWAN側 自治体側 AWS ガバメントクラウド AWS Direct Connect Gateway AWS Direct Connect ホスト型接続 ・LGWAN接続ルータ ～ クラウド接続ロケーション（データセンタ）内の接続点までをLGWANが提供 • Direct Connectはホスト型接続 • 接続先は Direct Connect Gatewayに限る ・接続時に自治体側（クラウド内）でDirect Connect接続を受け入れる承認操作が必要

9. LGWAN接続系ネットワークとAWSの接続② #NW_JAWS #GOV_JAWS J-LIS：LGWAN-ASP について https://www.j-lis.go.jp/lgwan/asp/cms_15041.html J-LIS：総合行政ネットワークASPガイドライン https://www.j-lis.go.jp/lgwan/asp/regulation/cms_15763841.html ガバメントクラウド以外のAWSを利用する場合、このAWSは「外部」と整理。LGWANとAWSリソース間でのIPリーチャ ビリティの境界及び、ファイルの無害化処理を行う。LGWAN-ASPと呼ばれるサービス事業者を介して接続する。

   AWS上でアプリケーションサービスを提供するためには、LGWAN-ASPとなるためのJ-LISへ審査を受ける必要がある。 LGWAN LGWAN-ASPホスティング LGWAN-ASP ファシリティ データセンタ サービス AWS AWS Direct Connect 無害化処理 Firewall 中継サーバ Firewall 中継サーバ Firewall AWS LGWAN-ASPファシリティ Firewall 中継サーバ Firewall 中継サーバ Firewall 中継サーバ Firewall サービス

10. インターネット接続系ネットワークとAWSの接続 #NW_JAWS #GOV_JAWS ・自治体情報セキュリティクラウドを中継したインターネット接続または閉域での接続を行う 閉域ネットワーク 自治体情報セキュリティ クラウド Internet 情報収集 メール

    ホームページ Webサーバ メールリレーサーバ プロキシサーバ 外部DNSサーバ Active Directory ファイアウォール IDS/IPS マルウェア対策 通信の復号と監視 URLフィルタ スパムメール対策 ふるまい検知 メール無害化 WAF CDN リモートデスクトップ 総務省:次期自治体情報セキュリティクラウド機能要件一覧 https://www.soumu.go.jp/main_content/000702974.pdf 必須機能 オプション機能 ログ収集 イベント監視 マネージドセキュリティ システム構成管理 脆弱性管理 CSIRT EDR監視・運用 障害管理 バックアップ/リストア 障害管理 ヘルプデスク 定例会議の運営 セキュリティレベルの自 己点検 インターネット通信の監視 インシデント予防 高度な人材による監視と検知 対応と復旧

11. これからの自治体ネットワークについて 自治体のネットワークも今後ゼロトラストネットワークアーキテクチャに向かっていく方向性が示されている。 デジタル庁：令和6年5月31日河野デジタル大臣記者会見要旨 https://www.digital.go.jp/speech/minister-240531-01 国・地方ネットワークの将来像及び実現シナリオに関する検討会報告書 概要 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/9c407fc9-90b0-49b9-bb51- c0d2662fa509/32727ed5/20240531_councils_local-goverments-network_report_01.pdf 2024年5月31日会見より 国と地方における行政ネットワーク、特に自治体ネットワークにおける「三層の対策」に関

    連するお知らせをしたいと思います。 デジタル庁で、「国・地方ネットワークの将来像及び実現シナリオに関する検討会」を昨年9 月に設置いたしました。総務省や自治体の協力を得ながら、行政ネットワークの将来像の 検討を進めてきて、報告書を本日この後、デジタル庁のウェブサイトに公表します。 報告書では、2030年頃の国・地方の行政ネットワークの将来像ということで、国・地方が それぞれ独自に整備してきた行政ネットワークについて、国・地方の適切な役割分担の下、 国が主体的に整備するネットワーク基盤を共用化して、平時のコスト効率を上げるあるい は災害時の強靱性を確保することが必要とされております。 また、自治体のセキュリティ対策は、これまで境界型防御に依拠した三層の対策によってセ キュリティを確保していましたが、物理的に分けた複数のPCでの業務、あるいはその間を USBでデータの移動を行うなどの必要がありました。今後は、この三層の対策をやめて、 国において既に導入を始めている省庁共通のネットワーク環境であります、GSS（ガバメ ントソリューションサービス）を参考に、ゼロトラストアーキテクチャの考え方を導入し、セ キュリティを確保することとしております。これによって、USBメモリを利用せず、一人一 台のPCで、効率的に業務あるいはテレワークすることができるようになります。 河野デジタル大臣※当時

12. AWSと自治体ネットワークをつなぐ際の参考資料 令和５年度 ガバメントクラウドの先行事業（基幹業務システム）における調査研究 ネットワーク接続のあり方検証 検証結果 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/cadc83bd-9e0b- 4c7c-883d-f09eeb314ecc/37b6ff58/20240906_policies_local_governments_government-cloud- interim-report_outline_06.pptx ガバメントクラウドの道案内『自治体職員編』 https://aws.amazon.com/jp/blogs/news/govcloud-guide-for-lg-staff/

    ガバメントクラウドの道案内『ネットワーク構築運用補助者編』 https://aws.amazon.com/jp/blogs/news/network-for-lg-govcloud-jp/ [AWS Black Belt Online Seminar] AWS Direct Connect 資料及び QA 公開 https://aws.amazon.com/jp/blogs/news/webinar-bb-awsdirectconnect-2021/ Zenn:行政のネットワーク（GovTech東京アドベントカレンダー） https://zenn.dev/govtechtokyo/articles/fccc9dc2d032c2 #NW_JAWS #GOV_JAWS

13. まとめ • 自治体ネットワークの関係者を整理しながら、3つのネットワークの特徴を理解する • マイナンバー利用事務系ネットワーク →住民の機微な情報（税や社会保障など）を扱う業務 • LGWAN接続系ネットワーク →自治体を維持するために必要な業務 •

    インターネット接続系ネットワーク →外部との通信 • いずれのネットワークもAWSが利用できないことはないため、取り扱う業務に応じ て最適なネットワークを選択して接続する #NW_JAWS #GOV_JAWS
14. None