Upgrade to Pro — share decks privately, control downloads, hide ads and more …

自治体のガバメントクラウド AWS 移行で 経験した大変だったことと今後の展望について

Avatar for takeda_h takeda_h
May 25, 2026
Technology
67
1

自治体のガバメントクラウド AWS 移行で 経験した大変だったことと今後の展望について

Avatar for takeda_h

takeda_h

May 25, 2026

More Decks by takeda_h

See All by takeda_h
ガバメントクラウドにおけるAWSの長期継続割引について
Avatar for takeda_h takeda_h
2
6k
自治体職員がガバクラの AWS 閉域ネットワークを理解するのにやって良かった個人検証環境
Avatar for takeda_h takeda_h
3
920
20241218 第4回自治体システム標準化・ガバメントクラウド勉強会発表資料
Avatar for takeda_h takeda_h
0
3.1k

Other Decks in Technology

See All in Technology
Oracle AI Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
1.5k
秘密度ラベル初心者が第1歩でつまづかないための「設計・運用」ポイント
Avatar for seafay seafay
PRO
0
220
GitHub Copilot app最速の発信の裏側
Avatar for tomokusaba tomokusaba
1
190
マルチアカウント環境での コーディングエージェントを使った障害調査が大変なので AIエージェントにReadOnly権限を付与してみた / ReadOnly AI Agents for Multi-Account AWS Incident Response
Avatar for Takashi Yamaguchi yamaguchitk333
2
110
徹底討論!ECS vs EKS!
Avatar for 高棹大樹 daitak
0
300
SONiCの統計情報を取得したい
Avatar for SONiC Users Group Japan sonic
0
230
SONiCで構築・運用する生成AI向けパブリッククラウドネットワーク ~実装編~
Avatar for SONiC Users Group Japan sonic
0
280
PostgreSQL 19 新機能概要 OSC Hokkaido 2026
Avatar for Noriyoshi Shinoda nori_shinoda
0
140
Claude Codeをどのように キャッチアップしているか
Avatar for Oikon oikon48
13
8.6k
失敗を資産に変えるClaude Code
Avatar for Shinya Saita shinyasaita
0
720
LayerX コーポレートエンジニアリング室におけるサプライチェーンセキュリティへの取り組み / Supply Chain Security at LayerX Corporate Engineering
Avatar for Yuya Takeyama yuyatakeyama
2
680
アンオフィシャルな、オフィシャルからのお願い
Avatar for wataru yamazaki (DevRel) wyamazak_devrel
0
140

Featured

See All Featured
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
39
3.2k
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
31
6.8k
Agile Actions for Facilitating Distributed Teams - ADO2019
Avatar for Mark Kilby mkilby
0
210
Designing for Timeless Needs
Avatar for Cassini Nazir cassininazir
1
260
Efficient Content Optimization with Google Search Console & Apps Script
Avatar for Katarina Dahlin katarinadahlin
PRO
1
630
Lessons Learnt from Crawling 1000+ Websites
Avatar for Charles Meaden charlesmeaden
PRO
1
1.3k
Leadership Guide Workshop - DevTernity 2021
Avatar for David Neal reverentgeek
1
310
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
Avatar for Aleyda Solis aleyda
1
1.3k
Odyssey Design
Avatar for Ryan Kendrick rkendrick25
PRO
2
700
The browser strikes back
Avatar for Jono Alderson jonoalderson
0
1.3k
Darren the Foodie - Storyboard
Avatar for Kevinho.art khoart
PRO
3
3.4k
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
Avatar for Akash Hashmi akashhashmi
0
370

Transcript

  1. 自治体のガバメントクラウド AWS 移行で 経験した大変だったことと今後の展望について 第 48 回 JAWS-UG 札幌支部 x

    秋田支部 コラボ勉強会 2026/05/25

  2. 2 自己紹介 ⚫ 北海道の某地方自治体の職員(IT 経験 = 情シス歴 12 年) ⚫

    庁内ネットワーク運用、セキュリティ、標準化・ガバメントクラウド移行対応 ⚫ Gov-JAWS 協力メンバー(他の JAWS での登壇初めてなのでよろしくお願いします!) ⚫ AWS Certified Solutions Architect – Associate ⚫ AWS Certified Solutions Architect – Professional ⚫ AWS Certified Advanced Networking – Specialty ⚫ IPA 情報処理安全確保支援士試験 ⚫ IPA ネットワークスペシャリスト 所属など 資格など 趣味・得意分野 ⚫ ネットワーク、Linux(逸般の誤自宅勢)、閉域ネットワークでの AWS 環境構築

  3. 自治体のガバメントクラウド AWS 移行で 経験した大変だったことと今後の展望について 3 ⚫ 自治体情報システム標準化とガバメントクラウド移行とは? ⚫ ガバメントクラウド AWS

    環境とはどのようなものなのか? ⚫ ガバメントクラウド AWS 環境への移行で苦労したこと ⚫ ガバメントクラウド AWS 環境のコスト戦略 ⚫ AWS 環境への移行を終えた今後の展望

  4. 4 自治体情報システム標準化とガバメントクラウド移行とは? 地方公共団体情報システム標準化基本方針 (2024 年 12 月 24 日閣議決定) 地方公共団体の基幹業務システムの統一・標準化の取組により、地方公共団体が情報システ

    ムを個別に開発することによる人的・財政的負担を軽減し、地域の実情に即した住民サービ スの向上に注力できるようにするとともに、新たなサービスの迅速な展開を可能とすること を目指す 具体的には、住民基本台帳や地方税など 20 の対象業務の基幹システムを原則 2025 年度末 までに国の定める標準仕様書に適合するシステムへ移行する

  5. 5 自治体情報システム標準化とガバメントクラウド移行とは? 地方公共団体情報システムの標準化に関する法律 (令和三年法律第四十号) (クラウド・コンピューティング・サービス関連技術の活用) 第十条 地方公共団体は、デジタル社会形成基本法第二十九条に規定する国による環境の整 備に関する措置の状況を踏まえつつ、当該環境においてクラウド・コンピューティング・ サービス関連技術を活用して地方公共団体情報システムを利用するよう努めるものとする。 これがガバメントクラウド(AWS、GC、Azure、OCI、さくらのクラウド)

    自治体は機微な情報を扱う基幹システムをパブリッククラウドで運用することになる

  6. ガバメントクラウド AWS 環境とはどのようなものなのか? 6

  7. 7 ガバメントクラウド AWS 環境の概要 ⚫ アプリケーション開発者の要求に応じて自動で柔軟かつ迅速にインフラを用意できる環境 ⚫ クラウドの最新技術を活用することで、クラウドサービスが提供する高いセキュリティと 可用性、スケーラビリティを利用可能 ⚫

    ガバナンス機能とテンプレートを用いることで、政府全体としての管理レベルの向上、ベ ストプラクティスに基づく品質の底上げと標準化、セキュリティやネットワーク、運用監 視などの検討省力化と設定自動化を支援 ⚫ 具体的には、デジタル庁が管理する Organizations 環境から払い出される AWS アカウン トを自治体が利用 ⚫ テンプレート適用による予防的統制・発見的統制の実現、外部 IdP 連携によるシングル サインオンなどが初めから利用できる(詳細はデジタル庁 GCAS ガイド)

  8. 8 ガバメントクラウド AWS 環境の統制のイメージ ⚫ SCP(Service Control Policy)の自動適用で予防的統制を実現 ⚫ そのほか自治体

    AWS アカウント側でデジタル庁から提供されるテンプレート(CDK、 Service Catalog)の適用で発見的統制も実現

  9. 9 ガバメントクラウド AWS 環境のネットワーク構成のイメージ ⚫ 庁内オンプレミスと Direct Connect で閉域接続 ⚫

    マルチアカウントかつ複数 VPC の接続が必要なため、リソース集約アカウント(ネット ワークアカウント)の Transit Gateway で VPC を接続

  10. ガバメントクラウド AWS 環境への移行で苦労したこと 10

  11. 11 ガバメントクラウド AWS 環境への移行で苦労したこと ⚫ マイナンバーなど機微な情報を扱う基幹システムのため、閉域ネットワークが必須 ⚫ オンプレミスの庁内ネットワークとの接続が必須のため、オンプレミスと AWS の閉

    域ハイブリットネットワークになる ⚫ 20 ある業務の基幹システムを単一のベンダーで運用する自治体は多くないため、複数の ベンダーが関わる ⚫ 必然的に AWS アカウントはマルチアカウントで運用(ただし Organizations はデジ タル庁管理のため自治体の AWS アカウントは全てメンバーアカウント) ⚫ 自治体が自身で AWS アカウントを管理してベンダーに基幹システムを構築してもら う単独利用方式と、ベンダーが管理する AWS アカウントで複数自治体の基幹システ ムを共同で運用する共同利用方式が混在 ⚫ 各ベンダーは、オンプレミス側や他ベンダーの構成が分からない→自治体側でネットワー ク全体を俯瞰して複数ベンダーを調整する必要がある

  12. 12 ガバメントクラウド AWS 環境への移行で苦労したこと ⚫ 各ベンダーの VPC で使ってもらう CIDR やドメインを設計する(オンプレミスの

    CIDR と調整して拡張しやすく集約しやすい CIDR やサブドメインの設計が求められる) ⚫ 各ベンダーの VPC のリソースをオンプレミスのクライアントから名前解決する方法を設 計する(Route 53 Resolver Endpoint、Route 53 Private Hosted Zone、条件付きフォ ワーダーなど) ⚫ 基幹システム間でデータ連携を S3 を介して行うことから、S3 バケットをリソース集約 アカウントにまとめ、他ベンダーアカウントからクロスアカウントアクセスしてもらうた めのバケットポリシー、KMS キーポリシーを設計する

  13. 13 マルチアカウント間の Transit Gateway アタッチメント接続の調整 ⚫ リソース共有アカウントの Transit Gateway(TGW)に他ベンダーの VPC

    を接続する例 ⚫ 他ベンダーアカウントへ TGW を Resource Access Manager(RAM)で共有 ⚫ 他ベンダーアカウントが TGW アタッチメントを作成した後、リソース共有アカウント でアタッチメント接続を承認し、TGW ルートテーブルを作成 リソース集約アカウント TGW を共有しますので AWS アカウント ID を教えてください AWS アカウント ID は xxx です 他ベンダーアカウント 他ベンダーアカウント TGW アタッチメントを作成しましたので承認願います

  14. 14 AWS account AWS Transit Gateway AWS Direct Connect Gateway

    AWS account Virtual private cloud (VPC) Private subnet Attachment Private subnet Instance AWS account Virtual private cloud (VPC) Private subnet Attachment Private subnet Instance Virtual private cloud (VPC) Private subnet Attachment Private subnet Endpoints AWS Resource Access Manager

  15. 15 Route 53 Resolver Endpoint と Private Hosted Zone の関連付けの調整

    ⚫ オンプレミスの DNS サーバーとリソース集約アカウントの Route 53 Resolver Endpoint を条件付きフォワーダーで連携する例 ⚫ 他ベンダーアカウントの Route 53 Private Hosted Zone を Route 53 Resolver Endpoint のある VPC に関連付けることでオンプレミスから名前解決が可能になる(要 CLI) リソース集約アカウント VPC ID を共有しますので Route 53 Private Hosted Zone を 関連付け要求してください 関連付け要求を実行しました、承認をお願いします 他ベンダーアカウント

  16. 16 AWS account AWS Transit Gateway AWS Direct Connect Gateway

    AWS account Virtual private cloud (VPC) Private subnet Attachment AWS account Virtual private cloud (VPC) Private subnet Attachment Virtual private cloud (VPC) Private subnet Attachment Private subnet Endpoints Resolver Amazon Route 53 Hosted zone Hosted zone Hosted zone

  17. 17 S3 バケットのバケットポリシー、KMS キーポリシーの調整 ⚫ リソース集約アカウントに S3 バケットを集約し、他ベンダーアカウントからクロスアカ ウントアクセスで接続させる例 ⚫

    他ベンダーアカウントの IAM ロールをバケットポリシーでアクセス許可 ⚫ バケットを暗号化する KMS キーのキーポリシーも同様にアクセス許可 リソース集約アカウント バケットポリシーとキーポリシーにアクセス許可設定しますので IAM ロールの ARN を教えてください IAM ロールの ARN は xxx です 他ベンダーアカウント

  18. 18 AWS account AWS account Virtual private cloud (VPC) Private

    subnet AWS account Virtual private cloud (VPC) Private subnet Virtual private cloud (VPC) Private subnet Endpoints Amazon Simple Storage Service (Amazon S3) Amazon Simple Storage Service (Amazon S3) Endpoints Endpoints Role Role AWS Key Management Service (AWS KMS) Amazon Simple Storage Service (Amazon S3) Bucket with objects

  19. 19 オンプレミスの庁内ネットワークの調整も大変 ⚫ Direct Connect へ接続するルーター・ファイアウォールの設定(BGP で広告するオンプ レミスの CIDR や、接続を許可する通信ポリシーの決定)

    ⚫ DNS サーバーに AWS 側で使うサブドメインへの条件付きフォワーダーを設定 ⚫ AWS 側から LGWAN など庁内ネットワークを経由しなければアクセスできないネット ワークへアクセスする場合、Route 53 Outbound Endpoint や TGW と VPC のルート テーブルの設定が要る場合も

  20. 20 AWS account AWS Transit Gateway AWS Direct Connect Gateway

    Virtual private cloud (VPC) Private subnet Attachment Private subnet Endpoints Resolver Amazon Route 53 Hosted zone 自治体庁内ネットワーク DNS Server Router Firewall Router LGWAN Firewall Router Router DNS Server

  21. 21 他ベンダーから自治体側の要望を断られることも…… ⚫ 複数の自治体の環境を共同利用方式で運用するベンダーから、自治体からの調整の要望を 断れるケースもある(ベストプラクティスができないつらみ) そちらの指定する CIDR は使いたくないので TGW でルーティングは

    しません。PrivateLink を作成してください 他ベンダーアカウント Route 53 Private Hosted Zone をそちらの VPC に関連付けしたくな いので、オンプレミスの DNS サーバーからこちらのアカウントの DNS リゾルバーへ条件付きフォワードの設定を追加してください 他ベンダーアカウント

  22. ガバメントクラウド AWS 環境のコスト戦略 22

  23. 23 リザーブドインスタンス・Savings Plans の対応 ⚫ 自団体の AWS コストの約 8 割を

    EC2 と RDS が占める状況 ⚫ リザーブドインスタンスと Savings Plans の仕様を調べ、最適なプランを選定 内閣官房「国・地方デジタル共通基盤推進連絡協議会ワーキングチーム(第10回)」資料 1 から引用 https://www.cas.go.jp/jp/seisaku/digital_gyozaikaikaku/kyotsuwt10/rkw10.html

  24. AWS 環境への移行を終えた今後の展望 24

  25. 25 閉域ネットワークでも活用できる AWS サービスで行政 DX 推進を目指す ⚫ 自治体から接続する AWS 環境は基幹システムなどを扱うため、閉域ネットワークである

    ⚫ 今回ガバメントクラウド移行で閉域ネットワークと AWS が接続された ⚫ Bedrock など VPC エンドポイントからアクセスできるサービスであれば活用の途がある ⚫ 公共分野における AWS 活用を現場からやっていきたい

  26. 26 貴重な JAWS-UG 札幌支部 x 秋田支部コラボ勉強会に登壇の機会をいただき ありがとうございました! JAWS FESTA 2026

    in AKITA のご盛会を祈念しております!