Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ガバメントクラウド単独利用方式におけるIaC活用

Avatar for 高橋広和 高橋広和
October 28, 2024
Technology
4
770

 ガバメントクラウド単独利用方式におけるIaC活用

2024/10/28 JAWS-UG 名古屋 「IaC運用のリアルを語りたい!LT大会」の登壇資料です。

Avatar for 高橋広和

高橋広和

October 28, 2024
Tweet

More Decks by 高橋広和

See All by 高橋広和
GCASアップデート(202510-202601)
Avatar for 高橋広和 techniczna
0
290
ガバメントクラウド利用システムのライフサイクルについて
Avatar for 高橋広和 techniczna
0
220
GCASアップデート(202508-202510)
Avatar for 高橋広和 techniczna
0
640
ガバメントクラウドの概要と自治体事例(名古屋市)
Avatar for 高橋広和 techniczna
3
400
地方公共団体基幹業務システムの標準化について
Avatar for 高橋広和 techniczna
0
160
7月のガバクラ利用料が高かったので調べてみた
Avatar for 高橋広和 techniczna
3
1.2k
GCASアップデート(202506-202508)
Avatar for 高橋広和 techniczna
0
500
20250627__今ガバ_ガバメントクラウドでの請求支払事務について_PDF用.pdf
Avatar for 高橋広和 techniczna
1
370
GCASアップデート(202501-202504)
Avatar for 高橋広和 techniczna
1
680

Other Decks in Technology

See All in Technology
判断は人、準備はAI - チケット管理で見えた仕事の境界
Avatar for Yusuke Shimizu yusukeshimizu
3
140
AIで 浮いた時間で 何をする? 2026春 #devsumi
Avatar for konifar konifar
15
2.3k
AI駆動開発とRAGプロダクトへの挑戦の軌跡 - 弁護士ドットコムでの学びから -
Avatar for 弁護士ドットコム bengo4com
2
500
AWSが推進する AI駆動開発ライフサイクル入門 〜 AI駆動開発時代に必要な人材とは 〜 / introduction_to_aidlc_and_skills
Avatar for Atsushi Fukui fatsushi
7
3.6k
Oracle Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
3
720
あすけん_Developers_Summit_2026_-_Vibe_Coding起点での新機能開発で__あすけん_が乗り越えた壁.pdf
Avatar for iwahiro iwahiro
0
180
Azure Copilot Migration Agent / #jazug
Avatar for Kodai Sakabe koudaiii
1
230
Oracle Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
2
1.1k
AWS Transformを使ってCOBOLプログラムのモダナイズに挑戦
Avatar for k-kun duelist2020jp
1
100
React 19時代のコンポーネント設計ベストプラクティス
Avatar for uhyo uhyo
17
6k
今、求められるデータエンジニア
Avatar for Yuta Ozaki waiwai2111
2
1.2k
歴史に敬意を! パラシュートVPoEが組織と共同で立ち上がる信頼醸成オンボーディング
Avatar for Go Akazawa go0517go
PRO
0
120

Featured

See All Featured
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.8k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
274
21k
Efficient Content Optimization with Google Search Console & Apps Script
Avatar for Katarina Dahlin katarinadahlin
PRO
1
340
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
27k
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
Avatar for Andy Polaine apolaine
0
210
What Being in a Rock Band Can Teach Us About Real World SEO
Avatar for Ade Holder 427marketing
0
180
Leveraging Curiosity to Care for An Aging Population
Avatar for Cassini Nazir cassininazir
1
180
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
46
2.7k
Claude Code のすすめ
Avatar for schroneko schroneko
67
210k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
55
8k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
527
40k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
50
14k

Transcript

  1. ガバメントクラウド単独利用方式 におけるIaC活用 2024/10/28 JAWS-UG 名古屋 「IaC運用のリアルを語りたい!LT大会」 1

  2. Profile 2 名古屋市総務局デジタル改革推進課 課長補佐(システム標準化担当) 高橋 広和 ◆ 1998年 名古屋市入庁 区役所市民課

    住基・戸籍・印鑑業務従事 ◆ 2002年 健康福祉局医療福祉課 ホスト分散化対応、後期高齢者医療システム開発 ◆ 2009年 健康福祉局総務課 福祉総合情報システム保守運用 ◆ 2012年 愛知県後期高齢者医療広域連合 マイナンバー制度導入対応 ◆ 2017年 健康福祉局保険年金課 保険年金システム保守運用 ◆ 2022年 現職 担当業務:基幹業務システムのガバメントクラウドCoE 趣味:読書 特技:AWSチョットワカル、VB系コーディング モットー:楽をするための労力は惜しまない 好きなAWSサービス:Trangit Gateway X :https://twitter.com/techniczna Note:https://note.com/techniczna/

  3. 名古屋市のガバクラ移行の取組について • 【導入事例】名古屋市様 稼働率99.99%のガバメントクラウド接続環境を実現! https://www.jt-tsushin.jp/articles/case/platform-tokai-com-20241008 • 政令市・中核市・特別区CIOフォーラム2024年5月21~22日会合 標準化を機にしがらみを断ち全 体最適化へ https://project.nikkeibp.co.jp/jpgciof/atcl/19/00002/00013/?P=8

    • 名古屋市が進めるAWSを活用したガバメントクラウドの現状とは https://news.mynavi.jp/techplus/article/20241023-3050317/ • AWSがガバメントクラウドへの取り組みを説明、名古屋市の事例も https://cloud.watch.impress.co.jp/docs/news/1633596.html • AWSジャパン、自治体のガバメントクラウド移行をスキル育成や情報提供で支援 ガバクラを先行利 用する名古屋市が取り組みを説明 https://it.impress.co.jp/articles/-/26995 • 移行期限迫るガバクラ、自治体・支援事業者の現状は? 300の自治体で利用されるAWSの場合 https://ascii.jp/elem/000/004/230/4230115/ 3

  4. ガバメントクラウドとは何か 普通のAWSとどう違うのか? 4

  5. ガバメントクラウドとは? • デジタル庁が整備する、自治体や政府共通のクラウド サービスの利用環境 • AWS、GC、Azure、OCI、さくらのクラウド※の5つ (2024年9月現在) ※ さくらのクラウドは2025年度までに必要な要件を満たすことが前提 •

    名古屋市はAWSを利用 5

  6. 普通のAWSとどう違うの? • 1つの巨大なAWS Organizationで運用 ➢ デジタル庁がマスターアカウント、利用団体がメンバーアカウント • ユーザーは全てデジタル庁が管理 ➢ デジタル庁が管理するオンボーディングサイト(GCAS)をIdPとして、IAM

    Identity Centerで SSOアクセスを行う ➢ IAMユーザーは原則利用禁止 ➢ GCAS登録時にマイナンバーカードによる本人確認が必要 • SCPで一部サービスを制限 ➢ 海外リージョンの利用やインターネットからのマイナンバーデータへのアクセス等 • 一定のセキュリティガードレールを確保 ➢ AWS BLEAによる自動適用テンプレート、必須適用テンプレート 6

  7. 単独利用方式と 共同利用方式の違い 7

  8. 単独利用方式と共同利用方式の違い 8 単独利用方式 共同利用方式 運用主体 地方公共団体 事業者 導入方法 地方公共団体がCSPや運用ルールを決定 し、調達仕様に盛り込む

    事業者がCSPや運用ルールを決定し 地方公共団体に提案 利用方法 地方公共団体が事業者用の環境を用意し 事業者はその環境にシステムを構築 事業者が共同利用環境を用意し 地方公共団体はその環境に接続 名古屋市はこちら

  9. 単独利用方式の構成 9

  10. 単独利用方式の構成イメージ 庁内ネットワーク 運用管理環境 (ネットワークアカ ウント) AシステムASP環境(単独利用) AシステムVPC 10 BシステムASP環境(単独利用) BシステムVPC

    CシステムASP環境(単独利用) CシステムVPC DシステムASP環境(単独利用) DシステムVPC EシステムASP環境(単独利用) EシステムVPC FシステムASP環境(単独利用) FシステムVPC IシステムASP環境(単独利用) IシステムVPC HシステムASP環境(単独利用) HシステムVPC JシステムASP環境(単独利用) JシステムVPC GシステムASP環境(単独利用) GシステムVPC KシステムASP環境(単独利用) KシステムVPC LシステムASP環境(単独利用) LシステムVPC OシステムASP環境(単独利用) OシステムVPC NシステムASP環境(単独利用) NシステムVPC PシステムASP環境(単独利用) PシステムVPC MシステムASP環境(単独利用) MシステムVPC QシステムASP環境(単独利用) QシステムVPC RシステムASP環境(単独利用) RシステムVPC

  11. 単独利用方式の運用の課題 • 最終的に数十ものシステムの環境が必要 • ASPベンダが全部違う • Organizations/Control Tower は使えない •

    全体統制と環境払出をどうするか? 11

  12. そうだ、名古屋市も テンプレート作ろう! 12

  13. 実際に作ったのは統合運用管理 補助事業者(NEC)さんです 13

  14. 名古屋統制テンプレート の内容と適用 14

  15. 【デジタル庁】アカウントの払出 庁内ネットワーク 運用管理環境 (ネットワークアカ ウント) AシステムASP環境(単独利用) 15 Resolver Endpoints

  16. 【ASP】デジタル庁必須適用テンプレートの適用 庁内ネットワーク 運用管理環境 (ネットワークアカ ウント) AシステムASP環境(単独利用) 16 Config CloudTrail Trusted

    Advisor IAM Budgets SNS GuardDuty Security Hub AWS CDK または Service Catalogで適用 Resolver Endpoints

  17. 【ASP】名古屋市統制テンプレートの適用① 庁内ネットワーク 運用管理環境 (ネットワークアカ ウント) AシステムASP環境(単独利用) 17 Config CloudTrail Trusted

    Advisor IAM Budgets SNS GuardDuty Security Hub KMS EventBridge SQS AシステムVPC Resolver Endpoints Att-subnet AZ1a Att-subnet AZ1c Route table Network ACL Network ACL AWS CDK で適用 CloudWatch ロググループ

  18. 【ASP】名古屋市統制テンプレートの適用② 庁内ネットワーク 運用管理環境 (ネットワークアカ ウント) AシステムASP環境(単独利用) 18 Config CloudTrail Trusted

    Advisor IAM Budgets SNS GuardDuty Security Hub KMS EventBridge SQS AシステムVPC Resolver Endpoints Att-subnet AZ1a Att-subnet AZ1c Route table Network ACL Network ACL Inspector Hosted zone Private Host zone を手動で作成 CloudWatch ロググループ Inspectorを 手動で有効化

  19. 【ASP/名古屋市】名古屋市統制テンプレートの適用③ 名古屋市 (統合運用管理補助事業者) ASPベンダ アカウントID VPCID サブネットID Route53ホストゾーンID TGW アタッチメント用

    Jsonファイル ① ②

  20. 【ASP】名古屋市統制テンプレートの適用④ 庁内ネットワーク 運用管理環境 (ネットワークアカ ウント) AシステムASP環境(単独利用) 20 Config CloudTrail Trusted

    Advisor IAM Budgets SNS GuardDuty Security Hub KMS EventBridge SQS AシステムVPC Resolver Endpoints Att-subnet AZ1a Att-subnet AZ1c Route table Network ACL Network ACL Inspector Hosted zone TGWリソース共有の承認 Attachment Attachment CloudFormationでJsonファイルを アップロードしてデプロイ CloudWatch ロググループ

  21. 【名古屋市】名古屋市統制テンプレートの適用⑤ 庁内ネットワーク 運用管理環境 (ネットワークアカ ウント) AシステムASP環境(単独利用) 21 Config CloudTrail Trusted

    Advisor IAM Budgets SNS GuardDuty Security Hub KMS EventBridge SQS AシステムVPC Resolver Endpoints Att-subnet AZ1a Att-subnet AZ1c Route table Network ACL Network ACL Inspector Hosted zone Host zone の関連付け Attachment の承認 Attachment Attachment オンプレDNS CloudWatch ロググループ

  22. 名古屋市統制テンプレートの適用⑥ • 他にも以下の作業を実施 ➢ASP環境に運用管理アカウント保守用のロールを作成 ➢運用管理環境Detectiveの招待と承諾 ➢運用管理環境へのCloudWatch ログ集約 ➢運用管理環境プライベートCAの共有設定 22

  23. 今後の展望 • 三層分離モデル変更に伴うテンプレート更新 (α´モデルからβ´モデルへ) • ディザスタリカバリへのIaC活用を検討 23

  24. ご清聴ありがとう ございました! 24