先行事例から分かってきた、自治体職員がガバメントクラウド利用をする上で考えておくこと

© 2024, Amazon Web Services, Inc. or its affiliates. All
rights reserved. 先⾏事例から分かってきた、⾃治体職員がガバメントクラウド利⽤をする上で考えておくこと松本侑也 A W S - 4 8 アマゾンウェブサービスジャパン合同会社パブリックセクター技術統括本部ソリューションアーキテクト

rights reserved. ⾃⼰紹介 • 松本侑也 (Matsumoto Yuya) • パブリックセクター技術統括本部ソリューションアーキテクト⾃治体担当 § 関⻄・中国・四国地⽅のお客様を中⼼に技術⾯のご⽀援最近の活動 • ガバメントクラウドへの基幹システム移⾏ • ⽣成 AI 活⽤

rights reserved. 本セッションの⽬的対象者 § ガバメントクラウド利⽤を検討している⾃治体の⽅ § 標準準拠システムの企画・開発・運⽤に関係する⽅ゴール § 検討しておくべき項⽬や、先⾏事例のガバメントクラウド利⽤⽅針を理解する § ガバメントクラウドを利⽤する上での検討のベースラインにしていただくお話しないこと § ガバメントクラウドの詳細 § 各サービスの機能の詳細（AWS 公式ドキュメントや Black Belt オンラインセミナー資料をご確認ください）

rights reserved. ⾃治体を取り巻く状況 • 2025年度までに基幹業務システムの標準化対応が必須 • 機能要件、⾮機能要件の仕様の統⼀ • ノンカスタマイズで、更新、移⾏を容易に • ガバメントクラウド利⽤が努⼒義務出典: https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/c58162cb- 92e5-4a43-9ad5-095b7c45100c/dac15f8f/20221007_policies_local_governments_outline_01.pdf

rights reserved. ガバメントクラウドとは • 定義 § 「デジタル社会の実現に向けた重点計画」等の政府⽅針に基づき、「政府情報システムにおけるクラウドサービスの適切な利⽤に係る基本⽅針」を踏まえて構築する利⽤システムに、デジタル庁が提供する複数のクラウドサービスの利⽤環境のこと • ⽬的 • 政府、⾃治体が、単にクラウドに移⾏するだけでなくクラウドの利⽤メリットを⼗分得れるよう、スマートなクラウド利⽤を得られるようにすること • マネージドサービス、IaC、CI/CD、可視化の利⽤を通して、開発スピード向上、セキュリティ品質向上、インフラ管理構築⼯数削減、継続的改善の効果を得る。政府や⾃治体のアプリケーション開発を現代的なものに促進する出典: https://digital-gov.note.jp/ https://www.digital.go.jp/policies/gov_cloud/

rights reserved. ガバメントクラウドにおける役割定義クラウドサービス事業者 AWS等ガバメントクラウドデジタル庁利⽤システム府省庁、⾃治体等データアプリケーションマネージドサービス構成ミドルウェア／OS ネットワーク構成（システム内／インターネット接続）ガバナンスルールリファレンス構成ベースライン環境クラウドサービス環境クラウド環境下の物理インフラストラクチャクラウドセキュリティ機能を活⽤したセキュリティ対策と運⽤利⽤システム開発運⽤体制リスク、ガバナンスを実装した統制基盤ガバメントクラウド開発運⽤体制リスク、ガバナンス、セキュリティクラウドサービス事業者サポート出典︓AWS Summit 2022 「ガバメントクラウドで考える技術的統制と効率性〜 AWSでの実現策〜」

rights reserved. 単独利⽤⽅式と共同利⽤⽅式の違い A市領域 X社領域（住⺠記録・税・福祉）住⺠記録 A社製税 B社製福祉 C社製 A市 B市 C市単独利⽤⽅式（⾃治体管理）共同利⽤⽅式（SaaS）⾼⾃治体管理負担低⾼⾃治体⾃由度低 D市 E市 F市 G町 H町 I町 J村 K村 L村⾃治体（委託先）がAWS環境を管理する⾃治体はAWS環境を管理しない出典: https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/c58162cb-92e5-4a43-9ad5- 095b7c45100c/3013abc6/20221007_policies_local_governments_outline_04.pdf 単共

rights reserved. 複数の事業者/アカウントで構成されることが多い Router ⾃治体庁舎 AWS Transit Gateway AWS Private Link AWS Direct Connect ベンダーA ベンダーB ベンダーC 単共単

rights reserved. ガバメントクラウドにおける事業者の定義団体と複数のガバメントクラウド運⽤管理補助者の間の調整を⾏う、統括的な運⽤管理補助者統合運⽤管理補助者ガバメントクラウド個別領域のクラウドサービスの運⽤管理義務を負う運⽤管理補助者ガバメントクラウドの利⽤の際に⽤いる通信回線の運⽤管理を⾏う事業者回線運⽤管理補助者ガバメントクラウドを利⽤する際に⽤いる通信回線の調達・保守通信回線事業者標準準拠システム等のアプリケーション等を提供 ASP 出典: 地⽅公共団体情報システムのガバメントクラウドの利⽤について【第 2.0 版】 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/c58162cb-92e5-4a43-9ad5- 095b7c45100c/f1e3d411/20240424_policies_local_governments_outline_02.pdf

rights reserved. 様々な役割の事業者が存在 Router ⾃治体庁舎 Private Link 単共単 AWS Direct Connect 運⽤管理補助者 ASP 運⽤管理補助者 ASP 運⽤管理補助者 AWS Transit Gateway

rights reserved. 様々な役割の事業者が存在 Router ⾃治体庁舎 Private Link AWS Direct Connect 運⽤管理補助者 ASP 運⽤管理補助者 ASP 運⽤管理補助者統合運⽤管理補助者単共単 AWS Transit Gateway

rights reserved. 様々な役割の事業者が存在 Router ⾃治体庁舎 AWS Transit Gateway Private Link AWS Direct Connect 運⽤管理補助者 ASP 運⽤管理補助者 ASP 運⽤管理補助者統合運⽤管理補助者通信回線事業者回線運⽤管理補助者単単共

rights reserved. 全体⽅針を考える上での課題どのタスクをどのベンダーに任せるか整理が必要 1. ネットワーク様々な役割の事業者先⾏事例で分かってきた検討ポイント統合運⽤管理補助者運⽤管理補助者回線運⽤管理補助者通信回線事業者 ASP 2. クラウド管理 3. アプリケーション • 庁内-クラウド接続 • IP アドレス管理 • 名前解決 • 伝送データの暗号化 • AWSベストプラクティスへの準拠 • 通知の管理 • コスト管理 • データ連携 • 可⽤性・BCPの検討

rights reserved. 役割分担の先⾏事例をご紹介検討ポイントの詳細説明役割分担の事例運⽤回線統合 ASP 政令市: 単独利⽤中⼼利⽤⽅式単共中都市: 共同利⽤中⼼某市様 1. ネットワーク 2. クラウド管理 3. アプリケーション事業者単/共

rights reserved. 3つのカテゴリについて検討ポイントをお伝え関係する事業者運⽤回線統合 ASP Action 実施いただきたいこと 1. ネットワーク 1. 庁内-クラウド接続 2. IP アドレス管理 3. 名前解決 4. 伝送データの暗号化 2. クラウド管理 5. AWS ベストプラクティスへの準拠 6. 通知の管理 7. コスト管理 3. アプリケーション 8. データ連携 9. 可⽤性・BCP の検討利⽤⽅式単共単/共

rights reserved. 3つのカテゴリについて検討ポイントをお伝え関係する事業者運⽤回線統合 ASP Action 実施いただきたいこと 1. ネットワーク 1. 庁内-クラウド接続 2. IP アドレス管理 3. 名前解決 4. 伝送データの暗号化 2. クラウド管理 5. AWS ベストプラクティスへの準拠 6. 通知の管理 7. コスト管理 3. アプリケーション 8. データ連携 9. 可⽤性・BCP の検討利⽤⽅式単共単/共再掲

rights reserved. 庁舎 – クラウド接続オンプレミス/AWS の接続 Router ⾃治体庁舎 AWS Transit Gateway Private Link 単共単 Direct Connect 1. 庁内-クラウド接続運⽤回線統合

rights reserved. ⾃治体と AWS 環境の接続⽅法は複数ある⾃治体 E ⾃治体 F 次期 LGWAN 次期 LGWAN 経由専⽤線接続⾃治体閉域網都道府県 WAN/事業者 DC 利⽤都道府県 WAN ⾃治体 A 事業者 DC ⾃治体 C ⾃治体 B ü 利⽤可能な接続⽅法を確認する ü コスト・帯域・可⽤性の観点で接続⽅法を選択する Action 1. 庁内-クラウド接続運⽤回線統合⾃治体 D

rights reserved. IPアドレスが重複しないように管理 2. IPアドレス管理 Router ⾃治体庁舎 AWS Transit Gateway Private Link 単共単 AWS Direct Connect IP アドレスが重複しないよう管理運⽤回線統合

rights reserved. 各環境に適切にIPアドレスを割り振る ··· 172.20.0.0/14 172.24.0.0/14 172.25.0.0/16 172.26.0.0/16 ※CIDR をクラス B の利⽤に限定する必要はありません。割り振ることのできる IP アドレスには制限があります。参考: https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-cidr-blocks.html ü 運⽤管理補助者に IP アドレス管理の業務を依頼 2. IPアドレス管理⾃治体庁舎 AWS Transit Gateway 単単共 Action AWS Direct Connect 運⽤回線統合単/共

rights reserved. IPAMを利⽤すればIPアドレスの管理が可能 2. IPアドレス管理 Amazon VPC IP Address Manager (IPAM) 172.24.0.0/14 172.25.0.0/16 ⾃治体庁舎 172.20.0.0/14 172.26.0.0/16 AWS 環境⽤オンプレミス⽤運⽤回線統合

rights reserved. ⾃治体庁舎 DNSサーバー端末 xxx.internal 192.168.xx.xx AWS Transit Gateway 3. 名前解決業務システムの名前解決について単共単運⽤回線統合

rights reserved. AWS環境の名前解決の⽅法を決める ①オンプレミスから AWS 環境の名前解決 ③AWS 環境からオンプレミス環境の名前解決⾃治体庁舎 DNSサーバー端末 xxx.internal 192.168.xx.xx AWS Transit Gateway 3. 名前解決共単 ②AWS 環境同⼠の名前解決単運⽤回線統合

rights reserved. 単独利⽤⽅式の名前解決⾃治体庁舎 DNSサーバー端末 xxx.internal 192.168.xx.xx AWS Transit Gateway Resolver Hosted Zone Amazon Route 53 運⽤回線統合単 ①フォワード ②ルールの共有 ③ドメイン申請単共 Hosted Zone 3. 名前解決参考: Route 53 Resolver でマルチアカウント環境の DNS 管理を簡素化する https://aws.amazon.com/jp/blogs/news/simplify-dns-management-in-a-multiaccount-environment-with-route-53-resolver/ 参考: 複数の VPC と AWS アカウントで Amazon Route 53 プロファイルを使⽤して DNS 管理を統合する https://aws.amazon.com/jp/blogs/news/unify-dns-management-using-amazon-route-53-profiles-with-multiple-vpcs-and-aws-accounts/

rights reserved. 共同利⽤⽅式の名前解決参考: Route 53 Resolverでマルチアカウント環境の DNS 管理を簡素化する https://aws.amazon.com/jp/blogs/news/simplify-dns-management-in-a-multiaccount-environment-with-route-53-resolver/ 参考: 複数の VPC と AWS アカウントで Amazon Route 53 プロファイルを使⽤して DNS 管理を統合する https://aws.amazon.com/jp/blogs/news/unify-dns-management-using-amazon-route-53-profiles-with-multiple-vpcs-and-aws-accounts/ ⾃治体庁舎 DNSサーバー端末 xxx.internal 192.168.xx.xx AWS Transit Gateway Resolver Hosted Zone 運⽤回線統合単 ①フォワード単共 Hosted Zone ③紐付け ②ルールの共有 3. 名前解決 Amazon Route 53

rights reserved. DNS管理の⼀元化⾃治体庁舎 DNSサーバー端末 xxx.internal 192.168.xx.xx AWS Transit Gateway Resolver Hosted Zone ü いずれかの運⽤管理補助者に AWS 環境の DNS 管理を依頼する ü 共同利⽤のベンダーに名前解決の⽅針を確認する Amazon Route 53 運⽤回線統合単 Action 共単 ①フォワード共 Hosted Zone ③紐付け ②ルールの共有 3. 名前解決 ②ルールの共有 ③ドメイン申請単

rights reserved. ⾮機能要件の標準におけるデータの暗号化「地⽅公共団体情報システム⾮機能要件の標準」より⼀部抜粋参考: 地⽅公共団体情報システム⾮機能要件の標準 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/c58162cb-92e5-4a43-9ad5- 095b7c45100c/4eded239/20220831_local_governments_05.pdf 番号⼤項⽬中項⽬メトリクス(指標)メトリクス説明選択レベル備考 E.6.1.1 セキュリティデータの秘匿伝送データの暗号化の有無暗号化通信⽅式を使⽤して伝送データの暗号化を⾏う。 3 すべてのデータを暗号化クラウドサービス内の伝送データの暗号化は必須ではない。※ 4. 伝送データの暗号化運⽤統合 ASP ※参考⽂書より引⽤: ガバメントクラウド及び ISMAP クラウドサービスリストに登録されているクラウドサービスについては、 ISMAP の認証の過程で通信のセキュリティ対策の実施を確認しているため、クラウドサービス内の伝送データの暗号化は必須ではない。

rights reserved. 閉域環境で HTTPS を利⽤する HTTPS を利⽤する代表的な理由 • 「なりすまし」「盗聴」「改ざん」への対策 HTTPS を実装するためにはサーバー証明書が必要 AWS Certificate Manager (ACM) AWS Private Certificate Authority • 証明書のインポート • Elastic Load Balancing と統合 • プライベート証明書の発⾏ • ACM との統合運⽤統合 ASP 4. 伝送データの暗号化 AWS でプライベート証明書⽤いて HTTPS を利⽤するには* *閉域環境ではプライベート証明書を利⽤することが多いため、パブリック証明書の説明は省略します。

rights reserved. 単/共閉域環境でHTTPSを利⽤する⾃治体庁舎端末 VPC Application Load Balancer プライベートCA AWS Certificate Manager (ACM) ü ASP へ HTTPS への対応可否を確認サーバー証明書の import 4. 伝送データの暗号化 Action 運⽤統合 ASP 単ルート証明書 Import 済み単 ü 運⽤管理補助者や庁内基盤事業者にプライベート CA の管理・証明書発⾏業務を依頼

rights reserved. 項⽬ Action 庁内 – クラウド接続 ü 利⽤可能な接続⽅法を確認する ü コスト・帯域・可⽤性の観点で接続⽅法を選択する IP アドレス管理 ü 運⽤管理補助者に IP アドレス管理の業務を依頼名前解決 ü いずれかの運⽤管理補助者に AWS 環境の DNS 管理を依頼する ü 共同利⽤のベンダーに名前解決の⽅針を確認する伝送データの暗号化 ü ASP へ HTTPS への対応可否を確認 ü 運⽤管理補助者や庁内基盤事業者にプライベート CA の管理・証明書発⾏業務を依頼単/共ネットワークまとめ単共単単/共

rights reserved. 3つのカテゴリについて検討ポイントをお伝え関係する事業者運⽤回線統合 ASP Action 実施いただきたいこと 1. ネットワーク 1. 庁内-クラウド接続 2. IP アドレス管理 3. 名前解決 4. 伝送データの暗号化 2. クラウド管理 5. AWS ベストプラクティスへの準拠 6. 通知の管理 7. コスト管理 3. アプリケーション 8. データ連携 9. 可⽤性・BCP の検討利⽤⽅式再掲単共単/共

rights reserved. ガバメントクラウドの複数アカウント管理単独利⽤⽅式を中⼼にする場合は統合運⽤管理補助者を⽤意する場合がある。運⽤統合単独利⽤⽅式を中⼼に利⽤する例共同利⽤⽅式を中⼼に利⽤する例単単単単統合運⽤管理補助者ログ/通知等共共共⾃治体職員運⽤レポート等 ü 全体の運⽤⽅針を決める Action

rights reserved. AWSサービスによる推奨事項の管理・対応 AWS Trusted Advisor 推奨ベストプラクティスを提⽰ AWS Security Hub 1. コスト最適化 2. パフォーマンス 3. セキュリティ 4. 耐障害性 5. サービスの制限 6. 運⽤上の優秀性 AWS のセキュリティ状態を包括的に把握 • AWS 基礎セキュリティのベストプラクティス • CIS AWS Foundations Benchmark（v1.2) 運⽤統合 5. AWS ベストプラクティスへの準拠 ü 統合運⽤管理補助者に各アカウントへ準拠状況の統制を依頼する ü 各運⽤管理補助者へ対応状況の報告を依頼共単 Action

rights reserved. AWS イベントの確認・対応 AWS Health AWS Health Dashboard お客様の環境に影響を及ぼす可能性のある AWS イベントのアラートやガイダンスを提供統合運⽤管理補助者⾃治体職員 Amazon EventBridge AWS Health Dashboard Amazon SNS アカウントA Amazon EventBridge AWS Health Dashboard Amazon SNS アカウントB 6. 通知の管理 ü 統合運⽤管理補助者に各アカウントへ準拠状況の統制を依頼する ü 各運⽤管理補助者へ対応状況の報告を依頼共単 Action 運⽤統合

rights reserved. 利⽤の実態に則し、柔軟に環境を変更する AWS Billing and Cost Management Cost Optimization Hub 6 種類のコスト最適化推奨アクション 1. 停⽌ 2. 適切なサイズ 3. アップグレード 4. Graviton 移⾏ 5. Savings Plan の購⼊ 6. リザーブドインスタンスの購⼊参考: https://aws.amazon.com/jp/blogs/news/new-cost-optimization-hub-to-find-all-recommended-actions-in-one-place-for-saving-you-money/ 7. コストの管理運⽤統合 ü 統合運⽤管理補助者に各アカウントへ準拠状況の統制を依頼する ü 各運⽤管理補助者へ対応状況の報告を依頼共単 Action

rights reserved. クラウド管理まとめ項⽬ Action 複数アカウントの管理について ü 全体の運⽤⽅針を決める AWS のベストプラクティスへの準拠 ü 統合運⽤管理補助者に各アカウントへ準拠状況の統制を依頼する ü 各運⽤管理補助者へ準拠状況の報告を依頼 AWS イベントの確認・対応コスト管理単共

rights reserved. 3つのカテゴリについて検討ポイントをお伝え関係する事業者運⽤回線統合 ASP Action 実施いただきたいこと 1. ネットワーク 1. 庁内-クラウド接続 2. IP アドレス管理 3. 名前解決 4. 伝送データの暗号化 2. クラウド管理 5. AWS ベストプラクティスへの準拠 6. 通知の管理 7. コスト管理 3. アプリケーション 8. データ連携 9. 可⽤性・BCP の検討利⽤⽅式再掲単共単/共

rights reserved. 標準仕様に準拠したデータ連携 • 地⽅公共団体情報システム共通機能標準仕様書【第 2.1 版】 • ファイル連携に関する詳細技術仕様書 • 地⽅公共団体情報システム認証機能に関するリファレンスガイドシステム共通機能群: 庁内データ連携機能データ連携の効率化相互運⽤性の確保庁内データ連携機能で参照するドキュメント例 8. データ連携 ASP

rights reserved. API 連携とファイル連携を実装する REST API による連携ファイル連携参考: https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/4d056a04-6eba-4109-9850- a786d3e71971/6ce2f0c3/20230929_policies_local_governments_common-feature-specification_outline_08.pdf#page=15 オブジェクトストレージ REST API 8. データ連携 ASP

rights reserved. 単/共 API 連携では認証認可サーバーを構築利⽤側業務システム VPC ü ASP に認証認可サーバーの構築を依頼する ü 各 ASP に標準仕様 (OAuth2.0等) に則った API の利⽤が可能か確認する認証認可サーバー REST API 業務システム ①資格情報の取得 ② API へのアクセス提供側業務システム ASP 8. データ連携 Action (アクセストークン) 単/共単/共

rights reserved. 単/共オンプレミス/他 CSP と AWS 間のファイル連携 ü オブジェクトストレージを利⽤したファイル連携が可能か各 ASP へ確認する ü ASP へ AWS の⼀時認証情報を配布する仕組みの構築を依頼する利⽤側業務システム VPC 認証認可サーバー業務システム ①資格情報の取得 ②資格情報と AWS の⼀時認証情報を交換 S3 Bucket ③ファイルのアップロード/ダウンロード AWS Security Token Service 提供側業務システム Action 8. データ連携 ASP アクセストークン/ SAML アサーション単/共単/共

rights reserved. 耐障害性の重要性 ASP • 公共システムは定めた時間帯はサービスを⽌めてはいけないという⼤前提 • 災害や障害のリスクは避けられない • 物理的に離れた場所でのサーバー調達や管理が⼤変耐障害性の確保 • バックアップ体制を維持するには多くのコストがかかるオンプレミスオンプレミスサーバー 9. 可⽤性・BCP の検討

rights reserved. AWSのリージョンにおけるアベイラビリティーゾーン (AZ) それぞれのリージョンは、複数のアベイラビリティーゾーン (AZ) で構成されている AZ は⾃然災害やデータセンター単位の障害などによるリスクを最⼩化するよう地理的に影響を受けない⼗分離れた場所にあり、独⽴した電源、空調、物理的なセキュリティを備えている AZ AZ AZ AZ Transit Transit Datacenter Datacenter Datacenter ASP 9. 可⽤性・BCP の検討

rights reserved. シングル AZ マルチ AZ マルチリージョン • ディスクは冗⻑化され、単⼀障害に耐える • EC2 Auto Recovery などによってサーバー障害にも対処可能 • EC2 インスタンスレベルSLA: 99.5% • 複数AZ間で冗⻑化し、AZ 障害・中規模災害に耐える • EC2 リージョンレベルSLA: 99.99% • 複数リージョン間で冗⻑化し、リージョン障害・⼤規模災害に耐える AWS における冗⻑化の考え⽅システムの要件や求める耐障害性のレベルに合わせてリソースの配置が可能可⽤性/ コスト低⾼ ASP 9. 可⽤性・BCP の検討

rights reserved. 耐障害性の重要性 ASP • 公共システムは定めた時間帯はサービスを⽌めてはいけないという⼤前提 • 障害発⽣のリスクは避けられない • 物理的に離れた場所でのサーバー調達や管理が⼤変耐障害性の確保 • 物理的なサーバーのメンテナンス不要 • 可⽤性とコストに合わせて選べる冗⻑構成 • バックアップ体制を維持するには多くのコストがかかるオンプレミスクラウドクラウドでも障害は発⽣しうる →RTO/RPO を定め、障害を⾒据えた設計をする 9. 可⽤性・BCP の検討

rights reserved. RTO / RPO に応じた 4 つの復旧シナリオバックアップ＆リストアパイロットライトウォームスタンバイ § 平常時はバックアップを取得 § 災害発⽣後にデータを復旧 § 災害発⽣後にリソースをデプロイ § コスト︓$ § 平常時はコアサービスのみに限定したサブサイトを運⽤ § 災害発⽣後にリソースを⽴ち上げ、スケール § コスト︓$$ § 平常時からメインサイトと同等機能をもち規模を縮⼩したサブサイトを運⽤ § 災害発⽣後にリソースをスケール § コスト︓$$$ § 平常時からメインサイト同等構成のサブサイトを運⽤ § ミッションクリティカルなサービス § コスト︓$$$$ Low High RPO / RTO: 10分単位 RPO / RTO: 分単位 RPO / RTO: リアルタイム RPO / RTO: 時間単位 RTO と RPO に応じた復旧シナリオを検討するマルチサイトアクティブ-アクティブ ASP 9. 可⽤性・BCP の検討

rights reserved. 単/共⾮機能要件の標準での可⽤性指標を参考に構成を決定する「地⽅公共団体情報システム⾮機能要件の標準」より⼀部抜粋参考: 地⽅公共団体情報システム⾮機能要件の標準 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/c58162cb-92e5-4a43-9ad5-095b7c45100c/4eded239/20220831_local_governments_05.pdf ü 要求する可⽤性レベルを ASP へ提⽰し、システム構築を依頼する番号メトリクス(指標) 選択レベル A.1.3.1 RPO 1 営業⽇前の時点 A.1.3.2 RTO 12 時間以内 A.1.4.1 システム再開⽬標（⼤規模災害時）⼀ヶ⽉以内に再開 A.1.5.1 稼働率 99.5% A.3.1.1 復旧⽅針同⼀の構成で情報システムを再構築 A.3.2.1 保管場所分散度（外部保管データ） 1ヶ所 (遠隔地) ASP Action 9. 可⽤性・BCP の検討

rights reserved. ⾮機能要件の標準を鑑みると災害に備えた構成は「バックアップ」となる* 参考: 地⽅公共団体情報システム⾮機能要件の標準 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/c58162cb-92e5-4a43-9ad5-095b7c45100c/4eded239/20220831_local_governments_05.pdf • ガバメントクラウド利⽤における推奨構成 (AWS編)より: https://www.digital.go.jp/news/ZYzU5DYY * 庁舎をDRサイトとする構成については対象外番号メトリクス(指標) 選択レベル A.1.3.1 RPO 1 営業⽇前の時点 A.1.3.2 RTO 12 時間以内 A.1.4.1 システム再開⽬標（⼤規模災害時）⼀ヶ⽉以内に再開 A.1.5.1 稼働率 99.5% A.3.1.1 復旧⽅針同⼀の構成で情報システムを再構築 A.3.2.1 保管場所分散度（外部保管データ） 1ヶ所 (遠隔地) ASP 9. 可⽤性・BCP の検討

rights reserved. AWS Resilience Hub アプリケーションの RTO と RPO を測定し、耐障害性（レジリエンス）の定義、追跡、管理を⽀援するサービス • AWS Well-Architected Framework に沿って潜在的な耐障害性の弱点を明らかにする • RPO / RTO を満たすための構成・運⽤における推奨事項を提案 • Amazon CloudWatch や AWS Fault Injection Simulator (FIS) と連携し、耐障害性に関するアラートやインサイトを継続的に可視化 RTO / RPO を満たせていないリソースを特定アプリケーション、インフラ、AZ、リージョン単位での災害それぞれに対する評価結果が表⽰される ASP マルチAZ構成のアプリケーションの RPO / RTO を測定した例 9. 可⽤性・BCP の検討

rights reserved. 単/共単/共単/共単/共単/共アプリケーションまとめ項⽬ Action データ連携（API 連携） ü ASP に認証認可サーバーの構築を依頼する ü 各 ASP に標準仕様 (OAuth2.0 等) に則った API の利⽤が可能か確認するデータ連携（ファイル連携） ü オブジェクトストレージを利⽤したファイル連携が可能か各 ASP へ確認する ü ASP へ AWS の⼀時認証情報を配布する仕組みの構築を依頼する可⽤性・BCP ü 要求する可⽤性レベルを ASP へ提⽰し、システム構築を依頼する

rights reserved. 4. 先⾏事例

rights reserved. 3つのカテゴリに沿って事例のポイントをご紹介関係する事業者運⽤回線統合 ASP Action 実施いただきたいこと 1. ネットワーク 1. 庁内-クラウド接続 2. IPアドレス管理 3. 名前解決 4. 伝送データの暗号化 2. クラウド管理 5. AWS ベストプラクティスへの準拠 6. 通知の管理 7. コスト管理 3. アプリケーション 8. データ連携 9. 可⽤性・BCP の検討利⽤⽅式単共単/共

rights reserved. ガバメントクラウド (AWS環境) 利⽤の先⾏事例 • スクラッチが基本 • 政令市 • オールインワンパッケージの利⽤ • ⼩-中規模⾃治体単独利⽤を中⼼にする例共同利⽤を中⼼にする例特徴⾃治体例 • 某市様 (⼈⼝約 10 万⼈) • 京都市様

rights reserved. 京都市様の構成⾃治体庁舎業務システムA 業務システムB AWS Transit Gateway Amazon Route 53 端末プライベートCA 単単単運⽤回線統合 ASP 単共通機能認証認可サーバー単 S3バケットガバメントクラウド接続サービス庁内基盤事業者運⽤ ASP 運⽤ ASP

rights reserved. 京都市様の構成⾃治体庁舎業務システムA 業務システムB AWS Transit Gateway Amazon Route 53 端末プライベートCA 単単単運⽤回線統合 ASP 単ネットワーク共通機能認証認可サーバー単 S3バケットガバメントクラウド接続サービス庁内基盤事業者 1. 庁内 – クラウド接続ガバメントクラウド接続サービスを継続利⽤（契約主体は変更）

rights reserved. 京都市様の構成⾃治体庁舎業務システムA 業務システムB AWS Transit Gateway Amazon Route 53 端末プライベートCA 単単単運⽤回線統合 ASP 単ネットワーク共通機能認証認可サーバー単 S3バケットガバメントクラウド接続サービス庁内基盤事業者 2. IP アドレス管理 AWS 環境で利⽤する IP アドレスをプールプールから各 VPC の IP アドレス払い出し

rights reserved. 京都市様の構成⾃治体庁舎業務システムA 業務システムB AWS Transit Gateway Amazon Route 53 端末プライベートCA 単単単運⽤回線統合 ASP 単ドメインの申請ネットワーク共通機能認証認可サーバー単 S3 バケットガバメントクラウド接続サービス庁内基盤事業者 3. 名前解決統合運⽤管理補助者が Amazon Route 53 を管理各 ASP は利⽤したいドメインを申請

rights reserved. 京都市様の構成⾃治体庁舎業務システムA 業務システムB AWS Transit Gateway Amazon Route 53 端末プライベートCA 単単単運⽤回線統合 ASP 単ネットワーク共通機能認証認可サーバー単 S3バケットガバメントクラウド接続サービス庁内基盤事業者 4. 伝送データの暗号化庁内基盤事業者がオンプレミスでプライベート CA を管理、証明書発⾏

rights reserved. 京都市様の構成業務システムA 業務システムB 単単運⽤回線統合 ASP 単クラウド管理共通機能認証認可サーバー単 S3バケット⾃治体庁舎 AWS Transit Gateway Amazon Route 53 端末プライベートCA 単ガバメントクラウド接続サービス庁内基盤事業者 5. AWS ベストプラクティスへの準拠 6. 通知の管理 7. コストの管理統合運⽤管理補助者に通知を集約通知の都度対応

rights reserved. 京都市様の構成業務システムA 業務システムB 共通機能認証認可サーバー単単単運⽤回線統合 ASP 単⾃治体職員アプリケーション S3バケット⾃治体庁舎 AWS Transit Gateway Amazon Route 53 端末プライベートCA 単ガバメントクラウド接続サービス庁内基盤事業者 9. 可⽤性・BCPの検討各担当課で稼働率や⽬標復旧時間を決め、それに応じて ASP がシステムを構築 8. データ連携データ連携に必要な認証認可サーバーを共通機能 ASP が提供

rights reserved. 京都市様の事業者間の役割分担業務⾃治体職員統合運⽤管理補助者回線運⽤管理補助者共通機能ASP兼運⽤管理補助者 ASP兼運⽤管理補助者庁内基盤事業者庁舎 – クラウド接続 ◯ IP アドレス払出し（AWS 環境） ◯ Amazon Route 53 の管理 ◯ プライベート CA の管理 ◯ AWS ベストプラクティスへの準拠管理 ◯ (確認) ◯ (取りまとめ) ◯ (確認) ◯ (確認) 通知の管理 ◯ (確認) ◯ (取りまとめ) ◯ (確認) ◯ (確認) コスト管理 ◯ (確認) ◯ (取りまとめ) ◯ (確認) ◯ (確認) 認証認可サーバーの構築・管理 ◯ 可⽤性/BCP の検討 ◯ (検討) ◯ (実装) ◯ (実装) 回線統合運⽤ ASP ネットワーククラウド管理アプリケーション

rights reserved. ガバメントクラウド (AWS環境) 利⽤の先⾏事例 • スクラッチが基本 • 政令市 • オールインワンパッケージの利⽤ • ⼩-中規模⾃治体単独利⽤を中⼼にする例共同利⽤を中⼼にする例特徴⾃治体例 • 某市様 (⼈⼝約 10 万⼈) • 京都市様

rights reserved. 某市様の構成⾃治体庁舎オールインワンパッケージ業務システムA 業務システムB AWS Transit Gateway Amazon Route 53 端末既存回線単運⽤回線 ASP 共共共共運⽤ ASP DC プライベート CA Hosted Zone 認証認可サーバー S3バケット Hosted Zone Hosted Zone 庁内基盤事業者運⽤ ASP 運⽤ ASP プライベート CA プライベート CA

rights reserved. プライベート CA プライベート CA プライベート CA 某市様の構成⾃治体庁舎オールインワンパッケージ業務システムA 業務システムB AWS Transit Gateway Amazon Route 53 端末既存回線単運⽤回線 ASP 共共共共運⽤ ASP DC Hosted Zone 認証認可サーバー S3バケットネットワーク Hosted Zone Hosted Zone 庁内基盤事業者 1. 庁内 – クラウド接続事業者 DC との接続に⽤いていた既存回線のクラウド接続オプションを利⽤

rights reserved. 共某市様の構成⾃治体庁舎オールインワンパッケージ業務システムA 業務システムB AWS Transit Gateway Amazon Route 53 端末既存回線運⽤回線 ASP 運⽤ ASP DC Hosted Zone 認証認可サーバー S3バケットネットワーク Hosted Zone Hosted Zone 庁内基盤事業者単共共共 2. IPアドレス管理庁内基盤事業者へ IPアドレス管理を⼀括して依頼プライベート CA プライベート CA プライベート CA

rights reserved. プライベート CA プライベート CA プライベート CA 某市様の構成⾃治体庁舎オールインワンパッケージ業務システムA 業務システムB AWS Transit Gateway Amazon Route 53 端末既存回線単運⽤回線 ASP 共共共共運⽤ ASP DC Hosted Zone 認証認可サーバー S3バケットネットワーク Hosted Zone Hosted Zone 庁内基盤事業者 3. 名前解決回線運⽤管理補助者が Amazon Route 53 の管理を実施

rights reserved. 某市様の構成⾃治体庁舎オールインワンパッケージ業務システムA 業務システムB AWS Transit Gateway Amazon Route 53 端末既存回線単運⽤回線 ASP 共共共共運⽤ ASP DC Hosted Zone 認証認可サーバー S3バケットネットワーク Hosted Zone Hosted Zone 庁内基盤事業者プライベート CA プライベート CA プライベート CA 4. 伝送データの暗号化各ASPががプライベート CA の管理を実施 4. 伝送データの暗号化各ASPががプライベート CA の管理を実施 4. 伝送データの暗号化各 ASP がプライベート CA の管理を実施

rights reserved. 某市様の構成⾃治体庁舎 AWS Transit Gateway Amazon Route 53 端末既存回線単運⽤ ASP 共 ASP DC ⾃治体職員運⽤レポート認証認可サーバー S3バケットオールインワンパッケージ業務システムA 業務システムB 共共共 Hosted Zone Hosted Zone Hosted Zone 回線運⽤庁内基盤事業者クラウド管理 5. AWS ベストプラクティスへの準拠 6. 通知の管理 7. コストの管理⾃治体職員が各運⽤管理補助者のまとめたレポートを確認

rights reserved. プライベート CA プライベート CA プライベート CA 某市様の構成⾃治体庁舎 AWS Transit Gateway Amazon Route 53 認証認可サーバー端末既存回線単運⽤ ASP 共 ASP DC ⾃治体職員 S3バケットオールインワンパッケージ業務システムA 業務システムB 共共共 Hosted Zone Hosted Zone Hosted Zone 回線運⽤庁内基盤事業者アプリケーション 9. 可⽤性・BCP の検討各担当課で稼働率や⽬標復旧時間を決め、それに応じて ASP がシステムを構築 8. データ連携データ連携に必要な認証認可サーバーを回線運⽤管理補助者が担当

rights reserved. 某市様の事業者間の役割分担業務⾃治体職員統合運⽤管理補助者回線運⽤管理補助者共通機能ASP兼運⽤管理補助者 ASP兼運⽤管理補助者庁内基盤事業者庁舎 – クラウド接続 ◯ IP アドレス払出し ◯ Amazon Route 53 の管理 ◯ プライベート CA の管理 ◯ AWS ベストプラクティスへの準拠管理 ◯（確認） ◯（対応） ◯（対応）通知の管理 ◯（確認） ◯（対応） ◯（対応）コスト管理 ◯（確認） ◯（対応） ◯（対応）認証認可サーバーの構築・管理 ◯ 可⽤性/BCP の検討 ◯（検討） ◯（実装） ◯（実装）運⽤ ASP 回線運⽤回線運⽤管理補助者が兼務各運⽤管理補助者に⼀任ネットワーククラウド管理アプリケーション

rights reserved. 事業者をお探しの⽅は Web サイトガバメントクラウド（AWS 環境）を⽀える事業者をご利⽤ください参考: ガバメントクラウド（AWS環境）を⽀える事業者 https://aws.amazon.com/jp/government-education/worldwide/japan/LG-Industry-Site/govcloud-lg/govcloud-supporting-vendor/

rights reserved. ガバメントクラウド (AWS 環境) ナレッジデータベースで最新情報をシェア参考: 地⽅⾃治体のためのガバメントクラウド情報サイト( AWS 環境 ) https://aws.amazon.com/jp/government-education/worldwide/japan/LG-Industry-Site/govcloud-lg/knowledge/

rights reserved. 5. まとめ

rights reserved. まとめ • ガバメントクラウド (AWS 環境) では様々なタスクを複数の事業者へ依頼する必要がある • ガバメントクラウド (AWS 環境) の利⽤⽅針を考える上でのポイントを 3 つのカテゴリでご紹介 • 先⾏事例を参考にガバメントクラウドの利⽤⽅針を決定する • 特定のタスクを担うことができる事業者をまとめた Web サイトを公開中 • ブログでガバメントクラウドに関連する AWS の最新情報を発信中

rights reserved. HALL 2 HALL 4 HALL 5 HALL 6 HALL 3 AWS スピーカーがご質問にお答えします展⽰ホール 3 AWS Village 内までお越しください Ask an Expert Ask the Speaker Ask an Expert Ask the Speaker 1F 展⽰ホール

rights reserved. Thank you! Yuya Matsumoto [email protected] (@yuymt)

先行事例から分かってきた、自治体職員がガバメントクラウド利用をする上で考えておくこと

先行事例から分かってきた、自治体職員がガバメントクラウド利用をする上で考えておくこと

More Decks by Yuya Matsumoto

Other Decks in Technology

Featured

Transcript