Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ガバメントクラウドにおけるネットワーク接続(省庁編)

Tsukasa Kawamura
February 13, 2025
1.3k

 ガバメントクラウドにおけるネットワーク接続(省庁編)

NW-JAWS 公共スペシャル with Gov-JAWS[仮]で発表させていただいた資料です。
https://jawsug-nw.connpass.com/event/343698/

情報通信技術を活用した行政の推進等に関する法律の一部改正とガバメントクラウド利用への影響、省庁間のネットワーク接続、ガバメントクラウドにおけるネットワーク接続とAWSにおける技術要素の概要を解説しています。

Tsukasa Kawamura

February 13, 2025
Tweet

More Decks by Tsukasa Kawamura

Transcript

  1. © 2025 NTT DATA Corporation © 2025 NTT DATA Corporation

    ガバメントクラウドにおけるネットワーク接続概要 (省庁編) 2025年2月14日 NTT Data 川村 吏
  2. © 2025 NTT DATA Corporation 2 自己紹介 ・名前:川村 吏(かわむら つかさ)

    ・所属:株式会社NTTデータ 社会基盤ソリューション事業本部 ・業務: 2015年中ころ~2019年初頭まで:オンプレミス環境(VMware、Xen、Hyper-V等)を中心とした、基盤設計、構築、運用等 2019年初頭~2020年10月:パブリッククラウド(AWS中心、Azureも少し)へのリフト、シフト、新規開発における提案、基盤設計、構築 2020年11月~:NTTデータ社へ中途入社 公共機関向けシステムのクラウド移行に関するコンサル、提案、設計、構築など ・好きなAWSサービス: S3、CloudFront、Route53 ・趣味: 猫、Disney、グラス収集、紅茶、料理、etc…
  3. © 2025 NTT DATA Corporation 4 Agenda 1. ガバメントクラウド関連の法律改正 2.

    省庁間のNW接続 3. ガバメントクラウドにおけるネットワーク接続とAWSにおける技術要素
  4. © 2025 NTT DATA Corporation 6 情報通信技術を活用した行政の推進等に関する法律の一部改正 R6年度臨時国会に、国、地方公共団体のクラウドサービスの利用を促進するための法律改正案が提出されました。 情報通信技術を活用した行政の推進等に関する法律の一部を改正する法律案|デジタル庁 概要:

    クラウドサービスを適切かつ効果的に活 用した国又は地方公共団体の事務の 実施に関連する情報システムの効果的 かつ効率的 な整備及び運用を推進す るため、内閣総理大臣が国と国以外の 者が共同してクラウドサービスを利用する ことができるようにする ために必要な措 置を講じなければならないこととするとと もに、当該共同利用が行われる際の金 銭の保管に関する規定を整備する。
  5. © 2025 NTT DATA Corporation 7 情報通信技術を活用した行政の推進等に関する法律の一部改正 国と国以外の者によるクラウドサービスの共同利用に関する規定の整備 • クラウドサービスを活用した公共情報システムにおいて国と国以外の者が共同利用できるようすることを国が

    講じることを義務付け 行政機関等のガバメントクラウド利用の検討に関する義務・努力義務 • 国の行政機関は、システムの整備において、ガバメントクラウドの利用を検討し、整備することを義務付け • 国の行政機関以外(外郭団体などを含む)は上記同様の努力義務を負う • 利用検討支援のために、国が情報提供等の必要な措置を講じることを義務付け 国以外の者のクラウドサービスの共同利用に係る金銭の保管に関する規定の整備 • CSPに対して支払う利用料をデジタル庁が一括して管理、保管し、納付を受けたうえで、CSPに支払うこと を可能とする
  6. © 2025 NTT DATA Corporation 8 国のクラウド利用に関する方針 政府情報システムにおけるクラウドサービスの適切な利用に関わる基本方針(抜粋) 旧世代のクラウド利用ではなく、今日のスマートなクラウド利用を 促進する目的は、システム開発の短期間化や継続的な開発・

    改善の実現等の要素もあるが、主としてコスト削減とセキュリティの向上にある。オンプレミス から旧世代のクラウドへの移行では、 サーバ構築に伴うコストや手作業に係るコストが大きかったが、スマートなクラウド利用ではそれらのコストは大きく削減される。 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31- 0f06fca67afc/5167e265/20230929_resources_standard_guidelines_guideline_01.pdf デジタル社会の実現に向けた重点計画(抜粋) 政府情報システムの最適化 政府情報システムは、クラウドに最適化されたシステムをガバメントクラウド上に構築し、クラウドサービス事業者が提供するサービス を活用して効率的に運用します。 https://www.digital.go.jp/policies/priority-policy-program#03-1
  7. © 2025 NTT DATA Corporation 10 これまでの省庁間ネットワーク A省 LAN B省

    LAN C省 LAN 政府共通 ネットワーク LGWAN 自治体A 自治体B https://www.soumu.go.jp/main_content/000760675.pdf 第二期政府共通 プラットフォーム 各府省独自の庁内 LAN 府省間の通信等を 担当 地方公共団体間、政 府共通NWとの通信を 担当 https://xtech.nikkei.com/atcl/nxt/column/18/00001/04561/
  8. © 2025 NTT DATA Corporation 11 GSSネットワーク これからの省庁間ネットワーク 現状約1,300拠点、約35,000ユーザーが導入済み、約1,800拠点、約99,000ユーザーが導入準備中 (2024年5月情報)

    A省 LAN B省 LAN GSS G-Net (新府省間ネットワー ク) LGWAN 自治体A 自治体B ガバメントクラウド 各省LANをGSSネッ トワークに統合 地方公共団体間、政 府共通NWとの通信を 担当 中継拠点 地方拠点 地方拠点 全国ネットワーク https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/b5181b0c-6424-4977- b415-b1cbb3301bc8/6fad53cc/20240618_policies_assessment_outline_05.pdf
  9. © 2025 NTT DATA Corporation 14 ネットワーク接続の想定ケース AWS Cloud(システムA) 省庁A

    運用拠点 Virtual private cloud (VPC) Tokyo Osaka Virtual private cloud (VPC) Virtual private cloud (VPC) 拠点 AWS Cloud(システムB) Virtual private cloud (VPC) Virtual private cloud (VPC) 他CSP 職員 オンプレシステム 職員 運用者 国民等の利用者 ①省庁職員から VPC内へのアク セス ②同一システム 内の別VPCアク セス ③クロスリージョ ンVPC接続 ④他システムと のVPC接続 ⑤オンプレ拠点 とのVPC接続 ⑥運用拠点との VPC接続 ⑦国民等の 一般利用者アク セス ⑧他CSPとの VPC接続
  10. © 2025 NTT DATA Corporation 15 考えうるネットワーク接続における方式 # 方式 概要

    特徴 A インターネット インターネットから接続する方式 ガバメントクラウドに置いて最も推奨されている構成、 B GSS GSSが提供するサービスを利用する方式 GSSへはDirectConnectを利用 GSSがサービス提供しており、各省庁などGSSに接続している拠点、システムとの相互接続が可能、 DirectConnect経由のためコストに注意 C Direct Connect 専用線でセキュアかつ高帯域が利用可能な方式 高コスト、高パフォーマンス 専用線の本数により、SLAが変動 D VPC Peering VPC同士を1:1で接続する方式 IPアドレスの重複に注意 接続対象が増えると管理が手間に E Transit Gateway 複数のVPC、DirectConnect等への接続を管理 可能な方式 IPアドレスの重複に注意 TransitGatewayのコストに注意 F Private Link 他VPCに存在するサービスにプライベートに接続 可能な方式 クロスリージョン接続が可能 UDP通信が可能 100GBpsまでスケール可能 など ※詳細は割愛 G VPC Lattice 他VPCに存在するサービスにプライベートに接続 可能な方式 IAM認証が可能 同時接続数上限なし など ※詳細は割愛 H Site to Site VPN 拠点とVPN接続可能な方式 インターネット経由で通信を暗号化 ゼロトラストの考え方からするとセキュリティ面のリスクあり I Client VPN 端末とVPN接続可能な方式 インターネット経由で通信を暗号化 ゼロトラストの考え方からするとセキュリティ面のリスクあり J Verified Access VPNなしでVPC内のプライベートAPに接続可能 な方式 セキュアなプライベートWebアクセスが可能 ポリシー等の設計が必要
  11. © 2025 NTT DATA Corporation 16 ガバメントクラウドにおける接続指針 国の行政機関においてはガバメントクラウドでの一般ユーザー・各府省拠点からの接続やシステム間連携の接続はセキュリティが十 分担保された上でインターネット経由での接続を基本とし、同一CSP間のシステム連携は、CSPサービスの利用を検討すること。ただ し、各府省拠点からの接続について、インターネット経由での接続を許容できない場合は、デジタル庁ガバメントソリューションサービ

    ス(以下GSSネットワークとする)経由での接続や専用線を用いた閉域網での接続を検討すること。利用組織共通で利用する サービスがガバメントクラウドで稼働する場合の拠点やデータセンタからの接続や、共通サービスへのガバメントクラウド上のシステム からの利用で使用する接続も提供される。 インターネット経由での接続に際しては、ゼロトラストの原則とCSPが提供する各種提供サービスを利用して安全でスケーラブルな アーキテクチャを構築することを推奨する。 https://guide.gcas.cloud.go.jp/general/overview-explanation/ オンプレミスや事業者とのネットワーク接続をする際には、セキュリティが十分担保された上でインターネット経由での接続を基本とす る。 ただし、安定的な専用ネットワーク帯域が必要な場合は、専用線による接続も可能とする。 https://guide.gcas.cloud.go.jp/aws/how-to-connect-network/
  12. © 2025 NTT DATA Corporation 17 各府省拠点、一般ユーザからのネットワーク接続方式 # 方式 概要

    留意事項 A インターネット インターネットから接続する方式 ガバメントクラウドにおいて最も推奨されている構成 特段の事情がない限りはインターネット接続が基本 ゼロトラストの原則とCSPが提供するサービスを利用した安全でスケーラブルなアーキテクチャと する B GSS GSSが提供するサービスを利用する方式 GSSへはDirectConnectを利用 安定した帯域、インターネット接続を許容できない特段の事情がある場合に検討する GSS移行済みか未移行かなどで接続パターンが変わるため、各省庁のネットワーク担当、 GSS管理組織との調整が必要である また、GSS管理組織、ガバメントクラウド、利用者との役割分担を認識しておくこと C Direct Connect 専用線でセキュアかつ高帯域が利用可能な 方式 安定した帯域、インターネット接続を許容できない特段の事情があり、GSSが利用できない場 合に検討する
  13. © 2025 NTT DATA Corporation 18 想定ケースとのマッピング # 方式 概要

    想定通信パターン A インターネット インターネットから接続する方式 ①省庁職員からVPC内へのアクセス ⑤オンプレ拠点とのVPC接続 ⑥運用拠点とのVPC接続 ⑧他CSPとのVPC接続 ⑦国民等の一般利用者アクセス B GSS GSSが提供するサービスを利用する方式 GSSへはDirectConnectを利用 ①省庁職員からVPC内へのアクセス ②同一システム内の別VPCアクセス ③クロスリージョンVPC接続 ④他システムとのVPC接続 ⑥運用拠点とのVPC接続 ⑧他CSPとのVPC接続 C Direct Connect 専用線でセキュアかつ高帯域が利用可能な方式 ①省庁職員からVPC内へのアクセス ⑥運用拠点とのVPC接続 ⑤オンプレ拠点とのVPC接続 D VPC Peering VPC同士を1:1で接続する方式 ②同一システム内の別VPCアクセス ③クロスリージョンVPC接続 ④他システムとのVPC接続 E Transit Gateway 複数のVPC、DirectConnect等への接続を管理可能な方式 ②同一システム内の別VPCアクセス ③クロスリージョンVPC接続 ④他システムとのVPC接続 F Private Link 他VPCに存在するサービスにプライベートに接続可能な方式 ②同一システム内の別VPCアクセス ③クロスリージョンVPC接続 ④他システムとのVPC接続 G VPC Lattice 他VPCに存在するサービスにプライベートに接続可能な方式 ②同一システム内の別VPCアクセス ④他システムとのVPC接続 H Site to Site VPN 拠点とVPN接続可能な方式 ⑤オンプレ拠点とのVPC接続 ⑥運用拠点とのVPC接続 I Client VPN 端末とVPN接続可能な方式 ⑤オンプレ拠点とのVPC接続 ⑥運用拠点とのVPC接続 J Verified Access VPNなしでVPC内のプライベートAPに接続可能な方式 ⑤オンプレ拠点とのVPC接続 ⑥運用拠点とのVPC接続
  14. © 2025 NTT DATA Corporation 19 インターネット接続 AWS Cloud CloudFront

    S3 API Gateway Virtual private cloud (VPC) 省庁A 職員 オンプレシステム 他CSP 国民等の利用者 AWS Transfer Family システム間連携 利用者側通信 運用拠点 運用者
  15. © 2025 NTT DATA Corporation 20 GSS接続 AWS Cloud Virtual

    private cloud (VPC) 省庁A 職員 オンプレシステム 他CSP システム間連携 Virtual private cloud (VPC) AWS Cloud Private VIF Transit VIF Gateway Gateway VGW GSSネットワーク Transit Gateway 利用者通信 https://jpn.nec.com/government/solution04/col_g.4/index.html 各府省ネットワーク 担当、クラウドCoE と調整 GSSと調整 名前解決方式など 要調整 対向システムと調整 運用拠点 運用者
  16. © 2025 NTT DATA Corporation 21 専用線接続 AWS Cloud Virtual

    private cloud (VPC) 拠点 職員 オンプレシステム Virtual private cloud (VPC) AWS Cloud Private VIF Transit VIF Gateway Gateway VGW Transit Gateway 利用者通信 システム間連携 運用拠点 運用者
  17. © 2025 NTT DATA Corporation 22 AWS内VPC間通信(VPC Peering) AWS Cloud(システムA)

    Virtual private cloud (VPC) Tokyo Osaka Virtual private cloud (VPC) Virtual private cloud (VPC) AWS Cloud(システムB) Virtual private cloud (VPC) Virtual private cloud (VPC) 接続先毎に Peeringが必要 IPアドレスの重複に 注意
  18. © 2025 NTT DATA Corporation 23 AWS内VPC間通信(Transit Gateway) AWS Cloud(システムA)

    Virtual private cloud (VPC) Tokyo Osaka Virtual private cloud (VPC) Virtual private cloud (VPC) AWS Cloud(システムB) Virtual private cloud (VPC) Virtual private cloud (VPC) リソース共有 TGW Peering IPアドレスの重複に 注意
  19. © 2025 NTT DATA Corporation 24 AWS内VPC間通信(PrivateLink) AWS Cloud(システムA) Virtual

    private cloud (VPC) Tokyo Osaka AWS Cloud(システムB) Virtual private cloud (VPC) AWS PrivateLink NLB、GWLB、RGWを 使うパターンから選択 単一方向の通信 クロスリージョン接続が可 能 IPアドレスの重複を許容
  20. © 2025 NTT DATA Corporation 25 AWS内VPC間通信(VPC Lattice) AWS Cloud(システムA)

    Virtual private cloud (VPC) Tokyo Tokyo AWS Cloud(システムB) Virtual private cloud (VPC) Service Network Lambda、ALB、インス タンスID、IPアドレスを ターゲットに指定可能 単一方向の通信 クロスリージョン接続不 可 VPCの ServiceNetworkへの 関連付けを実施 Service IAM認証が可能
  21. © 2025 NTT DATA Corporation 26 運用保守通信、VPN、Verified Access AWS Cloud

    拠点 運用者、 ユーザ Virtual private cloud (VPC) AWS Systems Manager Virtual private cloud (VPC) AWS Site-to-Site VPN AWS Client VPN Virtual private cloud (VPC) Virtual private cloud (VPC) Virtual private cloud (VPC) API Gateway AWS Verified Access Private subnet ※マネジメントコンソール アクセスは次ページ記載 VPNレスでプライベートサブネット 内のリソースに認証プライバイ ダーによるアクセス制御を実施し た上でWEBアクセス可能 ユーザ側アクセスと同様にインターネット経由、メ ンテナンス画面にアクセス IPアドレス制御や、認証によりアクセス元を制御 拠点間でVPNを確立、拠点間で暗号化された通信が可能 であるが、内部通信という信頼されたアクセスが前提となるた め、ゼロトラストの考えかからすると、内部侵入の危険性をは らんでおり、ガバメントクラウドのゼロトラストの原則方針もあ るため、利用に注意が必要 EC2にSSM経由で接続する方式、マネジメントコンソールへ のアクセス制御と同様に制御可能
  22. © 2025 NTT DATA Corporation 27 AWSマネジメントコンソールへの接続への制御 • Chrome Enterprise

    Premium(CEP)(旧 BeyondCorp Enterprise(BCE))の利用 GCASによるシングルサインオン機能を利用するため、CEPを利用することで、端末のシリアル番号、IPアドレスのいずれかで制御が 可能 • スイッチロール時の接続元IPアドレス制限 利用者側で作成するIAMロール(シングルサインオン後にスイッチするロール)にて、Condition句にIpAddressを定義、制御す る事が可能 https://guide.gcas.cloud.go.jp/aws/sso-transition/