Slide 1
Slide 1 text
ガバメントクラウド単独利用方式
におけるIaC活用
2024/10/28 JAWS-UG 名古屋 「IaC運用のリアルを語りたい!LT大会」
1
Slide 2
Slide 2 text
Profile
2
名古屋市総務局デジタル改革推進課
課長補佐(システム標準化担当)
高橋 広和
◆ 1998年 名古屋市入庁 区役所市民課 住基・戸籍・印鑑業務従事
◆ 2002年 健康福祉局医療福祉課 ホスト分散化対応、後期高齢者医療システム開発
◆ 2009年 健康福祉局総務課 福祉総合情報システム保守運用
◆ 2012年 愛知県後期高齢者医療広域連合 マイナンバー制度導入対応
◆ 2017年 健康福祉局保険年金課 保険年金システム保守運用
◆ 2022年 現職
担当業務:基幹業務システムのガバメントクラウドCoE
趣味:読書
特技:AWSチョットワカル、VB系コーディング
モットー:楽をするための労力は惜しまない
好きなAWSサービス:Trangit Gateway
X :https://twitter.com/techniczna
Note:https://note.com/techniczna/
Slide 3
Slide 3 text
名古屋市のガバクラ移行の取組について
• 【導入事例】名古屋市様 稼働率99.99%のガバメントクラウド接続環境を実現!
https://www.jt-tsushin.jp/articles/case/platform-tokai-com-20241008
• 政令市・中核市・特別区CIOフォーラム2024年5月21~22日会合 標準化を機にしがらみを断ち全
体最適化へ
https://project.nikkeibp.co.jp/jpgciof/atcl/19/00002/00013/?P=8
• 名古屋市が進めるAWSを活用したガバメントクラウドの現状とは
https://news.mynavi.jp/techplus/article/20241023-3050317/
• AWSがガバメントクラウドへの取り組みを説明、名古屋市の事例も
https://cloud.watch.impress.co.jp/docs/news/1633596.html
• AWSジャパン、自治体のガバメントクラウド移行をスキル育成や情報提供で支援 ガバクラを先行利
用する名古屋市が取り組みを説明
https://it.impress.co.jp/articles/-/26995
• 移行期限迫るガバクラ、自治体・支援事業者の現状は? 300の自治体で利用されるAWSの場合
https://ascii.jp/elem/000/004/230/4230115/
3
Slide 4
Slide 4 text
ガバメントクラウドとは何か
普通のAWSとどう違うのか?
4
Slide 5
Slide 5 text
ガバメントクラウドとは?
• デジタル庁が整備する、自治体や政府共通のクラウド
サービスの利用環境
• AWS、GC、Azure、OCI、さくらのクラウド※の5つ
(2024年9月現在)
※ さくらのクラウドは2025年度までに必要な要件を満たすことが前提
• 名古屋市はAWSを利用
5
Slide 6
Slide 6 text
普通のAWSとどう違うの?
• 1つの巨大なAWS Organizationで運用
➢ デジタル庁がマスターアカウント、利用団体がメンバーアカウント
• ユーザーは全てデジタル庁が管理
➢ デジタル庁が管理するオンボーディングサイト(GCAS)をIdPとして、IAM Identity Centerで
SSOアクセスを行う
➢ IAMユーザーは原則利用禁止
➢ GCAS登録時にマイナンバーカードによる本人確認が必要
• SCPで一部サービスを制限
➢ 海外リージョンの利用やインターネットからのマイナンバーデータへのアクセス等
• 一定のセキュリティガードレールを確保
➢ AWS BLEAによる自動適用テンプレート、必須適用テンプレート
6
Slide 7
Slide 7 text
単独利用方式と
共同利用方式の違い
7
Slide 8
Slide 8 text
単独利用方式と共同利用方式の違い
8
単独利用方式 共同利用方式
運用主体 地方公共団体 事業者
導入方法
地方公共団体がCSPや運用ルールを決定
し、調達仕様に盛り込む
事業者がCSPや運用ルールを決定し
地方公共団体に提案
利用方法
地方公共団体が事業者用の環境を用意し
事業者はその環境にシステムを構築
事業者が共同利用環境を用意し
地方公共団体はその環境に接続
名古屋市はこちら
Slide 9
Slide 9 text
単独利用方式の構成
9
Slide 10
Slide 10 text
単独利用方式の構成イメージ
庁内ネットワーク
運用管理環境
(ネットワークアカ
ウント)
AシステムASP環境(単独利用)
AシステムVPC
10
BシステムASP環境(単独利用)
BシステムVPC
CシステムASP環境(単独利用)
CシステムVPC
DシステムASP環境(単独利用)
DシステムVPC
EシステムASP環境(単独利用)
EシステムVPC
FシステムASP環境(単独利用)
FシステムVPC
IシステムASP環境(単独利用)
IシステムVPC
HシステムASP環境(単独利用)
HシステムVPC
JシステムASP環境(単独利用)
JシステムVPC
GシステムASP環境(単独利用)
GシステムVPC
KシステムASP環境(単独利用)
KシステムVPC
LシステムASP環境(単独利用)
LシステムVPC
OシステムASP環境(単独利用)
OシステムVPC
NシステムASP環境(単独利用)
NシステムVPC
PシステムASP環境(単独利用)
PシステムVPC
MシステムASP環境(単独利用)
MシステムVPC
QシステムASP環境(単独利用)
QシステムVPC
RシステムASP環境(単独利用)
RシステムVPC
Slide 11
Slide 11 text
単独利用方式の運用の課題
• 最終的に数十ものシステムの環境が必要
• ASPベンダが全部違う
• Organizations/Control Tower は使えない
• 全体統制と環境払出をどうするか?
11
Slide 12
Slide 12 text
そうだ、名古屋市も
テンプレート作ろう!
12
Slide 13
Slide 13 text
実際に作ったのは統合運用管理
補助事業者(NEC)さんです
13
Slide 14
Slide 14 text
名古屋統制テンプレート
の内容と適用
14
Slide 15
Slide 15 text
【デジタル庁】アカウントの払出
庁内ネットワーク
運用管理環境
(ネットワークアカ
ウント)
AシステムASP環境(単独利用)
15
Resolver
Endpoints
Slide 16
Slide 16 text
【ASP】デジタル庁必須適用テンプレートの適用
庁内ネットワーク
運用管理環境
(ネットワークアカ
ウント)
AシステムASP環境(単独利用)
16
Config CloudTrail Trusted Advisor
IAM Budgets SNS
GuardDuty Security Hub
AWS CDK または Service Catalogで適用
Resolver
Endpoints
Slide 17
Slide 17 text
【ASP】名古屋市統制テンプレートの適用①
庁内ネットワーク
運用管理環境
(ネットワークアカ
ウント)
AシステムASP環境(単独利用)
17
Config CloudTrail Trusted Advisor
IAM Budgets SNS
GuardDuty Security Hub
KMS EventBridge SQS
AシステムVPC
Resolver
Endpoints
Att-subnet AZ1a
Att-subnet AZ1c
Route table
Network ACL
Network ACL
AWS CDK で適用
CloudWatch
ロググループ
Slide 18
Slide 18 text
【ASP】名古屋市統制テンプレートの適用②
庁内ネットワーク
運用管理環境
(ネットワークアカ
ウント)
AシステムASP環境(単独利用)
18
Config CloudTrail Trusted Advisor
IAM Budgets SNS
GuardDuty Security Hub
KMS EventBridge SQS
AシステムVPC
Resolver
Endpoints
Att-subnet AZ1a
Att-subnet AZ1c
Route table
Network ACL
Network ACL
Inspector
Hosted zone
Private Host zone
を手動で作成
CloudWatch
ロググループ
Inspectorを
手動で有効化
Slide 19
Slide 19 text
【ASP/名古屋市】名古屋市統制テンプレートの適用③
名古屋市
(統合運用管理補助事業者)
ASPベンダ
アカウントID
VPCID
サブネットID
Route53ホストゾーンID
TGW アタッチメント用
Jsonファイル
①
②
Slide 20
Slide 20 text
【ASP】名古屋市統制テンプレートの適用④
庁内ネットワーク
運用管理環境
(ネットワークアカ
ウント)
AシステムASP環境(単独利用)
20
Config CloudTrail Trusted Advisor
IAM Budgets SNS
GuardDuty Security Hub
KMS EventBridge SQS
AシステムVPC
Resolver
Endpoints
Att-subnet AZ1a
Att-subnet AZ1c
Route table
Network ACL
Network ACL
Inspector
Hosted zone
TGWリソース共有の承認
Attachment
Attachment
CloudFormationでJsonファイルを
アップロードしてデプロイ
CloudWatch
ロググループ
Slide 21
Slide 21 text
【名古屋市】名古屋市統制テンプレートの適用⑤
庁内ネットワーク
運用管理環境
(ネットワークアカ
ウント)
AシステムASP環境(単独利用)
21
Config CloudTrail Trusted Advisor
IAM Budgets SNS
GuardDuty Security Hub
KMS EventBridge SQS
AシステムVPC
Resolver
Endpoints
Att-subnet AZ1a
Att-subnet AZ1c
Route table
Network ACL
Network ACL
Inspector
Hosted zone
Host zone の関連付け Attachment の承認
Attachment
Attachment
オンプレDNS
CloudWatch
ロググループ
Slide 22
Slide 22 text
名古屋市統制テンプレートの適用⑥
• 他にも以下の作業を実施
➢ASP環境に運用管理アカウント保守用のロールを作成
➢運用管理環境Detectiveの招待と承諾
➢運用管理環境へのCloudWatch ログ集約
➢運用管理環境プライベートCAの共有設定
22
Slide 23
Slide 23 text
今後の展望
• 三層分離モデル変更に伴うテンプレート更新
(α´モデルからβ´モデルへ)
• ディザスタリカバリへのIaC活用を検討
23
Slide 24
Slide 24 text
ご清聴ありがとう
ございました!
24