ガバメントクラウド（AWS）へのデータ移行戦略の立て方【虎の巻】 / 20251011 Mitsutosi Matsuo

Transcript

1. ガバメントクラウド（AWS）への データ移行戦略の立て方【虎の巻】 株式会社SHIFT 松尾 光敏

2. 1 はじめに（自己紹介） ◆松尾 光敏 ◆業務内容 ➢官公庁案件が中心。行政機関のガバメントクラウドへの利用支援 etc... ➢AWS CCoE 社内活動

   ◆受賞／保有資格 ➢2025 Japan AWS Top Engineers ➢2023/2024/2025 Japan AWS All Certifications Engineers ➢その他（CISSP、CISA、PMP etc...）

3. 大量の移行データに対してSnowball Edgeデバイスが利用不可のケース （Snowball Edgeデバイスでのデータ移行のAWSベストプラクティス適用不可） データの移行元システムと移行先システムとで事業が異なり、システム間で直接、 データ移行不可のケース 2 はじめに（本セッション概要） 【前提】 本セッションは、中央省庁の政府情報システムがガバメントクラウドを利用するケースとなっております。

   データ移行制約 最適なデータ移行方法 データ移行制約を受けながら導出した最適なデータ移行方法に対して、考えられる複数の移行方法を 対照にリスク（サプライチェーンリスクやデータ移行漏れ）などを評価し、最適とした妥当性を説明 ポイント 導出

4. １．ガバメントクラウド利用のための セキュリティ要件 3

5. 4 1.1．ガバメントクラウド関連の規則類 政府情報システムに関連する規則類はデジタル庁により、デジタル社会推進標準ガイドラインを基として複数の文書が 発簡されています。その中でも、クラウドに関するドキュメントとして「政府情報システムにおけるクラウドサービスの適切な利用 に係る基本方針」と「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」が整備されています。 デジタル社会推進標準ガイドライン（※1） （※1）https://www.digital.go.jp/resources/standard_guidelines（デジタル庁） （※2）https://guide.gcas.cloud.go.jp/（デジタル庁） 政府情報システムにおける クラウドサービスの

   適切な利用に係る基本方針 デジタル庁 GCASガイド（※2） ガバメントクラウドの 全般的なガイド ガバメントクラウド AWS利用ガイド 主に2文書をもとにGCASガイドが 整備されている 政府情報システムにおける セキュリティ・バイ・デザインガイドライン （参考文献：クラウドサービスISMAP 管理策基準）

6. 5 1.2．ガバメントクラウド利用のためのセキュリティ要件 ガバメントクラウド利用のためのセキュリティ要件を準拠するためには、デジタル庁側で用意している、セキュリティ関連サービス の必須適用のIaCテンプレートの適用が必須となっています。当テンプレート適用外は利用機関側でクラウドサービスISMAP 管理策基準に準拠するようにシステムを設計・構築する必要があります。 AWS基盤のセキュリティ関連サービスの各種設定に対して各利用システム の共通部はガバメントクラウド管理（デジタル庁）側で統制 【出典】「責任共有モデル（AWS）」および「ガバメントクラウド概要解説_3 概要 -

   図 3-1 環境の全体像（デジタル庁）」を引用し、作成 https://aws.amazon.com/jp/compliance/shared-responsibility-model/#topic-0 https://guide.gcas.cloud.go.jp/general/overview-explanation-chapter-03

7. 6 1.3．政府情報システムが取り扱う情報の機密性の格付けの区分 政府情報システムが取り扱う情報の機密性の格付けの区分は、政府機関の情報セキュリティ対策のための統一基準にて 規定されています。 格付けの区分 分類の基準 機密性3情報 行政事務で取り扱う情報のうち、秘密文書に相当する機密性を要する情報 機密性2情報 行政事務で取り扱う情報のうち、秘密文書に相当する機密性は要しないが、漏えいにより、

   国民の権利が侵害され又は行政事務の遂行に支障を及ぼすおそれがある情報 機密性1情報 機密性２情報又は機密性３情報以外の情報 【出典】「政府機関の情報セキュリティ対策のための統一基準（第4版）解説書ー1.1.1.3 情報の格付けの区分及び取扱制限の種類」より引用 https://www.nisc.go.jp/pdf/policy/general/K303-081C.pdf

8. 2．データ移行制約の整理 7

9. 8 2.1．規則によるデータ移行制約 中央省庁の政府情報システムに対してガバメントクラウドへの移行支援を実施しました。しかし…！ •ガバメントクラウドへの移行が省庁内で初事例。 •ガバメントクラウドの有識者が省庁内にいない。。。 •AWSのベストプラクティスを適用できないハードル。。。。。 共通の規則 特有の規則 ＋サプライチェーンリスクマネジメント （ベストプラクティス適用不可）

10. 9 【2.1．補足事項】 サプライチェーンとは 【出典】 「AWS Snowball（AWS）」の図を引用し、作成 https://aws.amazon.com/jp/snowball/ 『サプライチェーン』は、業務の外部委託や物品の調達などにおけるライフサイクル全般のことを指します。 多くの企業では、ビジネスパートナーや委託先も含めたサプライチェーンを持っており、さまざまな企業と連携して 業務を行っています。

    ① Snowball Edgeへのデータ移行 ② Snowball Edgeの配送 ③ AWSへのデータ移行 運送業者 （AWS下請先） ガバメントクラウド（AWS） 移行元システム （例）AWS Snowballにおけるサプライチェーン データ抽出

11. 10 2.2．移行元システムによるデータ移行制約 移行元システムに関連した設定変更が運用上、不可であったため、移行元から移行先システムへの ネットワークルーティングなどの追加設定ができませんでした。 これにより、システム間で直接データ移行できず。。。 GSS G-Net 省庁内LAN 移行元システム 専用線

    専用線 【出典】「②ガバメントソリューションサービス（GSS）について（デジタル庁）ーGSSネットワークで接続される重要なシステム図」を引用し、作成 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/b5181b0c-6424-4977-b415-b1cbb3301bc8/6fad53cc/20240618_policies_assessment_outline_05.pdf ガバメントクラウド（AWS） 移行先 移行元から移行先システムへ 直接データ移行不可！

12. 11 2.3．データ移行制約の整理と最適なデータ移行方法の導出 2つのデータ移行制約より、考えられるデータ移行方法を導出しました。 データ移行制約①（2.1．規則によるデータ移行制約） サプライチェーンリスクマネジメントより、AWS Snowballを利用したデータ移行は困難 データ移行制約②（2.2．移行元システムによるデータ移行制約） 移行元システムから移行先システムへネットワークルーティングなどの設定を追加できず、システム間で 直接データ移行不可 導出

    データ移行制約 最適なデータ移行方法

13. 12 2.4．データ移行制約の対応 ー データ移行制約① 運用事業者（移行元システム）と換装事業者（移行先システム）それぞれが作業可能な範囲と 取り扱う情報の機密性の格付け区分を考慮して、最適なデータ移行経路（閉域網）を選択しました。 GSS G-Net 省庁内LAN 移行元システム

    専用線 専用線 【出典】「②ガバメントソリューションサービス（GSS）についてーGSSネットワークで接続される重要なシステム（デジタル庁）」および「AWS Snowball（AWS）」の図を引用し、作成 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/b5181b0c-6424-4977-b415-b1cbb3301bc8/6fad53cc/20240618_policies_assessment_outline_05.pdf https://aws.amazon.com/jp/snowball/ 移行先 【データ移行制約①】 サプライチェーンリスクマネジメントにより、AWS Snowball でのデータ移行が困難。 ガバメントクラウド（AWS） 運送業者 （AWS下請先） 閉域網経由での データ移行 換装事業者 （移行先システム） 運用事業者

14. 13 2.4．データ移行制約の対応 ー データ移行制約② 移行元システムの運用端末でファイルサーバーへデータを一旦抽出後、移行先システムの事業で用意した データ移行用の端末を利用して、ファイルサーバー経由でデータ移行することとしました。 GSS G-Net 省庁内LAN 移行元システム

    専用線 専用線 【出典】「②ガバメントソリューションサービス（GSS）について（デジタル庁）ーGSSネットワークで接続される重要なシステム図」を引用し、作成 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/b5181b0c-6424-4977-b415-b1cbb3301bc8/6fad53cc/20240618_policies_assessment_outline_05.pdf ガバメントクラウド（AWS） 運用端末 データ移行用の端末 閉域網経由での データ移行 ファイルサーバー 抽出 フォルダ共有 移行先 【データ移行制約②】 移行元から移行先へネットワークルーティングなどの 追加設定ができず、システム間で直接データ 移行不可。

15. 3．データ移行方法の評価 14

16. 15 3.1．最適なデータ移行方法の妥当性の説明 最適なデータ移行方法を導出して即移行！というわけにはいかず、顧客へ当方法の導出までの経緯を 説明する必要があります。考えられる複数のデータ移行方法を並べて、データ移行に関連するリスクおよび コストの二面を比較検討し、最適なデータ移行方法（AWS DataSync）の妥当性を説明しました。 データ移行方法 検討要素 AWS DataSync

    Windowsファイル共有（SMB） AWS Snowball サプライチェーンリスク 低（リスク移転） 省庁契約の換装事業者によりデータ移行 作業が完結する 低（リスク移転） 省庁契約の換装事業業者によりデータ移行 作業が完結する 高（リスク受容） 省庁契約の換装事業者のほか、AWSが 委託した運送業者によるSnowball Edge の運送がデータ移行作業の一部で発生する 移行データ漏れのリスク 低（リスク低減） DataSyncのデータ突合機能（ファイル スキャン、差分転送など）により移行元と 移行先のデータ整合を容易に検証可能 高（リスク受容） DataSyncのような高度なデータ突合機能を もたないデータ突合ツールでデータ移行中に 都度データ整合を確認する必要があり、作業 負荷が高くヒューマンエラーが発生しやすい 中（リスク低減） AWSによるデータ移行の信頼性はあるものの、 データ移行のエビデンス取得のため、移行後 にデータ突合を独自に実施する必要がある コスト コスト中 ①DataSync Agentのシステム要件を 満たすデータ移行用の端末 ②移行元システムのデータの抽出先となる ファイルサーバ ③AWS DataSyncのサービス料金 コスト安 ①Amazon FSx for Windows File Serverのサービス料金 コスト高 ①AWS Snowballのサービス料金 導出

17. 省庁内 ガバメントクラウド（AWS） 16 3.2．導出したデータ移行方法 データ移行用の端末 AWS DataSync Agent AWS DataSync

    Amazon S3 AWS Direct Connect ファイルサーバ フォルダ共有 （SMB） AWS DataSync Agentのシステム要件（※）を満たすように、以下の図のようにしてガバメントクラウド （AWS）へデータ移行しました。 （※）AWS DataSync Agentの要件（AWS） https://docs.aws.amazon.com/ja_jp/datasync/latest/userguide/agent-requirements.html

18. 4．総括 17

19. 18 4．総括 政府情報システムにおいては、規則などによりAWSのベストプラクティスが適用不可のケースが発生すること があります。当システムの換装の目的を念頭に置きつつ、最適なソリューションを導出する必要があります。 そして、最適なソリューションに対する妥当性を顧客へ説明することが何より重要と考えています。 制約事項の洗い出し（規則などによるデータ移行制約など） 制約事項を受けながら最適なソリューションを導出 最適としたソリューションに対する妥当性の説明（リスクアセスメントなど） ポイント

20. 19 SHIFT EVOLVE「AWSぶっちゃけ討論会」3ヶ月連続開催決定！ AWSのエキスパートたちが、 教科書に載っていない、検索しても出てこない、 リアルな現実をぶっちゃけトーク！ ▼参加申込、イベント最新情報はこちらから