ガバメントクラウド（AWS）へのデータ移行戦略の立て方【虎の巻】 / 20251011 Mitsutosi Matsuo

ガバメントクラウド（AWS）へのデータ移行戦略の立て方【虎の巻】株式会社SHIFT 松尾光敏

1 はじめに（自己紹介） ◆松尾光敏 ◆業務内容 ➢官公庁案件が中心。行政機関のガバメントクラウドへの利用支援 etc... ➢AWS CCoE 社内活動
◆受賞／保有資格 ➢2025 Japan AWS Top Engineers ➢2023/2024/2025 Japan AWS All Certifications Engineers ➢その他（CISSP、CISA、PMP etc...）

大量の移行データに対してSnowball Edgeデバイスが利用不可のケース（Snowball Edgeデバイスでのデータ移行のAWSベストプラクティス適用不可）データの移行元システムと移行先システムとで事業が異なり、システム間で直接、データ移行不可のケース 2 はじめに（本セッション概要）【前提】本セッションは、中央省庁の政府情報システムがガバメントクラウドを利用するケースとなっております。
データ移行制約最適なデータ移行方法データ移行制約を受けながら導出した最適なデータ移行方法に対して、考えられる複数の移行方法を対照にリスク（サプライチェーンリスクやデータ移行漏れ）などを評価し、最適とした妥当性を説明ポイント導出

１．ガバメントクラウド利用のためのセキュリティ要件 3

4 1.1．ガバメントクラウド関連の規則類政府情報システムに関連する規則類はデジタル庁により、デジタル社会推進標準ガイドラインを基として複数の文書が発簡されています。その中でも、クラウドに関するドキュメントとして「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針」と「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」が整備されています。デジタル社会推進標準ガイドライン（※1）（※1）https://www.digital.go.jp/resources/standard_guidelines（デジタル庁）（※2）https://guide.gcas.cloud.go.jp/（デジタル庁）政府情報システムにおけるクラウドサービスの
適切な利用に係る基本方針デジタル庁 GCASガイド（※2）ガバメントクラウドの全般的なガイドガバメントクラウド AWS利用ガイド主に2文書をもとにGCASガイドが整備されている政府情報システムにおけるセキュリティ・バイ・デザインガイドライン（参考文献：クラウドサービスISMAP 管理策基準）

5 1.2．ガバメントクラウド利用のためのセキュリティ要件ガバメントクラウド利用のためのセキュリティ要件を準拠するためには、デジタル庁側で用意している、セキュリティ関連サービスの必須適用のIaCテンプレートの適用が必須となっています。当テンプレート適用外は利用機関側でクラウドサービスISMAP 管理策基準に準拠するようにシステムを設計・構築する必要があります。 AWS基盤のセキュリティ関連サービスの各種設定に対して各利用システムの共通部はガバメントクラウド管理（デジタル庁）側で統制【出典】「責任共有モデル（AWS）」および「ガバメントクラウド概要解説_3 概要 -
図 3-1 環境の全体像（デジタル庁）」を引用し、作成 https://aws.amazon.com/jp/compliance/shared-responsibility-model/#topic-0 https://guide.gcas.cloud.go.jp/general/overview-explanation-chapter-03

6 1.3．政府情報システムが取り扱う情報の機密性の格付けの区分政府情報システムが取り扱う情報の機密性の格付けの区分は、政府機関の情報セキュリティ対策のための統一基準にて規定されています。格付けの区分分類の基準機密性3情報行政事務で取り扱う情報のうち、秘密文書に相当する機密性を要する情報機密性2情報行政事務で取り扱う情報のうち、秘密文書に相当する機密性は要しないが、漏えいにより、
国民の権利が侵害され又は行政事務の遂行に支障を及ぼすおそれがある情報機密性1情報機密性２情報又は機密性３情報以外の情報【出典】「政府機関の情報セキュリティ対策のための統一基準（第4版）解説書ー1.1.1.3 情報の格付けの区分及び取扱制限の種類」より引用 https://www.nisc.go.jp/pdf/policy/general/K303-081C.pdf

2．データ移行制約の整理 7

8 2.1．規則によるデータ移行制約中央省庁の政府情報システムに対してガバメントクラウドへの移行支援を実施しました。しかし…！ •ガバメントクラウドへの移行が省庁内で初事例。 •ガバメントクラウドの有識者が省庁内にいない。。。 •AWSのベストプラクティスを適用できないハードル。。。。。共通の規則特有の規則＋サプライチェーンリスクマネジメント（ベストプラクティス適用不可）

9 【2.1．補足事項】サプライチェーンとは【出典】「AWS Snowball（AWS）」の図を引用し、作成 https://aws.amazon.com/jp/snowball/ 『サプライチェーン』は、業務の外部委託や物品の調達などにおけるライフサイクル全般のことを指します。多くの企業では、ビジネスパートナーや委託先も含めたサプライチェーンを持っており、さまざまな企業と連携して業務を行っています。
① Snowball Edgeへのデータ移行 ② Snowball Edgeの配送 ③ AWSへのデータ移行運送業者（AWS下請先）ガバメントクラウド（AWS）移行元システム（例）AWS Snowballにおけるサプライチェーンデータ抽出

10 2.2．移行元システムによるデータ移行制約移行元システムに関連した設定変更が運用上、不可であったため、移行元から移行先システムへのネットワークルーティングなどの追加設定ができませんでした。これにより、システム間で直接データ移行できず。。。 GSS G-Net 省庁内LAN 移行元システム専用線
専用線【出典】「②ガバメントソリューションサービス（GSS）について（デジタル庁）ーGSSネットワークで接続される重要なシステム図」を引用し、作成 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/b5181b0c-6424-4977-b415-b1cbb3301bc8/6fad53cc/20240618_policies_assessment_outline_05.pdf ガバメントクラウド（AWS）移行先移行元から移行先システムへ直接データ移行不可！

11 2.3．データ移行制約の整理と最適なデータ移行方法の導出 2つのデータ移行制約より、考えられるデータ移行方法を導出しました。データ移行制約①（2.1．規則によるデータ移行制約）サプライチェーンリスクマネジメントより、AWS Snowballを利用したデータ移行は困難データ移行制約②（2.2．移行元システムによるデータ移行制約）移行元システムから移行先システムへネットワークルーティングなどの設定を追加できず、システム間で直接データ移行不可導出
データ移行制約最適なデータ移行方法

12 2.4．データ移行制約の対応ーデータ移行制約① 運用事業者（移行元システム）と換装事業者（移行先システム）それぞれが作業可能な範囲と取り扱う情報の機密性の格付け区分を考慮して、最適なデータ移行経路（閉域網）を選択しました。 GSS G-Net 省庁内LAN 移行元システム
専用線専用線【出典】「②ガバメントソリューションサービス（GSS）についてーGSSネットワークで接続される重要なシステム（デジタル庁）」および「AWS Snowball（AWS）」の図を引用し、作成 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/b5181b0c-6424-4977-b415-b1cbb3301bc8/6fad53cc/20240618_policies_assessment_outline_05.pdf https://aws.amazon.com/jp/snowball/ 移行先【データ移行制約①】サプライチェーンリスクマネジメントにより、AWS Snowball でのデータ移行が困難。ガバメントクラウド（AWS）運送業者（AWS下請先）閉域網経由でのデータ移行換装事業者（移行先システム）運用事業者

13 2.4．データ移行制約の対応ーデータ移行制約② 移行元システムの運用端末でファイルサーバーへデータを一旦抽出後、移行先システムの事業で用意したデータ移行用の端末を利用して、ファイルサーバー経由でデータ移行することとしました。 GSS G-Net 省庁内LAN 移行元システム
専用線専用線【出典】「②ガバメントソリューションサービス（GSS）について（デジタル庁）ーGSSネットワークで接続される重要なシステム図」を引用し、作成 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/b5181b0c-6424-4977-b415-b1cbb3301bc8/6fad53cc/20240618_policies_assessment_outline_05.pdf ガバメントクラウド（AWS）運用端末データ移行用の端末閉域網経由でのデータ移行ファイルサーバー抽出フォルダ共有移行先【データ移行制約②】移行元から移行先へネットワークルーティングなどの追加設定ができず、システム間で直接データ移行不可。

3．データ移行方法の評価 14

15 3.1．最適なデータ移行方法の妥当性の説明最適なデータ移行方法を導出して即移行！というわけにはいかず、顧客へ当方法の導出までの経緯を説明する必要があります。考えられる複数のデータ移行方法を並べて、データ移行に関連するリスクおよびコストの二面を比較検討し、最適なデータ移行方法（AWS DataSync）の妥当性を説明しました。データ移行方法検討要素 AWS DataSync
Windowsファイル共有（SMB） AWS Snowball サプライチェーンリスク低（リスク移転）省庁契約の換装事業者によりデータ移行作業が完結する低（リスク移転）省庁契約の換装事業業者によりデータ移行作業が完結する高（リスク受容）省庁契約の換装事業者のほか、AWSが委託した運送業者によるSnowball Edge の運送がデータ移行作業の一部で発生する移行データ漏れのリスク低（リスク低減） DataSyncのデータ突合機能（ファイルスキャン、差分転送など）により移行元と移行先のデータ整合を容易に検証可能高（リスク受容） DataSyncのような高度なデータ突合機能をもたないデータ突合ツールでデータ移行中に都度データ整合を確認する必要があり、作業負荷が高くヒューマンエラーが発生しやすい中（リスク低減） AWSによるデータ移行の信頼性はあるものの、データ移行のエビデンス取得のため、移行後にデータ突合を独自に実施する必要があるコストコスト中 ①DataSync Agentのシステム要件を満たすデータ移行用の端末 ②移行元システムのデータの抽出先となるファイルサーバ ③AWS DataSyncのサービス料金コスト安 ①Amazon FSx for Windows File Serverのサービス料金コスト高 ①AWS Snowballのサービス料金導出

省庁内ガバメントクラウド（AWS） 16 3.2．導出したデータ移行方法データ移行用の端末 AWS DataSync Agent AWS DataSync
Amazon S3 AWS Direct Connect ファイルサーバフォルダ共有（SMB） AWS DataSync Agentのシステム要件（※）を満たすように、以下の図のようにしてガバメントクラウド（AWS）へデータ移行しました。（※）AWS DataSync Agentの要件（AWS） https://docs.aws.amazon.com/ja_jp/datasync/latest/userguide/agent-requirements.html

4．総括 17

18 4．総括政府情報システムにおいては、規則などによりAWSのベストプラクティスが適用不可のケースが発生することがあります。当システムの換装の目的を念頭に置きつつ、最適なソリューションを導出する必要があります。そして、最適なソリューションに対する妥当性を顧客へ説明することが何より重要と考えています。制約事項の洗い出し（規則などによるデータ移行制約など）制約事項を受けながら最適なソリューションを導出最適としたソリューションに対する妥当性の説明（リスクアセスメントなど）ポイント

19 SHIFT EVOLVE「AWSぶっちゃけ討論会」3ヶ月連続開催決定！ AWSのエキスパートたちが、教科書に載っていない、検索しても出てこない、リアルな現実をぶっちゃけトーク！ ▼参加申込、イベント最新情報はこちらから

ガバメントクラウド（AWS）へのデータ移行戦略の立て方【虎の巻】 / 20251011 Mit...

ガバメントクラウド（AWS）へのデータ移行戦略の立て方【虎の巻】 / 20251011 Mitsutosi Matsuo

SHIFT EVOLVE PRO

More Decks by SHIFT EVOLVE

Other Decks in Technology

Featured

Transcript