自治体のガバメントクラウド AWS 移行で 経験した大変だったことと今後の展望について

Transcript

1. 自治体のガバメントクラウド AWS 移行で 経験した大変だったことと今後の展望について 第 48 回 JAWS-UG 札幌支部 x

   秋田支部 コラボ勉強会 2026/05/25

2. 2 自己紹介 ⚫ 北海道の某地方自治体の職員（IT 経験 = 情シス歴 12 年） ⚫

   庁内ネットワーク運用、セキュリティ、標準化・ガバメントクラウド移行対応 ⚫ Gov-JAWS 協力メンバー（他の JAWS での登壇初めてなのでよろしくお願いします！） ⚫ AWS Certified Solutions Architect – Associate ⚫ AWS Certified Solutions Architect – Professional ⚫ AWS Certified Advanced Networking – Specialty ⚫ IPA 情報処理安全確保支援士試験 ⚫ IPA ネットワークスペシャリスト 所属など 資格など 趣味・得意分野 ⚫ ネットワーク、Linux（逸般の誤自宅勢）、閉域ネットワークでの AWS 環境構築

3. 自治体のガバメントクラウド AWS 移行で 経験した大変だったことと今後の展望について 3 ⚫ 自治体情報システム標準化とガバメントクラウド移行とは？ ⚫ ガバメントクラウド AWS

   環境とはどのようなものなのか？ ⚫ ガバメントクラウド AWS 環境への移行で苦労したこと ⚫ ガバメントクラウド AWS 環境のコスト戦略 ⚫ AWS 環境への移行を終えた今後の展望

4. 4 自治体情報システム標準化とガバメントクラウド移行とは？ 地方公共団体情報システム標準化基本方針 (2024 年 12 月 24 日閣議決定) 地方公共団体の基幹業務システムの統一・標準化の取組により、地方公共団体が情報システ

   ムを個別に開発することによる人的・財政的負担を軽減し、地域の実情に即した住民サービ スの向上に注力できるようにするとともに、新たなサービスの迅速な展開を可能とすること を目指す 具体的には、住民基本台帳や地方税など 20 の対象業務の基幹システムを原則 2025 年度末 までに国の定める標準仕様書に適合するシステムへ移行する

5. 5 自治体情報システム標準化とガバメントクラウド移行とは？ 地方公共団体情報システムの標準化に関する法律 (令和三年法律第四十号) （クラウド・コンピューティング・サービス関連技術の活用） 第十条 地方公共団体は、デジタル社会形成基本法第二十九条に規定する国による環境の整 備に関する措置の状況を踏まえつつ、当該環境においてクラウド・コンピューティング・ サービス関連技術を活用して地方公共団体情報システムを利用するよう努めるものとする。 これがガバメントクラウド（AWS、GC、Azure、OCI、さくらのクラウド）

   自治体は機微な情報を扱う基幹システムをパブリッククラウドで運用することになる

6. ガバメントクラウド AWS 環境とはどのようなものなのか？ 6

7. 7 ガバメントクラウド AWS 環境の概要 ⚫ アプリケーション開発者の要求に応じて自動で柔軟かつ迅速にインフラを用意できる環境 ⚫ クラウドの最新技術を活用することで、クラウドサービスが提供する高いセキュリティと 可用性、スケーラビリティを利用可能 ⚫

   ガバナンス機能とテンプレートを用いることで、政府全体としての管理レベルの向上、ベ ストプラクティスに基づく品質の底上げと標準化、セキュリティやネットワーク、運用監 視などの検討省力化と設定自動化を支援 ⚫ 具体的には、デジタル庁が管理する Organizations 環境から払い出される AWS アカウン トを自治体が利用 ⚫ テンプレート適用による予防的統制・発見的統制の実現、外部 IdP 連携によるシングル サインオンなどが初めから利用できる（詳細はデジタル庁 GCAS ガイド）

8. 8 ガバメントクラウド AWS 環境の統制のイメージ ⚫ SCP（Service Control Policy）の自動適用で予防的統制を実現 ⚫ そのほか自治体

   AWS アカウント側でデジタル庁から提供されるテンプレート（CDK、 Service Catalog）の適用で発見的統制も実現

9. 9 ガバメントクラウド AWS 環境のネットワーク構成のイメージ ⚫ 庁内オンプレミスと Direct Connect で閉域接続 ⚫

   マルチアカウントかつ複数 VPC の接続が必要なため、リソース集約アカウント（ネット ワークアカウント）の Transit Gateway で VPC を接続

10. ガバメントクラウド AWS 環境への移行で苦労したこと 10

11. 11 ガバメントクラウド AWS 環境への移行で苦労したこと ⚫ マイナンバーなど機微な情報を扱う基幹システムのため、閉域ネットワークが必須 ⚫ オンプレミスの庁内ネットワークとの接続が必須のため、オンプレミスと AWS の閉

    域ハイブリットネットワークになる ⚫ 20 ある業務の基幹システムを単一のベンダーで運用する自治体は多くないため、複数の ベンダーが関わる ⚫ 必然的に AWS アカウントはマルチアカウントで運用（ただし Organizations はデジ タル庁管理のため自治体の AWS アカウントは全てメンバーアカウント） ⚫ 自治体が自身で AWS アカウントを管理してベンダーに基幹システムを構築してもら う単独利用方式と、ベンダーが管理する AWS アカウントで複数自治体の基幹システ ムを共同で運用する共同利用方式が混在 ⚫ 各ベンダーは、オンプレミス側や他ベンダーの構成が分からない→自治体側でネットワー ク全体を俯瞰して複数ベンダーを調整する必要がある

12. 12 ガバメントクラウド AWS 環境への移行で苦労したこと ⚫ 各ベンダーの VPC で使ってもらう CIDR やドメインを設計する（オンプレミスの

    CIDR と調整して拡張しやすく集約しやすい CIDR やサブドメインの設計が求められる） ⚫ 各ベンダーの VPC のリソースをオンプレミスのクライアントから名前解決する方法を設 計する（Route 53 Resolver Endpoint、Route 53 Private Hosted Zone、条件付きフォ ワーダーなど） ⚫ 基幹システム間でデータ連携を S3 を介して行うことから、S3 バケットをリソース集約 アカウントにまとめ、他ベンダーアカウントからクロスアカウントアクセスしてもらうた めのバケットポリシー、KMS キーポリシーを設計する

13. 13 マルチアカウント間の Transit Gateway アタッチメント接続の調整 ⚫ リソース共有アカウントの Transit Gateway（TGW）に他ベンダーの VPC

    を接続する例 ⚫ 他ベンダーアカウントへ TGW を Resource Access Manager（RAM）で共有 ⚫ 他ベンダーアカウントが TGW アタッチメントを作成した後、リソース共有アカウント でアタッチメント接続を承認し、TGW ルートテーブルを作成 リソース集約アカウント TGW を共有しますので AWS アカウント ID を教えてください AWS アカウント ID は xxx です 他ベンダーアカウント 他ベンダーアカウント TGW アタッチメントを作成しましたので承認願います

14. 14 AWS account AWS Transit Gateway AWS Direct Connect Gateway

    AWS account Virtual private cloud (VPC) Private subnet Attachment Private subnet Instance AWS account Virtual private cloud (VPC) Private subnet Attachment Private subnet Instance Virtual private cloud (VPC) Private subnet Attachment Private subnet Endpoints AWS Resource Access Manager

15. 15 Route 53 Resolver Endpoint と Private Hosted Zone の関連付けの調整

    ⚫ オンプレミスの DNS サーバーとリソース集約アカウントの Route 53 Resolver Endpoint を条件付きフォワーダーで連携する例 ⚫ 他ベンダーアカウントの Route 53 Private Hosted Zone を Route 53 Resolver Endpoint のある VPC に関連付けることでオンプレミスから名前解決が可能になる（要 CLI） リソース集約アカウント VPC ID を共有しますので Route 53 Private Hosted Zone を 関連付け要求してください 関連付け要求を実行しました、承認をお願いします 他ベンダーアカウント

16. 16 AWS account AWS Transit Gateway AWS Direct Connect Gateway

    AWS account Virtual private cloud (VPC) Private subnet Attachment AWS account Virtual private cloud (VPC) Private subnet Attachment Virtual private cloud (VPC) Private subnet Attachment Private subnet Endpoints Resolver Amazon Route 53 Hosted zone Hosted zone Hosted zone

17. 17 S3 バケットのバケットポリシー、KMS キーポリシーの調整 ⚫ リソース集約アカウントに S3 バケットを集約し、他ベンダーアカウントからクロスアカ ウントアクセスで接続させる例 ⚫

    他ベンダーアカウントの IAM ロールをバケットポリシーでアクセス許可 ⚫ バケットを暗号化する KMS キーのキーポリシーも同様にアクセス許可 リソース集約アカウント バケットポリシーとキーポリシーにアクセス許可設定しますので IAM ロールの ARN を教えてください IAM ロールの ARN は xxx です 他ベンダーアカウント

18. 18 AWS account AWS account Virtual private cloud (VPC) Private

    subnet AWS account Virtual private cloud (VPC) Private subnet Virtual private cloud (VPC) Private subnet Endpoints Amazon Simple Storage Service (Amazon S3) Amazon Simple Storage Service (Amazon S3) Endpoints Endpoints Role Role AWS Key Management Service (AWS KMS) Amazon Simple Storage Service (Amazon S3) Bucket with objects

19. 19 オンプレミスの庁内ネットワークの調整も大変 ⚫ Direct Connect へ接続するルーター・ファイアウォールの設定（BGP で広告するオンプ レミスの CIDR や、接続を許可する通信ポリシーの決定）

    ⚫ DNS サーバーに AWS 側で使うサブドメインへの条件付きフォワーダーを設定 ⚫ AWS 側から LGWAN など庁内ネットワークを経由しなければアクセスできないネット ワークへアクセスする場合、Route 53 Outbound Endpoint や TGW と VPC のルート テーブルの設定が要る場合も

20. 20 AWS account AWS Transit Gateway AWS Direct Connect Gateway

    Virtual private cloud (VPC) Private subnet Attachment Private subnet Endpoints Resolver Amazon Route 53 Hosted zone 自治体庁内ネットワーク DNS Server Router Firewall Router LGWAN Firewall Router Router DNS Server

21. 21 他ベンダーから自治体側の要望を断られることも…… ⚫ 複数の自治体の環境を共同利用方式で運用するベンダーから、自治体からの調整の要望を 断れるケースもある（ベストプラクティスができないつらみ） そちらの指定する CIDR は使いたくないので TGW でルーティングは

    しません。PrivateLink を作成してください 他ベンダーアカウント Route 53 Private Hosted Zone をそちらの VPC に関連付けしたくな いので、オンプレミスの DNS サーバーからこちらのアカウントの DNS リゾルバーへ条件付きフォワードの設定を追加してください 他ベンダーアカウント

22. ガバメントクラウド AWS 環境のコスト戦略 22

23. 23 リザーブドインスタンス・Savings Plans の対応 ⚫ 自団体の AWS コストの約 8 割を

    EC2 と RDS が占める状況 ⚫ リザーブドインスタンスと Savings Plans の仕様を調べ、最適なプランを選定 内閣官房「国・地方デジタル共通基盤推進連絡協議会ワーキングチーム（第１０回）」資料 1 から引用 https://www.cas.go.jp/jp/seisaku/digital_gyozaikaikaku/kyotsuwt10/rkw10.html

24. AWS 環境への移行を終えた今後の展望 24

25. 25 閉域ネットワークでも活用できる AWS サービスで行政 DX 推進を目指す ⚫ 自治体から接続する AWS 環境は基幹システムなどを扱うため、閉域ネットワークである

    ⚫ 今回ガバメントクラウド移行で閉域ネットワークと AWS が接続された ⚫ Bedrock など VPC エンドポイントからアクセスできるサービスであれば活用の途がある ⚫ 公共分野における AWS 活用を現場からやっていきたい

26. 26 貴重な JAWS-UG 札幌支部 x 秋田支部コラボ勉強会に登壇の機会をいただき ありがとうございました！ JAWS FESTA 2026

    in AKITA のご盛会を祈念しております！