自治体職員がパブリッククラウド使わなければならないことになったからとりあえず AWS の無料枠使い倒して勉強したけどやっぱり難しいという話

Transcript

1. 自治体職員がパブリッククラウド使わなければならない ことになったから とりあえず AWS の無料枠使い倒して勉強したけど やっぱり難しいという話 TechRAMEN 2024 Conference 2024

2. いきなりだけどなんか「おかたい」話しようとしてる？ 2 A.しないよ！これはある日突然パブリッククラウドを使わなければならなく なったとある自治体の中の人が、四苦八苦しながらパブクラに向き合った (ている) 記録の話だよ。 しない話 する話 ⚫ 所属する組織のパブリッククラウドの活用の状

   況 ⚫ 地方自治体がパブリッククラウドを活用するに 至った一般的な経緯 ⚫ AWS アカウントを取得して勉強したあれこれ

3. 自己紹介 3 名前 武田 宏樹 仕事 とある地方自治体の情シス部門職員 (情シス歴 10 年)

   年齢 45 歳 経歴 高校卒業まで岩見沢市 → 大学は石川県金沢市 → 旭 川市で現職。高校も大学も文系だが、大学時代に Linux に出会って自宅鯖にハマり、ネットワーク系が少しだけ得 意。趣味で Python を少し書く。 保有資格 情報処理安全確保支援士 (第 026159 号) ネットワークスペシャリスト かわいい シマエナガ

4. どうしてパブリッククラウドを使わなければならなくなった の？ 地方公共団体の基幹業務システムの統一・標準化、ガバメントクラウドって 聞いたことありますか？ ほんの少しだけおかための話を最初にさらっと…… 4

5. どうしてパブリッククラウドを使わなければならなくなったの？ 5 A.「地方公共団体情報システム標準化基本方針」に基づき、地方公共団体の基 幹業務システムを統一・標準化することになっており、クラウド・コンピュー ティング・サービス関連技術を活用した地方公共団体情報システムの利用に 係る事項が定められているからだよ。 地方公共団体情報システム標準化基本方針 (2023 年 9

   月 8 日閣議決定) https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/c58162cb-92e5-4a43-9ad5- 095b7c45100c/f6ea9ca6/20230908_policies_local_governments_outline_03.pdf 地方公共団体情報システムの標準化に関する法律 (令和三年法律第四十号) （クラウド・コンピューティング・サービス関連技術の活用） 第十条 地方公共団体は、デジタル社会形成基本法第二十九条に規定する国による環境の整備に関する措置の状況を踏まえつつ、当該環境においてクラウド・コンピューティング・サービス関連技術を活用して地方公共団体情報システム を利用するよう努めるものとする。

6. クラウド・コンピューティング・サービス関連技術ってなに？ 6 A. 国 (デジタル庁) が整備する政府共通のクラウドサービスの利用環境で、ガバメントクラウ ドと呼ばれているよ。クラウドサービスの利点を最大限に活用することで、迅速、柔軟、かつ セキュアでコスト効率の高いシステムを構築可能とし、利用者にとって利便性の高いサービ スをいち早く提供し改善していくことを目指しているよ。地方公共団体の基幹業務システム の統一化・標準化においては、このガバメントクラウドを活用することが努力義務とされて

   いるよ。 地方公共団体情報システム標準化基本方針 (2023 年 9 月 8 日閣議決定) 2.1 地方公共団体の基幹業務システムの統一・標準化の意義 ガバメントクラウド （デジタル社会形成基本法 令和３年法律第 35 号） 第 29 条に規定する「全ての地方公共団体が官民データ活用推進基本法第二条第四項に規定するクラウド・コンピューティング・サービス関連技術に係るサービスを 利用することができるようにするための国による環境の整備」としてデジタル庁が 4.3.1 に規定するとおり整備するものをいう。 4.3.1 ガバメントクラウドの位置付け ガバメントクラウドは、デジタル庁が調達するものであって、 地方公共団体が標準準拠システム等を利用できるよう、地方公共団体に対し提供するクラウドサービス及びこれに関連するサービス （以下「クラウドサービス等」という。 ）であ る。

7. ガバメントクラウドって具体的になに？ 7 A. 公募の結果、ガバメントクラウドの対象クラウドサービスとして以下の 4 つ のクラウドサービスプロバイダーが選定されているよ。 クラウドサービスプロバイダー 備考 Amazon

   Web Services Google Cloud Microsoft Azure Oracle Cloud Infrastructure さくらのクラウド ※ ※ 2025 年度末までに全ての技術要件を満たす ことが条件。

8. つまりガバメントクラウドというパブクラを活用しないとってこと？ 8 A. そうだよ！パブクラを活用するためにはパブクラを理解しないといけない ね。でも…… (ぼく) じゃあ勉強するか (会社からお金は一銭も出ないけど) 。 とりあえずネットでググったらたくさん出てくる

   AWS でいいのかな？ ⚫ 自治体の業務システムはオンプレミスやプライベートクラウド環境で運用することが一般的。 ⚫ 自治体職員にパブリッククラウドを活用するノウハウがないことが多い。

9. AWS アカウントを取得してまずは Web サービスを 運用してみた VPC, ELB, EC2, RDS を理解してみる

   9

10. はじめに AWS 無料利用枠についての注意事項 10 ⚫ 2024 年 1 月以降、グローバル IPv4

    アドレスの使用が有料となったため、ELB や EC2 でグローバル IPv4 アドレスを使う場合、費用がかかるようになっています。 ⚫ そのため、以降に紹介する内容は、当時ほぼ最初の 1 年の無料利用枠の範囲内で収まって いましたが、同じ構成で今やるとグローバル IPv4 アドレスの費用がかかってしまいます。 ⚫ グローバル IPv6 アドレスのみで運用すれば回避できますが、AWS Systems Manager が IPv6 アドレスに対応していないなど嵌りどころがあるので注意が必要です。

11. おじさんは何か覚えるためには手を動かすのが (結局) 早いことを知っている 11 ⚫ 経験上、何かを覚えるためには実際に手を動かす→詰まる→調べる→手を 動かす……のサイクルが最速であると思っている。 ⚫ ちょうど Heroku

    (PaaS) で運用していた Web サービスがあったので、 まずは AWS に移植してみた。

12. 12 AWS Cloud Tokyo Region Availability Zone Public subnet Virtual

    private cloud (VPC) Availability Zone Amazon Route 53 Public subnet Private subnet Private subnet Multi AZ Session Manager AWS Certificate Manager (ACM) Amazon Relational Database Service (Amazon RDS) Amazon Elastic Compute Cloud (Amazon EC2) Application Load Balancer AWS Security Hub Amazon GuardDuty AWS Config Internet gateway Python の Web フレーム ワーク Flask を EC2 で実行。 バックエンドは RDS で PostgreSQL を実行。 ALB では Certificate Manager の証 明書を使って HTTPS を終端。 EC2 には直接 SSH せず、 Session Manager を経 由して SSH する。 別途取得してい る独自ドメインの サブドメインを R53 で管理。 Security Hub で基礎セキュリ ティのベストプラ クティスのみでも 少し費用がかか るので注意。

13. とりあえず EC2 と RDS で SoR なシステムを動かす基礎はつかんだ 13 ⚫ EC2

    で Application Server を動かし、RDS で RDB を動かす、一般 的な SoR (System of Record) システムを動かす基礎は分かった。 ⚫ VPC のルートテーブル、ネットワーク ACL、セキュリティグループ、ELB を 触って、AWS のネットワークの基礎も学べた。 ⚫ だけどエンタープライズなシステムを AWS で運用するには全然足りていな い気がする……。

14. AWS のサービスを体系的に学びたくなった AWS Certified Solutions Architect Associate (AWS SAA-C03) の取得と

    AWS Well-Architected フレームワークとの出会い 14

15. アソシエイトレベルの AWS 認定資格でサービスの全体像は分かってきた 15 ⚫ 独学だけだと触っていない AWS のサービスを理解するのが難しかった。 ⚫ Solutions

    Architect Associate (SAA-C03) を受けてみようと思い立つ。 ⚫ AWS 認定試験は問題文が長くて辛いと聞くが、文系出身の自分には全然苦じゃなかった。 むしろ各サービスの使いどころを体系立てて知れて面白かった。 資格は無事ゲット

16. AWS Well-Architected フレームワークを知る 16 ⚫ はじめて AWS Well-Architected フレームワークなるものの存在を知る。→ベストプラ クティスでやってみたくなる。

    ⚫ どれどれ早速……。「アカウントは開発用と管理用で分けましょう」「IAM ユーザーは使わず、 IAM Identity Center でシングルサインオン認証しましょう」 ⚫ ん？ AWS アカウントの管理と分離 https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security-pillar/aws-account-management-and-separation.html 一元化された ID プロバイダーを利用する https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html

17. AWS アカウント管理を初手から間違えていた 17 ⚫ AWS はアカウントという概念がとても重要。 ⚫ 個人用途なら一アカウントで運用しても問題ないと思われるが、エンタープライズではス ケールすることを考えなければならない。 ⚫

    スケールすればするほど IAM ユーザーの管理はどんどん辛くなっていく。 AWS アカウント管理の定石は Organizations と IAM Identity Center (IdC) を使うことだった。

18. おひとりさま AWS Organizations を構築してみた Organizations と IAM Identity Center で統制する

    AWS アカウント の管理 18

19. AWS Organizations とは？ 19 ⚫ 全ての AWS アカウントの一元管理 (今回のように開発用と管理用とアカウントを分けて運 用するには最適)

    ⚫ 全ての AWS アカウントの一括請求 (エンタープライズでは必須) ⚫ 組織単位 (OU) によるアカウントの階層的な管理 (サービスコントロールポリシーで統制が できる) ⚫ Security Hub など Organizations で連携して一元管理できるサービスもある。 ⚫ Organizations を使うだけなら無料。

20. AWS Organizations の OU によるアカウントの階層管理 20 組織単位 (OU) を階層にして複 数

    AWS アカウ ントを管理でき る！

21. AWS IAM Identity Center (IdC) とは？ 21 ⚫ Organizations で管理している複数

    AWS アカウントにシングルサインオン (SSO) できる。 ⚫ IdC ユーザーから各 AWS アカウントの IAM ロールにスイッチロールできる。→各 AWS アカウント で IAM ユーザーを作らなくても良くなる。 ⚫ Entra ID など外部 Identity Provider (IdP) と連携すればユーザー・グループ管理は外部 IdP で一元管理できる。 ⚫ IdC 自体は無料なので、費用は IdP の分のみ (プライベートで契約している Microsoft 365 Business Premium には Entra ID P1 ライセンスが付いているので、自分はこれを IdP として 使っている) 。

22. AWS IAM Identity Center のアカウントの管理 22 Entra ID と連 携し、特定のグ

    ループとユーザー を自動的に IdC へプロビジョニン グ。 Organizations の OU に所属す る AWS アカウン ト。 IdC のユーザー は割り当てられた 許可セットの IAM ロールへス イッチロールでき る。

23. 23 AWS Cloud OU 1 AWS Organizations AWS IAM Identity

    Center (IdC) Entra ID Entra ID Users, Groups AWS account 1 Admin Role Dev Role IdC User 1 IdC Group 1 IdC User 2 IdC Group 2 OU 2 AWS account 2 Admin Role Dev Role 外部 IdP で管理 するユーザーとグ ループを IdC へ 連携する。 ユーザーごとにど のアカウントの ロールにスイッチ ロールできるか 設定できる (許可 セット) 。 外部 IdP のユー ザーでシングルサ インオンができる。

24. ガバメントクラウド推奨構成の洗礼を受ける 一自治体職員には荷が重すぎるモダンなアーキテクチャ 24

25. だいぶ AWS を分かってきたのでガバメントクラウド推奨構成を読んでみる 25 ⚫ ここまでの積み重ねでだいぶ AWS のことが分かってきた気がする。 ⚫ いよいよデジタル庁が出しているガバメントクラウドの推奨アーキテクチャ

    のドキュメントであるガバメントクラウド利用における推奨構成を読んでみ ることにした。 ガバメントクラウド先行事業（市町村の基幹業務システム等）の中間報告を掲載しました https://www.digital.go.jp/news/ZYzU5DYY/

26. 26

27. AWS のネットワーク全然分からない…… 27 ⚫ 当然だけど地方自治体の基幹業務システムなので、複数アカウント、複数 VPC が複雑に連携するアー キテクチャとなっている (Transit Gateway

    とか Private Link って何……) 。 ⚫ 個人では使うことのない専用線接続 (Direct Connect) で AWS へアクセスしなければならない。 ⚫ オンプレのネットワークとも連携しなければならない (ハイブリット構成が基本) 。 AWS のネットワークを理解しないと太刀打ちできない。

28. Specialty レベルの AWS 認定資格とったるわ！ 28 ⚫ ここまで来たら Advanced Networking Specialty

    (高度なネットワーキング専門知 識) も取ることにした。 ⚫ オンプレおじさん的には AWS のネットワークも中々面白かった (好きなサービスは Route 53 ですくらいは言えるようになった) 。 ⚫ ようやくガバメントクラウド推奨構成に何が書いてあるのかくらいは分かるようになった。 こちらもなんとか資格をゲット

29. 本日のまとめ クラウドジャーニーはまだ続く…… 29

30. クラウドジャーニーはまだ続く…… 30 ⚫ 実際に大変なのはこれから (2025 年度末までに移行完了しなければならない) 。 ⚫ ガバメントクラウドへ移行することが目的じゃなくて、基幹業務システムを安定的に、そして 経済的に運用できるようにすることが目的。

    ⚫ 正直、いち自治体職員にはパブリッククラウドは難しい。 ⚫ その代わり、オープンな技術ではあるので、こういった勉強会などで知見を得ることはむし ろしやすい。 ⚫ 良いまちづくりのためにも、パブリッククラウドの活用方法を学んでいきたい。 ⚫ ご清聴ありがとうございました！