メニュー

デジタル庁GCASガイド

ガバメントクラウド利用概要(AWS編)

2023/09/22 公開

はじめに

  • 本書の目的
    本書はガバメントクラウド(AWS)の利用を検討または利用開始する上で必要となる技術的な情報を記すことで、具体的な利用検討や利用開始ができるようになることを目的としている。
  • 本書の位置づけ
    ガバメントクラウド概要解説の子文書となり、ガバメントクラウド概要解説の内容を技術的な観点で具体化した文書である。
政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針を前提とし、ガバメントクラウド利用検討の基本的な考え方の下に位置づけられるドキュメント体系図です。ガバメントクラウド概要解説を最上位とし、そこから5つの項目が枝分かれしています。1つ目はガバメントクラウド利用概要(AWS編)で、本文書であることを示すオレンジ色の枠と矢印が添えられています。2つ目はガバメントクラウド利用概要(Google Cloud編、Azure編、OCI編)です。3つ目は技術マニュアル群、4つ目はリファレンスアーキテクチャ、5つ目はメンバー専用ページのみで公開される手続き等ドキュメントです。

図01: 本書の位置づけ

  • 本書の想定読者
    ガバメントクラウド(AWS)の利用を検討または利用開始しているシステムの開発・運用事業者及びPJMOを読者として想定している。
  • 改訂方針
    ガバメントクラウドの仕様変更やクラウドサービスの更改・仕様変更、上位文書の変更があった場合は、定期的に改訂を実施する。

1 アカウント

1.1 アカウントの全体像

  • AWSのアカウントはデジタル庁のControl Towerによって管理される。
  • 利用組織は本番環境と検証環境のリソース混在防止、課金単位の分離のため、本番用アカウントと検証用アカウントをそれぞれ用意して利用すること。
  • ガバメントクラウドでは原則として開発環境は提供しないが、CI/CDを実施する利用システムについてのみ開発環境の提供を行う。その場合、インフラ部分のCI/CDについては、ガバメントクラウドで指定するツールやテンプレート/IaCファイルを用いてCI/CD環境を構成すること。それ以外のCI/CD環境をインフラ部分に選択する場合は、その合理性がガバメントクラウドチームで認められる場合のみとする。アプリケーションのCI/CD環境については、インフラ部分と同じ構成でも、独自の構成でも構わないものとする。

アカウントの全体像を示す構成図です。Control Tower(CT)の管理下に5つの組織単位(OU)が定義されています。Root OUにはMaster Accountが配置され、ユーザ払い出し、構成管理、ポリシー管理、ユーザプレーンへの追加設定の機能を持ちます。Infrastructure OUにはShared NW Accountが配置され、共通ネットワークを管理します。Security OUにはAudit AccountとLog Archive Accountの2つが配置されています。Audit Accountは監査、通知、全体構成管理、発見的統制を担当し、Log Archive Accountはログ保管を担当します。Sandbox OUにはCT Test Accountが配置されています。利用組織向け OUには、SystemA Prod Account、SystemA Test Account、SystemB Prod Account、SystemB Test Account、SystemC Prod Account、SystemC Test Accountの合計6つのアカウントが配置されています。

図02: アカウントの全体像

2 ユーザー

2.1 ユーザーの全体像

ガバメントクラウドのAWS環境では、ガバメントクラウド利用組織からの利用申請の情報に基づき、デジタル庁より必要な環境数分のAWSアカウントが払い出される。AWSアカウントはAWS環境におけるリソース管理やコスト管理等の区分になり、AWSアカウント内にシステム環境を構築することになる。AWSアカウントにおいて最も強力な権限を持ち、システムの所有者として位置付けられるルートユーザーはAWSアカウントとともにデジタル庁が作成する。ルートユーザーは各アカウントに一つ作成され、IDとしてメールアドレスが用いられる。

ユーザーアカウントは、GCASアカウントと各CSP環境へのシングルサインオン機能が令和6年度より展開されるため、利用組織で作成する必要はない。ガバメントクラウド管理組織が払い出したGCASアカウントによるAWSアカウントへのアクセスが可能になる。なお、GCASアカウントとの連携ではAWS IAM Identity Centerを用いている。

以下に、国の行政機関および地方公共団体におけるユーザー管理について補足する。

国の行政機関

国の行政機関が利用するAWS環境では、前述のルートユーザーをデジタル庁にて保有し、管理する。各利用組織及びその開発運用委託業者がAWSアカウントへのアクセスに用いるGCASアカウントはガバメントクラウド管理組織にて発行する。

ガバメントクラウド利用組織、デジタル庁ガバメントクラウド管理組織、開発運用委託業者の三者の関係性を示す構成図です。デジタル庁の管理組織内にあるGCASというシステムでは、利用申請を受けてアカウント発行を行う機能があります。ガバメントクラウド利用組織のGCAS責任者が利用申請を行い、GCASからアカウントが発行されます。発行されたAWSアカウントは、システムA、システムB、システムCの各管理者に割り当てられます。各システム内には、AWSアカウントの本番環境と検証環境が用意され、それぞれにVPCが配置されています。開発運用委託業者の開発担当者、テスト担当者、運用担当者は、割り当てられた各システムに対して作業を行います。また、GCASのアカウント発行機能から、各システムの管理者および委託業者の運用担当者へアカウント情報が提供される流れが矢印で示されています。


図03: ユーザーの全体像(国の行政機関)

地方公共団体が利用するAWS環境は、単独利用方式と共同利用方式いずれもユーザーの利用形態は同じとなる。
AWSアカウントのルートユーザーはデジタル庁にて作成後、保有して管理する。
地方公共団体側でルートユーザの権限が必要な操作を行いたい場合は、ヘルプデスクに相談すること。
各利用組織及びその開発運用委託業者がAWSアカウントへのアクセスに用いるGCASアカウントはデジタル庁にて発行する。

ガバメントクラウドの利用形態である単独利用方式と共同利用方式を比較した構成図です。左側の単独利用方式では、ガバメントクラウド利用組織の管理者が、開発運用委託業者の開発担当者、テスト担当者、運用担当者と共にシステムを管理します。システム内にはAWSアカウントの本番環境と検証環境があり、それぞれにVPCが構築されています。デジタル庁ガバメントクラウド管理組織が提供するGCASに対し、GCAS責任者や管理者が利用申請を行い、アカウント発行を受ける流れが示されています。右側の共同利用方式では、地方公共団体A、B、Cが個別のAWSアカウントとVPCを利用します。これらの運用は運用管理補助者が代行し、補助者内の管理者、テスト担当者、運用担当者、開発担当者がデジタル庁のGCASを通じて利用申請やアカウント発行の手続きを行います。単独利用は一つの組織が直接管理するのに対し、共同利用は複数の団体が運用管理補助者を介して利用する構造になっています。


図04: ユーザーの全体像(地方公共団体)

2.2 払い出すユーザーの種類と権限

ガバメントクラウドで提供するAWS環境では、利用者はGCASアカウントと同期されたAWS IAM Identity Center(以下IdC)のユーザーアカウントを利用して各AWSアカウントへの認証およびアクセスが制御されることになる。IdCはデジタル庁が管理するAWSアカウント内に構成されている。

GCASガイド(メンバー専用ページ)で公開されているドキュメント「GCAS SSO移行に係る事前作業マニュアル」(国の行政機関向け)または「GCASアカウント取得後の諸手続きについて」(地方公共団体向け)にて案内されている「CSPユーザー登録」を行うことでGCASアカウントとIdCが紐づけれられ、各AWSアカウントへのアクセスが可能になる。
CSPユーザー登録の際、各ユーザーに対し「管理者」又は「メンバー」のロールを選択できる。「管理者」ロールを選択すれば図5のAdminユーザー、「メンバー」ロールを選択すれば図5の運用ユーザーの権限が付与される。
なお、管理者権限を持つユーザーが侵害される可能性を減らすため、本番環境のAdminユーザーの人数は3名までを推奨する。

管理者以外のユーザーはIAMロールへのスイッチロール以外、特別な権限を付与していないため、管理者ユーザーが必要なIAMロールを作成し、特定のIAMロールへスイッチロール可能な信頼ポリシーを設定すること。

AWSアカウントの権限管理表です。表の列には、役割、払い出すユーザー、説明、環境(AWSアカウント)削除、rootユーザーの設定変更、IAMユーザー作成変更削除、IAMロール作成変更削除、VPC作成変更削除(全操作)、インターネット接続設定、EC2作成変更削除(全操作)、その他マネージドサービス作成変更削除(制限されているもの以外)が定義されています。行には、システム(AWSアカウント)所有者のrootユーザー、システム運用責任者・運用管理者のAdminユーザー(管理者)、インフラ運用担当の運用ユーザー(メンバー)、(任意)アプリケーションテスト担当のテストユーザー、(任意)システムIDのサービス自動化用IAMロールが並んでいます。rootユーザーは全ての操作権限を持ち、AdminユーザーはIAMロール、VPC、インターネット接続、EC2、その他マネージドサービスの操作権限を持ちます。インフラ運用担当はVPC、インターネット接続、EC2、その他マネージドサービスの操作権限を持ち、サービス自動化用IAMロールはその他マネージドサービスの操作権限を持ちます。表の右下には、Adminユーザーにより枠内の任意の権限付けが可能である旨の注釈があります。


図05: 払い出すユーザーの種類と権限

2.3 地方公共団体における管理コンソール利用制限・制約

地方公共団体において個人番号利用事務系に係るシステム環境では、インターネット接続系へのデータ持ち出しを禁止する目的で管理コンソールにおける本番業務データへのアクセスを制限する権限セット(アクセス許可セット)を本番環境に提供予定である。 例えば、インターネット経由で管理コンソールから直接のデータ参照や一部のサービスや機能の利用制限を予定している。

具体的には今後、管理者向けに提供しているアクセス許可セットの切り替えを予定している。なお、「GovCloudLgDataRegidency」の強制適用については当面予定をしておらず、実施する際は事前の周知を行う。

  • 制限の特にないアクセス許可セット名: AWSAdministratorAccess(本番環境は廃止予定)
  • 制限が施されたアクセス許可セット名: GovCloudLgDataRegidency(順次追加予定)

これらは本番環境のみの制限であり、本番環境以外の環境においては、上記両方の権限(アクセス許可セット)が利用し続けられる。「地方SaaS」の本番環境においても同様である。

制限されるサービスとActionは、アプリケーション内のデータを持ち出し可能となっているものを基本的に対象としている。詳細は後述のJSONファイルを直接参照すること。制限が及んでいなかったとしても、総務省ガイドラインなどで禁止されているようなデータの参照・持ち出しが許可されているわけではない。

なお、一部の環境に試験的に提供していた「GovCloudLgDataRegidency」のアクセス許可セットは令和6年7月より提供を中断する。同アクセス許可セットの制限内容の利用を希望する組織向けに、制限内容を記述したJSONファイルを提供する(GCASアカウントを取得の上、GCASガイド(メンバー専用ページ)で公開されているガバメントクラウドテンプレート(メンバー専用ページ→ガバメントクラウドテンプレート/ポリシー→ガバメントクラウドテンプレート/ポリシーのダウンロードページ)を参照すること)。IAMロール等へ同ファイルの内容をIAMポリシーとして適用することを想定している。

3 ガバナンス・セキュリティ

3.1 ガバナンス・セキュリティの全体像

  • ガバメントクラウドのガバナンス・セキュリティはSCPと自動適用テンプレート、必須適用テンプレートによって担保される。
  • 従来のゲート型ではなく、予防的統制と発見的統制からなるガードレール型のガバナンス・セキュリティを提供する。

ガバナンス・セキュリティの全体像を示すアーキテクチャ図です。図の上部にはガバメントクラウド利用組織環境、下部にはデジタル庁環境が配置されています。デジタル庁環境は、管理アカウント、ログアカウント、監査アカウントの3つのセグメントで構成されています。管理アカウントにはAWS Control TowerとAWS CloudFormationが含まれ、SCP(サービスコントロールポリシー)を通じて利用組織環境へ予防的統制と自動設定を行います。利用組織環境内には、AWS CloudTrailによるアカウントアクティビティモニタリング、AWS Configによる構成管理、AWS Security Hub、Amazon GuardDuty、IAM Access Analyzer、AWS Shield Advanced、AWS Config Rule、AWS IAM、AWS Budgets、Amazon SNS、VPC Network Access Analyzerなどのサービスが配置されています。利用組織環境からデジタル庁環境のログアカウントにあるS3バケットへは、CloudTrail証跡ログやConfigログが証跡ログの集約として送られます。また、利用組織環境の各セキュリティサービスから監査アカウントへは、AWS Config、Security Hub、GuardDuty、IAM Access Analyzerを通じて監査結果の集約が行われ、Amazon SNSでメッセージングプッシュ通知が行われる仕組みです。図の左側には凡例があり、自動適用テンプレート、必須適用テンプレート、環境払出し時にデジタル庁で有効化される機能、予防的統制、発見的統制が色分けや線種で区別されています。赤枠で囲まれた利用組織環境内の主要なセキュリティサービス群が、本章の説明範囲として明示されています。


図06: ガバナンス・セキュリティの全体像
※AWS Shield Advancedの料金構成として、月額料金とデータ転送料金(アウト)の使用料金がある。月額料金についてはデジタル庁で一括調達しているため、個々のアカウントには料金は発生しない。データ転送(アウト)使用料金については、各利用システムごとに使用データ量に応じた金額が発生する。

3.2 予防的統制の設定内容

  • 全てのアカウントに共通して最低限禁止すべき内容を設定する方針である。
  • クラウドサービスの利用にあたって制限となる内容は、ここに記述する予防的統制で設定される内容だけである。
  • 詳細な設定内容は実際のテンプレート/IaCファイル内容を確認すること。

<主な設定内容>

  • デジタル庁が設定するセキュリティや監査ログの設定/収集に関するサービスの削除防止

  • 東京/大阪リージョン以外の使用禁止、未有効化リージョンの有効化禁止

  • 現状、ガバメントクラウドにおいて統制の実現が難しいと考えている一部サービスについて、クラウドサービスとしての利用を禁止

    • AWS Marketplace※1
    • AWS Outposts
    • VMware Cloud on AWS / Red Hat OpenShift on AWS(ROSA)
  • AWS CloudShell VPC environment以外のAWS CloudShellの利用禁止

  • ユーザーにMFAの有効化を強制し、必要な権限はIAMロールで管理

  • アクセスキーの作成を禁止※2

  • Adminユーザー以外によるIAM権限の付与禁止

  • 一度の誤操作で高額請求となるサービスの購入/実行防止

    • 以下サービスのリザーブドインスタンス
      ・ Amazon EC2※3,※4
      ・ Amazon RDS※3,※4
      ・ Amazon OpenSearch Service
    • 以下サービスのリザーブドノード
      ・ Amazon ElastiCache
      ・ Amazon Redshift
      ・ Amazon MemoryDB
    • 以下サービスのリザーブドキャパシティ
      ・ Amazon DynamoDB
    • 以下サービスのSavings Plans
      ・ Amazon EC2※3,※4
      ・ AWS Lambda※3
      ・ AWS Fargate※3
      ・ Amazon SageMaker
    • 以下サービスのSavings Bundle
      ・ Amazon CloudFront

※1AWS Marketplaceの利用は原則禁止とする。
万が一、マネージドサービスや他製品にて代替が不可の場合は、デジタル庁に相談をすること。

※2 IAMユーザーの永続的なアクセスキーの作成を禁止するため、特定のSaaS製品の利用や運用に影響が生じる場合がある。利用システムは、早期段階でアクセスキーを利用しない方式を検討する必要がある。参考に以下にアクセスキーの利用が想定されるユースケース例を記載する。

  • IAMユーザーの認証情報を用いたAWS CLIの利用
  • 外部CMSサービスからAWSリソースへのアクセス
  • 統合運用管理ソフトウェア、ウィルス対策ソフト、ログ監視サービス等のSaaS製品からAWSリソースへのアクセス
  • CloudWatchAgentを用いたCSP管理環境外サーバのメトリクスやログの取得
  • Amazon SES SMTPインターフェースを用いたeメールの送信
  • CSP管理環境外サーバとS3等のオブジェクトストレージとのファイルの送受信
    ※3 利用を希望する場合は「長期継続割引購入申請書」を提出し、デジタル庁において確認を行い合理的な理由と判断された場合は利用を許可する。申請等の詳細については、GCASアカウントを取得の上、GCASガイド(メンバー専用ページ)で公開されているドキュメントを参照すること。

※4 行政機関向けに特化した業務パッケージの稼働が中心となる業務システムにおいては、業務パッケージがSaaSとして提供されるまでの間、パッケージ稼働環境としてのAWSであればEC2の利用を許容する。
ただし、データベースについてはマネージドサービス化されることが条件となる。

3.3 発見的統制の設定内容

  • セキュリティ事故や設定誤りによる不意の高額請求を早期発見し対応するための設定を実施する。
  • 発見的統制はアラート通知が出るのみで、クラウドサービスの利用の制限とはならない。
  • コストアラートの金額はガバメントクラウド利用組織で調整すること。
  • 詳細な設定内容は実際のテンプレート/IaCファイル内容を確認すること。

<主な設定内容>

  • rootユーザー保護違反の発見
  • IAMユーザー保護の確認
  • S3バケット保護の確認
  • Secret失効やローテート、漏洩防止の確認
  • セキュリティ監視の確認
  • ログの確認
  • 鍵保護の確認
  • 暗号化の確認
  • TLSの確認
  • 外部公開設定の発見
  • 環境の自動棚卸し機能による外部接続の検知
  • 攻撃対策有効化の確認
  • 監視設定の確認
  • 可用性構成の確認
  • バックアップの確認
  • OS構成の確認
  • サービス構成の確認
  • 指定リソース利用の確認
  • タグの確認
  • 無駄の検出
  • 1日あたり$100の請求金額を検出
  • Amazon GuardDutyのMalware Protection機能の有効化※
    ※利用の際は、保護の対象とするEC2インスタンスに以下の内容のタグを設定する必要がある。
    キー,値

3.4 発見的統制によるアラートの運用

  • ガバメントクラウド利用組織が発見的統制の仕組みによるアラートの確認/修正対応に責任を持つ。
  • セキュリティ関連で違反があった場合に、メールと通知システムでアラートを確認し対応する。
  • とくにサービスイン前後はアラートが多数出ることが想定されるため、アラート内容のレビューの体制やプロセスを計画すること。
  • 通常運用中もアラート内容を恒常的に確認レビューし、優先順位を付けて対応していく。

ガバメントクラウド利用組織の要請に基づくレビューとサポートの運用フロー図です。左側のデジタル庁内では、ヘルプデスクチームがヘルプデスクツールを用いて問い合わせ対応を行います。中央のAWS Cloud環境には、AWS Security Hub、AWS Config、Amazon GuardDuty、AWS CloudTrailの各セキュリティ・ガバナンスサービスと、環境の自動棚卸し機能が含まれています。これらの環境からの情報は、通知システムを通じた随時確認、またはメールによる随時送信のいずれかの方法で、右側のガバメントクラウド利用組織に提供されます。利用組織側で解決できない問題が発生した際は、ヘルプデスクを通じてデジタル庁へ問い合わせや確認依頼を行う流れになっています。また、デジタル庁は利用組織の要請に応じてAWS Cloud環境のレビューを実施します。


図07: 発見的統制によるアラートの運用

3.5 発見的統制によるリソースの修復(是正的統制)

  • 現在は実装されておらず、将来的に実装予定。
  • 予防的統制を実施できない(実施すると利用組織側の利便性が著しく悪くなる)が、一度設定されるだけで認証情報漏洩や攻撃の標的にされるリスクの高い設定は自動削除を実施する。

修復イメージと題されたAWSの自動修復フロー図です。ユーザ側操作によりAWS IAMでAccess Keyが作成されると、Access Key作成イベントがAWS Configへ通知されます。AWS Configでイベント評価が行われた後、AWS Systems Managerに連携されます。不正イベントと判定された場合、AWS Systems ManagerからAWS Lambdaが呼び出され、対象のIAM Access Keyを削除することでセキュリティリスクを排除する仕組みを説明しています。


図08: 発見的統制によるリソースの修復(是正的統制)

3.6 必須適用テンプレートの提供方法

  • ガバメントクラウド利用組織にて適用する必須適用テンプレートをデジタル庁より提供する。
  • 詳細な設定内容は実際のテンプレート内容を確認すること。

<提供方法>

  • 以下の2通りで提供する。

  • CDKテンプレートによる提供

    • テンプレートはGCASアカウントを取得の上、GCASガイド(メンバー専用ページ)で公開されているガバメントクラウドテンプレート(メンバー専用ページ→ガバメントクラウドテンプレート/ポリシー→ガバメントクラウドテンプレート/ポリシーのダウンロードページ)でダウンロードできる。
    • TypeScriptで記述されたAWS CDKv2にて提供する。
    • 利用システムに合わせてテンプレートのカスタマイズができる。
  • AWS Service Catalogによる提供

    • AWS Service Catalog上からテンプレートを利用できる。

4 モダンアプリケーション

4.1 テンプレート/IaCファイルの全体像

  • ガバメントクラウドが提供するテンプレート/IaCファイルは自動適用テンプレート、必須適用テンプレート、サンプルIaCファイル、個別適用IaCファイルの4種類あり、このうちサンプルIaCファイルはモダンアプリケーション化の推進に有効なIaCファイルである。

ガバメントクラウド利用組織環境のテンプレート全体像を示すアーキテクチャ図です。図の上部にはテンプレートの全体像というタイトルがあり、赤い枠線で本章の説明範囲が囲まれています。インターネット接続からEdge locationを経由し、Route 53によるDNS、CloudFrontによるCDN、WAFv2によるWebアプリ保護が提供されます。中心のVPC内には、ELB、EC2、ASG、Aurora Postgresで構成されるWebアプリサンプルと、API Gateway、Lambda、DynamoDBで構成されるWebAPIサンプルが配置されています。VPCの右側にはGSS閉域接続があり、外部ストレージとしてS3が接続され、VPC Flow Logが記録されます。下部には監視・管理リソースとしてCloudWatch、Systems Manager、KMSが配置されています。さらに図の最下段には、Cloud Trail、Config、Trusted Advisor、IAM、Budgets、SNSといったアカウント管理やセキュリティ、コスト管理に関連する自動適用テンプレートの構成要素が示されています。左側にはサンプルIaCファイル、必須適用テンプレート、自動適用テンプレートのラベルが配置されています。


図09: テンプレート/IaCファイルの全体像

4.2 サンプルIaCファイルの提供方法

  • ガバメントクラウド利用組織にて任意で適用するサンプルIaCファイルをデジタル庁より提供する。
  • サンプルIaCファイルの種類や構成、詳細な設定内容は実際のIaCファイルの内容を確認すること。

<提供方法>

  • 利用システムはGCASアカウントを取得の上、GCASガイド(メンバー専用ページ)で公開されているガバメントクラウドテンプレート(メンバー専用ページ→ガバメントクラウドテンプレート/ポリシー→ガバメントクラウドテンプレート/ポリシーのダウンロードページ)でダウンロードできる。
  • TypeScriptで記述されたAWS CDKv2にて提供する。
  • ガバメントクラウド利用組織にて自由にカスタムすることが可能であるが、サンプルIaCファイルにより構築されたサービスはガバメントクラウド利用組織の責務となるため、サンプルIaCファイルの内容をよく理解した上で利用すること。

4.3 Claudeの利用について

ガバメントクラウドでは、マーケットプレイス利用の制約により、サードパーティーが提供するAIモデルの利用も原則不可となるが、デジタル庁とAWSの契約に基づき、ガバメントクラウドのAWSではAnthropicが提供するClaude(Amazon Bedrock経由でアクセス・利用されるClaudeの基盤モデル)が利用可能である。

可能な限り最新のモデルは順次利用可能としていくが、利用可能モデルに関する最新の情報については、実際の環境から確認いただくか、GCASヘルプデスクのFAQを確認いただきたい。なお、国内リージョンで完結可能なモデルに限定されるため、留意されたい。

また、例えば社会的な影響が懸念される等の場合には、事例によっては利用が禁止されることがある。利用禁止事例の詳細に関しては、メンバー限定ページを参照いただきたい。

5 ネットワーク

ガバメントクラウドとして提供する複数のCSPと利用組織間のネットワークは国の行政機関と地方公共団体で繋ぎ方が異なる。
国の行政機関においてはガバメントクラウドでの一般ユーザー・各府省拠点からの接続やシステム間連携の接続はセキュリティが十分担保された上でインターネット経由での接続を基本とする。ただし、各府省拠点からの接続について、インターネット経由での接続を許容できない場合は、デジタル庁ガバメントソリューションサービス(以下GSSネットワークとする)経由での接続や専用線を用いた閉域網での接続を検討すること。利用組織共通で利用するサービスがガバメントクラウドで稼働する場合の拠点やデータセンタからの接続や、共通サービスへのガバメントクラウド上のシステムからの利用で使用する接続も提供される。
地方公共団体においては「地方公共団体における情報セキュリティポリシーに関するガイドライン」に従い接続すること。詳細については、「地方公共団体情報システムガバメントクラウド移行に係る手順書」を参照すること。
接続に関する技術的な詳細や接続方法の選択フロー、システム間連携については、GCASアカウントを取得の上、GCASガイド(メンバー専用ページ)で公開されているドキュメントを参照すること。

6 可視化

6.1 データの可視化

  • ガバメントクラウド利用組織は、利用するCSPが提供するシステムメトリクス監視機能や、データ可視化機能を使って、自システム状況の可視化をし、システムの稼働状況や目的達成度合いを恒常的に把握する。
  • デジタル庁からこうしたデータ可視化に役立つダッシュボードのサンプルIaCファイルを利用組織に提供する。
  • 現在提供準備中であり、仕様が確定次第本書を更新予定である。

可視化するデータのイメージというタイトルのもと、AWS CloudWatchを中心とした複数の監視ダッシュボードが並んでいます。左側にはビジネスメトリクスとして入力フォーム表示数や登録比率の円グラフ、申し込み数などの推移が表示され、その下にはALBのRequestCountやResponseTime、エラー数などの主要システムメトリクスが並んでいます。中央上部にはアプリケーションログとシステムログの表形式データがあり、その下にはAS CPUUtilization、AS Capacity、DB Connections、DB Free Storage、DB CPU Utilization、DB ReadLatencyなどのシステムメトリクスが詳細な折れ線グラフで表示されています。右側上部にはコストセクションがあり、Amazon Relational Database Service、Amazon Virtual Private Cloud、AmazonCloudWatch、Amazon EC2などのサービス別コストが横棒グラフで示されています。右側中央にはセキュリティセクションとしてTrusted Advisor Checksのステータス表があり、最下部にはAWS X-Rayによるサービスマップとトレース詳細が表示され、クライアント、アプリケーション、データベース間のリクエストの流れとレスポンス時間が可視化されています。


図10: データの可視化

7 サポート

7.1 サポートの全体像

  • クラウドサービスに関する問合せはガバメントクラウド利用組織がクラウドサービス事業者に直接問い合わせる。
  • ガバメントクラウドに関する問い合わせはオンボーディングツールを通じてデジタル庁に問い合わせる。
  • 事業者が直接ヘルプデスクに問合せすることも可能だが、適切なプロジェクトの観点から、事業者から直接問合せする際は、PJMOを必ず同報すること。

サポートの全体像を示す構成図です。図はデジタル庁、ガバメントクラウド利用組織、クラウドサービス事業者の3つの主要な組織で構成されています。デジタル庁内にはヘルプデスクがあり、ガバメントクラウド利用組織内のPJMOおよびシステム開発事業者、システム運用事業者との間で、ガバメントクラウドに係る問い合わせの双方向のやり取りが行われます。また、PJMOとシステム開発・運用事業者の間でもガバメントクラウドに係る問い合わせが行われます。図の下部にあるクラウドサービス事業者の枠内にはサポートがあり、ガバメントクラウド利用組織のシステム開発事業者およびシステム運用事業者との間で、クラウドサービスに係る問い合わせが行われます。赤い太枠は本章の説明範囲を示しており、クラウドサービス事業者のサポートと、ガバメントクラウド利用組織のシステム開発事業者およびシステム運用事業者の間の連携部分が強調されています。


図11: サポートの全体像

7.2 利用できるAWSサポート

  • サポート契約

    • デジタル庁がまとめてAWSサポートの契約を執り行い、ガバメントクラウド利用組織は個別にAWSサポートを調達する必要はない
    • サポートプランはエンタープライズサポートである
      ただし、TAMの利用は別途調整が必要となる
    • デジタル庁はAWS Shield Advancedを利用するため、ガバメントクラウド利用組織はAWS Shield Advanced利用者限定のSRTサポートを受けることができる
  • サポート利用方法

    • AWS管理コンソールからAWS Support Centerを直接利用でき、チケットを起票してAWSサポート、SRTサポートからの技術サポートを受けられる

    • サポートチケット作成時の緊急度として、本番環境が停止する事態の場合は”非常事態”を指定可能

    • サポートチケット作成時には下リンク先のガイドラインを参照

  • サポート専任要員(追加契約)

    • サービスイン時の特別対応などが必要な場合は、別契約と追加料金でサポート専任要員をつけることができる
    • 1年以上複数年にわたってサービスインしていく際や、巨大システムでCSPから手厚いサポートが必要な場合は、デジタル庁と相談の上、サポート専任要員を用意できる

8 初期設定

8.1 初期設定の概要

  • ガバメントクラウド利用組織はAWSアカウント払い出し後の初期設定として以下を行う必要がある。
    ① AWSアカウント発行の確認 ※政府システムと地方共同利用方式、R7年度以降に払出した単独利用方式は対応不要
    ② rootユーザーのサインアップ/初期設定 ※政府システムと地方共同利用方式、R7年度以降に払出した単独利用方式は対応不要
    ③ Adminユーザーのサインアップ/初期設定 ※GCASシングルサインオン機能利用開始に伴い対応不要
    ④ 連絡先情報を登録

デジタル庁によるAWSアカウントの発行と、各担当者のアクセス権限および運用フローを示す構成図です。図の上部にはデジタル庁の管理領域があり、AWS SSO、Adminユーザ、アカウント発行のプロセスが配置されています。アカウント発行から下部のAWSアカウント領域へ太い矢印が伸びています。左側には3つのユーザーロールが定義されています。赤色のシステム所有者は、AWSアカウント内のパスワードリセット画面に関連付けられたrootユーザにアクセスします。青色のシステム運用責任者および運用管理者は、デジタル庁側のAWS SSOにあるAdminユーザ、必須適用テンプレート、およびAWSアカウント内の管理コンソールにアクセスします。必須適用テンプレートはデプロイプロセスを経て、統制されたVPC内のEC2インスタンスなどのリソースに適用されます。また、管理コンソールからは連絡先情報の管理が行われます。緑色のインフラ運用担当は、AWSアカウント内の管理コンソールにある運用IAMユーザにアクセスします。デジタル庁の管理領域からは、外部へメールが送信されるフローも示されています。


図12: 初期設定の概要

8.2 AWSアカウント発行の確認

※政府システムと地方共同利用方式、R7年度以降に払出した単独利用方式は対応不要

  • AWSアカウントの発行が完了すると以下のようなメールが届くので、届いたことを確認する。

送信元がno-reply-aws@amazon.comのAmazon Web Servicesからのウェルカムメール。タイトルはアマゾン ウェブ サービスへようこそ。本文には、今後12か月間は無料利用枠の制限内で主要なAWSコンピューティング、ストレージ、データベース、およびアプリケーションサービスに無料でアクセスできることが記載されている。AWSを開始するための3つの方法として、チュートリアルと構築ガイドで学習する、AWSコンソールを使用して構築を始める、簡単にクラウドサーバーを開始、という項目がそれぞれのアイコンと今すぐ始めるというリンクと共に紹介されている。


図13: アカウント発効後のメール確認-1

アマゾン ウェブ サービス(AWS)からのウェルカムメール。件名は「アマゾン ウェブ サービスへようこそ」で、送信元は no-reply-aws@amazon.com、日時は8月11日(水)11:42と表示されています。メールの冒頭にはAWSのロゴがあり、本文ではアカウント作成への謝辞とともに、今後12か月間は無料利用枠の範囲内でAWSのコンピューティング、ストレージ、データベース、およびアプリケーションを無料で利用できることが案内されています。画面中央には「開始方法はこちら」と書かれたボタンが配置され、末尾にはアマゾン ウェブ サービスチームからの挨拶と、Facebook、LinkedIn、Twitter、YouTubeのアイコンが並んでいます。


図14: アカウント発効後のメール確認-2

8.3 ルートユーザーのサインアップ/初期設定

※政府システムと地方共同利用方式、R7年度以降に払出した単独利用方式は対応不要

  • 初回環境払い出し時にアカウントのルートユーザー設定が必要である。

  • 払い出されたAWSアカウントの所有者もしくは所有者から依頼された者が作業すること。

  • 具体的手順は以降で説明する。

  • 下の理由でこの作業が必要となる。

    • ガバメントクラウドの運用ルールとして、ルートユーザーにはMFA(多要素認証)での保護を必須としており、その設定が必要なため。
    • ガバメントクラウドで使用するControl TowerによるAWSアカウントの払い出しでは、初回にパスワードリセットが必要なため。
    • 環境が払い出されたら、後述する手順に従ってパスワードを一度リセットして再設定し、その後MFAの設定を行う必要があるため。

  • 以下のURLからAWSコンソールにアクセスし、rootユーザーに設定したメールアドレスを入力して「次へ」を押下する。
    https://console.aws.amazon.com/Opens in new tab

AWSのサインイン画面。左側にはサインインのオプションとして、ルートユーザーとIAMユーザーの選択肢があり、現在はルートユーザーが選択されています。赤い枠線で強調されたルートユーザーのEメールアドレス入力欄には、例としてusername@example.comと記載されています。その下には青色の次へボタンが配置されています。画面右側にはAmazon Lightsailのプロモーションバナーが表示されており、LightsailはAWSを使い始める最も簡単な方法であるという英文メッセージと、親指を立てたロボットのイラスト、Learn moreボタンが含まれています。


図15: AWSコンソール画面

  • CAPTCHA(画像表示された文字の入力確認)でのチェックなどが出る場合は入力して送信する。

AWSのセキュリティチェック画面。左側にはセキュリティチェックというタイトルと、画像内の文字を入力するよう促す指示、CAPTCHA画像、音声再生ボタン、画像更新ボタン、テキスト入力欄、送信ボタンが配置されています。右側にはAmazon Lightsailの紹介エリアがあり、Amazon LightsailはAWSを使い始める最も簡単な方法であるという英文メッセージ、Learn moreボタン、親指を立てたロボットのイラストが表示されています。画面下部にはコピーライト表記と言語選択メニューがあります。


図16: セキュリティチェック画面

  • 以下の画面で「パスワードをお忘れですか?」を押下する。

AWSのルートユーザーサインイン画面。左側にはサインイン用のフォームがあり、Eメールアドレス、パスワード入力欄、サインインボタンが配置されています。パスワード入力欄の右上にある「パスワードをお忘れですか?」というテキストリンクが赤枠で囲まれています。フォームの下には、別のアカウントにサインインするリンクと、新しいAWSアカウントを作成するリンクが表示されています。画面右側にはAmazon Lightsailの紹介バナーがあり、Amazon LightsailはAWSを使い始める最も簡単な方法であるという説明文と、Learn moreボタン、親指を立てたロボットのイラストが描かれています。画面最下部には言語設定を日本語に切り替えるプルダウンメニューがあります。


図17: サインイン画面

  • CAPTCHAを入力し「Eメールを送信する」を押下する。

Amazon Web Services(AWS)のパスワード回復プロセスの遷移図です。左側の画面はパスワードの回復ダイアログで、Eメールアドレス入力欄、CAPTCHA認証画像、入力フィールド、および赤枠で囲まれたEメールを送信するボタンで構成されています。中央の青い矢印は処理の進行を示し、右側の画面は送信完了後の状態です。完了画面にはパスワードのEメールを送信しましたというメッセージと、Amazon Web Servicesアカウントに関連付けられたメールアドレスに手順を送信した旨の説明、および完了ボタンが表示されています。


図18: パスワードのリセット

  • パスワードリセット用のメールが発行されるため、メール内のURLの手順にしたがってパスワードを再設定する。

アマゾン ウェブ サービス パスワードアシスタントという件名のメール画面。送信元は アマゾン ウェブ サービス password-reset-noreply@aws.amazon.com。内容は AWS アカウントのパスワードリセットリクエストの通知で、パスワードをリセットするためのリンクが含まれている。リクエストに心当たりがない場合の案内や、AWS からパスワードやクレジットカード情報をメールで尋ねることはないというセキュリティ上の注意、AWS サポートセンターへのリンク https://aws.amazon.com/support が記載されている。


図19: パスワードリセット用のメール

AWS アカウントのルートユーザーの仮想 MFA デバイスを有効にする(コンソール)というタイトルの AWS 公式ドキュメントの画面です。AWS Management Console を使用してルートユーザーの仮想 MFA デバイスを有効化する手順が説明されています。本文には、設定前にメールアドレスや電話番号の連絡先情報を確認することや、MFA デバイス紛失時の対応についての言及があります。具体的な手順として、AWS Management Console にサインインし、ナビゲーションバーのアカウント名から My Security Credentials(認証情報)を選択して Multi-Factor Authentication (MFA) セクションを展開する操作が記載されています。右側のサイドメニューには、IAM ユーザーの仮想 MFA デバイスの有効化やデバイスの交換または更新といった関連項目の目次が表示されています。


図20: MFAの有効手順

8.4 連絡先情報を登録

  • 発行時はデジタル庁の連絡先が登録されているため、ガバメントクラウド利用組織の連絡先情報に変更する。  
  • 以下URL(管理コンソールのアカウント設定画面)にアクセスし、連絡先情報を登録する。
    https://console.aws.amazon.com/billing/home?#/accountOpens in new tab
  • 登録箇所は2つあるので注意する。1つ目:連絡先情報。2つ目:代替の連絡先。

連絡先情報

  • MFAデバイス紛失時等の連絡先になるため、必ず変更する。

代替の連絡先

  • AWSからの通知(メール)を受け取る代替の連絡先の登録を推奨する。
  • 請求やセキュリティに関する通知が連絡先に登録されたメールアドレスに送られるが、そのメールアドレスが日常的に使われない共通メールアドレスの場合は気づきにくい。
    そのため、通知に気づくことができる日常使いのメールアドレスを代替の連絡先として登録することを推奨する。

AWSの請求とコスト管理コンソールにおけるアカウント設定画面です。画面上部にはアカウント情報というタイトルと、オレンジ色のアカウントを閉鎖ボタンが配置されています。主な構成要素として、アカウントID、アカウント名、サービスプロバイダー、パスワードを確認できるアカウント設定セクション、氏名、会社名、住所、電話番号、ウェブサイトのURLを管理する連絡先情報セクション、そして請求、オペレーション、セキュリティの各担当者を追加できる代替連絡先セクションの3つがあります。連絡先情報には編集ボタン、代替連絡先の各項目には追加ボタンが備わっています。


図21: 連絡先情報を登録

改訂履歴

改訂年月日改訂箇所改訂内容
2022年9月27日-新規作成
2022年11月1日4.2 ネットワークの全体像(地方公共団体)イメージ図の修正
2022年11月16日1.1 ユーザーの全体像図内記載の修正
2022年11月29日2.1 ガバナンス・セキュリティの全体像
3.1 テンプレートの全体像
図内記載の修正
2022年12月20日
はじめに
2.1 ガバナンス・セキュリティの全体像
3.1 テンプレートの全体像
図内記載の修正
4.1 ネットワークの全体像(国の行政機関)
4.2 ネットワークの全体像(地方公共団体)
タイトルの修正
イメージ図の修正
5.1 データの可視化図タイトルの修正
2023年2月17日全体章番号の修正
1.アカウント章の追加
1.1 ユーザーの全体像記載の修正
4.2 クラウド接続サービスとの接続イメージタイトルの修正
イメージ図の修正
8. 初期設定今後の予定を詳細化
2023年3月27日全体用語の揺らぎを修正
1.1 アカウントの全体像提供環境について記載の拡充
2023年3月27日3.1 ガバナンス・セキュリティの全体像図内記載の修正
AWS Shield Advancedについて記載の拡充
3.2 予防的統制の設定内容リザーブドインスタンスについて記載の拡充
7.2 利用できるAWSサポートSRTサポートについて記載の拡充
2023年4月12日1.1 アカウントの全体像提供環境について記載の修正
2023年7月3日3.6 必須適用テンプレートの提供方法必須適用テンプレートのAWS Service Catalog利用に伴う修正
2023年7月24日2.1 ユーザーの全体像図内記載の修正
7.2 利用できるAWSサポートサポートに関する記載の修正
2023年8月25日8章記載の修正
2023年9月22日-版数の統一
2023年11月2日2.1 ユーザーの全体像図の修正
文言の修正
3.1 ガバナンス・セキュリティの全体像図の修正
AWS Sheild Advancesの料金構成に関する記載の拡充
8.1 初期設定の概要文言の修正
8.5 連絡先情報を登録AWSアカウントの連絡先情報に関する記載の拡充
2023年11月28日はじめにイメージ図の修正
5.1 GSSネットワークとの接続イメージイメージ図の削除
5.2 ガバメントクラウド接続サービスとの接続イメージイメージ図の削除
2024年2月2日2.3 マネージドコンソール利用における機能制限節の追加
 3.3 発見的統制の設定内容Amazon GuardDutyのMalware Protection機能の有効化について記載追加
 3.6 必須適用テンプレートの提供方法記載の修正
 8.6 パスワードリセット後のログイン方法節の追加
2024年3月1日2.1 ユーザーの全体像GCAS SSOを考慮した記述に修正、図の差し替え
 2.2 払い出すユーザーの種類と権限GCAS SSOを考慮した記述に修正
 2.3 地方公共団体における管理コンソール利用制限・制約タイトル変更、実態に合わせた内容に修正
 3.2 予防的統制の設定内容AWS Marketplaceに関する記載追加
 3.6 必須適用テンプレートの提供方法記載の修正
 8.3 ルートユーザーのサインアップ/初期設定ハードウェアトークンについて補足
 8.4 Adminユーザーのサインアップ/初期設定GCAS SSOを考慮した記述に修正
2024年3月29日全体用語の統一
 2.3 地方公共団体における管理コンソール利用制限・制約文章の修正
 3.2 予防的統制の設定内容文章の修正
 8.4 Adminユーザーのサインアップ/初期設定初期設定手順の一部修正
2024年5月10日2.1 ユーザーの全体像文言の修正
8. 初期設定手順更新予定についての文言を削除
2024年6月14日8.5 連絡先情報を登録図の修正
2024年6月21日2.3 地方公共団体における管理コンソール利用制限・制約地方向けアクセス許可セットの提供中断に伴う修正
2024年7月19日2.3 地方公共団体における管理コンソール利用制限・制約ガバメントクラウドテンプレートのダウンロードページについて記載を修正
 3.2 予防的統制の設定内容利用が制限されるサービスについて記載を追加
 3.6 必須適用テンプレートの提供方法ガバメントクラウドテンプレートのダウンロードページについて記載を修正
 4.2 サンプルテンプレートの提供方法ガバメントクラウドテンプレートのダウンロードページについて記載を修正
2024年9月2日3.4 発見的統制によるアラートの運用図の修正
2024年10月1日3.2 予防的統制の設定内容AWS Marketplaceの利用可否について記載内容を修正
8.3 ルートユーザーのサインアップ/初期設定ルートユーザーのMFAを有効化する手順について外部リンク先の修正
2024年10月31日2.3 地方公共団体における管理コンソール利用制限・制約アクセス許可セットについて記載を修正
8.1 初期設定の概要GCAS SSO機能利用開始に伴い必要な初期方法を修正
8.4 Adminユーザーのサインアップ/初期設定GCAS SSO機能利用開始に伴い以前の設定方法を削除
8.6 パスワードリセット後のログイン方法GCAS SSO機能利用開始に伴い以前のログイン方法を削除
2024年11月29日2.2 払い出すユーザーの種類と権限図及びユーザーの権限についての記載内容を修正
2024年12月26日4.1 テンプレートの全体像個別適用テンプレート追加に伴い記載内容を修正
2025年2月14日3.2 予防的統制の設定内容一度の誤操作で高額請求となるサービスを記載
AWS CloudShellの利用に関する記載を修正
文章の修正
2025年2月18日-版数の統一
2025年3月28日はじめにイメージ図の修正
2.3 地方公共団体における管理コンソール利用制限・制約GovCloudLgDataRegidencyアクセス許可セットに関する文言の修正
3.2 予防的統制の設定内容AWS Marketplaceの原則禁止に伴い記載内容を修正
2025年4月30日8.1 初期設定の概要単独利用方式のルートユーザー操作無効化設定に伴い注釈を追加
8.2 AWSアカウント発行の確認単独利用方式のルートユーザー操作無効化設定に伴い注釈を追加
8.3 ルートユーザーのサインアップ/初期設定単独利用方式のルートユーザー操作無効化設定に伴い注釈を追加
2025年7月25日全体テンプレートの名称変更に伴う修正
2025年9月12日8.1 サポートの全体像サポートの全体像の修正
2025年12月10日3.2 予防的統制の設定内容文章の修正
2025年12月17日3.1 ガバナンス・セキュリティの全体像環境の自動棚卸し機能提供に伴い図を修正
2025年12月17日3.3 発見的統制の設定内容環境の自動棚卸し機能提供に伴い主な設定内容を追記
2025年12月17日3.4 発見的統制によるアラートの運用環境の自動棚卸し機能提供に伴い図を修正
2026年2月25日2.1 ユーザーの全体像ルートユーザーに関する記載を修正
2026年4月1日4.3 Claudeの利用について新規項目を追加
2026年5月27日7.1 サポートの全体像図11: サポートの全体像の修正
2026年6月18日4.3 Claudeの利用について地方公共団体・独立行政法人等・公共SaaSに関する記述を削除