地方自治体のためのガバメントクラウド情報サイト

( AWS 環境 )

自治体の皆さま向けにガバメントクラウド(AWS 環境)に関して、Amazon Web Services (AWS) が提供している情報を集約してお届けいたします。

自治体向け AWS よくあるご質問

AWS がこれまで開催してきた自治体様向けのトレーニングやウェビナーの中でいただいた質問と回答を FAQ としてまとめています。
※ガバメントクラウドの費用、手続き等につきましてはデジタル庁にご確認ください。

ガバメントクラウド関連

Q1. ガバメントクラウドとは何ですか?

自治体向けオンライントレーニングの「2:ガバメントクラウド 今、考えなければいけないこと」でご紹介しておりますので、是非ご視聴ください。トレーニングのまとめとして「ガバメントクラウドは、CSP と契約したデジタル庁が、自治体(経由してベンダー)へ払い出すセキュリティガードレールを設定した領域のこと」と表現しています。
詳細はデジタル庁の資料をご参照ください。

Q2. ガバメントクラウドである AWS へ自治体のデータを預けるとアメリカなど海外に勝手に移動されてしまいますか?

いいえ、AWS ではお客様のデータを AWS が勝手に移動させることはいたしません。また、ガバメントクラウドでは、自治体のデータ保管先として利用可能なリージョン(地域)を東京と大阪に限定した設定がなされております。

Q3. ガバメントクラウド(AWS 環境)を共同利用方式で利用しますが、契約先がどこで、AWS アカウント ID はどのように払い出されますか?

自治体からデジタル庁へ申請いただき、領域が払い出されます。本来であれば自治体へ払い出されるべき領域ですが、共同利用の場合は運用管理補助者(ベンダー)へ直接払い出されます。単独利用の場合は同様に自治体からデジタル庁へ申請しますが、領域の払い出し先は自治体になります。

Q4. ガバメントクラウド接続サービスと LGWAN 統合について教えてください。

 J-LIS のご説明では、LGWAN 回線を用いたガバメントクラウド接続が検討されており、次期更改にて対応する、と資料に記載されています。

Q5. マルチベンダー体制の中でクラウド環境への接続回線を用意する場合、どのような方法が考えられますか。

自治体向けオンライントレーニングの「11:ガバメントクラウド利用におけるネットワーク構成例と作業内容の整理」でご紹介しておりますので、是非ご視聴ください。また、ガバメントクラウド利用タスクリスト「運用補助事業者」「ASP」など、それぞれの事業者においてどのような作業が必要かを洗い出す作業で活用いただける作業内容一覧(タスクリスト)も参考になると思いますので、こちらからご確認ください。

Q6. AWS Organizations はデジタル庁が使用するため自治体側では利用できないという話を聞きました。Organizations は自治体でも利用できるのでしょうか?

ガバメントクラウドの個別利用アカウントは Organizations のメンバーアカウントとなるため、自治体が Organizations の管理を実施いただくことはできません。ガバメントクラウド環境はデジタル庁が管理する親アカウントで設定された制限などが反映されており、最低限のガバナンスが取れた状態でご利用いただくことが可能です。

Q7. ガバメントクラウドのテンプレートも BLEA のように公開されているのでしょうか?

公開されておりませんので、デジタル庁にお問い合わせいただく必要がございます。

Q8. ガバメントクラウド利用時は、Infrastructure as Code (IaC) や AWS Cloud Development Kit (CDK)  の利用は必須になりますか?

現時点では、IaC や CDK の利用は推奨ではあるが、必須ではないと認識しております。ただ、ガバメントクラウドの予防的統制を設定するテンプレートに関しては適用が必須となっており、テンプレート適用の際には CDK の利用が必須となります。デジタル庁から配布されるテンプレートは BLEA を元に開発されています。BLEA についてはこちらのドキュメントをご参照ください。

Q9. ネットワークアカウント単独利用方式で利用するAWSアカウントIDも自治体からデジタル庁に申請する必要がありますか?

はい。ネットワークアカウント単独利用方式の環境もデジタル庁が自治体利用に必要な機能を事前に設定してから AWS アカウント ID を払い出すため、基本的には自治体からデジタル庁に申請して ID を払い出していただく流れとなる認識です。

設計・構築

Q1. AWS ではプライベートクラウド(契約自治体専用の領域)のような考え方はありますか?

AWS では、Amazon Virtual Private Cloud (Amazon VPC) で定義した仮想ネットワーク内で AWS リソースを起動できるようになり、その仮想ネットワーク空間は契約自治体様の論理的な専用領域となります。
また、ネットワーク的には、マイナンバー利用事務系や LGWAN 接続系のセグメントと AWS を専用線を活用して閉域環境として接続いただくケースが多いです。このような構成を組むことで、国や自治体のプライベートクラウド空間を調達するものと仕様上明確に整理する調達が行われた結果、AWS を採択いただいた例も多数ございます。


Q2. IaCの適用範囲は、AWSサービス全体ですか。マネージドサービスのみですか?

AWS が提供している IaC である CloudFormation が対応している AWS サービスはこちらをご確認ください。システム構築に必要となるほとんどの AWS サービスに対応しております。
なお、CDK も CloudFormation と同様のサービスに対応しています。

運用・保守

Q1. 鍵管理の方法について、誤って削除してしまわないか等の運用面の不安があります。方法等はどこかで提供されているのでしょうか。

AWS Key Management Service (KMS) では、キー削除の後でも 7-30 日間の待機期間が設けられます。詳細はこちらをご確認ください。
また、キーを利用する際はエイリアスに暗号鍵を紐づけるようにすると、容易に利用する暗号鍵の変更ができます。詳細はこちらをご確認ください。


Q2. 他のクラウドサービスから AWS へデータを移行する際にツールなどの準備はありますでしょうか?

AWS Database Migration Service (AWS DMS) というツールを用いてデータの移行を行うことができます。詳細はこちらをご確認ください

通信・回線

Q1. VPN ではなく専用線接続をするセキュリティ上の優位性について、もう少し詳しく教えてください。

コスト面でも手軽に利用できるのは Site-to-Site VPN ですが、帯域が安定しないというデメリットがあります。一方で専用線は帯域が安定しますが、コストが高くなるというデメリットがありますので、要件に応じた選択が必要になります。拠点と AWS 接続の冗長化のため、Site-to-Site VPNと専用線を併用する事例もございます。こちらの「オンプレミスと VPC 間の接続方法」の資料も併せてご参照ください。
セキュリティ面ではVPNは暗号化されており、中のデータは十分に安全ですが、物理的にはインターネット経由でデータをやり取りしております。自治体のシステムによっては専用線の利用が要件となっているケースもありますので、その点は留意が必要です。


Q2. 専用線接続をする場合に必要な準備期間はどのくらいを見込んでいれば良いでしょうか?

専用線を利用してAWSにアクセスいただく場合は、オンプレミスの拠点(庁舎、データセンター等)から AWS Direct Connect ロケーション(Equinix/アット東京中央データセンター)までを回線業者の回線サービスを利用いただき、 Direct Connect ロケーションから AWS までは Direct Connect をご利用いただきます。
必要な準備期間につきましては、利用される回線業者や Direct Connect パートナーによって異なりますので、各パートナーにお問合せください。

法令

Q1. CLOUD 法により米国の裁判所から開示命令が出された場合は情報開示されますか?

CLOUD 法は、犯罪に関連する情報、データ(証拠)にアクセスするための司法手続きを明確にした法律で、CLOUD 法は米国籍の企業だけでなく、日本の企業も CLOUD 法の適用を受け得るものです。米国当局による無制限のアクセスを可能にするものではなく、米国当局が開示請求をするには米国の裁判所が発布する令状が必要で、具体性のない「探り出し」は認められません。
AWS カスタマーアグリーメントの準拠法が日本法だからといって CLOUD 法の適用は避けられませんが、米国当局から開示請求を受けても、適用範囲が広すぎたり、不適切であると考えられる場合には、AWS は異議を申し立てます。それでも開示が求められるなら、AWS は開示に先立ち可能な限りお客様に通知します。
暗号化されたコンテンツは、米国当局に提供されても解読キーがなければ解読できないので、お客様側でコンテンツを確実に暗号化することも重要です。 CLOUD 法についての QA のページはこちらをご参照ください。


Q2. 最新の総務省のガイドライン(R03.3)において、外部サービスの利用に関する記載が拡充されました。
それらを AWS がどう準拠しているかわかる資料があればご提示いただきたいです。


令和 3 年 7 月の「政府機関等の情報セキュリティ対策のための統一基準群」の改定及び地方公共団体におけるデジタル化の動向を踏まえ、「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」において改定案が検討され、令和 4 年 3 月に改訂版ガイドラインが策定されました。外部サービス利用については、今後のクラウドサービスの活用を見据えて、第三者認証制度や監査報告書をクラウドサービス選定の指標・基準等として、積極的に活用するよう記載を見直したものと承知しています。
同ガイドラインは、「選定条件となる認証には、ISO/IEC 27017 によるクラウドサービス分野における ISMS 認証の国際規格がある。また、ISMAP の管理基準を満たすことの確認や ISMAP クラウドサービスリスト等のほか、日本セキュリティ監査協会のクラウド情報セキュリティ監査や外部サービス提供者等のセキュリティに係る内部統制の保証報告書である SOC 報告書(Service Organization Control Report)を活用することを推奨する。」としているところ、AWS はこれらを含めセキュリティとコンプライアンスを確保するために、コントロールを実装し自動システムを構築して、サードパーティーの監査を実施しております。その結果、AWS は世界の最も規制された組織から常時信頼を受けています。
詳細については以下からご確認いただけます。

ISO/IEC 27017
ISMAP
SOC

コスト

Q1. 価格改定は、だいたいどのくらいの間隔で行われるものでしょうか?

こちらは非公開となっております。こちらの AWS 最新情報フィードに最新情報が掲載されております。
順次価格改定が行われると反映されますので、ご確認いただければ幸いです。


Q2. コストがドルベースなので為替状況によって日本円で支払うコストも変化しますか?

AWS のサービスは US ドルがベースとなりますので、円安の際には費用が想定より上がってしまいます。しかし、費用の大きな部分を占める Amazon Elastic Compute Cloud (Amazon EC2, 仮想サーバ)は、Reserved InstanceSavings Plan といった 1 年あるいは 3 年の固定的な料金プランを適用頂きますと、開始時点での価格(為替)が固定されますので、為替による変動を多少おさえる事は可能かと存じます。
また、円安については、オンプレミス環境でも同様で、電力料金高騰、半導体不足、ハードソフトの高騰、などの影響を受けています。AWS側で円安の影響を低減する方法として下記3点がございますので、ご検討のシステムにおいてどのような対策がとれるか、ご相談にのらせていただければ幸いです。
1)買い方の工夫(Reserved Instance や Savings Plan を利用する)
2)作り方の工夫(コンテナ、サーバレス、マネージド型サービスの活用など)
3)使い方の工夫(自動化、効率的なセキュリティ対策など)

Q3. Amazon Relational Database Service (Amazon RDS) のサービス料金に含まれるOracle等のライセンス費は、オンプレミスで用意する場合と同等でしょうか?

同等ではございません。Amazon RDS に含まれる DB ライセンスについては、DB 会社と AWS の会社対会社の契約に基づいております。バンドル版の RDS をご利用頂く際は、DB ライセンス費用が含まれておりますので DB ライセンス費用を意識頂く事なくご利用が可能です(ライセンス費の内訳は公表しておりません)。

ご相談・お問い合わせ

皆様が抱えていらっしゃるお困りごとの多くをクラウドはサポートできると、私たちは信じています。

クラウドで何がしたいか、具体的に定まっていなくても結構です。
公共機関の事情をよく把握したAWS の担当者が、クラウドでできること~AWS の費用面、技術面など専門的な話まで、
トータルにご相談を承ります。