続・ガバメントクラウドを公開情報から読み解く(AWS編)
はじめに
前回のnote「ガバメントクラウドを公開情報から読み解く」ですが、お察しのとおり見事に何も読み解けていません。タイトル詐欺で本当にごめんなさい。
しかしながらAWSに絞ってみると、AWS Summit等の資料などからもう少しだけ読み取れる部分がありますので、今回はその内容をまとめていきます。
ほぼ個人的なメモ&リンク集ですのでヤマやオチはありません。ご容赦ください。
おことわり
私はお仕事でもガバクラを扱うことがありますが、この記事の内容は全て公開情報(かつ、なるべく無料のもの)に基づくものです。業務上知り得た秘密等は一切含みません。また、所見や見解は全て個人のものです。
この記事の執筆時点で公開されている情報をまとめます。また、RFIやRFPなどの入札関係資料は原則扱いません。
やや古い公開情報も参照しているため、最新のガバメントクラウドの実態とは異なる可能性があります。ご了承ください。
前回のおさらい:ガバメントクラウドの概要
前回のnoteでは、ガバメントクラウドの概要を公開情報から次のように読み取りました。
政府と自治体の共通クラウド利用環境である。
クラウドのメリットを享受できるように、マネージドサービスやIaCなどのクラウド技術の積極活用を方針としている。
具体的には民間のクラウドサービスをベースとしつつ、IaCテンプレート、ガバナンスルール、リファレンス構成、ガードレール型のガバナンス等によるガバナンスを提供している。
本題:AWSにおけるガバメントクラウドの実装を探る
AWS Summitでは2022年、2023年にデジタル庁によるガバメントクラウドのセッションが行われており、それらの講演資料からAWSにおけるガバメントクラウドの実装を少しだけ垣間見ることができます。
なお、セッション動画と資料は以下でアーカイブ公開されており、登録不要でどなたでもアクセス可能です。AWSさん本当にありがとうございます。
・AWS Summit Online 2022 - 動画/資料アーカイブ | AWS (amazon.com)
・AWS Summit 2023 セッション - AWS Summit Tokyo | AWS (amazon.com)
ガバナンスの全体像
2023年のセッション「テクノロジーがけん引するイノベーション:AWS の深化と進化」(SP-02)におけるデジタル庁の講演資料内で、ガバクラのガバナンスを実現するためのAWSサービス全体像を確認することができます。
当然これが全てではないと思いますが、描かれているアイコンを読み取ってみると、ガバクラの実装をざっくり想像することができます。(セッション内でも一部説明されています。)
ガバメントクラウド管理に対するセキュリティ
アカウント管理:Control Tower、Organizations
権限管理:IAM、IAM Identity Center
ダッシュボード:CloudWatch、Athena、Cost Explorer、Trusted Advisor
利用システムに対するセキュリティ
予防的統制/発見的統制:CloudTrail、Config、Security Hub、GuardDuty
テンプレート:CloudFormation、CDK、CodePipeline、CodeBuild、CodeCommit
ダッシュボード:CloudWatch、Athena、Cost Explorer、Trusted Advisor
そして、後述する2022年の「ガバメントクラウドで考える技術的統制と効率性〜AWSでの実現策〜」(CUS-50)、2023年の「自治体がガバメントクラウド利用に向けておさえておきたい 10 のこと」(AWS-51)では、もう少しだけ具体的な実装内容を確認することができます。
マルチアカウント管理とガードレール
2023年の「自治体がガバメントクラウド利用に向けておさえておきたい 10 のこと」(AWS-51)の資料などから、ガバメントクラウドではControl Towerによって利用システム側にアカウントを払い出しており、OrganizationsのSCPによる予防的統制、Configによる発見的統制、CloudTrailによる監査ログの自動集約などのガバナンスを一元的に適用している様子がわかります。
これはAWSのベストプラクティスとしてよく知られた構成であり、AWS認定資格の教本などでもよく出てくる定番の構成です。
IaCテンプレート活用
ガバメントクラウドではIaCの活用が繰り返し叫ばれています。IaCは、開発・保守効率と信頼性の向上、それによるコスト削減、強制適用によるガバナンス適用など、多くの側面を持つ構成要素です。
2022年の「ガバメントクラウドで考える技術的統制と効率性〜AWSでの実現策〜」(CUS-50)では、3種類のIaCテンプレートをControl TowerやCDKにより個別システムに適用していることが説明されています。
2023年のスペシャルセッションでの説明によると、300項目近い発見的統制をIaCテンプレートに仕込んでいるそうです。
また、このうちサンプルテンプレートの一部はAWSのブログでも紹介されており、その構成を伺い知ることができます。
ガバメントクラウド関連ドキュメント
ガバメントクラウドには、上記のようなガバナンス実装を円滑に運用するために、当然ながら各種のルールやリファレンス等を定めたドキュメント群が整備されているはずです。
これは自治体向けのセッションですが、2023年の「地方自治体の基幹業務システムの統一・標準化 〜 ガバメントクラウド活用に向けた直近の取組」(CUS-15)では、それらの文書の一覧を確認することができます。
(中央省庁向けの文書一覧は、公開情報からは確認できませんでした。)
その他の参考情報
AWSでは、特にガバメントクラウドを利用する地方公共団体向けに様々なトレーニングやセミナー、コンテンツを提供されています。
私が気づいた限りですが、参考となりそうなページをぶら下げておきます。
自治体のためのAWS | AWS (amazon.com)
:以下のコンテンツや事例情報などがまとまったポータル的なページ
おわりに
AWSさんはアーカイブが充実していて、過去のセミナー資料から結構拾える情報がありますね!
また個人的にまとめたい公開情報が思いついたら続くかもしれません。
最後までお読みいただき、ありがとうございました。
この記事が気に入ったらサポートをしてみませんか?