はじめに

• 本書の目的
  本書はガバメントクラウド（AWS）の利用を検討または利用開始する上で必要となる技術的な情報を記すことで、具体的な利用検討や利用開始ができるようになることを目的としている。
• 本書の位置づけ
  ガバメントクラウド概要解説の子文書となり、ガバメントクラウド概要解説の内容を技術的な観点で具体化した文書である。

図01: 本書の位置づけ

• 本書の想定読者
  ガバメントクラウド（AWS）の利用を検討または利用開始しているシステムの開発・運用事業者及びPJMOを読者として想定している。
• 改訂方針
  ガバメントクラウドの仕様変更やクラウドサービスの更改・仕様変更、上位文書の変更があった場合は、定期的に改訂を実施する。

1 アカウント

1.1 アカウントの全体像

• AWSのアカウントはデジタル庁のControl Towerによって管理される。
• 利用組織は本番環境と検証環境のリソース混在防止、課金単位の分離のため、本番用アカウントと検証用アカウントをそれぞれ用意して利用すること。
• ガバメントクラウドでは原則として開発環境は提供しないが、CI/CDを実施する利用システムについてのみ開発環境の提供を行う。その場合、インフラ部分のCI/CDについては、ガバメントクラウドで指定するツールやテンプレート/IaCファイルを用いてCI/CD環境を構成すること。それ以外のCI/CD環境をインフラ部分に選択する場合は、その合理性がガバメントクラウドチームで認められる場合のみとする。アプリケーションのCI/CD環境については、インフラ部分と同じ構成でも、独自の構成でも構わないものとする。

図02: アカウントの全体像

2 ユーザー

2.1 ユーザーの全体像

ガバメントクラウドのAWS環境では、ガバメントクラウド利用組織からの利用申請の情報に基づき、デジタル庁より必要な環境数分のAWSアカウントが払い出される。AWSアカウントはAWS環境におけるリソース管理やコスト管理等の区分になり、AWSアカウント内にシステム環境を構築することになる。AWSアカウントにおいて最も強力な権限を持ち、システムの所有者として位置付けられるルートユーザーはAWSアカウントとともにデジタル庁が作成する。ルートユーザーは各アカウントに一つ作成され、IDとしてメールアドレスが用いられる。

ユーザーアカウントは、GCASアカウントと各CSP環境へのシングルサインオン機能が令和6年度より展開されるため、利用組織で作成する必要はない。ガバメントクラウド管理組織が払い出したGCASアカウントによるAWSアカウントへのアクセスが可能になる。なお、GCASアカウントとの連携ではAWS IAM Identity Centerを用いている。

以下に、国の行政機関および地方公共団体におけるユーザー管理について補足する。

国の行政機関

国の行政機関が利用するAWS環境では、前述のルートユーザーをデジタル庁にて保有し、管理する。各利用組織及びその開発運用委託業者がAWSアカウントへのアクセスに用いるGCASアカウントはガバメントクラウド管理組織にて発行する。

図03: ユーザーの全体像(国の行政機関)

地方公共団体が利用するAWS環境は、単独利用方式と共同利用方式によってユーザーの利用形態が異なる。

• 単独利用方式
  AWSアカウントのルートユーザーはデジタル庁にて作成後、地方公共団体に提供し、以後、地方公共団体が保有して管理する。ルートユーザーは地方公共団体のドメイン名のメールアドレスで作成する。人事異動などを考慮し、メーリングリストで作成することを推奨する。
  各利用組織及びその開発運用委託業者がAWSアカウントへのアクセスに用いるGCASアカウントはデジタル庁にて発行する。
• 共同利用方式
  AWSアカウントのルートユーザーはデジタル庁にて作成後、保有して管理する。ルートユーザーはデジタル庁のドメイン名のメールアドレスで作成する。
  各利用組織及びその開発運用委託業者がAWSアカウントへのアクセスに用いるGCASアカウントはガバメントクラウド管理組織にて発行する。

図04: ユーザーの全体像(地方公共団体)

2.2 払い出すユーザーの種類と権限

ガバメントクラウドで提供するAWS環境では、利用者はGCASアカウントと同期されたAWS IAM Identity Center（以下IdC）のユーザーアカウントを利用して各AWSアカウントへの認証およびアクセスが制御されることになる。IdCはデジタル庁が管理するAWSアカウント内に構成されている。

GCASガイド（メンバー専用ページ）で公開されているドキュメント「GCAS SSO移行に係る事前作業マニュアル」（国の行政機関向け）または「GCASアカウント取得後の諸手続きについて」（地方公共団体向け）にて案内されている「CSPユーザー登録」を行うことでGCASアカウントとIdCが紐づけれられ、各AWSアカウントへのアクセスが可能になる。
CSPユーザー登録の際、各ユーザーに対し「管理者」又は「メンバー」のロールを選択できる。「管理者」ロールを選択すれば図5のAdminユーザー、「メンバー」ロールを選択すれば図5の運用ユーザーの権限が付与される。
なお、管理者権限を持つユーザーが侵害される可能性を減らすため、本番環境のAdminユーザーの人数は3名までを推奨する。

管理者以外のユーザーはIAMロールへのスイッチロール以外、特別な権限を付与していないため、管理者ユーザーが必要なIAMロールを作成し、特定のIAMロールへスイッチロール可能な信頼ポリシーを設定すること。

図05: 払い出すユーザーの種類と権限

2.3 地方公共団体における管理コンソール利用制限・制約

地方公共団体において個人番号利用事務系に係るシステム環境では、インターネット接続系へのデータ持ち出しを禁止する目的で管理コンソールにおける本番業務データへのアクセスを制限する権限セット(アクセス許可セット)を本番環境に提供予定である。 例えば、インターネット経由で管理コンソールから直接のデータ参照や一部のサービスや機能の利用制限を予定している。

具体的には今後、管理者向けに提供しているアクセス許可セットの切り替えを予定している。なお、「GovCloudLgDataRegidency」の強制適用については当面予定をしておらず、実施する際は事前の周知を行う。

• 制限の特にないアクセス許可セット名: AWSAdministratorAccess(本番環境は廃止予定)
• 制限が施されたアクセス許可セット名: GovCloudLgDataRegidency(順次追加予定)

これらは本番環境のみの制限であり、本番環境以外の環境においては、上記両方の権限(アクセス許可セット)が利用し続けられる。「地方SaaS」の本番環境においても同様である。

制限されるサービスとActionは、アプリケーション内のデータを持ち出し可能となっているものを基本的に対象としている。詳細は後述のJSONファイルを直接参照すること。制限が及んでいなかったとしても、総務省ガイドラインなどで禁止されているようなデータの参照・持ち出しが許可されているわけではない。

なお、一部の環境に試験的に提供していた「GovCloudLgDataRegidency」のアクセス許可セットは令和6年7月より提供を中断する。同アクセス許可セットの制限内容の利用を希望する組織向けに、制限内容を記述したJSONファイルを提供する（GCASアカウントを取得の上、GCASガイド（メンバー専用ページ）で公開されているガバメントクラウドテンプレート（メンバー専用ページ→ガバメントクラウドテンプレート/ポリシー→ガバメントクラウドテンプレート/ポリシーのダウンロードページ）を参照すること）。IAMロール等へ同ファイルの内容をIAMポリシーとして適用することを想定している。

3 ガバナンス・セキュリティ

3.1 ガバナンス・セキュリティの全体像

• ガバメントクラウドのガバナンス・セキュリティはSCPと自動適用テンプレート、必須適用テンプレートによって担保される。
• 従来のゲート型ではなく、予防的統制と発見的統制からなるガードレール型のガバナンス・セキュリティを提供する。

図06: ガバナンス・セキュリティの全体像
※AWS Shield Advancedの料金構成として、月額料金とデータ転送料金(アウト)の使用料金がある。月額料金についてはデジタル庁で一括調達しているため、個々のアカウントには料金は発生しない。データ転送(アウト)使用料金については、各利用システムごとに使用データ量に応じた金額が発生する。

3.2 予防的統制の設定内容

• 全てのアカウントに共通して最低限禁止すべき内容を設定する方針である。
• クラウドサービスの利用にあたって制限となる内容は、ここに記述する予防的統制で設定される内容だけである。
• 詳細な設定内容は実際のテンプレート/IaCファイル内容を確認すること。
  

＜主な設定内容＞

• デジタル庁が設定するセキュリティや監査ログの設定/収集に関するサービスの削除防止
• 東京/大阪リージョン以外の使用禁止、未有効化リージョンの有効化禁止
• 現状、統制の実現が難しいと考えている一部サービスの禁止
  • AWS Marketplace※1
  • AWS Outposts
  • VMware Cloud on AWS / Red Hat OpenShift on AWS(ROSA)
• AWS CloudShell VPC environment以外のAWS CloudShellの利用禁止
• ユーザーにMFAの有効化を強制し、必要な権限はIAMロールで管理
• アクセスキーの作成を禁止※2
• Adminユーザー以外によるIAM権限の付与禁止
• 一度の誤操作で高額請求となるサービスの購入/実行防止
  • 以下サービスのリザーブドインスタンス
    ・ Amazon EC2※3,※4
    ・ Amazon RDS※3,※4
    ・ Amazon OpenSearch Service
  • 以下サービスのリザーブドノード
    ・ Amazon ElastiCache
    ・ Amazon Redshift
    ・ Amazon MemoryDB
  • 以下サービスのリザーブドキャパシティ
    ・ Amazon DynamoDB
  • 以下サービスのSavings Plans
    ・ Amazon EC2※3,※4
    ・ AWS Lambda※3
    ・ AWS Fargate※3
    ・ Amazon SageMaker
  • 以下サービスのSavings Bundle
    ・ Amazon CloudFront

※1AWS Marketplaceの利用は原則禁止とする。
万が一、マネージドサービスや他製品にて代替が不可の場合は、デジタル庁に相談をすること。

※2 IAMユーザーの永続的なアクセスキーの作成を禁止するため、特定のSaaS製品の利用や運用に影響が生じる場合がある。利用システムは、早期段階でアクセスキーを利用しない方式を検討する必要がある。参考に以下にアクセスキーの利用が想定されるユースケース例を記載する。

• IAMユーザーの認証情報を用いたAWS CLIの利用
• 外部CMSサービスからAWSリソースへのアクセス
• 統合運用管理ソフトウェア、ウィルス対策ソフト、ログ監視サービス等のSaaS製品からAWSリソースへのアクセス
• CloudWatchAgentを用いたCSP管理環境外サーバのメトリクスやログの取得
• Amazon SES SMTPインターフェースを用いたeメールの送信
• CSP管理環境外サーバとS3等のオブジェクトストレージとのファイルの送受信
  ※3 利用を希望する場合は「長期継続割引購入申請書」を提出し、デジタル庁において確認を行い合理的な理由と判断された場合は利用を許可する。申請等の詳細については、GCASアカウントを取得の上、GCASガイド（メンバー専用ページ）で公開されているドキュメントを参照すること。

※4 行政機関向けに特化した業務パッケージの稼働が中心となる業務システムにおいては、業務パッケージがSaaSとして提供されるまでの間、パッケージ稼働環境としてのAWSであればEC2の利用を許容する。
ただし、データベースについてはマネージドサービス化されることが条件となる。

3.3 発見的統制の設定内容

• セキュリティ事故や設定誤りによる不意の高額請求を早期発見し対応するための設定を実施する。
• 発見的統制はアラート通知が出るのみで、クラウドサービスの利用の制限とはならない。
• コストアラートの金額はガバメントクラウド利用組織で調整すること。
• 詳細な設定内容は実際のテンプレート/IaCファイル内容を確認すること。
  

＜主な設定内容＞

• rootユーザー保護違反の発見
• IAMユーザー保護の確認
• S3バケット保護の確認
• Secret失効やローテート、漏洩防止の確認
• セキュリティ監視の確認
• ログの確認
• 鍵保護の確認
• 暗号化の確認
• TLSの確認
• 外部公開設定の発見
• 攻撃対策有効化の確認
• 監視設定の確認
• 可用性構成の確認
• バックアップの確認
• OS構成の確認
• サービス構成の確認
• 指定リソース利用の確認
• タグの確認
• 無駄の検出
• 1日あたり$100の請求金額を検出
• Amazon GuardDutyのMalware Protection機能の有効化※
  ※利用の際は、保護の対象とするEC2インスタンスに以下の内容のタグを設定する必要がある。
  キー,値

3.4 発見的統制によるアラートの運用

• ガバメントクラウド利用組織が発見的統制の仕組みによるアラートの確認/修正対応に責任を持つ。
• セキュリティ関連で違反があった場合に、メールと通知システムでアラートを確認し対応する。
• とくにサービスイン前後はアラートが多数出ることが想定されるため、アラート内容のレビューの体制やプロセスを計画すること。
• 通常運用中もアラート内容を恒常的に確認レビューし、優先順位を付けて対応していく。

図07: 発見的統制によるアラートの運用

3.5 発見的統制によるリソースの修復(是正的統制)

• 現在は実装されておらず、将来的に実装予定。
• 予防的統制を実施できない(実施すると利用組織側の利便性が著しく悪くなる)が、一度設定されるだけで認証情報漏洩や攻撃の標的にされるリスクの高い設定は自動削除を実施する。

図08: 発見的統制によるリソースの修復(是正的統制)

3.6 必須適用テンプレートの提供方法

• ガバメントクラウド利用組織にて適用する必須適用テンプレートをデジタル庁より提供する。
• 詳細な設定内容は実際のテンプレート内容を確認すること。
  

＜提供方法＞

• 以下の2通りで提供する。
• CDKテンプレートによる提供
  • テンプレートはGCASアカウントを取得の上、GCASガイド（メンバー専用ページ）で公開されているガバメントクラウドテンプレート（メンバー専用ページ→ガバメントクラウドテンプレート/ポリシー→ガバメントクラウドテンプレート/ポリシーのダウンロードページ）でダウンロードできる。
  • TypeScriptで記述されたAWS CDKv2にて提供する。
  • 利用システムに合わせてテンプレートのカスタマイズができる。
• AWS Service Catalogによる提供
  • AWS Service Catalog上からテンプレートを利用できる。

4 モダンアプリケーション

4.1 テンプレート/IaCファイルの全体像

• ガバメントクラウドが提供するテンプレート/IaCファイルは自動適用テンプレート、必須適用テンプレート、サンプルIaCファイル、個別適用IaCファイルの4種類あり、このうちサンプルIaCファイルはモダンアプリケーション化の推進に有効なIaCファイルである。

図09: テンプレート/IaCファイルの全体像

4.2 サンプルIaCファイルの提供方法

• ガバメントクラウド利用組織にて任意で適用するサンプルIaCファイルをデジタル庁より提供する。
• サンプルIaCファイルの種類や構成、詳細な設定内容は実際のIaCファイルの内容を確認すること。
  

＜提供方法＞

• 利用システムはGCASアカウントを取得の上、GCASガイド（メンバー専用ページ）で公開されているガバメントクラウドテンプレート（メンバー専用ページ→ガバメントクラウドテンプレート/ポリシー→ガバメントクラウドテンプレート/ポリシーのダウンロードページ）でダウンロードできる。
• TypeScriptで記述されたAWS CDKv2にて提供する。
• ガバメントクラウド利用組織にて自由にカスタムすることが可能であるが、サンプルIaCファイルにより構築されたサービスはガバメントクラウド利用組織の責務となるため、サンプルIaCファイルの内容をよく理解した上で利用すること。

5 ネットワーク

ガバメントクラウドとして提供する複数のCSPと利用組織間のネットワークは国の行政機関と地方公共団体で繋ぎ方が異なる。
国の行政機関においてはガバメントクラウドでの一般ユーザー・各府省拠点からの接続やシステム間連携の接続はセキュリティが十分担保された上でインターネット経由での接続を基本とする。ただし、各府省拠点からの接続について、インターネット経由での接続を許容できない場合は、デジタル庁ガバメントソリューションサービス（以下GSSネットワークとする）経由での接続や専用線を用いた閉域網での接続を検討すること。利用組織共通で利用するサービスがガバメントクラウドで稼働する場合の拠点やデータセンタからの接続や、共通サービスへのガバメントクラウド上のシステムからの利用で使用する接続も提供される。
地方公共団体においては「地方公共団体における情報セキュリティポリシーに関するガイドライン」に従い接続すること。詳細については、「地方公共団体情報システムガバメントクラウド移行に係る手順書」を参照すること。
接続に関する技術的な詳細や接続方法の選択フロー、システム間連携については、GCASアカウントを取得の上、GCASガイド（メンバー専用ページ）で公開されているドキュメントを参照すること。

6 可視化

6.1 データの可視化

• ガバメントクラウド利用組織は、利用するCSPが提供するシステムメトリクス監視機能や、データ可視化機能を使って、自システム状況の可視化をし、システムの稼働状況や目的達成度合いを恒常的に把握する。
• デジタル庁からこうしたデータ可視化に役立つダッシュボードのサンプルIaCファイルを利用組織に提供する。
• 現在提供準備中であり、仕様が確定次第本書を更新予定である。

図10: データの可視化

7 サポート

7.1 サポートの全体像

• クラウドサービスに関する問合せはガバメントクラウド利用組織がクラウドサービス事業者に直接問い合わせる。
• ガバメントクラウドに関する問い合わせはオンボーディングツールを通じてデジタル庁に問い合わせる。なお、システム開発・運用事業者が直接問い合わせを行える等、より良い体制を検討中のため、仕様変更があり次第本書を更新予定。

図11: サポートの全体像

7.2 利用できるAWSサポート

• サポート契約
  • デジタル庁がまとめてAWSサポートの契約を執り行い、ガバメントクラウド利用組織は個別にAWSサポートを調達する必要はない
  • サポートプランはエンタープライズサポートである
    ただし、TAMの利用は別途調整が必要となる
  • デジタル庁はAWS Shield Advancedを利用するため、ガバメントクラウド利用組織はAWS Shield Advanced利用者限定のSRTサポートを受けることができる
• サポート利用方法
  • AWS管理コンソールからAWS Support Centerを直接利用でき、チケットを起票してAWSサポート、SRTサポートからの技術サポートを受けられる
  • サポートチケット作成時の緊急度として、本番環境が停止する事態の場合は”非常事態”を指定可能
  • サポートチケット作成時には下リンク先のガイドラインを参照
    • https://aws.amazon.com/jp/premiumsupport/tech-support-guidelines/open_in_newOpens in new tab
• サポート専任要員（追加契約）
  • サービスイン時の特別対応などが必要な場合は、別契約と追加料金でサポート専任要員をつけることができる
  • 1年以上複数年にわたってサービスインしていく際や、巨大システムでCSPから手厚いサポートが必要な場合は、デジタル庁と相談の上、サポート専任要員を用意できる

8 初期設定

8.1 初期設定の概要

• ガバメントクラウド利用組織はAWSアカウント払い出し後の初期設定として以下を行う必要がある。
  ① AWSアカウント発行の確認 ※政府システムと地方共同利用方式、R7年度以降に払出した単独利用方式は対応不要
  ② rootユーザーのサインアップ/初期設定 ※政府システムと地方共同利用方式、R7年度以降に払出した単独利用方式は対応不要
  ③ Adminユーザーのサインアップ/初期設定 ※GCASシングルサインオン機能利用開始に伴い対応不要
  ④ 連絡先情報を登録

図12: 初期設定の概要

8.2 AWSアカウント発行の確認

※政府システムと地方共同利用方式、R7年度以降に払出した単独利用方式は対応不要

• AWSアカウントの発行が完了すると以下のようなメールが届くので、届いたことを確認する。

図13: アカウント発効後のメール確認-1

図14: アカウント発効後のメール確認-2

8.3 ルートユーザーのサインアップ/初期設定

※政府システムと地方共同利用方式、R7年度以降に払出した単独利用方式は対応不要

• 初回環境払い出し時にアカウントのルートユーザー設定が必要である。
• 払い出されたAWSアカウントの所有者もしくは所有者から依頼された者が作業すること。
• 具体的手順は以降で説明する。
• 下の理由でこの作業が必要となる。
  • ガバメントクラウドの運用ルールとして、ルートユーザーにはMFA（多要素認証）での保護を必須としており、その設定が必要なため。
  • ガバメントクラウドで使用するControl TowerによるAWSアカウントの払い出しでは、初回にパスワードリセットが必要なため。
  • 環境が払い出されたら、後述する手順に従ってパスワードを一度リセットして再設定し、その後MFAの設定を行う必要があるため。
    
    
• 以下のURLからAWSコンソールにアクセスし、rootユーザーに設定したメールアドレスを入力して「次へ」を押下する。
  https://console.aws.amazon.com/open_in_newOpens in new tab

図15: AWSコンソール画面

• CAPTCHA（画像表示された文字の入力確認）でのチェックなどが出る場合は入力して送信する。

図16: セキュリティチェック画面

• 以下の画面で「パスワードをお忘れですか？」を押下する。

図17: サインイン画面

• CAPTCHAを入力し「Eメールを送信する」を押下する。

図18: パスワードのリセット

• パスワードリセット用のメールが発行されるため、メール内のURLの手順にしたがってパスワードを再設定する。

図19: パスワードリセット用のメール

• 下リンク先の手順に沿ってルートユーザーのMFAを有効化する。
  https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/enable-virt-mfa-for-root.htmlopen_in_newOpens in new tab
• MFAに用いる認証デバイスは厳格に管理すること。
• ルートユーザーのMFAは耐タンパ性が確保されたFIDO認証デバイスなどのハードウェアトークン（セキュリティキー）を用いることを前提とする。

図20: MFAの有効手順

8.4 連絡先情報を登録

• 発行時はデジタル庁の連絡先が登録されているため、ガバメントクラウド利用組織の連絡先情報に変更する。　　
• 以下URL（管理コンソールのアカウント設定画面）にアクセスし、連絡先情報を登録する。
  https://console.aws.amazon.com/billing/home?#/accountopen_in_newOpens in new tab
• 登録箇所は2つあるので注意する。1つ目:連絡先情報。2つ目:代替の連絡先。

連絡先情報

• MFAデバイス紛失時等の連絡先になるため、必ず変更する。

代替の連絡先

• AWSからの通知(メール)を受け取る代替の連絡先の登録を推奨する。
• 請求やセキュリティに関する通知が連絡先に登録されたメールアドレスに送られるが、そのメールアドレスが日常的に使われない共通メールアドレスの場合は気づきにくい。
  そのため、通知に気づくことができる日常使いのメールアドレスを代替の連絡先として登録することを推奨する。

図21: 連絡先情報を登録

改訂履歴