はじめに

図01: 本書の位置づけ

• 本書の想定読者
  ガバメントクラウド（OCI）の利用を検討または利用開始しているシステムの開発・運用事業者及びPJMOを読者として想定している。
• 改訂方針
  ガバメントクラウドの仕様変更やクラウドサービスの更改・仕様変更、上位文書の変更があった場合は、定期的に改訂を実施する。

1 テナンシ

1.1 テナンシの全体像

• OCIの組織管理（Organization Management）機能を利用し、ガバメントクラウド全体を統括するデジタル庁が管理する親テナンシから利用者環境である子テナンシが払い出され、利用システムは子テナンシを利用する。
  [OCIドキュメント:組織管理]
  https://oracle-japan.github.io/ocidocs/services/governance%20and%20administration/organization/open_in_newOpens in new tab
• 払い出された子テナンシには、必須適用テンプレートによってベ ースラインとなるセキュリティ対策が適用される。
• 開発環境はCI/CD環境に接続する場合を除いてガバメントクラウドからは提供されない。

図02: テナンシの全体像

2 ユーザー

2.1 ユーザーの全体像

ガバメントクラウドにて使用するユーザーの全体像および各ユーザーを説明する。

ガバメントクラウドのOCI環境では、ガバメントクラウド利用組織からの利用申請の情報に基づき、デジタル庁より必要な環境数分のテナンシが払い出される。テナンシにおいて最も強力な権限を持ち、システムの所有者として位置付けられるテナンシ管理者（テナンシの最初のユーザーをガバメントクラウドでは便宜上、ルートユーザーと呼称する場合がある）はテナンシとともにデジタル庁が作成する。

ユーザーアカウントは、GCASアカウントと各CSP環境へのシングルサインオン機能が提供されているため、GCASアカウント以外のユーザーアカウントを利用組織で作成する必要はない。デジタル庁が払い出したGCASアカウントによるテナンシへのアクセスが可能になる。なお、GCASアカウントとの連携ではOCI IAM Identity Domainsを用いている。

以下に、国および地方公共団体におけるユーザーについて補足する。なお、これらのユーザーはIAMユーザーとして総称される。

国の行政機関

国の行政機関が利用するOCI環境では、各利用組織及びその開発運用委託業者がテナンシへのアクセスに用いるGCASアカウントをガバメントクラウド管理組織にて発行する。GCASにおけるシングルサインオン機能により、このGCASアカウントで各テナンシにログインが可能となる。

図03-1-A: ユーザーの全体像(国の行政機関)

地方公共団体

地方公共団体が利用するOCI環境も国同様である。地方公共団体（単独利用方式）に提供されるテナンシ管理者（ルートユーザー）はシステムの所有者を表し、地方公共団体のドメイン名のメールアドレスで作成する。人事異動などを考慮し、可能であれば、メーリングリストによる作成を推奨する。

図03-2-A: ユーザーの全体像(地方公共団体)

2.2 払い出すユーザーの種類と権限

ガバメントクラウドで提供するOCI環境では、利用者はGCASアカウントと同期されたOCI IAM Identity Domainsのユーザーアカウントを利用して各OCIテナンシへの認証およびアクセスが制御されることになる。
​
GCASガイド（メンバー専用ページ）で公開されているドキュメント「GCAS SSO移行に係る事前作業マニュアル」（国の行政機関向け）または「GCASアカウント取得後の諸手続きについて」（地方公共団体向け）にて案内されている「CSPユーザー登録」を行うことでGCASアカウントとOCI IAM Identity Domainsが紐づけれられ、各OCIテナンシへのアクセスが可能になる。

CSPユーザー登録の際、各ユーザーに対し「管理者」または「メンバー」のロールを選択できる。「管理者」ロールを選択すれば図04のAdminユーザー、「メンバー」ロールを選択すれば図04の一般ユーザの権限が付与される。​
なお、一般ユーザーにはクラウドサービスのリソース作成権限などは付与されていない。一般ユーザーにこれらの権限を付与するには、一般ユーザーが属するグループGovCloud_User_Groupに対して、Adminユーザーがポリシーを付与することで実現できる。

​管理者権限ユーザーに付与される権限については、技術マニュアル「ユーザー管理方法」open_in_newOpens in new tabを参照すること。管理者権限ユーザーが侵害される可能性を減らすため、本番環境の管理者権限ユーザーの人数は3名までを推奨する。
通常の運用は、必要最小限の権限を付与したユーザーで実施する。

図04: 払い出すユーザーの種類と権限

2.3 地方公共団体における管理コンソール利用制限・制約

地方公共団体においては総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和７年３月版) 」により、マイナンバー利用事務系とインターネット接続系との分離が求められている。
そのため、マイナンバー利用事務系に係るシステム環境では、インターネット接続系へのデータ持ち出しを禁止する必要があり、具体的にはインターネット接続系の端末から管理コンソールを経由した本番業務データへのアクセスを制限する必要がある。

OCIにおいては、この制限をポリシー設定によって実現する。ポリシー設定方法のガイドはOCIコンソール 業務データアクセス制御ポリシーガイドopen_in_newOpens in new tabを参照すること。

3 ガバナンス・セキュリティ

3.1 ガバナンス・セキュリティの全体像

• ガバメントクラウドのガバナンス・セキュリティは必須適用テンプレートによって担保される。
• 従来のゲート型ではなく、予防的統制と発見的統制からなるガードレール型のガバナンス・セキュリティを提供する。

図05: ガバナンス・セキュリティの全体像

3.2 予防的統制の設定内容

• 全てのユーザーに共通して最低限禁止すべき内容を設定する方針である。
• クラウドサービスの利用にあたって制限となる内容は、ここに記述する予防的統制で設定される内容だけである。
• 詳細な設定内容は実際のテンプレート内容を確認すること。

＜主な設定内容＞

• 東京/大阪リージョン以外の使用禁止
• セキュリティや監査ログの収集に関するサービスの削除防止
• クラウドサービス証跡ログを有効化
• Security Zonesにより、セキュリティ上問題となりやすいサービスを禁止
• 現状、統制の実現が難しいと考えている一部サービスの禁止
  • OCI Cloud Shell
  • Oracle Cloud VMware Solution
• ユーザーにMFAの有効化を強制し、必要な権限はポリシーで管理
• APIキーの作成・利用を禁止 ※1

※1 本番環境で利用許可されているのはトークンベースの認証だけで、APIキーや顧客秘密キー（Amazon S3互換APIキー）、認証トークン（Swiftパスワード）は原則禁止となる。利用システムは早期段階でAPIキー等を利用しない方式を検討する必要がある。

• トークンベース認証でOCI CLIの利用
  OCI CLIはセッションの作成方法としてAPIキーではなく、セッション・トークンベース認証という認証方法が利用可能となる。本方式は利用時にブラウザ上での認証が必要になる。

[OCIドキュメントでのトークンベースの認証]
[https://docs.oracle.com/ja-jp/iaas/Content/API/SDKDocs/clitoken.htmopen_in_newOpens in new tab]

[OCI技術情報およびアクセス管理 (IAM) 詳細/CLIでのトークンベースの認証]
[https://speakerdeck.com/ocise/ociji-shu-zi-liao-idoyobiakusesuguan-li-iam-xiang-xi?slide=21open_in_newOpens in new tab]

• プリンシパルの利用
  OCIではプリンシパルと呼ばれるリソース自体にアクセス権を付与し、APIをコールできる機能がある。本方式はインスタンス上でのアプリケーションからOCIのAPIを呼び出すときに利用可能。

[OCIドキュメント:インスタンスからのサービスのコール/概念/インスタンス・プリンシパル]
[https://docs.oracle.com/ja-jp/iaas/Content/Identity/Tasks/callingservicesfrominstances.htm#conceptsopen_in_newOpens in new tab]

[OCI技術情報およびアクセス管理 (IAM) 詳細/プリンシパル]
[https://speakerdeck.com/ocise/ociji-shu-zi-liao-idoyobiakusesuguan-li-iam-xiang-xi?slide=9open_in_newOpens in new tab]

3.3 発見的統制の設定内容

• セキュリティ事故や設定誤りによるリスクを早期発見し対応するための設定を実施する。
• 発見的統制はアラート通知が出るのみで、クラウドサービスの利用の制限とはならない。
• 詳細な設定内容は実際のテンプレート内容を確認すること。

＜主な設定内容＞

• ルートユーザー保護違反の発見

• IAMユーザー保護の確認

• バケット保護の確認

• Secret失効やローテート、漏洩防止の確認

• セキュリティ監視の確認

• 鍵保護の確認

• 暗号化の確認

• 脆弱性の確認

• 外部公開設定の発見

• 攻撃対策有効化の確認

• バックアップの確認

• サービス構成の確認

• タグの確認

• 不正利用の検知

3.4 発見的統制によるアラートの運用

• ガバメントクラウド利用組織が発見的統制の仕組みによるアラートの確認/修正対応に責任を持つ。
• セキュリティ関連で違反があった場合に、メールと通知システムでアラートを確認し対応する。
• サービスイン前後はアラートが多数出ることが想定されるため、アラート内容のレビューの体制やプロセスを計画する。
• 通常運用中もアラート内容を恒常的に確認レビューし、優先順位を付けて対応する。

図06: 発見的統制によるアラートの運用

3.5 発見的統制によるリソースの修復（是正的統制）

• 現在は実装されておらず、将来的に実装予定。
• 予防的統制を実施できない（実施すると利用者側の利便性が著しく悪くなる）が、一度設定されるだけで認証情報漏洩や攻撃の標的にされるリスクの高い設定は自動削除を実施する。

図07: 発見的統制によるリソースの修復（是正的統制）

3.6 必須適用テンプレートの提供方法

必須適用テンプレートはデジタル庁より提供する。詳細な設定内容は実際のテンプレート内容を確認すること。一部は払い出し時に適用済みとなっている。

＜提供方法＞

• 必須適用テンプレートは、GCASアカウントを取得の上、GCASガイド（メンバー専用ページ）で公開されているガバメントクラウドテンプレート/ポリシー（メンバー専用ページ→ガバメントクラウドテンプレート/ポリシー→ガバメントクラウドテンプレート/ポリシーのダウンロードページ）を参照すること。
• 一部のテンプレートは、払い出し時にOCI Resource Managerのプライベート・テンプレートに設定している。
• OCI Resource Managerのスタックとして提供し、変更可能なパラメータ以外の記述は変更できない。

4 モダンアプリケーション

4.1 テンプレート/IaCファイルの全体像

• ガバメントクラウドが提供するテンプレート/IaCファイルは必須適用テンプレート、サンプルIaCファイル、個別適用IaCファイルの3種類あり、このうちサンプルIaCファイルはモダンアプリケーション化の推進に有効なIaCファイルである。

図08: テンプレート/IaCファイルの全体像

4.2 サンプルIaCファイルの提供方法

ガバメントクラウド利用組織にて任意で適用するサンプルIaCファイルをデジタル庁より提供する。サンプルIaCファイルの種類や構成、詳細な設定内容は実際のIaCファイル内容を確認すること。

＜提供方法＞

• サンプルIaCファイルはResource Managerのスタック（Terraformのスクリプト）などで提供予定。
• ガバメントクラウド利用組織にて自由にカスタマイズできるが、IaCファイルにより構築されたサービスはガバメントクラウド利用組織の責務となるため、IaCファイルの内容をよく理解した上で利用すること。

5 ネットワーク

5.1 GSSネットワークとの接続イメージ

詳細については、GCASアカウントを取得の上、GCASガイド（メンバー専用ページ）で公開されているドキュメントを参照すること。

6 可視化

6.1 データの可視化

• ガバメントクラウド利用組織は、利用するCSPが提供するシステムメトリクス監視機能や、データ可視化機能を使って、自システム状況の可視化をし、システムの稼働状況や目的達成度合いを恒常的に把握する。
• デジタル庁からデータ可視化に役立つダッシュボードのサンプルIaCファイルを利用システムに提供する。
• サンプルIaCファイルはGCASガイド（メンバー専用ページ）で公開されている。
  • 「ガバメントクラウドテンプレート/ポリシーのダウンロード」open_in_newOpens in new tab

図09: データの可視化

7 利用不可サービス

7.1 利用不可サービス一覧

• デジタル庁とオラクル社との契約の観点から利用できないサービスがあるため留意すること。

＜契約により利用できないサービス＞

• Exadata Database Service on Cloud@Customer
• Compute Cloud@Customer
• Dedicated Region Cloud@Customer
• Oracle Alloy

8 サポート

8.1 サポートの全体像

• ガバメントクラウドの問い合わせやナレッジ提供などのサポートは、デジタル庁のヘルプデスクとOCIサポートの2つとなる。
• ガバメントクラウドに係る問い合わせや情報取得はガバメントクラウドのヘルプデスクツールを利用する。
• OCIに係る問い合わせはOCIサポートを直接利用する。

図10: サポートの全体像

8.2 利用できるOCIサポート

• サポート契約
  • デジタル庁がまとめてOCIサポートの契約を執り行い、ガバメントクラウド利用組織は個別にOCIサポートを調達する必要はない。
  • サポート内容は優先的なサポートを受けられ、デジタル庁経由でエスカレーションを行うことが可能である。
• サポート利用方法
  • Oracle Cloud Support を直接利用でき、サービスリクエスト（SR）を起票してOCIサポートからの技術サポートを受けられる。
  • 重大度は起票画面の「問題タイプ」で選択した内容と指定したその他の情報に基づいて自動的に決定される。
  • SR作成時には下リンク先のガイドラインを参照。
    https://www.oracle.com/jp/a/ocom/docs/oracle-cloud-support-userguide-jp.pdfopen_in_newOpens in new tab
• オプションプラン（追加契約）
  • サービスイン時の特別対応などが必要な場合は、別契約と追加料金でオプションプラン（利用組織毎の専任担当者）をデジタル庁と相談の上、契約できる。
  • オプションプランは、年単位ではなく月単位で契約できる。

改訂履歴