ガバメントクラウド利用概要（Google Cloud編）

2023/09/22 公開

本書はガバメントクラウド利用者のためのドキュメントです。
参照利用は自由ですが、質問・コメントは利用者に限定させていただきます。

はじめに

本書の目的
本書はガバメントクラウド（Google Cloud）の利用を検討または利用開始する上で必要となる技術的な情報を記すことで、具体的な利用検討や利用開始ができるようになることを目的としている。
本書の位置づけ
ガバメントクラウド概要解説の子文書となり、ガバメントクラウド概要解説の内容を技術的な観点で具体化した文書である。

図01: 本書の位置づけ

本書の想定読者
ガバメントクラウド（Google Cloud）の利用を検討または利用開始しているシステムの開発・運用事業者及びPJMOを読者として想定している。
改訂方針
ガバメントクラウドの仕様変更やクラウドサービスの更改・仕様変更、上位文書の変更があった場合は、定期的に改訂を実施する。

1 プロジェクト

1.1 プロジェクトの全体像

Google Cloudのプロジェクトはデジタル庁の組織ツリーによって管理される。
利用組織は本番環境と検証環境のリソース混在防止、課金単位の分離のため、本番用プロジェクトと検証用プロジェクトをそれぞれ用意して利用すること。
ガバメントクラウドでは原則として開発環境は提供しないが、CI/CDを実施する利用システムについてのみ開発環境の提供を行う。その場合、インフラ部分のCI/CDについては、ガバメントクラウドで指定するツールやテンプレート/IaCファイルを用いてCI/CD環境を構成すること。それ以外のCI/CD環境をインフラ部分に選択する場合は、その合理性がガバメントクラウドチームで認められる場合のみとする。アプリケーションのCI/CD環境については、インフラ部分と同じ構成でも、独自の構成でも構わないものとする。

図02: プロジェクトの全体像

2 ユーザー

2.1 ユーザーの全体像

国の行政機関・地方公共団体に関わらず、PJMO・事業者共にデジタル庁のCloud Identityに登録される
- GCAS経由によるガバメントクラウド利用組織からの利用申請の情報に基づき、ガバメント管理者がGoogleアカウントの払い出しを行う
- ロールベースのグループを作成し、必要に応じてユーザーを参加させる
- 初回の登録申請段階でできるだけ漏れがないようにすること
Googleグループの機能で別ドメインのユーザー追加は原則不可
各ユーザーの権限はプロジェクトに対して、自動作成されたグループの権限 + ユーザー側で個別に付与する
- ユーザー側で個別に付与する場合、GCASにてプロジェクトメンバーとして登録されているGoogleアカウントのみ対象となる
プロジェクトの管理者グループにはシステムの運用責任者、開発事業者を含むシステム運用管理用アカウントのみ所属させ、それ以外のプロジェクトに紐づけるユーザーは必要最小限の権限を付与すること
- 自社ドメインのCloud Identityを持つ開発会社も原則GCASアカウントを取得する

図03-01: ユーザーの全体像(国)

図03-2:ユーザーの全体像(地方公共団体)
図03-2　ユーザーの全体像(地方公共団体)

2.2 払い出すユーザーの種類と権限

CSPユーザー登録の際、各ユーザーに対し「Owner」または「Viewer」のロールを選択できる。「Owner」ロールを選択すれば図5の管理者権限が付与され、「Viewer」ロールを選択すれば、図５の閲覧者権限が付与される。
なお、管理者権限ユーザーが侵害される可能性を減らすため、本番環境の管理者権限ユーザーの人数は3名までを推奨する。

システム管理者権限を持つユーザーが適宜メンバーに必要な権限を付与する。

図05: 払い出すユーザーの種類と権限

3 ガバナンス・セキュリティ

3.1 ガバナンス・セキュリティの全体像

ガバメントクラウドのガバナンス・セキュリティは組織ポリシーと自動適用テンプレート、必須適用テンプレートによって担保される。
従来のゲート型ではなく、予防的統制と発見的統制からなるガードレール型のガバナンス・セキュリティを提供する。

図04: ガバナンス・セキュリティの全体像

3.2 予防的統制の設定内容

全てのアカウントに共通して最低限禁止すべき内容を設定する方針である。
クラウドサービスの利用にあたって制限となる内容は、ここに記述する予防的統制で設定される内容だけである。
詳細な設定内容は、自動適用テンプレートを確認すること。自動適用テンプレートについては、GCASアカウントを取得の上、GCASガイド（メンバー専用ページ）で公開されているガバメントクラウドテンプレート（メンバー専用ページ→ガバメントクラウドテンプレート/ポリシー→ガバメントクラウドテンプレート/ポリシーのダウンロードページ）を参照すること。

＜主な設定内容＞

デジタル庁が設定するセキュリティや監査ログの設定/収集に関するサービスの削除防止（予定）
外部組織間のリソース移動禁止
asia1(asia-northeast1及びasia-northeast2)以外のロケーション使用禁止
Cloud SQL インスタンスへのパブリック IP アクセスの禁止
ユーザーにMFAの有効化を強制
SSH, シリアルポートによるVMへの接続禁止（原則OS Loginを利用する）
- https://cloud.google.com/compute/docs/oslogin?hl=jaOpens in new tab

3.3 発見的統制の設定内容

セキュリティ事故や設定誤りによる不意の高額請求を早期発見し対応するための設定を実施する。
発見的統制はアラート通知が出るのみで、クラウドサービスの利用の制限とはならない。
コストアラートの金額はガバメントクラウド利用組織で調整すること。
詳細な設定内容は必須適用テンプレートを確認すること。必須適用テンプレートについては、GCASアカウントを取得の上、GCASガイド（メンバー専用ページ）で公開されているガバメントクラウドテンプレート（メンバー専用ページ→ガバメントクラウドテンプレート/ポリシー→ガバメントクラウドテンプレート/ポリシーのダウンロードページ）を参照すること。

＜主な設定内容＞

セキュリティに係る設定（Security Command Center Premiumティア）
https://cloud.google.com/security-command-center/docs/concepts-security-command-center-overview#tiersOpens in new tab
コストに係る設定（必須適用テンプレート）
- 指定リソース利用の確認
- 無駄の検出
- 1日あたり$10の請求金額を検出（利用者で調整）

＜環境の自動棚卸し機能の概要＞

ガバメントクラウド管理組織が作成した Cloud Runおよび Cloud Scheduler を用いた自動実行テンプレートである。
Google Cloud 組織下、ガバメントクラウド管理組織の環境および各利用システムの環境を参照して、
ユーザ情報、リソースのネットワーク構成情報、暗号鍵へのアクセス情報を取得し、棚卸し情報として BigQuery に出力する。
※利用システムの環境の参照は Google Cloudプロジェクト単位での構成情報や変更履歴の取得に限定されており、システム内部や保存されているデータにはアクセスせず、取得・保存を行わない。
棚卸し情報のファイルはガバメントクラウド管理組織の環境、利用システムの環境に配置され、内容の閲覧が可能である。
利用システムの管理者による環境の適正性の評価を補助することが目的である。

各棚卸しの目的

項番	分類	目的
1	ユーザ情報の棚卸し	GCAS SSO認証を前提とした利用システム環境において、人的アクセスの有無や例外的なアクセス手段の存在を評価し、セキュリティリスクの早期発見および適切なアクセス管理を目的とする。具体的には、各本番環境における人によるログイン可能なユーザの有無、例外的に発行されたアクセスキーの一覧化、ならびに外部から操作・アクセスしているユーザの棚卸しを通じて、不要または不適切なアクセスが存在しないかを評価する。
2	リソースのネットワーク構成情報の棚卸し	利用システムにおけるリソースのネットワーク構成情報を棚卸しし、外部との通信先を明確化することで、通信が適切な接続先に限定されていることを評価し、情報漏洩の未然防止を図る。
3	アクセス情報の棚卸し	実運用フェーズにおいて暗号鍵へのアクセスが人の手によって行われた場合、意図しない操作や情報漏洩などのセキュリティリスクが発生している可能性があるため、人的アクセスを棚卸し、リスクの発見と対応を可能にする。

3.4 発見的統制によるアラートの運用

ガバメントクラウド利用組織が発見的統制の仕組みによるアラートの確認/修正対応に責任を持つ。
セキュリティ関連で違反があった場合に、メールと通知システムでアラートを確認し対応する。
とくにサービスイン前後はアラートが多数出ることが想定されるため、アラート内容のレビューの体制やプロセスを計画すること。
通常運用中もアラート内容を恒常的に確認レビューし、優先順位を付けて対応していく。

図05: 発見的統制によるアラートの運用

3.5 必須適用テンプレートの提供方法

ガバメントクラウド利用組織にて適用する必須適用テンプレートをデジタル庁より提供する。

＜提供方法＞

Terraformにて提供する。
変更可能なパラメータ以外の記述を変更することはできない。
GCASアカウントを取得の上、GCASガイド（メンバー専用ページ）で公開されているガバメントクラウドテンプレート（メンバー専用ページ→ガバメントクラウドテンプレート/ポリシー→ガバメントクラウドテンプレート/ポリシーのダウンロードページ）をダウンロードする。ダウンロードしたZipファイルにはガバメントクラウドで使用するテンプレート/IaCファイルが含まれている。

4 モダンアプリケーション

4.1 テンプレート/IaCファイルの全体像

ガバメントクラウドが提供するテンプレート/IaCファイルは自動適用テンプレート、必須適用テンプレート、サンプルIaCファイル、個別適用IaCファイルの4種類あり、このうちサンプルIaCファイルはモダンアプリケーション化の推進に有効なIaCファイルである。

図06: テンプレート/IaCファイルの全体像

4.2 サンプルIaCファイルの提供方法

ガバメントクラウド利用組織にて任意で適用するサンプルIaCファイルをデジタル庁より提供する。
サンプルIaCファイルの種類や構成、詳細な設定内容は実際のIaCファイルの内容を確認すること。

＜提供方法＞

Terraformにて提供する。
ガバメントクラウド利用組織にて自由にカスタムすることが可能であるが、テンプレート/IaCファイルにより構築されたサービスはガバメントクラウド利用組織の責務となるため、テンプレート/IaCファイルの内容をよく理解した上で利用すること。
GCASアカウントを取得の上、GCASガイド（メンバー専用ページ）で公開されているガバメントクラウドテンプレート（メンバー専用ページ→ガバメントクラウドテンプレート/ポリシー→ガバメントクラウドテンプレート/ポリシーのダウンロードページ）をダウンロードする。ダウンロードしたZipファイルにはガバメントクラウドで使用するテンプレート/IaCファイルが含まれている。

5 ネットワーク

5.1 GSSネットワークとの接続イメージ

詳細はGCASアカウントを取得の上、GCASガイド(メンバー専用ページ)で公開されているドキュメントを参照すること。

6 可視化

6.1 データの可視化

ガバメントクラウド利用組織は、利用するCSPが提供するシステムメトリクス監視機能や、データ可視化機能を使って、自システム状況の可視化をし、システムの稼働状況や目的達成度合いを恒常的に把握する。
デジタル庁からこうしたデータ可視化に役立つダッシュボードのサンプルIaCファイルを利用組織に提供する。
現在提供準備中であり、仕様が確定次第本書を更新予定である。

図07: データの可視化

7 利用不可サービス

7.1 利用不可サービス一覧

利用できないサービス

Firebaseコンポーネントの一部

ISMAPのGoogle Cloud Platform言明対象範囲外であるため、以下のサービスは利用できません：

Firebase Crashlytics
Firebase App Distribution
Firebase ML

Google Workspace Service

Google Workspace（ドライブ、Gmail等）は、ライセンス購入で別途契約が必要となるため、ガバメントクラウドの付属サービスとして提供することはできません。ただし、利用組織側で契約する場合は問題ありません。

Baremetal Service

ガバメントクラウドの統制を効かせることが困難なため、ガバメントクラウド上では利用できません。

Implementation Service

Professional Service等の実装サービスは、利用組織側で契約する場合に限り利用可能です。

Google Security Operations

費用按分が困難なため、利用できません。

Chrome Enterprise Premium

ガバメントクラウドで既に導入済みであり、利用組織側によるライセンス持ち込みも不可となります。

reCAPTCHA

契約上の理由により利用できません。

Google Cloud VMware Engine

ガバメントクラウドの統制を効かせることが困難なため、ガバメントクラウド上では利用できません。

Apigee サブスクリプションプラン

サブスクリプションプランは契約上の理由により利用できません。従量課金プランをご利用ください。

Looker

契約上の理由により利用できません。

Looker Studio Pro

費用按分の整備が整っていないため、利用できません。ただし、Looker Studio(Free)は利用可能です。

8 サポート

8.1 サポートの全体像

クラウドサービスに関する問合せはガバメントクラウド利用組織がクラウドサービス事業者に直接問い合わせる。
ガバメントクラウドに関する問い合わせはオンボーディングツールを通じてデジタル庁に問い合わせる。
事業者が直接ヘルプデスクに問合せすることも可能だが、適切なプロジェクトの観点から、事業者から直接問合せする際は、PJMOを必ず同報すること。

図08: サポートの全体像

8.2 利用できるGoogle Cloudサポート

サポート契約
- デジタル庁がまとめてGoogle Cloudサポートの契約を執り行い、ガバメントクラウド利用組織は個別にGoogle Cloudサポートを調達する必要はない
- サポート内容は以下リンク先のプレミアムサポートから「テクニカルアカウントマネージャー」及び「テクニカルアカウントマネージャー」が関連する支援を除いた内容となる
  - https://cloud.google.com/support?hl=jaOpens in new tab
- 「テクニカルアカウントマネージャー」及び「テクニカルアカウントマネージャー」が関連するサポートの利用についてはデジタル庁に相談すること
サポート利用方法
- Google Cloud管理コンソールからGoogle Cloud サポートサービスを直接利用でき、チケットを起票してGoogle Cloudサポートからの技術サポートを受けられる

9. 初期設定

初期設定の仕組みを大幅改善予定となり、現時点では参考情報となります。
新手順が明確になったタイミングで、新ガイドとしてご案内します。

9.1 管理者用Googleアカウントの設定

Googleアカウントの作成及び登録・設定に関しては、GCASアカウントを取得の上、GCASガイド(メンバー専用ページ)で公開されているドキュメントを参照すること。

図09: 管理者用Googleアカウントの設定

補足（設定完了までの猶予期間）
管理者用Googleアカウントの初期設定には猶予期間を設定しています。
期日超過をした場合以下のエラーメッセージが通知されるため、その際はクラウド班管理者までご連絡ください。

図10: エラーメッセージ

9.2 各種通知先設定

セキュリティや課金に関する通知を任意のメールアドレスで受信するための設定を実施します。
本設定により取得できる情報についてガブクラからの通知はしないため、必ず利用組織にて設定を実施して下さい。

図11: 各種通知先設定-1

図12: 各種通知先設定-2

補足（通知カテゴリの説明）

各通知カテゴリで取得できる情報等を説明します。

出典：https://cloud.google.com/resource-manager/docs/managing-notification-contacts?hl=jaOpens in new tab

カテゴリ	説明	例	フォールバックの連絡先（通知設定をしなかった場合の通知先）	推奨される連絡先
All	他のすべてのカテゴリからのすべての通知	該当なし	該当なし	多数の通知のルーティングやロギングを担当する従業員または自動システム
課金	請求とお支払いの通知	料金の更新、エラー、クレジット	請求先アカウント管理者（roles/billing.admin）	財務部門の従業員と、Google Cloud の使用に関する予算、計画、会計の管理など、Google との財務関係を管理する従業員
法務	法令遵守の通知	適用措置、法令遵守、行政通達	請求先アカウント管理者（roles/billing.admin）	顧問弁護士、コンプライアンス管理者、政府関係のスペシャリスト、その他の関連する専門家
プロダクトの更新情報	Google プロダクトの変更点	新しいバージョン、プロダクトの利用条件の更新、サポートの終了	プロジェクト所有者（roles/owner）	Google のプロダクトおよびサービスの変更に関するタイムリーな情報を活用できるプロダクトマネージャー、アーキテクト、エンジニア
セキュリティ	セキュリティ/プライバシーの問題に関する通知	脆弱性、データインシデント、攻撃	組織管理者（roles/resourcemanager.organizationAdmin）	IT セキュリティ、運用上のセキュリティ、企業および顧客データの保護とビジネスの継続性の確保を担当するその他の従業員
停止	即時アカウントおよびプロジェクト停止に関連する通知	Apigee の評価のコンプライアンス、著作権の侵害、コインマイニング	プロジェクト所有者（roles/owner）	IT インフラストラクチャとビジネスアプリケーションの維持および稼働に早急に対応する従業員
技術	技術イベントとその他の運用の問題	Logging の構成エラー、データ損失防止の更新、Actions on Google のステータス	プロジェクト所有者（roles/owner）	IT プロフェッショナル、信頼性エンジニア、管理者、オンコールリスト、および、IT アセットをより適切に管理し、障害を回避するために、現在および将来の技術イベントや問題を把握する必要がある他の従業員
技術的なインシデント	プレミアムサポートのお客様の場合、サービス停止通知の技術カテゴリのサブカテゴリ	計画外の停止、サービスの問題	該当なし	IT プロフェッショナル、信頼性エンジニア、管理者、オンコールリスト、およびサービスの停止に対応する必要がある他の従業員

改訂履歴

改訂年月日	改訂箇所	改訂内容
2023年3月30日	-	新規作成
2023年4月12日	1.1 プロジェクトの全体像	提供環境について記載の修正
2023年7月3日	-	版数の統一
2023年8月25日	2.1 ユーザの全体像	Cloud Identityのドメイン統一に伴い、ユーザの全体像及び説明文を修正
	3.1 ガバナンス・セキュリティの全体像	ガバナンス・セキュリティの全体像を修正
	9.1 管理者用Googleアカウントの設定	Googleアカウントの作成及び登録などの初期設定に関して、ガバメントクラウド手続き概要を参照するように修正また、Cloud Identityのドメイン統一に伴い、図内のドメイン名を変更
2023年9月22日	-	版数の統一
2023年11月2日	2.1 ユーザの全体像	ユーザ管理の全体像の修正及び地方自治体のユーザの全体像を追加
2023年11月27日	1.1 プロジェクトの全体像	プロジェクトの全体像を修正
	5 ネットワーク	概要説明に修正
	9.1 管理者用Googleアカウントの設定	エラーメッセージの画面を修正
	-	全体的に参照先資料名の修正
2024年3月1日	3.2 予防的統制の設定内容	詳細な設定内容は自動適用テンプレートを確認するように追記
	3.3 発見的統制の設定内容	詳細な設定内容は必須適用テンプレートを確認するように追記誤字修正
	3.5 必須適用テンプレートの提供方法	テンプレート提供方法をCSP間で統一した記述に変更
	4.2 サンプルテンプレートの提供方法	テンプレート提供方法をCSP間で統一した記述に変更
2024年3月29日	2.1 ユーザーの全体像	用語の揺らぎの修正
	3.2 予防的統制の設定内容	用語の揺らぎの修正
2024年5月10日	2.1 ユーザーの全体像	ユーザーの全体像を差し替え
2024年6月14日	3.2 予防的統制の設定内容	ガバメントクラウドテンプレートのダウンロードページ詳細を追記
	3.3 発見的統制の設定内容	ガバメントクラウドテンプレートのダウンロードページ詳細を追記
	3.5 必須適用テンプレートの提供方法	ガバメントクラウドテンプレートのダウンロードページ詳細を追記
	4.2 サンプルテンプレートの提供方法	ガバメントクラウドテンプレートのダウンロードページ詳細を追記
2024年7月19日	3.2 予防的統制の設定内容	ガバメントクラウドテンプレートの記事名称変更に伴う修正
	3.3 発見的統制の設定内容	ガバメントクラウドテンプレートの記事名称変更に伴う修正
	3.5 必須適用テンプレートの提供方法	ガバメントクラウドテンプレートの記事名称変更に伴う修正
	4.2 サンプルテンプレートの提供方法	ガバメントクラウドテンプレートの記事名称変更に伴う修正
2024年9月2日	3.4 発見的統制によるアラートの運用	「図05: 発見的統制によるアラートの運用」を修正
	7.1 利用不可サービス一覧	Google Cloud VMware Engine を追加
2024年11月29日	2.2 払い出すユーザーの種類と権限	新規追加
	7.1 利用不可サービス一覧	サービスの内容を修正
2024年12月26日	4.1 テンプレートの全体像	個別適用テンプレートを追記
2025年2月18日	-	版数の統一
2025年3月28日	はじめに	イメージ図の修正
2025年5月30日	5.2 ガバメントクラウド接続サービスとの接続イメージ	記載を削除
2025年7月25日	全体	テンプレートの名称変更に伴う修正
2025年8月29日	7.1 利用不可サービス一覧	利用不可の理由と代替手段を追記
2025年9月12日	8.1 サポートの全体像	サポートの全体像の修正
2025年11月28日	3.3 発見的統制の設定内容	＜環境の自動棚卸し機能の概要＞を追記