ガバメントクラウド利用概要（Azure編）

2024/03/01 公開

本書はガバメントクラウド利用者のためのドキュメントです。
参照利用は自由ですが、質問・コメントは利用者に限定させていただきます。

はじめに

本書の目的
本書はガバメントクラウド（Azure）の利用を検討または利用開始する上で必要となる技術的な情報を記すことで、具体的な利用検討や利用開始ができるようになることを目的としている。
本書の位置づけ
ガバメントクラウド概要解説の子文書となり、ガバメントクラウド概要解説の内容を技術的な観点で具体化した文書である。

図01: 本書の位置づけ

本書の想定読者
ガバメントクラウド（Azure）の利用を検討または利用開始しているシステムの開発・運用事業者及びPJMOを読者として想定している。
改訂方針
ガバメントクラウドの仕様変更やクラウドサービスの更改・仕様変更、上位文書の変更があった場合は、定期的に改訂を実施する。

1 全体構成

1.1 全体構成

ガバメントクラウド（Azure）はAzure Enterprise-Scale ArchitectureにおけるAzureランディングゾーンの考え方を取り入れており、マイクロソフトが提唱する以下のフレームワークに沿って設計されている。

Cloud Adoption Framework
Azure 向けの Microsoft Cloud 導入フレームワーク - Cloud Adoption Framework | Microsoft LearnOpens in new tab
Well-Architected Framework
Microsoft Azure Well-Architected Framework - Azure Architecture Center | Microsoft LearnOpens in new tab

ガバメントクラウド（Azure）は、デジタル庁が管理する「共通領域（全体管理機能）」とガバメントクラウド利用組織が管理する「利用システム向け領域」から構成され、下図のような構成となっている。

共通領域（全体管理機能）
- Azure Portal、Microsoft Entra ID、管理グループ、管理側サブスクリプションの総称
利用システム向け領域
- 利用システム側サブスクリプション

利用システム側領域は自動適用テンプレート・必須適用テンプレートによって構築できるよう設計されている。
つまり、独自にカスタマイズすることも可能ではあるが、利用システムサブスクリプションが構築された段階で最低限のガードレールについては設定された状態となっている。

図02: 全体構成

1.2 管理グループ

ガバメントクラウドでは下図のように管理グループを構成し、デジタル庁が管理するサブスクリプションを所属させる管理グループ「Platform」とガバメントクラウド利用組織が管理するサブスクリプションを所属させる管理グループ「UserSystem」を分離する。
管理グループはAzureサブスクリプションをグループ化するサービスで、管理グループを活用することによって複数のサブスクリプションに対して統一したポリシー適用とアクセス制御を行うことができ、上位の階層の管理グループに設定したポリシーやアクセス制御は、下位の階層の管理グループやサブスクリプション、リソースグループ、リソースにも継承される形で適用される。
「UserSystem」の管理グループは本番用の「UserSystem(Prod)」と検証用の「UserSystem(Test)」、GSSネットワーク接続用の「ExpressRoute」の3種類存在する。
各種テンプレート/IaCファイルはバージョン管理用に「Templates」サブスクリプションに格納される。
ガバメントクラウドでは原則として開発環境は提供しないが、CI/CDを実施する利用システムについてのみ開発環境の提供を行う。その場合、インフラ部分のCI/CDについては、ガバメントクラウドで指定するツールやテンプレート/IaCファイルを用いてCI/CD環境を構成すること。それ以外のCI/CD環境をインフラ部分に選択する場合は、その合理性がガバメントクラウドチームで認められる場合のみとする。アプリケーションのCI/CD環境については、インフラ部分と同じ構成でも、独自の構成でも構わないものとする。

図03: 管理グループ

2 ユーザー

2.1 ユーザーの全体像

ガバメントクラウドにて使用するユーザーの全体像および各ユーザーを説明する。ガバメントクラウドでは、ガバメントクラウド利用組織からの利用申請の情報に基づき、ガバメントクラウド管理組織が必要な環境数分のAzureサブスクリプションを払い出す。

利用組織によるGCASアカウント以外のユーザーアカウント作成は禁止されており、デジタル庁が払い出したGCASアカウントによってのみ、各サブスクリプションへのアクセスが可能である。
ガバメントクラウドとして利用者が新規Microsoft Entra IDテナントを作成することは想定していないが、B2C テナント内のAzure AD B2Cユーザについては、ユーザーアカウントの作成を禁止せず継続して利用できる。

図04-1-A: ユーザーの全体像（国の行政機関）

$ユーザーの全体像（地方公共団体）$
図04-2-A: ユーザーの全体像（地方公共団体）

2.2 払い出すユーザーの種類と権限

ガバメントクラウドで提供するAzure環境では、利用者はGCASアカウントと同期されたMicrosoft Entra IDのユーザーアカウントを利用して各Azureサブスクリプションへの認証およびアクセスが制御されることになる。Microsoft Entra IDはデジタル庁が管理するAzure環境内に構成されている。

Azure環境へのアクセスには「CSPユーザー登録」を行い、Microsoft Entra IDを紐付ける必要がある。手順は各組織向けのGCASシステム情報登録操作説明（メンバー専用ページ）で公開されているドキュメント「GCASアカウント取得後の諸手続きについて」を参照すること。

CSPユーザー登録の際、各ユーザーに対し「管理者」または「メンバー」のロールを選択できる。「管理者」ロールを選択すれば図5の所有者権限とテンプレート閲覧権限が付与され、「メンバー」ロールを選択すれば、図５の共同作成者権限が付与される。
なお、管理者権限ユーザーが侵害される可能性を減らすため、本番環境の管理者権限ユーザーの人数は3名までを推奨する。

サブスクリプション所有者権限を持つユーザーが適宜メンバーに必要な権限を付与する。

※1　テンプレート閲覧権限とは、図03: 管理グループに記載されている「Template」サブスクリプション配下の「templates-rg」リソースグループに対する閲覧者権限のことを指す。
図05: 払い出すユーザーの種類と権限

3 ガバナンス・セキュリティ

3.1 ガバナンス・セキュリティの全体像

ガバメントクラウドのガバナンス・セキュリティは主に自動適用テンプレート、必須適用テンプレートによって担保される。
従来のゲート型ではなく、予防的統制と発見的統制からなるガードレール型のガバナンス・セキュリティを提供する。

図06: ガバナンス・セキュリティの全体像

3.2 予防的統制の設定内容

全てのアカウントに共通して最低限禁止すべき内容を設定する方針である。
クラウドサービスの利用にあたって制限となる内容は、ここに記述する予防的統制で設定される内容だけである。
詳細な設定内容は実際のテンプレート/IaCファイルの内容を確認すること。

＜主な設定内容＞

デジタル庁が設定するセキュリティや監査ログの設定/収集に関するサービスの削除防止
東日本/西日本リージョン以外の使用禁止、未有効化リージョンの有効化禁止
ポリシーの適用除外設定により一部サービスの利用許可
現状、統制の実現が難しいと考えている一部サービスの禁止
- Azure Marketplace
- Azure CloudShell
- Azure Stack
- Azure VMware Solutions / Azure Redhat Openshift
ユーザーにMFAの有効化を強制し、必要な権限はRBACで管理
一度の誤操作で高額請求となるサービスの購入/実行防止
- リザーブドインスタンス
サブネットへのネットワークセキュリティグループ有効化
LogAnalyticsワークスペースにアクティビティログを転送

3.3 発見的統制の設定内容

「CIS Microsoft Azure Foundations Benchmark 1.4.0」、「ASC Default」、「環境の自動棚卸し機能」を用いて発見的統制を実施する
さらにセキュリティ対策を強化するためにAzureではDefender for Cloudを提供しており、ガバメントクラウドとしてはDefender for Cloud（有償プラン）を有効にすることを強く推奨する
コストの観点からガードレールとして強制的に有効にはせず、利用システム側の判断に一任する
有効化の方法については技術ドキュメントを参照すること

＜CIS Microsoft Azure Foundations Benchmark 1.4.0 の概要＞

	分類	主な発見的統制の項目
1	IDおよびアクセス管理	・MFAが有効になっていることを確認する・Microsoft Entra IDでセキュリティの既定値群が有効になっているようにする
2	Microsoft Defender for Cloud	・Microsoft Defender for Cloudが有効になっていることを確認する
3	ストレージアカウント	・安全な転送が必要が有効に設定されていることを確認する・最小TLSバージョンがバージョン1.2に設定されていることを確認する
4	データベースサービス	・監査がオンに設定されていることを確認する・監査保持期間が90 日以上であることを確認する
5	ログの監視	・アクティビティログを格納するストレージコンテナーにパブリックにアクセスできないことを確認する・診断ログがサポートされているすべてのサービスに対して有効になっていることを確認する
6	ネットワーク	・ネットワークセキュリティグループフローログの保持期間が 90 日を超えているようにする・Network Watcher が有効になっていることを確認する
7	Virtual Machines	・すべての仮想マシンの最新の OS 修正プログラムが適用されていることを確認する・すべての仮想マシンの Endpoint Protection がインストールされていることを確認する
8	セキュリティに関するその他考慮事項	・ミッションクリティカルな Azure リソースに対してリソースロックが設定されているようにする
9	AppService	・シークレットの格納に Azure Keyvault が使用されるようにする・Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する

CIS Microsoft Azure Foundations Benchmark 1.4.0 の規制コンプライアンスの詳細 - Azure Policy | Microsoft LearnOpens in new tab

＜ASC Default の概要＞

	分類	主な発見的統制の項目
1	ネットワークのセキュリティ	・インターネットに接続する仮想マシンは、ネットワークセキュリティグループを使用して保護する必要がある・関数アプリは最新の TLS バージョンを使用する必要がある
2	ID管理	・関数アプリではマネージドID を使用する必要がある・Cosmos DB データベースアカウントでは、ローカル認証方法を無効にする必要がある
3	特権アクセス	・Azure リソースに対する所有者アクセス許可を持つゲストアカウントを削除する必要があります。・複数の所有者がサブスクリプションに割り当てられている必要がある
4	データ保護	・Key Vault シークレットには有効期限が必要である・証明書には最長有効期間を指定する必要がある
5	アセット管理	・Azure API Management プラットフォームのバージョンは stv2 である必要がある・使用されていないAPI エンドポイントは、無効にし、Azure API Management サービスから削除する必要があります
6	ログと脅威検出	・Microsoft Defender CSPM を有効にする必要がある・Logic Apps のリソースログを有効にする必要がある
7	インシデント対応	・重要度 - 高のアラートの電子メール通知を有効にする必要がある・Network Watcher を有効にする必要がある
8	体制と脆弱性の管理	・関数アプリではリモートデバッグをオフにする必要がある・脆弱性評価ソリューションを仮想マシンで有効にする必要がある
9	エンドポイントセキュリティ	・サーバー用 Azure Defender を有効にする必要がある・マシンで Windows Defender Exploit Guard を有効にする必要がある
10	バックアップと回復	・仮想マシンに対して Azure Backup を有効にする必要がある・Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある
11	DevOpsセキュリティ	・Azure レジストリコンテナーイメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) ・Azure 実行中のコンテナーイメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用)

https://learn.microsoft.com/ja-jp/azure/governance/policy/samples/azure-security-benchmarkOpens in new tab

＜環境の自動棚卸し機能の概要＞

ガバメントクラウド管理組織が作成したAzure Functionsのアプリである。
Microsoft Entra テナント、ガバメントクラウド管理組織の環境、利用システムの環境を参照して、ユーザ情報、リソースのネットワーク構成情報、暗号鍵へのアクセス情報を取得し、棚卸し情報としてファイルに出力する。
※利用システムの環境の参照はAzureリソースベースでの構成情報や変更履歴の取得に限定されており、システム内部や保存されているデータにはアクセスせず、取得・保存を行わない。
棚卸し情報のファイルはガバメントクラウド管理組織の環境、利用システムの環境に配置され、内容の閲覧が可能である。
利用システムの管理者による環境の適正性の評価を補助することが目的である。

各棚卸しの目的

	分類	目的
1	ユーザ情報の棚卸し	GCAS SSO認証を前提とした利用システム環境において、人的アクセスの有無や例外的なアクセス手段の存在を評価し、セキュリティリスクの早期発見および適切なアクセス管理を目的とする。具体的には、各本番環境における人によるログイン可能なユーザの有無、例外的に発行されたアクセスキーの一覧化、ならびに外部から操作・アクセスしているユーザの棚卸しを通じて、不要または不適切なアクセスが存在しないかを評価する。
2	リソースのネットワーク構成情報の棚卸し	利用システムにおけるリソースのネットワーク構成情報を棚卸しし、外部との通信先を明確化することで、通信が適切な接続先に限定されていることを評価し、情報漏洩の未然防止を図る。
3	暗号鍵へのアクセス情報の棚卸し	実運用フェーズにおいて暗号鍵へのアクセスが人の手によって行われた場合、意図しない操作や情報漏洩などのセキュリティリスクが発生している可能性があるため、人的アクセスを棚卸し、リスクの発見と対応を可能にする。

3.4 発見的統制によるアラートの運用

ガバメントクラウド利用組織が発見的統制の仕組みによるアラートの確認/修正対応に責任を持つ。
脅威検出時にメールと通知システムでアラートを確認し対応する。
とくにサービスイン前後はアラートが多数出ることが想定されるため、アラート内容のレビューの体制やプロセスを計画すること。
通常運用中もアラート内容を恒常的に確認レビューし、優先順位を付けて対応していく。

図07: 発見的統制によるアラートの運用

3.5 発見的統制によるリソースの修復(是正的統制)

Defender for Cloudにて是正処置を行うことが可能だが、現在は整理されておらず、将来的に整理予定。
予防的統制を実施できない(実施すると利用者側の利便性が著しく悪くなる)が、一度設定されるだけで認証情報漏洩や攻撃の標的にされるリスクの高い設定は自動削除を実施する。

図08: 発見的統制によるリソースの修復(是正的統制)

3.6 必須適用テンプレートの提供方法

ガバメントクラウド利用組織にて適用する必須適用テンプレートをデジタル庁より提供する。
詳細な設定内容は実際のテンプレート/IaCファイルの内容を確認すること。

＜提供方法＞

テンプレート/IaCファイルについては、GCASアカウントを取得の上、GCASガイド（メンバー専用ページ）で公開されているガバメントクラウドテンプレート（メンバー専用ページ→ガバメントクラウドテンプレート/ポリシー→ガバメントクラウドテンプレート/ポリシーのダウンロードページ）を参照すること。
ARM TemplateまたはBicepにて提供する。
変更可能なパラメータ以外の記述を変更することはできない。

4 モダンアプリケーション

4.1 テンプレート/IaCファイルの全体像

ガバメントクラウド提供するテンプレート/IaCファイルは、自動適用テンプレート、必須適用テンプレート、サンプルIaCファイル、個別適用IaCファイルの4種類あり、このうちサンプルIaCファイルはモダンアプリケーション化の推進に有効なものである。

図09: テンプレート/IaCファイルの全体像

スケーラブルな Web アプリケーション - Azure Reference Architectures | Microsoft LearnOpens in new tab

4.2 サンプルIaCファイルの提供方法

ガバメントクラウド利用組織にて任意で適用するサンプルIaCファイルをデジタル庁より提供する。
サンプルIaCファイルの種類や構成、詳細な設定内容は実際のテンプレート/IaCファイルの内容を確認すること。

＜提供方法＞

ガバメントクラウド利用組織が、GCASからダウンロードできるようにする想定である。
ARM TemplateまたはBicepにて提供する。
ガバメントクラウド利用組織にて自由にカスタムすることが可能であるが、テンプレート/IaCファイルにより構築されたサービスはガバメントクラウド利用組織の責務となるため、テンプレート/IaCファイルの内容をよく理解した上で利用すること。

5 ネットワーク

5.1 GSSネットワークとの接続イメージ

詳細については、GCASアカウントを取得の上、GCASガイド（メンバー専用ページ）で公開されているドキュメントを参照すること。

5.2 クラウド接続サービスとの接続イメージ

詳細については、GCASアカウントを取得の上、GCASガイド（メンバー専用ページ）で公開されているドキュメントを参照すること。

6 可視化

6.1 データの可視化

ガバメントクラウド利用組織は、利用するCSPが提供するシステムメトリクス監視機能や、データ可視化機能を使って、自システム状況の可視化をし、システムの稼働状況や目的達成度合いを恒常的に把握する。
デジタル庁からこうしたデータ可視化に役立つダッシュボードのサンプルIaCファイルを利用システムに提供する。
現在提供準備中であり、仕様が確定次第本書を更新予定である。

図10: データの可視化

7 サポート

7.1 サポートの全体像

クラウドサービスに関する問合せはガバメントクラウド利用組織がクラウドサービス事業者に直接問い合わせる。
ガバメントクラウドに関する問い合わせはオンボーディングツールを通じてデジタル庁に問い合わせる。
事業者が直接ヘルプデスクに問合せすることも可能だが、適切なプロジェクト管理の観点から、事業者から直接問合せする際は、PJMOを必ず同報すること。

図11: サポートの全体像

7.2 利用できるAzureサポート

サポート契約
- デジタル庁がまとめてAzureサポートの契約を執り行い、ガバメントクラウド利用組織は個別にAzureサポートを調達する必要はない
- サポートレベルは下リンク先のマイクロソフトユニファイドサポートとなり、そのうちリアクティブサービスを利用可能
  - https://aka.ms/JPENTsupportOpens in new tab
サポート利用方法
- Azureポータルからチケットを起票してAzureサポートからの技術サポートを受けられる
- サポートチケット作成時の深刻度として、事業に大きな影響が発生する場合は”深刻度１または A”を指定可能
- サポートチケット作成時には下リンク先のサポートチームのブログを参照
  - https://jpaztech.github.io/blog/information/How-to-inquiry-to-the-Azure-Support/Opens in new tab
サポート専任要員（追加購入）
- サービスイン時の特別対応などが必要な場合は、追加購入でサポート専任要員をつけることができる
- 1年以上複数年にわたってサービスインしていく際や、巨大システムでCSPから手厚いサポートが必要な場合は、デジタル庁と相談の上、サポート専任要員を用意できる

8 初期設定

8.1 初期設定の概要

地方公共団体のガバメントクラウド利用組織は、Azureアカウント払い出し後の初期設定として下記の対応を行う必要がある。

なお、国の行政機関のガバメントクラウド利用組織は対応不要である。

地方公共団体の場合

① 必須適用テンプレート適用依頼の受領

② 必須適用テンプレート適用（Azure Firewallの作成のみ）

図12-1: 初期設定の概要　地方公共団体の場合

参考資料

改訂履歴

改訂年月日	改訂箇所	改訂内容
2023年03月27日	-	新規作成
2023年04月12日	1.2 管理グループ	提供環境について記載の修正
2023年07月03日	1.1 全体構成 3.1 ガバナンス・セキュリティの全体像 4.1 テンプレートの全体像	図の修正図の修正図の修正
2023年07月24日	2.1 ユーザーの全体像	図の修正
2023年09月22日	-	版数の統一
2023年11月02日	1.1 全体構成、1.2 管理グループ、3.3 発見的統制の設定内容 2.1 ユーザーの全体	Azure AD名称変更対応ユーザー管理の全体像に関する図の修正
2023年11月27日	はじめに 5 ネットワーク	ドキュメントの体系図の修正 GSSネットワーク接続の修正
2024年02月02日	- 1.1 全体構成、1.2 管理グループ 3.1 ガバナンス・セキュリティの全体像 3.6 必須適用テンプレートの提供方法	サービスの名称変更通知の削除 Azure環境の構成変更地方公共団体用Azure Firewallの追記必須適用テンプレートの提供方法の修正
2024年03月01日	1.2 管理グループ 1.2 管理グループ 1.2 管理グループ、5 ネットワーク 2.1 ユーザーの全体像 2.2 払い出すユーザーの種類と権限 7.1 サポートの全体像	Azure環境の構成変更に伴う文言の修正図03: 管理グループの修正「～予定」記載個所の修正 GCAS SSOを考慮した内容に修正、図の差し替え記載内容を拡充表記揺れの修正
2024年03月29日	1.1 全体構成	表記揺れの修正
2024年06月14日	2.1 ユーザーの全体像	表記揺れの修正
2024年07月19日	3.1 ガバナンス・セキュリティの全体像	記載内容を拡充
2024年07月19日	3.6 必須適用テンプレートの提供方法	ガバメントクラウドテンプレートのダウンロードページについて記載を修正
2024年09月02日	3.4 発見的統制によるアラートの運用	図の修正
2024年09月02日	8 初期設定	新規作成
2024年10月24日	3.3 発見的統制の設定内容	Microsoft Defender for Cloud - クラウドセキュリティ態勢管理にセキュリティ基準の記載内容を拡充
2024年10月24日	2.1 ユーザーの全体像	表記揺れの修正
2024年11月29日	2.2 払い出すユーザーの種類と権限 3.2 予防的統制の設定内容	図及びユーザーの権限についての記載内容を修正記載内容を拡充
2024年12月26日	8.初期設定	MFA設定手順の削除
2025年02月18日	-	版数の統一
2025年03月24日	8.1 初期設定の概要	Azure環境払い出し後の初期設定の内容修正
2025年03月28日	はじめに 8.1 初期設定の概要 8.2 サインイン、8.3 初期パスワードの設定	イメージ図の修正 Azure環境払い出し後の初期設定の内容修正記載の削除
2025年06月27日	2.2 払い出すユーザーの種類と権限 3.2 予防的統制の設定内容	「GCAS SSO移行に係る事前作業マニュアル」への参照を削除ポリシーの適用除外に関する記述の変更
2025年07月25日	全体 3.1 ガバナンス・セキュリティの全体像 4.1 テンプレート/IaCファイルの全体像	テンプレートの名称変更に伴う修正図の更新図の更新
2025年08月29日	2.1 ユーザーの全体像	Microsoft Entra IDに関する記述を追記 GCASシングルサインオン機能利用開始以前の記述を削除
2025年09月12日	7.1 サポートの全体像	サポートの全体像の修正
2025年11月28日	3.1 ガバナンス・セキュリティの全体像 3.3 発見的統制の設定内容	図の修正環境の自動棚卸し機能に関する記述を追記