ガバメントクラウドってなんだ？

2025.01.31

この記事をシェアする

はじめに

こんにちは、CloudBuildersのsugawaraです。

1月よりガバメントクラウドに関する案件に参画しています！今回は自分がキャッチアップのために調べた内容を整理してまとめてみました。ガバメントクラウドに興味のある方、これから取り組む方々の参考になれば幸いです。

ガバメントクラウドとは

定義

デジタル庁によると、ガバメントクラウドとは“政府共通のクラウドサービスの利用環境です。クラウドサービスの利点を最大限に活用することで、迅速、柔軟、かつセキュアでコスト効率の高いシステムを構築可能とし、利用者にとって利便性の高いサービスをいち早く提供し改善していくことを目指します。地方公共団体でも同様の利点を享受できるよう検討を進めます。”とのことです。

ポイントは、下記の3点です。

政府と地方公共団体が共通で利用するクラウドサービスである。
クラウドサービスの利点（迅速・柔軟・セキュア・コスト効率）を生かしてシステムを構築を行う。
サービスを素早く提供し、改善を行う。

背景

ガバメントクラウドが必要とされる背景には、これまで国や地方公共団体が独自にシステムを開発・運用していたことによる課題があります。具体的には、以下のような問題が生じていました。

コスト負担の増加
システムが各自治体ごとに異なるため、維持管理や制度改正時の対応に多大なコストがかかる。
クラウド活用の遅れ
システムの仕様の違いにより、クラウド利用が進まず、効率的な運用ができない。
全国普及の遅延
新しい住民サービスや取り組みを全国に普及させるのに時間がかかる。

また、サービスの利便性や安全性にバラつきが生じ、個人情報の流出などのリスクが高まっていました。これらの課題を解決するために、共通のクラウドサービス環境が整備されることになりました。

GovCloudとの違い

似たような言葉として、AWSにはGovCloud(US)という米国リージョンが存在します。これは米国政府機関やそのパートナー企業専用に作られたものであり、セキュリティやコンプライアンス要件の都合上、他のAWSリージョンからは隔離されています。

一方、日本のガバメントクラウドは、デジタル庁がパブリッククラウドを契約し、統制を強化したものです。GovCloudのような専用のリージョンを構築するのではなく、パブリッククラウドを政府向けに最適化する形を取り、政府機関や自治体向けに共通化と効率化を重視しています。

両者とも高いセキュリティやコンプライアンス要件を前提としていますが、GovCloudは隔離された専用環境であるのに対し、日本のガバメントクラウドはパブリッククラウドを活用しつつ、政府機関向けに管理と統制を強化したモデルであるという点が大きな違いです。

対象クラウドサービス

下記の表はデジタル庁の公募の結果、選定されたガバメントクラウドの対象クラウドサービスをまとめたものです。当初はNo. 1~4の4社でしたが、令和5年度の新規募集の際に国産クラウドであるさくらのクラウドも追加されました。

No.	クラウドサービス名
1	Amazon Web Services（AWS）
2	Google Cloud
3	Microsoft Azure
4	Oracle Cloud Infrastructure
5	さくらのクラウド※

※2025年度末までに全ての要件を満たす条件付き

各自治体は、これらのクラウドサービスを活用してDXに取り組みます。
※本記事ではAWSに関する情報に焦点を当ててまとめています。

対象業務

デジタル庁は段階的に各自治体の業務をガバメントクラウドに移行することを推進しています。現状は、2025年度末までに各自治体の特定業務の移行を目指しています。ここで対象となる業務は、標準化対象事務と呼ばれる20の業務です。以下の表に標準化対象事務をまとめました。

分類	標準化対象事務（20業務）
子ども関連	1. 児童手当 2. 子ども・子育て支援 3. 児童扶養手当 4. 就学
戸籍・住民基本台帳関連	5. 住民基本台帳 6. 戸籍 7. 戸籍の附票 8. 選挙人名簿管理
税金関連	9. 固定資産税 10. 個人住民税 11. 法人住民税 12. 軽自動車税
保険・年金・福祉関連	13. 健康管理 14. 障害者福祉 15. 介護保険 16. 国民健康保険 17. 後期高齢者医療 18. 国民年金
その他	19. 印鑑登録 20. 生活保護

どれも各自治体の重要な業務であり、影響範囲はとても広いです。これらの業務を各自治体はベンダーと協力しながら、ガバメントクラウドへの移行を進めています。

ガバメントクラウドの役割と仕組み

ガバメントクラウドでは、デジタル庁の責任範囲として主に下記の3つが挙げられます。

ガードレール（全体利用ポリシー）
テンプレート（リファレンス構成）
環境（払い出し）

（ガバメントクラウド概要解説より抜粋）

上記の3つの役割について、AWSの例を用いながら詳しく見ていきたいと思います。

ガードレール（全体利用ポリシー）

ガードレールとは、クラウド利用における全体的なポリシーやガイドラインのことです。これにより、統一された利用ルールが確立され、セキュリティや運用面での管理が効率化されます。

ガードレールには、主に次の2種類に分けられます。

予防的ガードレール：
クラウド利用の制約や事前設定を通じて、誤設定やセキュリティリスクを未然に防ぐ。
発見的ガードレール：
クラウド環境の監視やログ管理を通じて、問題を検出し適切に対応する。

以下はAWSにおけるそれぞれのガードレールの全体像になります。

予防的ガードレールでは、AWS Control TowerとAWS Organizationsを用いて、予め最低限制限すべきものを設定しています。

具体的には、下記のような項目になります。

セキュリティや監査ログの収集に関するサービスの削除防止
管理者用及び作業者用ユーザーアカウントのログイン時に物理MFAの強制
東京/大阪リージョン以外の使用禁止、未有効化リージョンの有効化禁止
セキュリティ上問題となりやすい一部サービスの禁止

発見的ガードレールでは、AWS Control TowerとAWS Organizationsに加えて、AWS Security HubとAmazon GuardDutyを用いて、問題の早期発見と迅速な対応を可能にします。

具体的には、下記のような項目になります。

アカウント保護、ストレージ保護、セキュリティ監視、ログ管理、鍵保護、データ暗号化、攻撃対策等に関するクラウドサービスの有効化による管理リソースのモニタリング及び不正の検出

これら2つのガードレールを組み合わせることで、クラウド環境におけるセキュリティの基準を統一することができます。予防的ガードレールによりリスクを事前に排除し、発見的ガードレールによって継続的な監視と迅速な対応を実現することで、安全かつ効率的にパブリッククラウドを管理運用するができます。

テンプレート（リファレンス構成）

ガバメントクラウドでは、標準化された構成テンプレートが提供されます。これにより、各プロジェクトは迅速かつ効率的にクラウド環境を整備することができます。

下記は構成テンプレートの一覧です。この中で重要なのは、自動適用テンプレートと必須適用テンプレートになります。

（ガバメントクラウド概要解説（全編）3.3.1 環境の全体像より抜粋）

両者の大きな違いは、誰がテンプレートの適用を実行するのか、何に対して実行するのかです。

自動適用テンプレートは、デジタル庁が環境の払い出しの際に、環境そのものに対して自動で適用するテンプレートとなります。環境が引き渡された時点で、前項で説明した予防的・発見的ガードレールが設定され、基本的なセキュリティやガバナンスルールが設定されます。

一方、必須適用テンプレートは、システムの構築／運用者が、発見的ガードレールの対象となるリソースに対して、そのテレメトリーの収集設定とアラート通知の設定を手動で行うものです。

下記の構成図は、各テンプレートの守備範囲を端的に表したものです。
※すべてのAWSサービスが記載されているわけではありません。

（ガバメントクラウド利用概要（AWS編）4.1 テンプレートの全体像より抜粋）

環境（払い出し）

各自治体が利用するクラウド環境の払い出しは、デジタル庁が一括して行います。今回は地方公共団体が利用するAWS環境に限定して説明します。

各自治体は、下記の2つの利用形態からどちらかを選択します。

単独利用方式：特定の自治体が単独で利用する専用クラウド環境。独自のガバナンスが可能。
共同利用方式：複数の自治体が共同利用するクラウド環境。SaaS形式で利用可能。

下記の図は、それぞれのステークホルダーとの関係図になります。

（ガバメントクラウド概要解説（全編）　3.3.2 ユーザーの全体像より抜粋）

単独利用方式では、独自のガバナンスを利かせやすいですが、各自治体がAWSアカウントを管理する必要があります。一方、共同利用方式ではパッケージベンダーがアカウントを管理・運用するため、管理コストはかかりません。ただし、個別の自治体ごとの要件には対応できません。

これらの環境を選択し、各自治体はガバメントクラウドへの移行を進めています。なお、自分の現在の常駐先では、共同利用方式のほうが圧倒的に多いという印象です（やっぱり自治体内でアカウント管理などは煩わしいのか）。

なお、図のデジタル庁内にあるGCASですが、正式にはGCAS（Government Cloud Assistant Service）といいます。ガバメントクラウドに関する情報提供や問い合わせ対応、利用申請などを行うWebサービスのことです。こちらで利用申請を行うことで、AWSアカウントが払い出されます。

GCASの利用申請にはマイナンバーカードが必須となります。また、アカウントの払い出し後、物理MFAデバイスによる多要素認証も設定します。

おまけ

YouTubeに『ガバクラ推奨構成言えるかな？ AWS編 / Gov-Cloud Rap for AWS』というものがアップロードされています。ご興味のある方は下記よりお楽しみください！

おわりに

今回はガバメントクラウドの概要について紹介しました。初めてのガバメントクラウド案件のため、色々な資料や動画などでキャッチアップしていますが、情報量に圧倒される毎日です。（結局、ガバメントクラウドの大枠しかまとめられず。）

まだまだ自分もわかっていないことが多いのですが、調べて学んだことをアウトプットしてみました。これからガバメントクラウドの対応をされる方に少しでも参考になると幸いです！