いまさら聞けない「ガバメントクラウド接続」の基本

2024.07.29

その他

はじめに

こんにちは、チータです。

昨年9月に公開した記事でガバメントクラウドの基本的な内容について紹介しました。そして昨年9月以降に動きがあり、国産クラウド事業者がガバメントクラウド認定事業者として決まりました。

さらに今年4月には、デジタル庁のガバメントクラウド関連の文書に大きな改定があり、「ガバメントクラウド接続サービス」という言葉やその内容に関する記述がなくなりました。また、デジタル庁は自治体ネットワークの整備について、今後のゼロトラストアーキテクチャーの考え方を導入するという方針を示しています。現時点では状況が混沌としているように感じますが、これから将来にかけてフレキシブルに対応できるネットワーク構成を検討し、段階的に対応していくことが大事になってきています。

2025年度末(令和7年度末)までの移行完了に向けて、地方公共団体において具体的な導入検討が進んでいるガバメントクラウドですが、本記事では、いまさら「ガバメントクラウド接続って何?」とは聞けなくなってしまった方やこっそりと復習したい方々へ、その基本的な内容にフォーカスして解説します。

本文中では関連する記事も紹介していますので、併せてお読みください。

目次

ガバメントクラウドとは?(おさらい)


ガバメントクラウドの仕組み・イメージ図1:ガバメントクラウドの概念図

「ガバメントクラウド」とは、政府が調達・整備・運用管理する、政府機関と地方公共団体のための共通のクラウドサービス利用環境のことです。図1に概念図を示します。情報システムを標準化、共通化することで地方公共団体ごとの業務アプリケーションの差異をなくし、地方公共団体が効率的に業務を遂行できることによる住民サービスの利便性向上や、システムの互換性確保、コスト削減・ベンダーロックインの解消などが期待されています。

ちなみに「ガバメントクラウド」というクラウド自体が存在しているのではなく、デジタル庁の定めた要件を満たしたクラウド事業者のクラウドサービスを政府が契約し、各地方公共団体に提供する形になっています。そして「全国約1700の地方公共団体が2025年度末までにデジタル庁が整備するガバメントクラウドを活用した標準準拠システムに移行」するという基本方針が閣議決定されており、そこに向けてガバメントクラウドへの移行に関する動きが本格化してきています。

詳しくは「ガバメントクラウドとは?メガクラウドの接続ポイントが設置されているデータセンター会社が解説します!」をご覧ください。

デジタル庁のガイドラインの改定

2024年4月24日、デジタル庁がガバメントクラウド接続についての要件などを細かく定めた「地方公共団体情報システムのガバメントクラウドの利用に関する基準【第1.0版】」が改定され、「地方公共団体情報システムのガバメントクラウドの利用について【第2.0版】」となりました。大きな改定ですので、新旧対応表がデジタル庁のサイトで公開されています。ぜひご一読ください。大きな変更点の一つとして、「ガバメントクラウド接続サービス」に関する記述が丸ごと削除されてしまったことが挙げられます(*1)。

これはどういうことが背景にあるのでしょうか?

クラウドの利用については、民間企業においても導入が進んでいます。また、情報システムのセキュリティ対策は、従来は組織内のネットワークとインターネットの境界にファイヤーウォールなどを設置し、通信を監視・制御する境界型セキュリティでした。近年では、組織内ネットワークの外側にあるクラウドにさまざまなデータを保存することや、クラウド上に構築された業務アプリケーションを実行することも増え、従来からの境界型セキュリティでは対応が難しくなっています。そこで、境界の内側も外側も危険であるという前提で、全ての通信を信頼せずユーザー認証や制御を行うべきという「ゼロトラスト」の考え方に基づいたセキュリティ対策が急速に普及しつつあるのです。

政府情報システムにおいても今後ゼロトラストアーキテクチャーが導入される方向性がある中で、デジタル庁の「ガバメントクラウド概要解説(全編)3.3.3ネットワークの全体像」では、国の行政機関においては「セキュリティが十分担保」された上で「インターネット経由での接続を基本」とすると記載されています。

しかし、地方公共団体においては「従来の三層分離(*2)でのセキュリティ対策が標準のガイドラインに基づく」となっており、各地方公共団体ネットワーク拠点からの接続については、依然、三層分離の対応や専用線等を用いた閉域接続が必要となっています。

このようなことからガバメントクラウド接続を検討するにあたり、インターネット回線を経由しない閉域ネットワークであることなどの要件は変わらないものの、将来のゼロトラストアーキテクチャーへの移行も考慮し、構成の変更にも柔軟に対応していけるフレキシブルなネットワークで繋ぐことが重要となってきていると言えます。詳しくは、こちらのコンテンツも併せてお読みください。

*1 本ブログ執筆中に本文書は【第2.1版】に改定されています。ガバメントクラウド接続についての変更は特にないようです。新旧対応表も公開されていますので、ご参照ください。

*2 地方公共団体の情報システムを、扱う業務によってマイナンバー利用事務系、LGWAN接続系、インターネット接続系の3つの異なる環境に分類し、それぞれの環境で適切なセキュリティ対策を施すことで、地方公共団体の情報セキュリティ対策の向上を図るもので境界型セキュリティに分類される。

ガバメントクラウド接続とは?

概要

「ガバメントクラウド接続」とは、地方公共団体の庁舎(拠点)から「ガバメントクラウド」までを通信サービスで接続することです。デジタル庁は「ガバメントクラウド」を提供してくれますが、「ガバメントクラウド接続」については、地方公共団体が自身で調達して整備する必要があります。

そのシステム構成は、既存の業務アプリケーションの構成や利用しているベンダー、また地域ごとに異なる利用可能な通信回線の選択肢などの要因により、さまざまな構成が考えられます。

しかし、難しいものと捉えることはありません。ガバメントクラウド接続を実現するために必要となる5つの基本的な要素を理解することで、地方公共団体からのガバメントクラウド接続を具体的に検討するにあたりとても役に立ちますので、見ていきましょう。

                               
「ガバメントクラウド接続サービス」についての文言がデジタル庁のガイドライン文書から丸ごと削除されてしまったということは、ガバメントクラウドまでの接続は地方公共団体が自分たちで用意しなければいけなくなってしまったということでしょうか?
はい、ご認識の通りです。ガバメントクラウドはデジタル庁が提供してくれるのですが、「ガバメントクラウド接続サービス」については、デジタル庁のガイドライン文書の改定に伴い、文書から削除されてしまいました。ガバメントクラウド接続は、地方公共団体で調達する必要があります。将来のゼロトラストアーキテクチャー導入も見据えて、フレキシブルに対応できる構成にしておくことが大事です。

ガバメントクラウド接続を理解するための5つのキーワード


ガバメントクラウド接続の概要

図2:ガバメントクラウド接続の概要

地方公共団体の拠点からガバメントクラウドへ接続するためには、図2のように「地方公共団体ネットワーク拠点」「ガバメントクラウド」「クラウド接続拠点」とそれらを接続するための「アクセス回線」「クラウド接続サービス」から構成される、と考えると理解しやすくなります。ここでは、図2に登場する5つのキーワードについて説明します。

1.地方公共団体ネットワーク拠点とは?

「ガバメントクラウド」へ接続するための通信回線(後述する「アクセス回線」)の出発点となる拠点を指します。図2に示すように、地方公共団体のローカルネットワークが構築されている庁舎以外にも、業務アプリケーションがその提供ベンダーのデータセンターで構築されている場合は、そのデータセンターが該当する場合も考えられます。

一方で都道府県WANを経由して「ガバメントクラウド」へ接続する地方公共団体もあるかもしれません。その場合は、都道府県WAN内の集約拠点が出発点となります。また、例えばメイン回線をベンダーのデータセンターから、バックアップ回線を都道府県WAN経由で集約拠点から、というように組み合わせて構成する場合もあります。

2.ガバメントクラウドとは?

デジタル庁に認定されているクラウド事業者のクラウドサービスを指します。表1に示すように、現在Amazon Web Services(AWS)、Azure、Google Cloud、Oracle Cloudに加え、国産サービスとしてさくらインターネットの「さくらのクラウド」の5つが認定されています。「さくらのクラウド」は2023年度募集で国内事業者として初めて認定されました(*3)。デジタル庁は、これらのクラウド事業者からクラウドサービスを調達し、地方公共団体に対して「ガバメントクラウド」として提供されます。

クラウド事業者 クラウドサービス名
Amazon Web Services Amazon Web Services(AWS)
Microsoft Azure
Google Google Cloud TM
Oracle Oracle Cloud
さくらインターネット さくらのクラウド

表1:デジタル庁に認定されているクラウド事業者のクラウドサービス

*3「さくらのクラウド」のガバメントクラウドとしての認定は、2025年度末までに技術要件をすべて満たすことを前提とした条件付きの認定です。

3.クラウド接続拠点とは?

「ガバメントクラウド」を提供するクラウド事業者に閉域ネットワークで接続するための「クラウド接続サービス」(詳細は後述)を利用する拠点を指します。「地方公共団体ネットワーク拠点」は、後述する「アクセス回線」を使ってこの「クラウド接続拠点」へ接続しますので、「クラウド接続サービス」への橋渡しをする拠点と言えます。そして実はこの「クラウド接続拠点」の選び方がとても重要になってきます。

複数のクラウド事業者を利用することはよくあることです。また、各々の地方公共団体には、今回ガバメントクラウドへ移行する業務アプリケーション(いわゆる20業務)以外にも業務アプリケーションが存在するかと思います。これらはひとまずベンダーのデータセンターなど既存の場所に残すことになるかもしれませんが、将来的にはクラウドへの移行もあるかもしれません。都道府県WANで集約して「ガバメントクラウド」へ接続する場合でも、各市町村に特有の業務アプリケーションを「ガバメントクラウド」以外のクラウドで構築するようなことが発生するかもしれません。

一方、AWSのようなクラウド事業者のシステムは非常に大規模ですが、その出入口となる接続ポイント(POP : Point of Presence)については、ネットワークの接続性が良い、極めて限られたデータセンターにしか設けられていません。日本国内では、AWSの場合、東京はアット東京のCC1/CC2、エクイニクスのTY2、NEC印西という3つのデータセンターにのみ、大阪はエクイニクスOS1の1つしかありません。「クラウド接続拠点」がこれらのPOPと同じ拠点に存在するのであれば、物理的に安全であるだけではなく、ネットワークをシンプルにして通信遅延も最小に抑えられます。クラウドから至近距離というわけです。またアット東京のCC1/CC2には、AWS以外にもAzureやGoogle CloudのPOPがありますので、複数のクラウド事業者を利用する場合にも効率的な接続を構成できます。

このように、マルチクラウドへの対応や、今後の「地方公共団体ネットワーク拠点」の変更や業務アプリケーションの発展などを考慮しますと、クラウドの出入口となる「クラウド接続拠点」を中心にガバメントクラウド接続の構成を組み立てることがおススメです。ネットワークが図2のようにスター型となり無理がなく最もシンプルに構成できるため、さまざまな接続ニーズや将来的な拡張に対してフレキシブルに対応することができるからです。

4.アクセス回線とは?

「地方公共団体ネットワーク拠点」と、「クラウド接続拠点」とを繋ぐ通信回線を指します。各地方公共団体は、「アクセス回線」を調達する必要があります。

通常であれば、通信事業者の提供する各種専用線サービスを利用することが一般的です。2拠点を結ぶ専用線サービスは、一般的に距離が長いほどその利用料金が高くなります。専用線サービスは日本全国のどこでも提供されているわけではないので、「地方公共団体ネットワーク拠点」と「クラウド接続拠点」がどこにあるのかによって、利用できる専用線サービスの選択肢が限られる場合もあり、注意が必要です。

例えば、後述するATBeXのような、全国にあるアクセスポイントや提携データセンターから利用することのできる「クラウド接続サービス」を利用すると、「地方公共団体ネットワーク拠点」から「クラウド接続拠点」までの距離を短くすることが可能となり「アクセス回線」のコストを大きく下げることができる場合があります。

この辺りの詳しい内容に関しては、前回記事の「各地方公共団体からのガバメントクラウドへの接続イメージ」の章もご覧ください。

5.クラウド接続サービスとは?

「クラウド接続拠点」から「ガバメントクラウド」を閉域ネットワークで繋ぐ接続サービスを指します。地方公共団体はこの「クラウド接続サービス」も調達する必要があります。「クラウド接続拠点」まで「アクセス回線」で繋げば、「ガバメントクラウド」への接続ができるものと思われた方がいるかもしれませんが、その間を繋ぐ「クラウド接続サービス」も必要になるのです。

実際に「クラウド接続サービス」を使ってクラウド事業者と閉域接続する場合、(1)クラウド事業者が認定するパートナー企業が提供するサービスと、(2)クラウド事業者が提供するサービスを、セットで契約する必要があります。当社アット東京の提供するATBeXは(1)のサービスを提供しています。(2)については、例えばAWSの場合AWS Direct Connectというサービスがあります。AWS Direct Connectは、「AWSの専用線接続サービス」といったような言葉で説明がなされることが多く、通信事業者の専用線サービスのように思えてしまうかもしれません。AWS Direct Connectは、ATBeXなど(1)のサービスに対して、AWSの入口でその対向となるサービスと言えます。図3にATBeXを利用してAWSへ接続する例を示しました。

また、AWS Direct Connectについては、こちらのブログ「【保存版】AWS Direct Connectとは?概要やVPNとの違い、接続タイプについて詳しく解説!」の中の「AWS Direct Connectを使う上での注意点」でも詳しく解説していますので、ぜひお読みください。

以上、ここまで「ガバメントクラウド接続」を理解するのに重要な5つのキーワードについて説明しました。

ATBeXを利用するAWSへの接続例

図3:ATBeXを利用するAWSへの接続例

                               
地方公共団体で調達しなければならないものが多いんですね・・・。整理すると「アクセス回線」「クラウド接続サービス」を確保しなければいけないということでしょうか?
はい、ご認識の通りです。
「クラウド接続拠点」となるデータセンターを中心に構成すると、将来的な変更や拡張にも対応できるフレキシブルなネットワークを作ることができますよ。
                               
なかなか大変そうですね・・・。「アクセス回線」「クラウド接続サービス」「クラウド接続拠点」「ガバメントクラウド」を準備すればそれで完成でしょうか?
実はそれだけでは不十分なんです・・・。
「クラウド接続サービス」では、「クラウドの入口でそれと対向となるサービス」も必要となりますし、業務アプリケーションが動作するVPCまでのクラウド内のネットワークも構築する必要がございます。

これでガバメントクラウドへの接続は完成か?

これまでに説明した5つの項目について準備をすれば「ガバメントクラウド」への接続はもう十分です!と言いたいところなのですが、実を言うと「ガバメントクラウド」上に構築・移行した地方公共団体の業務アプリケーションへ接続するためには、これだけでは不十分なのです。

クラウド事業者ごとにサービスの内容は異なりますが、例えばAWSではコンピューティングやストレージをはじめとして、機械学習やIoTといったさまざまなサービスが200以上提供されています。そして、AWS上に構築される地方公共団体の業務アプリケーションが動作する環境は、それらの中から必要なものを組み合わせて実現されています。さきほどのAWS Direct Connectで提供されるのは、クラウド事業者の入口となるDirect Connect Gateway(DXGW)と呼ばれるところまでであり、地方公共団体の業務アプリケーションが主に構築され動作している領域(「VPC」:Virtual Private Cloud)までの接続が提供されるわけではありません。(前項の図3も参考にしてください。)

つまり、クラウドサービスの中でさらにネットワークを構築しなければならないのです。クラウドサービスでの業務アプリケーションの構築・運用管理業務(*4)については、それを提供するベンダーへ委託する場合が多いようですが、このクラウドサービス内のネットワークまでカバーされないこともあるようです。地方公共団体が別途手配する必要がありますので、注意が必要です。ガバメントクラウド運用管理補助者については、こちらのブログも参考にしてください。AWSのWebサイトでも解説されていますので、参考にされると良いでしょう。

*4「地方公共団体情報システムのガバメントクラウドの利用について【第 2.1 版】」における「ガバメントクラウド運用管理補助者」

                               
「ガバメントクラウド運用管理補助者」も自分たちで調達しないといけないのでしょうか。
「ガバメントクラウド運用管理補助者」は業務アプリケーションを構築するベンダーへ委託する場合が多いようです。しかし、クラウド内のネットワーク部分までカバーされないことが多いようですので注意が必要です。

ガバメントクラウド接続に最適なATBeX

ここでアット東京のATBeX(AT TOKYO Business eXchange)を紹介させていただきます。

ATBeXはアット東京が提供している通信サービスで、当社のデータセンター間および提携データセンター間で複数のお客さま同士の接続を提供しており、データセンターをご利用のお客さまとクラウドサービスとの接続にも多くご利用いただいています。接続できるクラウド事業者には、デジタル庁に「ガバメントクラウド」として認定されている4クラウド(AWS、Azure、Google Cloud、Oracle Cloud)が含まれています。他にもIBM Cloudなど接続可能なクラウドもありますので、ガバメントクラウドへ移行する20業務の他にこの4クラウド以外のクラウドを併せて利用する場合にもATBeXなら対応可能です。もちろん、当社のデータセンターでラック等のご利用が全くないお客さまでも、お客さまの拠点から当社のデータセンターまで専用線などで接続していただければATBeXがご利用可能となっております。

図4に示すようにアット東京のデータセンターでは、クラウドサービスへ接続可能なATBeXが利用できるため、ガバメントクラウド接続においては「クラウド接続拠点」であり、ATBeXは「クラウド接続サービス」を提供しています。

ガバメントクラウド接続の概要図4:ガバメントクラウド接続の概要

ATBeXを利用できる当社のデータセンター(ATBeXアクセスポイント(AP)と言います)は、東京と大阪だけではなく、札幌、福岡、広島、沖縄の各都市にもあり、今年秋頃には高松にも追加されることを先日発表しました。今後もさらに別の都市にも展開していく予定です。また、当社の提携データセンターからもATBeXを利用することが可能です。そのため、ATBeXを利用することで「地方公共団体ネットワーク拠点」と「クラウド接続拠点」の間を結ぶ「アクセス回線」の利用距離を短くすることが可能で、ガバメントクラウド接続にかかるコストを大きく抑えることができます。先に紹介した図3ではAWSへの接続例を示しています。

アット東京はキャリアニュートラルな事業者であり、さまざまな「アクセス回線」を提供する通信事業者とも連携が可能ですので、「アクセス回線」と「クラウド接続サービス」を一括で提供することもできます。ガバメントクラウド運用管理補助者についても、パートナー企業さまなどを紹介することが可能です。

ATBeXを利用したガバメントクラウドへの接続の具体例を図5に示しました。これは、AWSとAzureの2つのクラウドへの接続例ですが、アット東京のデータセンターにラックのご契約がない場合でも専用線を終端可能な「ONUお預かりサービス」や、マルチクラウド接続におけるクラウド間通信時にATBeX内での折り返し通信を可能とする「仮想マネージドルータサービス」を利用しています。地方公共団体からガバメントクラウドまでの回線を二重化して冗長構成とし、信頼性の高いクラウド接続を実現しています。

ATBeXを利用したガバメントクラウドへの接続例図5:ATBeXを利用したガバメントクラウドへの接続例

なおATBeXについての詳しい説明は、こちらをご覧ください。

また当社のガバメントクラウド接続サービスについてはこちらをご覧ください。

ガバメントクラウド接続サービスの検討でお悩みの方は、ぜひお気軽にお問い合わせください。

ガバメントクラウド接続に関するよくある質問

最後に、ATBeXについて、ガバメントクラウド接続関連でよく聞かれる質問についてご紹介します。

Q1.「アクセス回線」やガバメントクラウド運用管理補助業務も合わせて一括で調達したいが可能でしょうか?

A1.アット東京は、キャリア・ベンダーニュートラルな事業者です。さまざまなアクセス回線を提供する通信事業者やガバメントクラウド運用管理補助業務を提供するパートナー企業とも連携が可能です。

Q2.「クラウド接続拠点」までの「アクセス回線」コストを低減したいのですが可能でしょうか?

A2. ATBeXを利用できるアット東京のデータセンターは東京と大阪以外の都市にもありますので、「アクセス回線」の距離を短くして回線コストを大きく低減することが可能です。また、アクセス回線部分にNTT東日本・西日本の提供するフレッツ回線を利用可能な「ATBeXクローズドアクセスType-A」という新サービスも販売開始しました。併せてご検討ください。

Q3.業務アプリケーションによってクラウドサービスが異なる場合があるため、マルチクラウドに接続したいのですが可能でしょうか?

A3. ATBeXの仮想マネージドルータサービスの利用により、クラウド間の通信をATBeX内で折り返し通信することが可能です。そのため、マルチクラウドへ接続しても「アクセス回線」を増やすことなく1つにすることができ、通信回線のコストを抑えたままマルチクラウド構成を実現することが可能です。

Q4. ガバメントクラウドへ移行する20業務以外の業務アプリケーションも併せてクラウドへ移行したいのですが、可能でしょうか?

A4. 可能です。ATBeXでは、ガバメントクラウドとして認定されているAWS、Azure、Google Cloud、Oracle Cloud以外にIBM Cloudなどへの接続にも対応しています。例えば、20業務以外の業務アプリケーションでIBM Cloud上で動作するものが存在しても、ATBeXであれば併せてクラウド接続を実現できます。

Q5. クラウド接続先の追加は必要なタイミングで速やかに行いたいのですが、どれくらいの期間がかかりますか?また、将来的な需要の変動に対応するために帯域を変更することは可能ですか?

A5. クラウド接続のための論理回線は、最短2営業日でオンデマンドでの開通が可能です。クラウド接続の帯域変更も可能です。ただし、接続先のクラウド事業者ごとにルールや手続きが異なりますので注意が必要です。詳しくはこちらのブログもご参照ください。

Q6. BCP対策としてのエリア冗長(東京・大阪冗長)を効率的に実現したいのですが可能ですか?

A6. ATBeXはガバメントクラウド認定クラウドの東京・大阪の両リージョンに接続することができるため、東日本エリアと西日本エリアでそれぞれ独立させた、広域災害に対応した冗長構成を実現することが可能です。

上記以外にもATBeXに関するFAQを紹介していますので、こちらもご参照ください。

おわりに

今回の記事はここまでです。本記事では「ガバメントクラウド接続」に焦点を当てて、基本的な内容について解説しました。ガバメントクラウド接続を検討する際に少しでも参考になれば幸いです。

ガバメントクラウド運用管理補助者に関するお問い合わせや、ガバメントクラウド周辺の業務アプリケーションのクラウド接続、ガバメントクラウド移行後を見据えたお問い合わせも増えてきています。アット東京では、多くのパートナー企業と連携した提案が可能です。ぜひアット東京にお問い合わせください。

【追記】

参考となるATBeXポータル内のコンテンツや、外部サイトを以下にご紹介します。併せてご覧ください。

ガバメントクラウドとは?メガクラウドの接続ポイントが設置されているデータセンター会社が解説します!

ATBeXを用いたガバメントクラウド接続

ガバメントクラウド接続サービス

【保存版】AWS Direct Connectとは?概要やVPNとの違い、接続タイプについて詳しく解説!

AWS Direct Connectの帯域変更ってどうやるの?② ~ATBeXの場合~

ガバメントクラウド運用管理補助者って何?【その1】

ガバメントクラウドの道案内『自治体職員編』」(AWS Webサイト)

ガバメントクラウドの道案内『ネットワーク構築運用補助者編』」(AWS Webサイト)

この記事を書いた人 ちーた

同じカテゴリーの記事