G-gen の武井です。当記事では、Google Cloud Next Tokyo '24「ガバメントクラウドにおけるガバナンスとプラットフォームエンジニアリング」に関する速報レポートをお届けします。
セッションレポートなど、Google Cloud Next Tokyo '24 の関連記事は Google Cloud Next Tokyo '24 の記事一覧からご覧いただけます。
概要
本セッションでは、デジタル庁様のガバメントクラウドにおけるガバナンスとプラットフォームエンジニアリングについて、デジタル庁クラウドユニットの高島 涼 氏、本間 裕大 氏より紹介されました。
前提知識
ガバメントクラウド
ガバメントクラウド とは、政府共通のクラウドサービス利用環境のことです。最新のクラウド技術を最大限に活用し、迅速、柔軟、かつセキュアでコスト効率の高いシステムを構築可能な環境を、政府として共通に提供します。
また、ガバナンス機能とプラットフォームエンジニアリングを用いて、政府全体としての管理レベルの向上、ベストプラクティスに基づく品質の底上げと標準化、セキュリティやネットワーク、運用監視などの検討省力化と設定自動化を支援します。
- 参考 : ガバメントクラウド
GCAS
GCAS とは、Government Cloud Assistant Service の略称で、ガバメントクラウド利用者(中央省庁や地方公共団体の職員など)向けに、以下に挙げる活用支援サービスの提供を目的とした Web アプリケーションです。
- ガバメントクラウドの利用申請
- Cloud Identity へのユーザーアカウント登録
- Google Cloud を始めとした各種 CSP での環境払い出し
- SSO(Single Sign On)基盤
- クラウド管理 GUI
- ガイドやヘルプデスク
- 利用状況可視化のためのダッシュボード
全体像
利用者視点で両者の関係性 (全体像) を表したのが下図になります。
GCAS を介したガバメントクラウドの利用申請をトリガーに、Cloud Identity でのアカウント発行、Google Cloud を始めとした各種環境の払い出しが行われ、利用者側でのクラウド活用へとつながります。
ガバナンス
ゼロトラストセキュリティ
ガバメントクラウドでは、マイナンバーカードによる本人認証やハードウェアトークンを用いた多要素認証に加え、以下のサービスや仕組みを用いたゼロトラストセキュリティモデルを実現します。
- Chrome Enterprise Premium(旧称 BeyondCorp Enterprise)
- Endpoint Verification
- Cloud Identity
- Context-Aware Accecss
- Cloud Run Jobs(Context-Aware Accecss へのコンテキスト情報の自動登録等を目的としたバッチプログラムの実行環境)
上記により整備された利用者のコンテキスト情報は、Context-Aware Access にアクセスレベル (ホワイトリスト) として登録されたのち、各 CSP 環境のアクセス制御を司るカスタム SAML アプリにマッピングされ、コンテキスト情報に基づくアクセス制限や Cloud Identity による SSO が実現される仕組みです。
- 参考 : Chrome Enterprise Premium の概要
- 参考 : Endpoint Verification の概要
- 参考 : Cloud Identity の概要
- 参考 : コンテキストアウェアアクセスの概要
- 参考 : Cloud Run jobs を徹底解説!
ガードレールと予防的統制
ガバメントクラウドにおける Google Cloud 環境は、組織リソースを頂点とした一般的な階層構造で構成されています。
それに対し、Config Controller を用いて組織のポリシーを設定することで、組織全体に横断的なセキュリティ要件を適用しつつ、Config Controller の特性でもある自己修復機能 (Reconciliation Loop) を用いてガードレール的な役割も果たします。
※ Config Controller に関する詳細は弊社記事にて詳しく解説していますので、こちらもあわせてご確認ください。
発見的統制
発見的統制の観点では、Security Command Center による脆弱性の自動検知や、予算アラート機能を活用し、利用者にメールやチャットツールを介して自動的に通知する仕組みを担保します。
プラットフォームエンジニアリング
ガバメントクラウドにおけるプラットフォームエンジニアリングの実現に向けたアプローチとして、各種 IaC テンプレートやリファレンスアーキテクチャの開発と提供が挙げられます。
これにより、冒頭にもある通り、政府全体としての管理レベルの向上、ベストプラクティスに基づく品質の底上げと標準化、セキュリティやネットワーク、運用監視などの検討省力化と設定自動化を支援します。
関連記事
セッションレポートなど、Google Cloud Next Tokyo '24 の関連記事は、以下の記事一覧からご覧いただけます。
武井 祐介 (記事一覧)
クラウドソリューション部所属。G-gen唯一の山梨県在住エンジニア
Google Cloud Partner Top Engineer 2025 選出。IaC や CI/CD 周りのサービスやプロダクトが興味分野です。
趣味はロードバイク、ロードレースやサッカー観戦です。
Follow @ggenyutakei