はじめに

2025年度末までに地方公共団体の基幹業務システムをガバメントクラウドへの移行を目指す「地方公共団体情報システム標準化基本方針」が閣議決定されて以降、多くの自治体やベンダーがデジタル庁が管理するクラウド環境「ガバメントクラウド」への移行作業を行っています。

地方公共団体情報システム標準化基本方針
また、地方公共団体は、令和５年（2023 年）３月末時点での標準化対象事務に係る基幹業務システムを、令和５年（2023 年）３月末時点で公表された標準仕様書（令和５年度（2023 年度）に初めて公表される場合は、当該公表された標準仕様書）に適合した標準準拠システムに、令和７年度（2025 年度）末までに移行することを目指す。
出典 : 令和５年 地方公共団体情報システム標準化基本方針

ガバメントクラウド環境についてはAWS、GoogleCloud、Microsoft Azure、Oracle Cloud Infrastructure、さくらのクラウド(※2025年度末までに全ての技術要件を満たす場合)が認定されていますが、
そんな話題のガバメントクラウドのクラウドサービスプロバイダ環境(以降CSP環境)のうち、AWS環境の構築作業に今回携わることができましたので印象に残ったことをブログに書かせていただきます。
文字ばかりとなりますがご了承ください。

ガバメントクラウドの資料

参考 : デジタル庁 GCASガイド

ガバメントクラウドについてはCSP環境に様々なセキュリティ設定や制限が設けられており、構築を行う際に制限に気を付ける必要があります。
そのためGCASガイドは内容を必ず確認する必要があり、構築中も度々確認していました。

AWSアカウントログインまでに必要なもの

GCASシングルサインオンへの移行に伴う既存環境の変化と対応
「ガバメントクラウド利用システムにおけるセキュリティ対策(共通)」で記載したように、GCAS認証によるCSP環境へのシングルサインオン(SSO)では、既存の利用システムが属するAWS Organizations環境のAWS IAM Identity Center（以下IdC）とGCASで利用しているGoogle社Cloud Identityを連携させる。
出典 : GCAS-SSOへの移行に伴う対応(AWS編)

CSP環境へのマネジメントコンソールへログインする場合は、GCASアカウントと呼ばれるアカウントのSAML認証によるシングルサインオン(以降SSO)によりログインを行いますが様々な準備が必要です。

GCASアカウント

• マイナンバーカードを使ったアカウント申請
• FIDO規格準拠(FIDO U2F/FIDO2)のハードウェアMFAトークンによる2段階認証設定

CEPライセンス

• CEPライセンスの申請
• Endpoint Verification プラグイン

(1) 利用申請
利用者本人が、GCAS機能を利用し、GCASアカウントの利用申請を行う。利用申請の際に、認証アプリケーションをインストールしたスマートフォンを使用してマイナンバーカードによる本人確認を行う必要がある。スマートフォンが認証アプリケーションに対応していない等により、認証アプリケーションを利用できない場合は、PC上で「デジタル庁GPKI電子署名アプリ」を用いて本人確認を行うこと。「デジタル庁GPKI電子署名アプリ」について、不明な点等がある場合、必ずガバメントクラウドチームまで問合せを実施すること。
出典 : ガバメントクラウド概要解説_8 利用の全体の流れ 8.2 ユーザー登録

多要素認証の設定と方式
ガバメントクラウドの利用におけるユーザーの権限種別に基づき多要素認証の方式は次のとおりとする。GCASにおけるシングルサインオン機能の利用開始後は、GCASの認証で利用するGoogle Workspaceにおいて設定する。GCASのGoogle WorkspaceではGoogle Cloud Identityを認証機能として利用している。「Googleアカウントの管理」メニューから2段階認証を設定する（詳細は「ガバメントクラウド概要解説_8 利用の全体の流れ」を参照）。

多要素認証で用いるハードウェアトークンの補足
GCASにおいて利用可能なハードウェアトークンはFIDO（Fast Identity Online）規格をサポートしFIDOアライアンスが認定するハードウェアトークンとなる。FIDO規格にはFIDO1.0(U2F)、令和5年現在における最新のFIDO2があり、GCASの認証ではどちらも対応可能である。調達時に選択可能であれば将来的な互換性のために最新の仕様であるFIDO2をサポートするトークンを選択する。その際、FIDOの規格としてトークン内に暗号鍵を保有することから、耐タンパ性が確保され、トークン・認証情報の複製に対し強い耐性を有することを確認する。
出典 : ガバメントクラウド利用システムにおけるセキュリティ対策(共通) 多要素認証の使用

GCASアカウントについてはSAML認証を行うアカウントそのものの申請となり、申請の際にはマイナンバーカードによる認証が必要となります。
こちらはマイナンバーカードを登録する際にカードと暗証番号以外にも、認証用アプリケーションとそれに対応したスマートフォンもしくはPC上にて「デジタル庁GPKI電子署名アプリ」による本人確認が必要となります。

幸いにも使用していたスマートフォンが対応していたため、スマートフォンアプリから認証を行い申請を行いましたが、今回作業を行うユーザー権限では指定された物理デバイスによる2段階認証が必要なため、対応デバイスを購入して設定を実施しました。
尚、2段階認証の設定はアカウント発行後2週間以内に設定が必要なためハードウェアデバイスでの認証が必要なユーザー権限を使用する場合はGCASアカウント申請前に準備することをおすすめします。

CSP管理GUIへの接続元アクセス制御
ガバメントクラウドでは、GCASの認証機能として利用しているGoogle社のCloud Identityから各CSPへシングルサインオンを行う際、アクセス元の利用端末のシリアル番号または接続元ネットワーク環境を示すグローバルIPアドレスに基づいたアクセス制御が可能である。

このアクセス元制御は、Google社が提供するChrome Enterprise Premium（CEP）（旧 BeyondCorp Enterprise（BCE））と呼ばれるツールを用いて実現する。CEPで提供されるChromeブラウザの拡張プラグインEndpoint Verification(EV)を利用することで端末のシリアル番号がCEPに連携され、アクセス制御に用いられる。
出典 : ガバメントクラウド利用システムにおけるセキュリティ対策(共通) CSP管理GUIへの接続元アクセス制御

CEPライセンスは作業用端末の制御に使用します。CEPとは「Chrome Enterprise Premium(旧BeyondCorp)」の略称で、こちらを使ってAWS管理コンソールへのアクセスを制限しています。

CEPについて

• Chrome Enterpris
• 【Google Cloud】Chrome Enterprise Premiumについてまとめてみた！

こちらについては所定の手続きを行った後に作業用端末のデバイス情報を登録した後、Endpoint Verificationプラグインのインストールが必要となります。
Endpoint Verificationプラグインとはデバイスに関する属性を収集するChrome用の拡張機能となります。

▼Endpoint Verification 拡張機能をインストールする
https://cloud.google.com/endpoint-verification/docs/self-install-extension?hl=ja

こちらを使用することでブラウザから作業用端末の情報を収集することができ、CEPによるアクセスが可能ですがAWS管理コンソールについてはChromeでのアクセスが必要となります。

CEPの利用手続きについてはメンバー限定ページにて公開されているため、詳しい資料についてはGCASアカウント作成後に確認することになります。

環境内の制限

3.2 予防的統制の設定内容
全てのアカウントに共通して最低限禁止すべき内容を設定する方針である。
クラウドサービスの利用にあたって制限となる内容は、ここに記述する予防的統制で設定される内容だけである。
詳細な設定内容は実際のテンプレート内容を確認すること。
＜主な設定内容＞

デジタル庁が設定するセキュリティや監査ログの設定/収集に関するサービスの削除防止
東京/大阪リージョン以外の使用禁止、未有効化リージョンの有効化禁止
現状、統制の実現が難しいと考えている一部サービスの禁止
AWS Marketplace※
AWS CloudShell
AWS Outposts
VMware Cloud on AWS / Red Hat OpenShift on AWS(ROSA)
出典 : ガバメントクラウド利用概要（AWS編） 3 ガバナンス・セキュリティ

セキュリティ強化のため様々な制限がされていますが、印象があったのはリージョンの制限、AWS CloudShellの利用制限でした。
リージョンの制限については東京、大阪リージョンのみ構築が可能であり、その他のリージョンについては制限がされており、またCloudShellの制限については構築作業中にAWS CLIによる操作が必要な場合は別の方法を検討する必要があります。

セキュリティによる制約がある中での構築となるため、構築に必要なサービスの洗い出しと制限されているサービスの代替案をあらかじめ用意しておくことで構築がスムーズに行えます。

ガバメントクラウドに触れてみて

ガバメントクラウドに触れてみて非常にセキュリティに厳しい印象を受けましたが、ユーザーアクセスの方法やセキュリティサービスの設定を確認することでセキュリティに関する理解度が深まりました。
また制約や仕様に関する資料はメンバー限定ページのみに記載されているもの、以前から更新されたものもあるため、GCASアカウントの申請前に資料を確認している方もGCASアカウント発行後から実際に構築に取り掛かる前に再度資料に目を通しておくことをおすすめします。