こんにちは、Enterprise Cloud部ソリューションアーキテクト1課宮形です。昨年令和5年度はガバメントクラウド関連のプロジェクトに関わる機会をいただき、地方自治体様向けにAWSの役務費用・利用料金の見積をお手伝いする機会が多々ありました。そのなかでエンジニアとして感じた苦労ポイントを本BLOGでご紹介させていただきます。

このBLOGを書いているちょうど先日、3月29日に「令和6年度ガバメントクラウド早期移行団体検証事業（第一回）」の公募および採択結果がデジタル庁より公示されました。「第一回」とあることから、年度内に追加で公募が行われると予想されますので、第二回以後に申込を検討している地方自治体ご担当様の参考になれば幸いです。

役務費用
AWSクラウドの利用料金
まとめ

役務費用

先に役務費用の見積で苦労した点を記載します。デジタル庁の定義する「ガバメントクラウド単独利用方式」については、一部セキュリティ設定以外は、真っさらなAWSアカウントとして払い出されます。AWSリソースの要件定義、設計、構築、運用保守といった工程が必要です。従来オンプレミスと比較すれば少ない工程はとはいえ、エンジニアの稼働が伴いますので、この工程役務費用の見積が必要となります。また「ガバメントクラウド共同利用方式」においても、スコープは異なりますが役務は伴いますので、苦労する点は同様かと思います。

依頼する作業範囲（スコープ）が不明

多くの地方自治体様ではIT投資に関する設備投資や運用委託は入札の形で対応されておられると思います。この場合、地方自治体様はITベンダーへ依頼する範囲を調達仕様書などで定義する必要があります。現状では地方自治体のご担当者様は、クラウドの利活用経験がなく、作業範囲（スコープ）の定義について苦労されているように感じました。

この課題については、AWSより「タスクリスト」として一般的にITベンダーがガバメントクラウドの構築や運用保守で担うと想定されるタスクをサンプルとして公開しております。こちらをご参考にされるのが現状ベストかと思います。

aws.amazon.com

マイナンバー系ネットワークとAWSネットワーク間の責任分界点

大半の地方自治体様ではマイナンバー利用事務系（以下マイナンバー系と記）サーバーのリフトから着手されると思いますので、同時にマイナンバー系ネットワークとAWSネットワーク間のプライベート接続の構築が必要になります。マイナンバー系ネットワークはインターネットと分離の原則から、閉域網での利用となります。AWSでは Direct Connect というサービスを用いることで、オンプレミスとAWS間をプライベートな閉域網として構築することができます。

ここで注意が必要だったのが、この構築にはオンプレミス側とAWS側の両方の作業が伴うことです。具体的には下記のような作業が必要になります。

オンプレミス側では専用ネットワーク網からAWSとの接続経路確立、BGPルーターの導入および設定といった作業
AWS 側では Direct Connect 仮想インターフェースの作成、Direct Connect Gateway の作成および接続、Transit Gateway の作成および接続といった作業

地方自治体様やそのサポートベンダー様と会話していると、この片方のみしか役務として想定されていないケースが何度かありました。両方行うことで、オンプレミスとAWS間を接続することが出来ます。この点を説明すると、どうしてもAWSの専門用語が飛び交ってしまうので、皆さんが正しく責任分界点を理解出来るよう導くことに苦労しました。

OSやウイルス対策等のセキュリティアップデート環境の構築

上記の通りオンプレミスとAWS間をプライベートな閉域網で接続すると、AWS上の仮想ネットワーク Amazon VPC もマイナンバー系ネットワークとして扱われます。すると、AWS上の仮想サーバーにあたる Amazon EC2 のOSやウイルス対策等のセキュリティアップデート環境および運用が必要となります。

これらはAWSが自動で行うので考慮不要では？と思われるかもしれせんが、AWSの責任共有モデルにおいて Amazon EC2 仮想サーバーにおいては利用者側の責任となっております。AWSが自動的に行うことはありません。また、今の所AWSにはこれらセキュリティアップデートを行ってくれるサービスは存在せず、地方自治体様で仕組みを構築する必要があります。AWS Systems Manager Patch Manager という、それっぽいサービスがあるのですが、こちらは適用作業や管理の自動化が対応範囲となり、インストールするファイルやパッチの入手元機能は含みませんので注意が必要です。

閉域ネットワーク上からセキュリティアップデートを入手する環境作りや運用は創意工夫が必要になります。AWSでは Network Firewall という特定ドメインのみホワイトリスト方式でインターネット接続制限するサービスもありますでの、こちらを活用するのも一つの手です。また、現状オンプレミスに Windows Server Update Services (WSUS) 等があるのであれば、そちらが利用できる可能性もあります。都度地方自治体様の環境をヒアリングしてOSやウイルス対策等のセキュリティアップデート環境の必要性を判断しなくてはならない点が苦労しました。

AWSクラウドの利用料金

冒頭記載しました「ガバメントクラウド早期移行団体検証事業」のこれまでの公募要項では、申込には月額クラウド利用料金見積の添付が必要となっておりました。これは令和6年度のガバメントクラウド利用料金について、国が負担する方針が打ち出されたことにあります。検証事業とはいえ、国費でクラウド利用料金を賄うわけですから計画的かつ無駄のない利活用が求められます。AWSクラウドの利用料金を見積にあたり、自分や地方自治体ご担当者様が苦労されていた点を記載します。

サーバーのスペックが過剰になりがち

オンプレミスのサーバーは一度購入すると数年は使う必要がありました。簡単に返品やスペック変更はできません。将来を見越して余裕もったスペック選定をされているケースが多かったと思います。これをAWSクラウドのコンピューティングサービス(EC2やRDS)に適用してしまうと、月額料金が高くなってしまう傾向があります。ガバメントクラウドでは基本的にはその時の必要十分スペックで見積し、将来スペック増が求められる場合は次年度の予算等で対応とするとよろしいかと思いました。また、地方自治体業務で24時間365日稼働が必要ないシステムは、夜間休日はインスタンスを停止すればその分の利用料金を下げることができます。時期によっては利用しない、または利用頻度が低いシステムはその時だけスペックを減して利用料金を下げることもできます。これら減額余地を見積時点ではバッファとして見ておくのも一つの手かと思います。

ネットワークキャリアの費用が別途必要

オンプレミスとAWS間をプライベートな閉域接続を行うためには、AWSでは Direct Connect というサービスを利用します。この Direct Connect は容量、ポート時間、データ転送量で利用料金を見積することができます。

注意なのは、AWSの利用料金とは別にネットワークキャリアの料金も発生することです。Direct Connect を利用するにはガバメントクラウドの利用料金とは別に、ネットワークキャリアへ支払う費用を予算確保しておく必要があります。そのためネットワーク構築を対応できるベンダー様に見積を依頼いただくことになります。

ベンダーのリモート保守環境の考慮が必要

構築したクラウド環境をベンダー様に運用保守していただく場合、リモート保守環境を考慮する必要があります。AWSではEC2で保守ベンダー用の踏み台インスタンスを構築したり、保守専用の閉域網で保守ベンダーとの拠点間接続を構築するといった選択肢があります。ただし、これらはコスト増につながるものなので、必要性については十分検討が求められます。AWSマネジメントコンソールのセキュリティ要件を固めることで、AWS Systems Manager Session Manager、AWS Systems Manager Fleet Manager といったコンソールのブラウザ上からEC2のOSを操作できる機能を活用することも有効かと思います。これら機能単体では利用料金が掛かりません。

Transit Gateway のデータ転送費用の負担部署が不明瞭

AWSアカウントはリソースの混在防止、課金単位の分離といった点から、システムや環境（本番環境、検証環境、開発環境）毎にAWSアカウントを別立てして分離することが推奨されています。これに合わせて仮想ネットワーク Amazon VPC も分割されますが、このVPC同士を接続するためにおそらく殆どの地方自治体様で Transit Gateway を利用することになると思われます。

この Transit Gateway の利用料金は利用時間あたりの料金とデータ処理料金で決定されますが、複数AWSアカウントで共有するリソースとなるため「利用料金を負担する部署」が解りずらく、見積において苦労しました。AWSでは下記のようなルールとなっています。

利用時間あたりの料金：Transit Gateway にアタッチされた VPC のアカウント所有者に請求
データ処理料金：トラフィックを Transit Gateway に送信する VPC 所有者に請求

なので、Transit Gateway を構築したAWSアカウントではなく、それに接続するVPCを有するAWSアカウント側に利用料が請求されることが多いです。地方自治体様では部署やシステム毎で予算計画をされるケースが多いと思いますので、この点を注意する必要があり、各部署やベンダー様との調整に苦労しました。

AWSセキュリティ関連リソースに何が必要か不明

ガバメントクラウドのAWSアカウントにおいては、デジタル庁より提供されるポリシーやテンプレートにより最初からAWSのセキュリティサービスが有効化されます。これらAWSサービスの利用料金も見積に含めておく必要があります。どのような用途においても、少なくとも下記は利用しますので見積に含めておくと良いと思います。

これら以外にも有効化されるAWSセキュリティサービスがありますが、利用料金なくご利用できるものも多かったです。デジタル庁より提供されるポリシーやテンプレートは、今後も定期的に更新されるようなので、その時毎で有効化されるAWSセキュリティサービスが異なる可能性があります。ご了承ください。

マネージドサービスの優先的な選定が必要

オンプレミスのサーバーをAWSクラウド上に移行するにあたり最も互換性がある移行先候補としては、仮想サーバーにあたる Amazon EC2 になるかと思います。EC2 ではOS上の設定変更や操作を利用者側で行うことができるので、自由度高く制約が少ないとう特徴があります。その反面 AWSの責任共有モデルとして、OSの維持管理が地方自治体様となります。これではOSのセキュリティアップデートや障害の復旧作業など運用にかかる人的コストがオンプレミスとさほど変わらなくなってしまいます。また、OSのライフサイクルにも注意を払う必要があります。

ガバメントクラウド利活用の目的としてランニングコスト削減がありますので、これら人的コストをいかに抑えるかが重要となります。例えばDBサーバーは Amazon RDS や Amazon Aurora 、ファイルサーバーは Amazon FSx for Windows File Server といったマネージドサービスへ置き換えることで、OSの維持管理をAWS側で行ってくれるようなります。積極的に採用を検討するとよいと思います。

今ご利用のアプリケーションを AWSマネージドサービスへ移行できるかは、アプリケーションの稼働要件にもよるかと思います。アプリケーションベンダー様はこれらをサポートするか、地方自治体様はこのリスクを許容するか判断が求められます。昨年度はこの説明や調整に苦労した思い出があります。令和6年度もガバメントクラウドは「早期移行団体検証事業」としての利用となりますので、PoC としての試験的な移行という立て付けも必用になるかと思います。