ガバメントクラウドのセキュリティ設計──ゼロトラスト・IaC・必須テンプレートでガバナンスを徹底する

益子 竜与志
益子 竜与志
XThreads
本日公開 エンジニアブログ
最終更新日:2026年03月30日公開日:2026年03月30日

ガバメントクラウドではセキュリティ対策が複数のレイヤーで義務化されています。責任共有モデルの3層構造・ゼロトラスト実装・GuardDuty/Security Hub/CloudTrailの初期有効化・IAMからSSOへの移行・ルートユーザーの完全無効化——これらを体系的に理解することが、安全なガバメントクラウド運用の第一歩です。

ガバメントクラウドのセキュリティ概観

ガバメントクラウドのセキュリティは「責任共有モデル」に基づき、3つの主体に責任範囲が分割されています。CSP(AWS等)がクラウドインフラストラクチャのセキュリティを、ガバメントクラウド管理組織(デジタル庁)が共通領域のガバナンス設定・必須テンプレートの維持管理を、そして利用システム(各府省・地方公共団体)が利用システム向け領域に構築したシステムのセキュリティをそれぞれ担います。

重要なのは、必須適用テンプレートがベースラインを担保しても、アプリケーションレイヤーのセキュリティは利用側の責任であるという点です。

ゼロトラストセキュリティの実装

ガバメントクラウドは境界型セキュリティのみに依存しない「ゼロトラスト」アーキテクチャを採用しています。認証の強化(ハードウェアトークンによるMFA必須化)・最小権限の原則・継続的な検証(CloudTrail + GuardDuty)・データの暗号化(AWS KMS)・ネットワーク分離(VPC・セキュリティグループ)が主な実装方針です。

ゼロトラストセキュリティの実装概念図

必須適用テンプレートが有効化するAWSセキュリティサービス

AWS CloudTrail:すべてのAWS APIコールを記録するサービスです。「誰が・いつ・どのAPIを・どのリソースに対して呼び出したか」を追跡でき、セキュリティ監査・コンプライアンス対応・インシデント調査に不可欠です。ガバメントクラウドでは全リージョンでCloudTrailが有効化され、ログはS3バケットに永続保存されます。

Amazon GuardDuty:機械学習を活用した脅威検出サービスです。CloudTrail・VPCフローログ・DNSログを分析し、不審なIPアドレスへのアクセス・クレデンシャルの漏洩・暗号資産マイニングの試みといった脅威を自動検出します。脆弱な公開サーバーへの攻撃は短時間で発生するため、初期設定での有効化が不可欠です。

AWS Security Hub CSPM:クラウドセキュリティ体制管理(CSPM)機能です。AWS Security Best Practices・CIS Benchmarksといったセキュリティ標準に照らし合わせ、設定ミスや脆弱な構成を継続的に検出・報告します。

AWSセキュリティサービス(CloudTrail/GuardDuty/Security Hub)の役割

IAMからSSOへの移行

2025年1月以降、ガバメントクラウドではAWS環境におけるIAMユーザーの削除とSSO(AWS IAM Identity Center)によるアクセスへの移行が推進されています。IAMユーザーの長期的なアクセスキー管理のリスク削減・ハードウェアトークンによるMFAの一元管理・アクセス権限の一元的なガバナンス強化が主な理由です。SSOによるアクセスでは、セッションベースの一時的な認証情報を使用するため、長期的なアクセスキーが流出するリスクがなくなります。

ルートユーザーの完全無効化

2025年3月、ガバメントクラウドではAWS Organizationsメンバーアカウントのルートユーザーのクレデンシャル情報が削除されました。これはAWSが2024年11月に発表した機能(Manage Root Access for AWS IAM)を活用したものです。MFA設定が解除されるため、SecurityHubに通知が届く場合があります。従来ルートユーザーを必要とした操作(誤設定したS3バケットポリシーの削除等)は、GCASヘルプデスクへ依頼する運用に変更されています。

予防的統制と発見的統制

予防的統制:セキュリティ上の問題が発生しないように事前に防ぐ仕組みです。SCP(Service Control Policies)による操作制限・IAMポリシーによる最小権限の強制・必須テンプレートによる設定の自動適用などが該当します。

発見的統制:問題が発生した場合に検出する仕組みです。CloudTrail・GuardDuty・Security Hub・Config Rules・CloudWatch Alarmsなどが該当します。定量的なメトリクスをダッシュボードで可視化し、異常を迅速に検知します。

予防的統制と発見的統制の比較

セキュリティインシデント対応の備え

ガバメントクラウドでのセキュリティインシデント対応には以下の準備が重要です。CloudTrail・VPCフローログ・ALBアクセスログを必ず有効化し、S3に保存することでログを確実に取得します。AWSアカウントの「代替連絡先」にセキュリティ担当者を設定し、AWSからの緊急通知を確実に受信できるようにします。また、Amazon Q DeveloperやAmazon Bedrock + FA2(Failure Analysis Assistant)を活用した生成AIによるログ分析で、障害調査時間を1/10に短縮した事例も報告されています。

まとめ

ガバメントクラウドのセキュリティは、必須適用テンプレートによるベースラインの自動適用から始まります。アプリケーションレイヤーのセキュリティは利用側の責任であることを忘れずに、CloudTrail・GuardDuty・Security HubによるログとアラートをSIEM等に集約し、継続的なモニタリング体制を構築することが重要です。定期的にGCASガイドのアップデートを確認し、最新のセキュリティ要件に対応し続けましょう。

IT/DXプロジェクト推進するPMO・コンサル人材を提供しています

AI利活用×高生産性のリソースで、あらゆるIT/DXプロジェクトを一気通貫支援します

詳しく見る →
AI駆動型ITコンサルティング
Careerバナーconsultingバナー

この記事を書いた人

益子 竜与志

取締役益子 竜与志

複数のITベンチャーで技術責任者/経営企画を歴任し、事業戦略とプロダクト成長を主導。2017年にRagate株式会社を創業し、サーバーレス技術の黎明期よりAWS・サーバーレス開発プロジェクトを牽引し、AWS Top Engineers 2024 ( Service ) ・AWS Rising Star Partners of the Year – Japan賞を受賞。経営課題/戦略を起点としたDX戦略策定とクラウドシステムデリバリを強みに、SMB市場を中心に数多くの企業変革を支援。GLOBIS経営大学院MBAで培った経営戦略・マーケティングミックスの知見と、AWS/先端技術の深い専門性を掛け合わせ、価値創出を加速させている。

【保有資格・認定】

  • AWS認定ソリューションアーキテクト・プロフェッショナル
  • AWS認定DevOps・プロフェッショナル
  • AWS Top Engineer
  • Salesforce アドミニストレータ

他にもこんな記事が読まれています。

About

先端技術を大衆化する。
あなたが主役の会社。

学ぶ意志と、挑戦心。あなたに必要なのは、それだけ。
できないことを、できるようになる。
それが私たちの仕事。

私たちのカルチャー
  • ラーゲイト株式会社
  • ラーゲイト株式会社
  • ラーゲイト株式会社
求人記事一覧へ
Our passion

Our passion

わたしたちの技術への想い

戦略的な視点で、技術を最大限に活かす。
高度な技術が、戦略の『できる』を増やしていく。

技術への想い