Amazon Web Services ブログ
自治体情報セキュリティクラウドにAmazon CloudFrontを利用する
次期自治体情報セキュリティクラウドの見直し
総務省が2020年5月に公開した「自治体情報セキュリティ対策の見直しのポイント」では、次期自治体情報セキュリティクラウドの見直しのポイントが整理されており、追加の対策としてContent Delivery Network(CDN)の活用が求められています。自治体情報セキュリティクラウドとは、各県が県及び市町村のインターネットゲートウェイを集約し共通化したセキュリティ機能及びSOC(セキュリティ専門人材による監視機能)を民間事業者に委託のうえ提供しています。県によっては公式ホームページ等のWebサーバをホスティングとして提供していることもあるでしょう。昨今、災害時等インターネットからの通常時とは異なる大量のウェブアクセスや DDoS 攻撃を受けることで、ウェブサーバ処理能力の限界到達又は接続回線帯域の圧迫となり、コンテンツ提供の遅延や提供不可となりうる状況が懸念されています。住民・自治体双方にとって公式ホームページは市民接点となる重要サービスの位置づけであり、災害等の有事の際にも常時利用できるように対応しておく必要があります。Webサーバへのキャッシュ対応及び DDoS 対策として、コンテンツ配信サービス機能を導入し、DDoS 対策も講じることは、自治体情報セキュリティクラウドに限ったことでなく自治体が独自に運用しているWebサーバにおいても必須と言えるでしょう。
なぜAWSのCDNを利用するのか?
Amazon CloudFrontが配置されているエッジロケーションは日本国内だけで 18 拠点以上あり,これは3年前(2017年)と比較して3倍以上の数に増えています。AWSのCDNではありますが、元データの存在元(オリジン)はAWS以外の環境(オンプレミスなど)でも利用することが可能です。 Amazon CloudFrontは、AWS Shield Standardというマネージド型の分散サービス妨害 (DDoS) に対する保護サービスと連携され、追加料金なく、インフラストラクチャ (レイヤー 3 および 4) を標的とする既知の攻撃を総合的に保護できます。また、クライアント端末の所在地(国情報)を判別し挙動に反映できる補完機能をもっており、特定国、地域等からの攻撃を遮断する機能を有します。Amazon CloudFront では、SSL/TLS 経由でコンテンツや API、アプリケーションを配信できるため、高度な SSL 機能が自動的に有効になります。 アクセス・トラフィック量の確認が管理コンソールより GUI で可能であり、トラフィック量が超過した場合などにアラーム(メール)などでの通知が可能です。さらに、AWS WAFを併用することで、一般的なWebの脆弱性からWebアプリケーションまたは API を保護するWebアプリケーションファイアウォールを適用し、SQLインジェクションのような、Webアプリケーションへの不正な通信を検知・防御することが可能です。また、これらのサービスは、クラウドの特徴を生かした完全従量課金であるため初期費用がゼロで始められる点などコストパフォーマンスが良いため、公共機関を含む多くの日本のお客様にご利用いただいています。Amazon CloudFront、AWS WAF共に、ISO/IEC27017:2015 の認定を受けています。
自治体情報セキュリティクラウドを踏まえた利用パターン
自治体の公式ホームページにおいて導入実績が多いCMS(LAMP構成)を想定したAWS上で構成する際の構成例(図1)を記載します。
①オリジンはオンプレミス
・Webサーバ、CMSは従来のセキュリティクラウドに配置し、CDNの機能にAmazon CloudFront、そしてAWS WAFを利用します。BCP対策としてWEBサーバのコンテンツをAmazon S3へコピーします。
②オリジンもAWSへ移行
・Webサーバ、CMSをAWSへ移行し、CDNの機能にAmazon CloudFront、そしてAWS WAFを利用します。BCP対策としてWEBサーバのコンテンツをAmazon S3へコピーします。オリジンとなるWebサーバ、CMS、データベースをAWSに移行することで、容易にマルチAZ構成に対応できるため、一層継続性の高いサービスを提供することが可能です。
※図1 自治体CMSの構成例
まとめ
自治体情報セキュリティクラウドの見直しに合わせて、自治体公式ホームページ等のWebサイトにAmazon CloudFront、AWS WAFを適用してセキュアでスケーラブルなアクセスを提供し、市民サービスを向上させることが可能です。是非ご検討ください。
–
このブログは、アマゾンウェブサービスジャパン株式会社 パブリックセクター 自治体ソリューションアーキテクト担当の豊原が執筆し、ソリューション アーキテクトの中谷が監修・加筆しました。