別添 パブリック・クラウドを利用した情報システムにおける 計画・構築時の論点一覧 別添 パブリック・クラウドを利用した情報システムにおける 計画・構築時の論点一覧 政府CIO補佐官等 ディスカッションペーパー 2019年4月
政府CIO補佐官等 ディスカッションペーパー 2019年4月 1.調達における考え方 1/3 パブリック・クラウド利用時の考え方 (従来の考え方) クラウドサービスの間接契約と直接契約 間接契約:クラウドサービス利用料についてもSIerへの一括調達の全体費用に包含させる。 直接契約:クラウドサービス利用料をクラウドサービス提供者と直接契約する。 - SIerの役割 間接契約:自らがクラウドサービスを契約してシステム構築を行う。 直接契約:別途調達されたクラウドサービスを用いてシステムを構築。 物品調達で別途調達されたハードウェア・ソフトウェアを用いてシステム構築を行う 間接契約時における大規模システム開発の調達単位 アプリケーションは疎に連携可能なサービス単位で括りだして調達を分割する。 各サービスが利用するクラウドは各サービスの調達に包含させる。 共通インフラは全体を管理する仕組みやネットワーク、端末等のみに限定して調達する アプリケーションはサブシステム単位等で調達を分割。 各アプリケーションが利用するインフラは共通基盤・共通PFとして、可能な限り、共通化して調達する。 ハードウェア・ソフトウェアは原則として別調達とする 政府CIO補佐官等 ディスカッションペーパー 2019年4月
間接契約時における大規模システム開発の調達単位 間接契約時における大規模システム開発の調達単位 パブリッククラウド利用時の考え方 (従来の考え方) 共通インフラ サ | ビ ス 1 サ | ビ ス 2 サ | ビ ス 3 共通基盤・共通PF サブ シ ス テム 1 サブ シ ス テム 2 サブ シ ス テム 3 業務アプリ サーバ群・運用管理機能 全体を管理する仕組み、 ネットワーク・端末等 (各サービスは利用するクラウドを含む) (調達単位) 政府CIO補佐官等 ディスカッションペーパー 2019年4月
政府CIO補佐官等 ディスカッションペーパー 2019年4月 1.調達における考え方 2/3 パブリック・クラウド利用時の考え方 (従来の考え方) クラウドサービスの選定 十分な稼働実績と積極的かつ継続的な投資、クラウド認証、国内データセンター等が基本(詳細は「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を参照) - 技術管理支援事業者 クラウドに関する知見が不足する場合は、必要に応じてクラウドに関する十分な知識と経験、リード能力を有する技術管理支援事業者(CoE(※))を調達 ※ CoE: Center of Excellence 製品指定 クラウドサービスやマネージドサービスについて、連携や一元化等の合理的な理由があれば製品指定を行う ソフトウェア製品等について、合理的な理由があれば製品指定を行う 製品・サービスによるロックイン 主として特定サービスの利用によりロックインが生じる 主として特定製品の利用によりロックインが生じる 製品ライフサイクル クラウドサービスやマネージドサービスの終了リスクに留意して選定し、終了時の対応を予め想定する 製品の販売終了、サポート終了時期に留意して選定し、終了時の対応を予め想定する 政府CIO補佐官等 ディスカッションペーパー 2019年4月
政府CIO補佐官等 ディスカッションペーパー 2019年4月 1.調達における考え方 3/3 パブリック・クラウド利用時の考え方 (従来の考え方) 運用・保守の調達単位 原則としてサービス単位で一括調達。内訳としては、アプリケーション保守とインフラ保守、及びクラウドサービス利用料のみが原則。機器持ち込みがなければハードウェア保守は不要。ソフトウェア保守(サポート)は持ち込み分のみ。必要に応じて、専門業者との追加的な契約も想定 役務:アプリケーション保守とインフラ保守(一括もしくは分割)。アプリケーション保守は必要に応じて更に分割 物品:ハードウェア保守とソフトウェア保守(サポート) 運用・保守の契約 開発Sierとの契約が安全。別業者を想定する場合は、クラウドサービスの継続性、アプリケーション保守の実現性への注意が必要 アプリケーション保守については開発SIerへの随意契約も想定 クラウドサービス提供者との付加的な契約 必要に応じて、クラウド利用に係るサポートサービス、コンサルティングサービスを契約する場合も想定される。 間接契約の場合は、SIerへの契約の内訳に追加される - 政府CIO補佐官等 ディスカッションペーパー 2019年4月
政府CIO補佐官等 ディスカッションペーパー 2019年4月 2.インフラ設計・構築における考え方 1/2 パブリック・クラウド利用時の考え方 (従来の考え方) システム設計 クラウドのリファレンスアーキテクチャをベースとする 様々な技法・手法や、これまでの経験をベースとする 処理方式の評価・決定 当初から比較対象環境を実際に構築して評価 机上でのシミュレーションと本番直前の実環境での検証 容量・性能 当初の運用に必要な容量・性能を前提とし、テストや実運用、環境変化に伴いリアルタイムの自動モニタリングにより動的に対応(オートスケールやスペック変更)させていく 調達(稼働)期間のピークを想定した容量・性能を当初から準備しておく インフラの構築と運用 ロードバランサ―やデータベース等、マネージドサービスが用意されているものは積極的に活用して運用管理対象の最小化を図り、自動化機能の活用で運用の自動化を図る 必要なインフラは全て自前で構築し、オペレータ中心で運用する インフラ構築(ネットワーク・サーバ等) 管理コンソール操作で生成されるコードの実行で自動作成 設計やパラメタの共通化を図った上で、手作業で実施 インフラ環境の変更 既存を捨てて、修正したコードで新たに作成 (同上) 政府CIO補佐官等 ディスカッションペーパー 2019年4月
政府CIO補佐官等 ディスカッションペーパー 2019年4月 2.インフラ設計・構築における考え方 2/2 パブリック・クラウド利用時の考え方 (従来の考え方) 高信頼性設計 高可用:故障を前提としたデザイン(システムの部分停止可)を採用して、1か所の障害ではシステムが落ちないような構成とする。(インフラの稼働率ではなく、故障を前提としたデザインで信頼性を担保する) 中可用:数分間のシステム停止が許容される場合は、障害を起こしたインスタンスを捨てて、新たなインスタンスを起動する(2重化コストは不要) 高可用:ロードバランサ―を用いた完全2重化設計 中可用:ホットスタンバイ 低可用:コールドスタンバイ 大規模災害対策 広域の大規模災害発生時においてもサービスを継続できるよう、マルチアベイラビリティゾーン、マルチリージョンを活用した設計とする (多大な追加コストは不要) データセンタの2重化、データバックアップの遠隔地保管等を予算の制約内で検討 政府CIO補佐官等 ディスカッションペーパー 2019年4月
3.アプリケーション設計・開発における考え方 1/2 3.アプリケーション設計・開発における考え方 1/2 パブリック・クラウド利用時の考え方 (従来の考え方) システム設計 クラウドサービスのリファレンスアーキテクチャをベースとする 様々な技法・手法や、これまでの経験をベースとする 開発量の削減 SaaS、PaaS、マネージドサービス等を利用する パッケージや超高速開発ツール等を適用する データベース マネージドサービスのDBを利用する (スケールアップ・スケールアウト可能) ライセンスを購入して個別にDBサーバを構築する BI マネージドサービスのBIを利用する ライセンスを購入して個別にBI環境を構築する システム間インタフェース 疎結合、非同期を前提に、API管理ツールで一元管理を行う 個別に設計・実装 サービス指向 マネージドサービスのマイクロサービス(サーバレス)を利用する 個別にサービス化を行う 環境変化への姿勢 環境変化を当然と捉えて、前向きに対応する。 アジャイル開発を積極的に取り入れ、コンテナ等のDevOpsも想定する 環境変化を必要悪と捉えて、やむを得ず対応する 政府CIO補佐官等 ディスカッションペーパー 2019年4月
3.アプリケーション設計・開発における考え方 2/2 3.アプリケーション設計・開発における考え方 2/2 パブリック・クラウド利用時の考え方 (従来の考え方) 高可用システム インフラの高信頼性設計に対応した設計とする(クラウドサービスの部分停止でも停止しないシステムとする) アプリケーションレベルでも2重化を実施 大規模トランザクション アプリケーションでの特殊な実装ではなくクラウドの機能での対応を基本とする アプリケーションレベルでも負荷分散を実施 処理高速化 アプリケーションでの特殊な実装ではなくクラウドの機能での対応を基本とする(NoSQLの利用も有効) アプリケーションレベルでも高速化対応を実施 政府CIO補佐官等 ディスカッションペーパー 2019年4月
政府CIO補佐官等 ディスカッションペーパー 2019年4月 4.システム運用設計における考え方 パブリック・クラウド利用時の考え方 (従来の考え方) オンライン運用 必要な分を必要な時間帯だけ準備。夜間等、利用者がなければインスタンスを停止する(無課金)運用も可能 最大利用者を想定してマシン環境を固定的に配備 バッチ運用 最適な時間帯に可能な限り多重度を上げ短時間で実行する (N倍の多重度で1/Nの時間であれば課金は同じ) 既定のマシンを有効に活用するため、運用や負荷の平準化を図る(夜間バッチ等) バックアップ ディスクイメージは稼働中に取得。データベース等、マネージドサービスを利用するものはマネージドサービスのバックアップ機能に依存する。 他のクラウドサービスに移行可能なように外部にもデータバックアップを取得可能としておく 日次・週次・月次、オフライン・オンライン、差分・全量を組み合せて運用を設計 運用監視・運用改善 運用状況や、クラウドサービス利用料が逐次、可視化されるので、障害時の一次対応自動化や定期的な運用見直しを想定する 個別に実装して、オペレータ・技術者を中心に運用する ハードウェア障害 通常は意識しない。顕在時はフェールオーバー対応のみを行う 原因調査と個々の対応。 再発防止策の検討と実施 政府CIO補佐官等 ディスカッションペーパー 2019年4月
政府CIO補佐官等 ディスカッションペーパー 2019年4月 5.セキュリティにおける考え方 1/2 パブリック・クラウド利用時の考え方 (従来の考え方) 責任分界 責任共有の考え方から、クラウドサービスが提供する基本機能はクラウドサービス提供者が責任を負う。 設定や利用(開発)に関する部分については調達者(及びSIer)が責任を負う (但し、ユーザーたる政府機関等は、情報システム全体のセキュリティ確保に責任を負う) 調達者(及びSIer)が全体の責任を負う セキュリティ設計 クラウドのリファレンスアーキテクチャをベースとすることで基本レベルが担保され、追加部分を自ら設計する 全てを自ら設計する セキュリティ対策の重点部分 すべてのレイヤーにおけるすべてのリソースにセキュリティ対策を施す。特に責任共有の調達者の責任範囲(設定、アクセスコントロール、アプリケーション、データ等)を重視 インフラにおける境界部分を中心に侵入監視、侵入防止を重視 ネットワークセキュリティ セキュリティグループ(ポリシー)の設定が基本。WAFなどのマネージドサービスを利用 ファイアウォールが基本 暗号化・秘密鍵管理・ユーザ管理等 原則としてマネージドサービスを利用。必要に応じて広く利用されている技術や製品を検討 個別に実装 政府CIO補佐官等 ディスカッションペーパー 2019年4月
政府CIO補佐官等 ディスカッションペーパー 2019年4月 5.セキュリティにおける考え方 2/2 パブリック・クラウド利用時の考え方 (従来の考え方) 脆弱性管理 マネージドサービスを利用して自動化を図る 技術者・オペレータで検索・管理 環境のトレーサビリティ 環境に対する全てのアクションと変更をクラウド側で自動記録 個別に実装 ログ取得 クラウドのリファレンスアーキテクチャをベースとして取得 (仮想サーバの外に保管) セキュリティ運用 マネージドサービスを利用し、定期的なセキュリティイベントの実施や異常検知時の対応等について自動化を図る 個別に実装して、オペレータ中心で運用する セキュリティ評価・侵入テスト マネージドサービスを利用。必要に応じて専門業者に委託 独自に実施。必要に応じて専門業者に委託 監査 クラウド認証やSOC(監査フレームワーク)での代替が基本 調達者による立ち入り パブリック・クラウド固有の課題への対応 設定ミスによる不本意な公開の防止。 アカウント管理権限の厳重な管理。 アクセス権限の厳密な管理と暗号化 - 政府CIO補佐官等 ディスカッションペーパー 2019年4月
政府CIO補佐官等 ディスカッションペーパー 2019年4月 6.開発・保守環境における考え方 1/2 パブリック・クラウド利用時の考え方 (従来の考え方) 開発・テスト環境 本番環境とは分離して、必要な時に必要な環境を使用する。 (コードの実行によって、いつでも構築・削除ができることが望ましい) 性能テスト等で巨大な環境が必要な場合も必要な期間(時間)のみ使用する 開発やテストのピークを想定した容量・性能を準備する 保守環境 DevOpsを想定した環境構築が望ましい 長期的・固定的に維持されることを前提に予算の制約内で環境を構築 総合テスト等の実施 必要なだけ総合テスト環境を構築して、各々でテストを実施する 一つの総合テスト環境を前提に、一つずつテストを実施する 政府CIO補佐官等 ディスカッションペーパー 2019年4月
政府CIO補佐官等 ディスカッションペーパー 2019年4月 6.開発・保守環境における考え方 2/2 パブリック・クラウド利用時の考え方 (従来の考え方) 本番環境変更時の切り替え方 以下のようなアプローチを選択することによって、切り替え時の障害発生を最小限に抑えながら無停止での切り替えを行う。 1.カナリア・リリース 新旧環境を並存させて、一部ユーザのみ新環境を利用させ、安全性を確認した上で全ユーザに新環境を利用させる 2.ブルー・グリーン・デプロイメント 2セットの環境を並存させ、待機系で変更を行った後、待機系を本番に切替える 3.イミュータブル・デプロイメント 設定の変更を行うたびに、別インスタンスを作成し、最新の設定を行った上で切替えを行う (いずれも不要時の環境は停止させ無課金とする運用も可能) サーバ環境切り替えを行う際には、サービス停止期間を設定して実施する 政府CIO補佐官等 ディスカッションペーパー 2019年4月