お客様の課題
- 厚生労働省様が提供する『出産なび』のリプレイスにあたり、ガバメントクラウドのインフラ知見と確実な実装が求められていた
- ガバメントクラウド特有の制約や申請フローを遵守しつつ、短期間でセキュアかつ可用性の高い基盤を構築する必要があった
- 災害時のサービス継続を見据えた DR 環境の設計・構築が求められていた
- 運用開始後の24時間365日の安定稼働を実現する必要があった
対応と結果
- 迅速なガバメントクラウド移行の実現により、デジタル庁のガイドラインに準拠した AWS 環境の構築、および Terraform による IaC 管理体制を整備
- コスト効率の高い災害復旧(DR)環境の構築により、平時のリソースコストを抑えつつ、マルチリージョンでの確実なバックアップと有事の際の復旧手順を確立
- 踏み台サーバーを ECS スタンドアロンタスクに置き換え、運用負荷とコストを削減
- 24時間365日の監視運用保守体制を構築。ガバメントクラウドの制約を考慮した運用設計により、手動と自動を最適に切り分けた保守スキームを確立
コネヒト株式会社様が厚生労働省より受託した、分娩取扱施設情報提供 Web サイト『出産なび』の更改プロジェクトにおいて、アイレットはインフラ基盤の設計・構築から運用保守までを包括的に支援。ガバメントクラウド上での高度なセキュリティや可用性、および24時間365日の監視運用体制を構築しました。
厚生労働省様「出産なび」をガバメントクラウド上にリプレイス。特有の制約を踏まえたインフラ構築パートナーとして参画
コネヒト株式会社様(以下、コネヒト様)は、「あなたの家族像が実現し続けられる社会へ」をビジョンに掲げ、家族の意思決定を支える IT サービスやコンテンツ事業を通じ、社会課題の解決に取り組まれています。今回、同社が厚生労働省様より受託した「出産なび」は、全国の分娩施設情報を集約し、利用者が適切な施設を選択できるよう支援する公共性の極めて高い Web サイトです。本プロジェクトでは、従来の環境からガバメントクラウド上へのリプレイスが求められていました。
ガバメントクラウドは、共通のクラウド基盤を利用することで政府機関のシステム効率化やセキュリティ向上を図るものですが、利用にあたってはデジタル庁が策定したガイドラインや、BLEA(Baseline Environment on AWS)テンプレートの適用が求められます。また、官公庁向けシステムであることから、外部 SaaS サービスの利用に際しては所定の申請・承認プロセスを経る必要があるなど、一般的な商用環境とは異なる運用上の制約が存在します。
コネヒト様はアプリケーション開発と要件定義を主導される中で、ガバメントクラウドに関するインフラのノウハウを持つパートナーを必要とされており、こうした背景のもと、アイレットのガバメントクラウドにおける豊富な実績と知見を評価いただき、当社はインフラ基盤の設計・実装からリリース後の運用までを一貫してサポートするパートナーとして参画しました。
Amazon ECS を活用し、様々な運用負荷の低減を実現。WAF によるアプリケーションレイヤー保護を実施
本プロジェクトでは、 Amazon ECS を中心としたコンテナアーキテクチャを採用しており、アプリケーション層は、一般公開される「出産なび」本サイト、施設情報を更新する「管理画面」、およびアクセス解析を行なう「Matomo」の3つの Amazon ECS サービスで構成されています。さらに、管理・メンテナンス用の踏み台環境にも Amazon ECS を活用することで、運用負荷及びコストを低減しています。
セキュリティ面では、Amazon CloudFront 配下の ALB への直接アクセスを防止するため、ヘッダー内のキー認証を設定しています。また、AWS WAF のマネージドルールを導入し、検証環境での動作確認を通じてチューニングを実施。マネージドルールを活用することで、アプリケーションレイヤーの保護を実現しつつ、運用負荷を軽減しています。
スケーラビリティに関しては、Amazon ECS を活用した伸縮性のある構成を採用しています。Locust による負荷試験を実施し、非機能要件で定められたアクセス数と応答時間を満たす ECS タスク定義の性能およびオートスケールのタスク数を確定。要件に基づいたパラメータチューニングにより、今後の運用負荷を低減するとともに、安定した Web サイト運用が行える構成としています。
Terraform による IaC と CI/CD パイプラインで4環境を効率的に展開。DR 構成やセキュリティ対応も含めたインフラ基盤を構築
公共サービスとしての継続性を担保するため、本システムでは大規模災害を想定した災害復旧(DR)要件が求められていました。アイレットは、可用性とコスト効率を両立させるため、東京リージョンをメインとしつつ、大阪リージョンへのバックアップ&リストア方式を採用しました。
この構成では、平時に大阪リージョンのリソースを稼働させないことで、スタンバイコストを最小限に抑えています。一方で、有事の際に即座に復旧できるよう、AWS Backup を用いて Amazon Aurora、Amazon EFS、Amazon S3 のデータを大阪リージョンへ定期的にレプリケーションすると共に、AWS Secrets Manager のレプリケーション機能を活用して認証情報を大阪リージョンに同期。さらに、Terraform コード自体も Amazon EventBridge と AWS CodeBuild を活用し、東京側の AWS CodeCommit から大阪側へ自動同期する仕組みを構築しました。
DR 発動時には、大阪側の AWS CodeCommit に格納された IaC コードから必要なリソースを即座にデプロイし、バックアップデータから最新の状態を復元する手順を整備しています。特に Amazon Aurora のリストアにおいては、リストア後のリソースが IaC の管理外にならないよう、リストア運用自体を Terraform コード内に組み込むという工夫を施しました。これにより、災害時であっても迅速かつ正確な環境復旧が可能となり、公共サービスとしての継続性を確保する構成としています。
ガバメントクラウド専用の保守スキームを策定し、24時間365日の監視運用体制で安定稼働を支援
リリース後の運用保守フェーズにおいては、アイレットが提供する監視・運用保守サービスをベースに、ガバメントクラウド特有の要件に合わせた特殊対応を実施。また、官公庁向けシステムとして外部 SaaS との接続には個別の承認申請が必要となるため、PagerDuty などの SaaS 利用に際して必要な申請手続きへの対応も行ないました。運用担当者の認証には YubiKey を用いた多要素認証(MFA)を導入し、外部サービスによる自動復旧アクションが制限される環境下では MSP による有人対応オペレーションを組み合わせた運用設計としています。これにより、24時間365日の安定稼働を技術面・体制面の両方から支え続けています。
アイレットは、ガバメントクラウド上でのインフラ設計・構築から、制約に対応した監視運用保守体制の構築まで、一貫した支援が可能です。ガバメントクラウドへのシステム移行や新規構築、ガバメントクラウド環境での運用保守をご検討の方は、ぜひお気軽にご相談ください。
Credit
クライアントコネヒト株式会社
