パブリッククラウドとLGWANの接続方法

2024年3月28日にクラウド（IaaS）利用型LGWAN-ASPの登録が開始されたことで、パブリッククラウドとLGWANの接続方法の選択肢が増えたため、パブリッククラウドとLGAWANの接続方法について整理します。前半ではパブリッククラウドとLGWANの接続方法について整理しつつ、後半では具体的な接続構成についてパブリッククラウドの1つであるAWSとLGWANの接続例を示します。

対象読者

• これからパブリッククラウドとLGWANとの敷設を検討しているインフラ担当者
• ISMAPやGSSなどのパブリックセクターで用いられるような単語をある程度知っている方
• AWSのソリューションアーキテクトアソシエイト相当の知識がある方

1. はじめに（LGWAN関連の前提知識）

LGWAN（Local Government Wide Area Network）とは？

地方公共団体間の閉域ネットワークです。政府共通ネットワーク（GSS G-Net）とも相互接続しています。

LGWAN（Local Government Wide Area Network）は、地方公共団体の組織内ネットワーク（庁内LAN）を相互に接続し、地方公共団体間のコミュニケーションの円滑化、情報の共有による情報の高度利用等を図ることを目的とした、高度なセキュリティを維持した行政専用のネットワーク（インターネットから切り離された閉域ネットワーク）

LGWAN-ASP参入セミナー資料より引用

LGWAN-ASP（LGWAN Application Service Provide）サービスとは

LGWAN経由でアプリケーションサービスを提供するサービスのことを指します。例えば、証明書交付センターサービス（コンビニ事業者のキオスク端末を利用して各種証明書を交付するサービス）などもLGWAN-ASPサービスとして提供されています。

LGWANｰASPは、地方公共団体が品質及びサービスレベルの高いアプリケーションを共同利用することにより、地方公共団体間のデジタル格差を軽減するとともに、地方公共団体のデジタル化を促進することを目的としています。また、地方公共団体が独自にシステムを構築するよりも、標準的で経済的なシステムを導入・運用できることも目的の一つです。

LGWAN-ASP参入セミナー資料より引用

LGWAN-ASPのサービスとして以下4つの種類に分けれられます。

LGWAN -ASPのサービス種類

1. アプリケーション及びコンテンツサービス
   • 各種アプリケーションや情報コンテンツなどの提供
   • 例、証明書交付センターサービスなど
2. ホスティングサービス
   • アプリケーションが稼働するために必要となるサーバ機器や通信機器の提供及び運用管理
3. ファシリティサービス
   • ホスティングサービスを構成する機器の設置スペース、電源及び空調等の提供
   • 例、Direct Connectロケーションであるアット東京やエクイニクスのデータセンター
4. 通信サービス
   • ASPサービス提供者がLGWAN網に接続する専用回線の提供

LGWAN-ASPサービスリストにて、サービス種別ごとにどのようなサービスが提供されているか検索することができます。

LGWANと接続する際に準拠すべきセキュリティ要件

インターネットなどの外部ネットワークとLGWANを接続する際に、大きく以下3つの準拠すべきセキュリティ要件が定められています。
インターネット経由で住民などからのアクセスを受けて、LGWAN側に処理結果を連携するといったシステムは下記のセキュリティ要件を満たす必要があります。

1. LGWAN-ASPネットワークの3セグメント分割

   • 外部ネットワークに面しているセグメントとLGWANに面しているセグメント間のIPリーチャビリティが発生しないことを保証するため、以下の3つのセグメントで構成する必要があります。
     • LGWAN側公開セグメント
       • 地方公共団体のLGWAN接続端末から接続するWebサーバ等を配置
     • ゲートウェイセグメント
       • LGWAN側公開セグメントと外部側公開セグメント間の中間セグメント
       • LGWAN側及び外部ネットワーク側のWebサーバからアクセスされるアプリケーションサーばやDBサーバなどを配置
     • 外部ネットワーク側公開セグメント
       • インターネット等外部ネットワークから接続するWebサーバを配置

   

2. LGWAN公開セグメントと外部ネットワーク公開セグメント間のIPリーチャビリティの遮断

   • IPリーチャビリティとは
     • LGWAN-ASPネットワーク内の、LGWAN側公開セグメントとインターネット等の外部ネットワーク側公開セグメント（以下「外部ネットワーク側公開セグメント」という。）との、IPレベルでの直接通信が可能であること
   • 外部からLGWANへのIPリーチャビリティの遮断は「LGWAN側公開セグメントと外部ネットワーク側公開セグメントとのIPレベルでの直接通信を遮断すること」により実現します

   

3. 外部ネットワークからLGWANへ受け渡すファイルのテキスト化又は画像化（無害化）

   • 外部ネットワーク側からアップロードしたファイルは、基本的にはそのままの形式でLGWANへ受け渡すことはできません。外部ネットワーク側公開セグメント上でテキスト化又は画像化処理をしてから、ゲートウェイセグメントへ受け渡すことが必要です。

   

参考：外部ネットワーク（インターネットなど）と接続点を持たないシステムは？

インターネットなどの外部ネットワークとの接続点を持たないシステムの場合は、「LGWAN外部閉域利用サービス」として登録することで、無害化処理や複数段でのIPリーチャビリティ遮断を不要となるなど、上記のセキュリティ要が一部緩和されます。

以上がパブリッククラウドとLGWANを接続する際に押さえていただきたい前提知識になります。

2. LGWANとパブリッククラウドの接続方法について

前置きが長くなりましたが、パブリッククラウドとLGWANの接続方法は以下の2パターンになります。

• LGWAN接続サービスを使用する
• 自前でLGWAN回線を敷設する

2.1 LGWAN接続サービスを使用する

名前の通り、LGWAN接続サービスを使用する方法です。複数の会社にてLGWANとの接続サービスを提供しています。
例としてLGWAN接続サービスとして両備システムズのR-Cloud-Proxyを使用する場合は以下のような構成となります。

R-Cloud Proxy for AWSより引用

R-Cloud Proxy内で上述して3つのセキュリティ要件（３セグメント分割、無害化等）を実現しているため、R-Cloud Proxy利用者としては３セグメント分割や無害化といった考慮は不要となります。

2.2 自前でLGWAN回線を敷設する

自前で敷設するパターンですが、具体的には、LGWAN-ASPファシリティサービスに登録されているデータセンターにLGWAN接続ルータを配置して、3セグメント分離や無害化機能等を自前で構築するといった形になります（下図の「従来のクラウド利用方式」）。
また、2024年3月にLGWAN規約が改定され、ISMAP認定されているIaaSクラウド（例、AWSやMicrosoft Azure, Google Cloud、OCI）であれば、パブリッククラウド上で3セグメント分離や無害化機能を実装することで、パブリッククラウド上でLGWAN向けのアプリケーションサービス等を構築することが可能となりました(下図の「追加されたクラウド利用方式」)。

3. AWSとLGWANの接続構成例

2024年3月に追加されたクラウド利用方式パターンの構成例を紹介します。
接続構成を検討する上でのポイントは以下です。

• LGWAN接続ルータを配置するLGWAN-ASPファシリティサービスとして、どのデータセンターを使用するか？
• AWS上でどのように３セグメント分割を実施するか？

3.1 LGWAN接続ルータを配置するLGWAN-ASPファシリティサービスとして、どのデータセンターを使用するか？

性能面及び可用性、コストの観点で利用する拠点数（データセンター数）をなるべく減らすために、使用するパブリッククラウドの閉域接続サービスを提供しているロケーション（例、AWSの場合Direct Connectロケーション）がLGWAN-ASPファシリティサービスに登録されているかを確認します。

1. AWS Direct Connectロケーションの確認

   • 2025年3月時点でAWS Direct Connectロケーションを確認すると、アット東京CC1中央データセンター、エクイニクスTY2などが東京リージョンのDirect Connectロケーションとして登録されています。
   • 大阪リージョン側としては、エクイニクスOS1などが登録されています。

2. LGWAN-ASPファリシティサービスの確認

   • 東京のファリシティサービスとして、エクイニクスのTY6~10のデータセンターやアット東京のCC1などが登録されています。
   • 大阪のファシリティサービスを確認すると、アット東京のデータセンターサービス　関西第２（DC12）及び第３センターなどが登録されています。

システム概要図

上記の確認結果を踏まえると、2025年3月時点における性能／可用性及びコスト効率が良い構成は下図のようになるかと思います。

ポイント

• 東京リージョン側はDirect ConnectロケーションとLGWAN-ASPファシリティサービスの拠点を同一にすることが可能のため、アット東京のCC1を選定
• 大阪リージョン側はDirect ConnectロケーションとLGWAN-ASPファシリティサービスを同一にできないため、Direct ConnectロケーションとしてエクイニクスのOS1、LGWAN-ASPファシリティサービスとしてアット東京DC12を選定

3.2 AWS上でどのように３セグメント分割を実施するか？

3セグメント分割の方法として以下の案が挙げられるかと思います。

• VPCを3セグメント単位で分割（LGWAN用VPC,ゲートウェイ用VPC、外部ネットワーク用VPC）
  
• VPCを2つ（LGWAN用、外部ネットワーク＆ゲートウェイ用VPC）に分割。外部ネットワークとゲートウェイ間はサブネットで分割
  
• VPCは1つでサブネットで３セグメント分割
  

VPCを3セグメント単位で分割する案が一番理解しやすい形かと思いますが、Transit Gatewayアタッチメントの数が多くなり、他案と比較してコスト観点では優れていない案になります。一方、VPCを1つにしてしまう案（VPCは1つでサブネットで３セグメント分割）は、コスト効率は良いですが、ルートテーブルやセキュリティグループの設定誤り等によってインターネットからLGWAN用サブネットにアクセスできてしまうといったセキュリティリスクの観点では優れていません。折衷案である「VPCを2つ（LGWAN用、外部ネットワーク＆ゲートウェイ用VPC）に分割。外部ネットワークとゲートウェイ間はサブネットで分割」がセキュリティリスクを低減しながらコスト効率の良い構成かと思っています。

もし他に良い案あればお知らせ頂けますと幸いです。
AWSとLGWAN間を自前で敷設するとなった場合、2025年3月時点の最適なシステム構成としては下図のようになるかと考えています。

4. まとめと今後の展望

パブリッククラウドとLGWANの接続方法の概要を改めて整理しつつ、AWSとLGWANの接続方法例を紹介しました。
第五次LGWANにおいて、ガバメントクラウド接続への対応としてLGWANガバメントクラウド接続サービス（略称：LGCS）が提供される形となるため、本記事で紹介したような自前でパブリッククラウドとLGWANを接続させるようなケースは今後減ってくるかもしれませんが、どなたかの参考となれば幸いです。

5. 参考

• LGWAN-ASP参入セミナー資料
• 総合行政ネットワークＡＳＰガイドライン 第10版
• LGWAN-ASPサービスリスト
• 2024年3月28日にクラウド（IaaS）利用型LGWAN-ASPの登録が開始
• R-Cloud Proxy for AWS
• LGWANガバメントクラウド接続サービスの整備状況について
• 次期LGWANの検討状況（セキュリティ関係)
• AWS Direct Connect Locations