Amazon Web Services ブログ

【寄稿】生成 AI 活用によるガバメントクラウド環境運用管理補助業務の効率化

本記事は自治体向け標準 20 業務システムを展開する株式会社大崎コンピュータエンヂニアリング(以下 OCE と記載)の第 1 営業統括部 第 2 公共営業部 西口大輔氏、インフラ統括部 データセンター運用部 久保田亨氏から寄稿いただいたものです。

背景

OCE では 2024 年より自治体様のガバメントクラウド導入案件におきまして、ネットワーク構築管理補助環境およびデータ連携基盤環境(以下ネットワークアカウントと記載)の設計・構築を実施しております。令和7年度より本番システムが順次稼働しガバメントクラウド運用管理補助業務が開始しますが、限られた人数で複数自治体様環境の運用管理補助業務を実施するため、業務効率化が必須となっています。そのため、運用管理補助業務の一部を補完する仕組みとして、生成 AI の導入を検討しました。

導入ツール

セキュリティについては、問題を未然に防止する「予防的統制」と発生した問題を検出する「発見的統制」といった考え方があります。ガバメントクラウドでは、AWS Security HubAmazon GuardDutyAWS Control TowerAWS Config などのサービスを使用し、発見的統制を実現していますが、これらの設定の多くはデジタル庁様から提供される必須適用テンプレートの適用により、実装がされます。これら設定されたセキュリティ関連のアラートや操作ログに関連する運用効率化のため「アラート要約機能」「ログ要約機能」といった生成 AI を活用した2つのツールの開発を行いました。

アラート要約機能

ガバメントクラウド環境において、必須適用テンプレートで設定されるアラートの要約機能を提供します。必須適用テンプレートで設定されるアラートをメールで受信する際、整形処理等が含まれていないため、運用管理補助者が即座に内容を把握することが困難です。アラート要約機能は Amazon Bedrock を使用することによりこれらのアラートを要約、整形、さらに対応手順を追加した上でアラートを送付する機能を提供します。

アラート要約機能導入前は CloudWatch AlarmAmazon EventBridge から Amazon SNS 経由で各種セキュリティ関連アラートがメール通知されます。(下図点線箇所)。アラート要約機能導入後は AWS LambdaAmazon Bedrock を使用してアラート要約後、Amazon SNS 経由でメール通知を行う流れとなります。(下図オレンジ線箇所)Amazon Bedrock はガバメントクラウド外の事業者側アカウントに準備を行い、ガバメントクラウド上のアカウントからクロスアカウントアクセスで通信するような構成になります。

ログ要約機能

ガバメントクラウド環境において、必須適用テンプレートで設定されるログの要約機能を提供します。必須適用テンプレートの適用により、AWS アカウント内の操作ログが取得されますが大量のログから特定の操作を抽出することは AWS に精通したエンジニアでなければ困難です。ログ要約機能は Amazon Bedrock を使用することにより該当期間内のログ要約後、確認すべきログを抽出しメール送付を行います。


CloudWatch ダッシュボードに Lambda 関数を CloudWatch ダッシュボードのウィジットとして追加することでユーザインタフェースを提供します。ここから対象期間やキーワードを入力することで、CloudWatch Logs 上の AWS CloudTrail ログを取得後、Amazon Bedrock を使用してログを要約して要約結果を出力する仕組みとなります。CloudWatch ダッシュボードのウィジットへの結果出力と同時に、要約結果は Amazon S3 バケットに保存、署名付き URL を発行後、Amazon SNSを使用して運用管理補助者にメール通知を行います。ログ要約結果とあわせて、実際のログ確認用の CloudWatch Logs Insights のクエリも発行されるため、運用管理補助者は要約結果に加え、実際の AWS CloudTrail のログを確認することが可能です。

ガバメントクラウド外の⽣成 AI を利用する方法

ガバメントクラウド環境から事業者が用意した AWS アカウントの Amazon Bedrock を利用する構成となっています。
自治体様・デジタル庁様・AWS 様と協議を実施し上記の構成としました。

PoC 評価手法

事前に運用に関する評価指標の定義を行い PoC 実施前、実施中の値を比較することにより生成 AI ツール導入による運用管理補助業務の効率化度合いの測定を行いました。

弊社では下記 2 つのグループでガバメントクラウドの運用管理補助業務を行っております。

  • 監視 Gr:インシデント受付、記録、エスカレーションを担当
  • 運用 Gr:インシデント調査・対応を担当

現状、監視 Gr は判断を行わず、全てのインシデントを運用 Gr にエスカレーションするフローとなっていましたが、PoC 実施中は監視 Gr でアラート判断のフローを追加しました。
生成 AI ツール導入による効果測定の指標としては「監視 Gr での一時対応率」「運用 Gr での確認・判断時間の短縮」を定義しました。

PoC実施前、実施時の各評価指標の測定結果は下記になります。

指標 PoC 実施前 PoC 実施中
監視Gr:一時対応率 0 % 84.6 %
運用Gr:判断時間/件 27.5 分 8.3 分

監視 Gr ではアラート要約機能と過去のインシデント履歴の活用により、ほとんどのアラート内容を判断することが可能となりました。監視 Gr での一時対応率は 84.6 %となり生成 AI ツール導入により、監視 Gr の対応可能範囲が拡大しました。

また、運用Grでは1件当たりの判断時間が 8.3 分となり、実施前と比較すると 19 分程度の短縮となりました。認証関連や変更に関するアラートが発生した際は、これまで複数人でログの確認を実施しておりました。アラート活用機能に加えログ要約ツールの活用により、内容把握から他者への情報共有までスムーズに行うことが可能となり、判断時間の短縮に繋がりました。

工夫した点

ログ要約において、CloudWatchダッシュボードのウィジットを使用してユーザインタフェースを実装した点です。このアーキテクチャは AWS のマネジメントコンソール内のみで完結可能な仕組みとなっております。これにより、ガバメントクラウドのように、運用管理端末からインターネットへの通信にドメインフィルタリングなどの制約がある場合や、運用管理端末にチャットアプリなどのアプリケーションを入れることができない場合でも、ツールを利用することが可能になります。

Why AWS ?

OCEでは既に複数の自治体様のガバメントクラウド環境をAWSで構築中の段階です。Amazon Bedrock を含む AWS サービスは ISMAP などの政府認証を取得しており (注釈1) 、ガバメントクラウドの AWS 環境からシームレスに利用できるため、自治体様にも安心してサービスを提供することができます。そのため、利用する生成 AI のサービスとしては Amazon Bedrock が最適だと考えました。

今後の展望について

生成 AI ツールの活用により、運用管理補助業務の大きな効率化に繋がりました。本 PoC は一つの自治体様環境で実施しましたが、今後の運用フェーズでは複数自治体様環境の運用管理補助業務を行います。本番運用開始後も生成 AI ツール導入によりさらなる効果が期待出来ると考えております。

注釈1: AWSの「政府情報システムのためのセキュリティ評価制度(ISMAP)」登録が更新されました。(2024年度) | Amazon Web Services ブログ

著者について

写真左: 久保田様 写真右: 西口様

Photo of author

西口 大輔

1999年4月に入社以来、公共部門に在籍し、地方自治体営業を担当。
業務システムからインフラの導入提案まで幅広く経験し、2014年頃からは、インフラ関連を中心に取り組み自治体情報セキュリティ強靭化などの案件を担当。現在は第2公共営業部のリーダーとしてインフラビジネスを推進。

Photo of author

久保田 亨

以前はオンプレミス環境におけるインフラエンジニアとして勤務しておりましたが、現在は主にクラウド関連業務に従事しております。自治体標準化の分野では、ガバメントクラウドにおけるネットワークアカウントや共通基盤の設計・構築を担当しております。