// シス担のミカタ
クラウドセキュリティ

ランディングゾーン らんでぃんぐぞーん

クラウド基盤AWS Control TowerAzure Landing Zoneガードレールマルチアカウントガバナンス
ランディングゾーンについて教えて

簡単に言うとこんな感じ!

飛行機が安全に着陸できるよう整備された滑走路みたいなもの!クラウドを使い始めるとき「セキュリティ・ネットワーク・権限管理」をあらかじめ正しく整えた「安全な土台」のことだよ。これがあると、後から来るシステムも安心して”着陸”できるってこと!

ランディングゾーンとは

ランディングゾーン(Landing Zone) とは、企業がクラウドを本格的に利用し始める前に構築する、セキュリティ・ネットワーク・ガバナンスが整備された標準的なクラウド基盤環境のことです。直訳すると「着陸地点」で、これから展開するすべてのシステムやアプリケーションが安全に”着地”できる場所を意味します。

具体的には、AWS・Azure・Google Cloudといったクラウド上で「どのアカウント(環境)をどう分けるか」「ネットワークをどう設計するか」「誰にどの権限を与えるか」「ログはどこに集めるか」といった共通ルールをあらかじめ決めて実装したものです。家で言えば、間取り・電気・水道・防犯設備をまとめて整えた「入居できる状態の家」を用意しておくイメージです。

ランディングゾーンがないと、部門ごとに好き勝手にクラウドを使い始め、セキュリティの抜け穴や管理の混乱が生じやすくなります。「最初の設計が後のすべてを決める」クラウド活用の起点として、大企業や行政機関を中心に重視されています。

ランディングゾーンの構成要素

ランディングゾーンは、次の4つの柱で構成されるのが一般的です。

内容具体例
アカウント設計用途・部門ごとにクラウドアカウントを分離する本番・開発・監査用アカウントを別々に作成
ネットワーク設計VPCや接続経路を標準化し、セキュアな通信基盤を作るオンプレミスとの専用線接続、共有サービスのハブVPC
ID・権限管理誰が何にアクセスできるかを一元的に定義するシングルサインオンSSO)、最小権限の原則
ログ・監査操作ログ・変更履歴を集中管理し、不正を検知するCloudTrail / Azure Monitor による全ログ集約

「ガードレール」という考え方

ランディングゾーンの重要な概念が ガードレール(Guardrail) です。山道のガードレールと同じで、「やってはいけないこと(例:ログ削除・パブリックS3バケット公開)」をシステムが自動的に防ぐ仕組みのことです。

ガードレールには2種類あります。

  • 予防的ガードレール:設定自体をブロックするポリシー(例:特定リージョン以外へのデプロイ禁止)
  • 検知的ガードレール:違反を検知してアラートを出すポリシー(例:MFAなしのログインを検知)

マルチアカウント構成が基本

1つのクラウドアカウントに全部入れるのは危険です。ランディングゾーンでは、用途ごとにアカウントを分ける「マルチアカウント構成」 が標準です。

Root(管理アカウント)
├── セキュリティOU
│   ├── ログアーカイブアカウント
│   └── 監査(Audit)アカウント
├── インフラOU
│   └── 共有サービスアカウント
└── ワークロードOU
    ├── 本番アカウント
    ├── ステージングアカウント
    └── 開発アカウント

歴史と背景

  • 2010年代前半:クラウド黎明期。企業が個別にクラウドを試験導入し始める。部門ごとの”野良クラウド”が乱立し始める
  • 2015年頃:大企業でクラウド活用が本格化。アカウント管理や権限設定の不備によるセキュリティ事故が相次ぐ
  • 2017年:AWS が「AWS Landing Zone」ソリューションを提供開始。マルチアカウント管理の標準的な考え方が広まる
  • 2019年:AWS が AWS Control Towerリリース。ランディングゾーン構築をGUI・自動化で支援するマネージドサービスとして普及が加速
  • 2020年頃:Azure・Google Cloud も同様のコンセプト(Azure Landing Zone、Google Cloud Foundation)を提供開始。クラウド3大プロバイダーで概念が標準化
  • 2022年以降DX推進・行政クラウド化の流れで日本でも導入が増加。ゼロトラストアーキテクチャとの組み合わせが主流に

主要クラウドのランディングゾーン比較

各クラウドプロバイダーが提供するランディングゾーン構築サービスを比較します。

クラウドサービス名特徴
AWSAWS Control TowerGUIベースで自動セットアップ。ガードレールが豊富
AzureAzure Landing Zone (CAF)「クラウド導入フレームワーク」の一部。IaCテンプレート提供
Google CloudGoogle Cloud FoundationTerraform ベースの自動化が中心

3つのプラットフォームの構造的な共通点と、ランディングゾーンがどの位置に置かれるかを図解します。

ランディングゾーンの位置づけ(クラウド基盤の階層構造) ビジネス・ガバナンス層 組織ポリシー / コンプライアンス要件 / 予算管理 / 経営方針 ★ ランディングゾーン層(ここが核心!) アカウント設計 / ネットワーク設計 / ID・権限管理 / ログ集約 / ガードレール AWS Control Tower / Azure Landing Zone / Google Cloud Foundation プラットフォームサービス層 共有サービス(DNS・監視・セキュリティツール)/ 接続基盤(VPN・専用線) ワークロード層 業務システムA / 業務システムB / データ基盤 / 開発環境 … ランディングゾーンはガバナンスとシステムの間に位置する「安全な土台」

関連する規格・RFC

規格・フレームワーク内容
AWS CAF(Cloud Adoption Framework)AWSが提供するクラウド導入の包括的フレームワーク。ランディングゾーンはその一部
Microsoft CAF for AzureAzureのクラウド導入フレームワーク。Landing Zoneの設計ガイドを含む
NIST SP 800-144パブリッククラウドのセキュリティ・プライバシーに関するガイドライン
CIS Benchmarkクラウド環境のセキュリティ設定基準。ガードレール設計の参考になる
ISO/IEC 27017クラウドサービス向けの情報セキュリティ管理策ガイドライン

関連用語