基礎知識
クラウド・バイ・デフォルト原則で変わる政府情報システムと民間のDX
企業の情報システムを新規に構築、あるいは更新するにあたって、クラウドを優先的に利用する「クラウドファースト」という考え方が広まっています。
政府情報システムの構築・整備においては、この考え方をさらに押し進め、クラウドサービスの利用を「第1候補(デフォルト)」とする方針が打ち出されています。この方針は「クラウド・バイ・デフォルト原則」と呼ばれ、2018年6月に政府が発表した「政府情報システムにおけるクラウドサービスの利用に係る基本方針」というガイドライン内において、初めてその名前が登場しました(なお、2021年3月に政府情報システムのためのセキュリティ評価制度であるISMAP(Information system Security Management and Assessment Program)の制度利用が開始された等の背景も踏まえ、本ガイドラインは内容が都度改訂されています)。
政府がこうした方針を打ち出したということは、デジタル・ガバメント化を推進する上でも、クラウドへの移行が非常に重要な施策であると位置づけられていることにほかなりません。
本記事では、クラウド・バイ・デフォルト原則によって、政府情報システムがどのように変わっていくのか。また、この影響を受けて、民間のDXがどのように推進されていくのかを解説します。
クラウド・バイ・デフォルト原則の背景
デジタル・ガバメントとの関係
クラウド・バイ・デフォルト原則が定められた「政府情報システムにおけるクラウドサービスの利用に係る基本方針」は、国・地方のデジタル化指針が記載された「デジタル・ガバメント推進標準ガイドライン」というガイドラインの附属文書にあたります。
このガイドラインの総論において「政府情報システムは、単なる行政事務処理上の道具ではなく、行政運営の中核を成す基盤として存在するに至っている。さらには、デジタル技術は社会構造の変革の強力なツールとなっており、これまでの延長線上での改善ではなく、デジタル技術が国民生活やビジネスモデルを根底から変える、新しい社会が到来している。」と述べられています。
つまり、デジタル・ガバメントの推進とは、「DX」を意識した行政サービスのデジタル化を目的としていると理解してよいでしょう。そして、クラウド・バイ・デフォルト原則は、デジタル・ガバメントを実現するために必要な「効果的なクラウド利用に係る基本的な考え方」を示したものだと言えます。
デジタル・ガバメント化を阻むITガバナンスの機能不全
デジタル・ガバメントを推進するにあたっては、現在のITシステムの調達方法から見直す必要があるでしょう。従来のような、いわゆる「縦割り」のIT調達方法を踏襲してしまうと、公共サービスとしての利便性やコスト適性、セキュリティなどが維持できない可能性が考えられます。そこで、まずは機能不全に陥っている「政府全体のITガバナンス」を強化し、民間企業と同様に機能させる必要がありました。この中心となったのが、組織や部門を越えて情報システムの最適化や業務の革新、情報技術の活用を主導する「政府CIO」です(なお、2021年9月発足予定のデジタル庁では、政府CIOに代わる新設のポストとして「デジタル監」が置かれる予定です)。
また、いわゆる「レガシーシステム」が残り続けることで、政府情報システムも「2025年の崖」と同様の状況に陥る可能性が指摘されています。これが、政府が「デジタル・ガバメント推進のためには、政府情報システムもクラウドへの移行を検討せざるを得ない」という結論に至った理由の1つです。
冒頭で述べたように、すでに民間では「クラウドファースト」という考え方が広まっています。クラウドを適切に活用することで、情報システムの迅速な整備や柔軟なリソースの増減のほか、運用の自動化による高度な信頼性、災害対策、テレワーク環境の実現などをコストを削減しながら進めるのは、もはや当たり前になったと言ってよいでしょう。
しかし、これまでの政府は、情報セキュリティや移行リスクへの漠然とした不安や不十分な事実認識などによって、クラウドサービスの利用には消極的でした。そして、旧来のまま、騙し騙し運用されていた官公庁のITシステムは、コロナ禍において、国民の生活や経済活動に影響が生じるレベルで遅れていることが明確となってしまいました。
クラウド・バイ・デフォルト原則が打ち出された背景には、こうした状況を打破するという目的があるのです。
クラウド・バイ・デフォルト原則でデジタル・ガバメント化が進むか?
セキュリティの不安をISMAPで解消
クラウド・バイ・デフォルト原則が打ち出されたからといって、今日からクラウドサービスを気軽に導入できるようになるというわけではありません。政府機関が導入するシステムである以上、さまざまな要件をクリアしたサービスでなければなりません。
クラウドサービスの導入における課題として、官民ともに最も多いのがセキュリティに対する不安です。そのため、利用するサービスのセキュリティが要求する基準をクリアしているか、導入前に評価することは必須です。しかし、各省庁ごとに異なる調達基準が存在し、導入時には個別に評価検討が行われるため、非常に調達効率が悪いと言わざるを得ない状態でした。
そこで、政府は「政府情報システムを対象としたクラウドのセキュリティに対する統一的な評価制度」の整備が急務と判断しました。統一的なセキュリティ基準を明確化し、こうした調達における非効率を解消するためにできた制度がISMAP(政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program)です。
ISMAPとは、一言で言えば政府が求めるセキュリティ要求を満たしているクラウドサービスの登録制度です。クラウドの安全性を客観的に評価するための制度としては、「ISMSクラウドセキュリティ認証」や、「CSマーク(ゴールド)」がすでに存在しています。しかし、ISMAPは外部監査を必須とすることやサイバー攻撃対策を重視した米国政府のガイドライン「NIST-SP800」の管理策を取り入れていることなどから、安全性を評価する基準としては、これらと比較しても極めて厳格な制度となっています。従来は、共通の要件であっても各省庁が都度個別に評価検討を行うという非効率が生じていましたが、あらかじめISMAPに登録されたサービスの中からクラウドを選択することで、各省庁独自の追加要件だけを評価検討すればよくなりました。これによって、安全なクラウドサービスを効率よく選択・利用することができるようになるのです。
ISMAPについて、より詳しくは政府情報システムのためのクラウドセキュリティ評価制度「ISMAP」を参照してください。
パブリッククラウドを第1候補に
クラウドと一口に言っても、そのサービスはSaaS・PaaS・IaaS。形態もプライベートクラウドやパブリッククラウドなど、多岐に渡ります。
クラウド・バイ・デフォルト原則では、SaaS(パブリッククラウド)、SaaS(プライベートクラウド)、IaaS/SaaS(パブリッククラウド)、IaaS/SaaS(プライベートクラウド)という優先順位が示されています。また、オンプレミスの利用は、これらのサービスの利用に適さない要件に限り、例外的に検討することとされています。
政府共通基盤とガバメントクラウド
2020年10月、総務省による第二期政府共通プラットフォームがAWS上で稼動を開始したことが発表されました。このAWSからの発表にもあるように、これはクラウド・バイ・デフォルト原則を受けて、実際にデジタル・ガバメントを実現するための取り組みが動き始めたことを示していると言えるでしょう。
また、すでに数百ものクラウドサービスが登録されている米国のFedRAMPに比べれば少ないもののISMAPへの登録サービス数も次第に増加しています。さらに、地方自治体の情報システムについても「ガバメントクラウド(Gov-Cloud)」という共通基盤を活用する計画が進んでいます。
クラウド・バイ・デフォルトに基づく検討プロセスの民間利用
「政府情報システムにおけるクラウドサービスの利用に係る基本方針」は、あくまで政府情報システムに対する方針を示したガイドラインですが、ここに記された考え方は、民間企業のクラウド選定においても有効です。本資料内で指摘されている「クラウドの5つメリット」は、官民を問わず、クラウド・バイ・デフォルトへと舵を切る動機となるでしょう。
効率性の向上 | リソースの共有によるコスト低減と導入期間の短縮は、クラウドサービスのもっともよく知られたメリットの1つです。 |
---|---|
セキュリティ水準の向上 | クラウド事業者同士による激しい競争環境では、新しい技術を積極的に採用する必要があり、また規模の経済から情報セキュリティレベルの効率的な向上が期待できます。 |
技術革新対応力の向上 | クラウド事業者は、AIやビッグデータ、IoTなどの新しい機能を随時提供しています。クラウドの採用により、最新技術の検討や活用が容易に行えます。 |
柔軟性の向上 | リソースの追加や変更などが容易な点もクラウドのメリットの1つと言えます。短期間だけ運用するシステムや、利用する機能の組み合わせを変更することで、業務の変更にも柔軟に対応できます。 |
可用性の向上 | ミッションクリティカルなシステムで24時間365日の可動が求められるシステムを実現するために、従来では大きなコストが必要でした。しかし、クラウドであれば過剰な投資を抑えながらの実現が可能。また、大規模災害への対応も可能です。 |
2020年からのコロナ禍においては、政府のシステムはもちろん多くの民間企業においてもIT化の遅れが問題となりました。政府から企業へテレワークの実施が要請されはしたものの、実際にテレワークをスムーズに導入できた企業はそれほど多くなく、さまざまな混乱も多数報道されました。しかし、その反面いわゆる「DX」の適応によって早期に経済活動を再開できたり、異なるビジネスモデルへの転換を図ることで損失を最小限に抑えることができた企業も存在します。
これらの違いには、クラウドサービスを有効に活用し、必要な機能を迅速に調達できたかどうかが大きく影響していると言えるでしょう。クラウド・バイ・デフォルト原則では、数あるクラウドサービスの中でもSaaS(パブリッククラウド)が第1候補となっています。これはSaaSが(IaaSに比べて)カスタマイズの自由度は低いものの運用をクラウドベンダーに任せ、すぐにサービスを利用開始できるという特性を持っているためです。また、SaaSは運用のコストがオンプレミスはもちろんIaaSと比較しても格段に低いため、要件が満たせるのであれば、優先的かつ積極的に活用すべきサービスなのです(なお、それぞれのクラウドサービスの違いはIaaS、PaaS、SaaSの違いを整理して、クラウドサービスの特徴を知ろうを参照してください)。
このようにクラウド・バイ・デフォルト原則では、クラウドサービスの選定にあたって非常に合理的な考えが示されています。すでにクラウドファーストが浸透しつつある民間企業のシステム構築においても、クラウド・バイ・デフォルト原則は大いに参考になるでしょう。
なお、民間企業においては、SaaS(パブリッククラウド)、IaaS/PaaS(パブリッククラウド)、IaaS/PaaS(プライベートクラウド)だけでなく、従来のオンプレミスとそれらを併用するハイブリッドクラウドも候補に入れるとよいでしょう。