キヤノンMJ/サイバーセキュリティ情報局

デジタル庁が積極的に推進する「ガバメントクラウド」、その概念や仕組み、メリットやセキュリティへの影響は

• 
• シェア
• ツイートする
  一覧
• 

　2021年9月に発足したデジタル庁は、マイナンバーカードの普及など、国内のさまざまな分野でデジタル化を積極的に推進している。そのうちのひとつがガバメントクラウドである。この記事では、ガバメントクラウドとはどのようなものか、その概念や仕組み、メリットやセキュリティへの影響について解説する。

ガバメントクラウドとは

　ガバメントクラウドとは、政府が提供する共通のクラウドプラットフォームのことである。政府クラウド、あるいはGov-Cloudと記されることもある。行政サービスをオンラインで提供する際に必要となる、IaaS（Infrastructure as a Service）、PaaS（Platform as a Service）、SaaS（Software as a Service）などのインフラを担う。

　2021年12月には、デジタル庁が「地方自治体によるガバメントクラウドの活用について（案）」を発表。その中で地方公共団体の基幹業務システムを統一・標準化するため、2025（令和7）年度までに基幹業務に関連するシステムをガバメントクラウドへ移行する予定で進めている。ここでいう基幹業務とは主に、住民基本台帳、税、国民健康保険、国民年金などの17業務を指す。

クラウドサービスとSaaSはどう違う？セキュリティ上の問題は？
https://eset-info.canon-its.jp/malware_info/special/detail/210304.html

ガバメントクラウドの概念が生まれた背景

　ガバメントクラウドの概念はどのようにして生まれたのだろうか。政府は2018年6月から、政府調達における「クラウド・バイ・デフォルト原則」を採用している。そして、2019年にはデジタル・ガバメント実行計画が策定され、クラウドサービスの安全性評価の仕組みを構築することが決定した。

　そこで作られたのがISMAP（イスマップ：Information system Security Management and Assessment Program）と呼ばれるセキュリティ評価制度だ。この制度は政府によるクラウド調達基準を明確化することで、行政へのクラウドサービスのスムーズな導入と適切なセキュリティ水準の確保を目指したものだ。

　このように、政府はデジタル化／クラウド化を推進していたものの、実態として導入は難航していた。その弊害が顕著に現れたのが、2020年に起こった新型コロナウイルス感染症の拡大である。行政システムにおいて、サイロ化や分断によりデータ連携が進んでいないことなどの要因が重なり、関連部署内で書類によるやりとりが多数発生した。結果として、給付金の支給に遅れが生じたことは記憶に新しい。

　このような経緯もあり、2021年9月に発足したデジタル庁は同年10月末、早々にガバメントクラウドの対象となるクラウドサービスを決定している。また、12月には「デジタル社会の実現に向けた重点計画」が閣議決定されるなど、足早かつ堅実に取り組みが進められている。

ハイブリッドクラウド環境におけるデータセキュリティの課題と解決策とは
https://eset-info.canon-its.jp/malware_info/special/detail/220628.html

ガバメントクラウドの仕組み

　これまでの行政システムは、各省庁や自治体が独自にシステムを発注、開発していた。そのため、同じ機能の似たようなシステムが乱立しているにも関わらず、連携が難しかった。一方、ガバメントクラウドでは、図1のように国が共通のクラウドプラットフォームを準備・提供する。IaaS、PaaS、SaaSといった共通の基盤に加え、機能もアプリとして提供する。システムに必要な機能をコンポーネント（部品）として共通化することで、システムの導入・運用コストを削減するという算段だ。

図1：ガバメントクラウドの概念図

　アプリの提供においては、各ベンダーが定められた要件に基づいて開発を行なう。自治体はガバメントクラウド経由で提供されるアプリを選択することで、業務に応じた機能を導入できるのだ。従来、自治体ごとに開発を行なっていたものが共通で利用できることになるため、導入コストの抑制が期待される。

ガバメントクラウド移行のメリット

　ガバメントクラウドに移行することで、どのようなメリットが生じ得るのか。住民のメリットと、自治体のメリットに分けてそれぞれ解説する。

1) 住民のメリット

・行政サービスをユビキタスに実現

　行政手続きのオンライン化が進み、スマホなどでいつでもどこでもサービスを受けられるようになる。また、共通のクラウドプラットフォームがあることで、行政手続きのオンライン化を進めやすくなる。その結果として、スマホなどを通じて時間や場所を問わず、申請などの手続きを行なえる。

・各種手続きのワンストップ化

　手続きがオンライン化することで、そもそも役所に行く必要性が減り、待ち時間が不要となる。また、データ連携が進むことで、関連する手続きがまとめて行なえるようになるなどワンストップ化が実現する。

2) 自治体のメリット

・業務効率化や業務負荷の軽減

　クラウド化によって紙による処理が減り、データ連携によって重複する業務が減ることによる業務効率化や、業務負荷の軽減につながることが見込まれる。

・サービス品質向上など本質的な業務への注力

　業務効率化が進んだ結果として、行政サービスの品質向上やサービス企画の立案、あるいはPRといった本質的な業務へ費やす時間・工数を増やせることが期待される。自治体という特性上、システム関係のスキルを有する人材は限られてしまう。その人材リソースを開発以外のサービス品質向上などで有効に活用できるといったメリットもあるだろう。

・セキュリティにおける運用効率や品質の向上

　国がセキュリティレベルの高いクラウドプラットフォームを用意することで、各自治体でのセキュリティ対策や運用監視といった負荷が軽減する。また、個別の自治体では導入できないような、高度かつ大規模なセキュリティソリューションなども導入しやすくなる。

自治体の情報セキュリティはどう変わるのか

　自治体における情報漏えいの事例は、これまでにも数多く報告されている。USBメモリーの取り扱いに関するものや、パスワード管理に関するものなどさまざまだ。ガバメントクラウドの導入によって自治体のセキュリティはどう変わるのか、以下に解説する。

1) 次期自治体情報セキュリティクラウドとの違い

　ガバメントクラウドと混同されがちなものに次期自治体情報セキュリティクラウドがある。自治体情報セキュリティクラウドとは、都道府県と市区町村でウェブサーバーを集約し、高度なセキュリティ対策を実現するために構築された仕組みである。

　2020年8月には総務省より、新たな「自治体情報セキュリティの標準要件一覧」が提示された。

　対して、ガバメントクラウドはデジタル庁が推進する共通のクラウドプラットフォームである。現在では、ガバメントクラウドの機能の一部を自治体情報セキュリティへ提供するなど、部分的に先行事業にて試行されている。

2) ガバメントクラウド選定基準「ISMAP」とは

　ガバメントクラウドとしてAWS（Amazon Web Services）、GCP（Google Cloud Platform）が先行して採択され、その後2022年10月に、Microsoft Azure、OCI（Oracle Cloud Infrastructure）が追加で採択された。

その際の選択基準のひとつとされたのがISMAPである。ISMAPは政府情報システムのためのセキュリティ評価制度であり、2020年6月から実施されている。ガバメントクラウドで使用されるサービスはISMAPに登録され、かつ高度なセキュリティ要件を満たすものとなる。

3) 自治体セキュリティへの影響

　ガバメントクラウドに移行することで、一定のセキュリティ基準を満たす環境やアプリケーションを自治体がクラウド上で利用できるようになるため、セキュリティレベルの向上が見込める。単一の自治体ではコストが見合わず導入できないようなセキュリティソリューションも実現できる可能性がある。また、情報システムを導入するための初期コストや、運用のためのコストに加え、業務負荷の削減も期待できる。

　ただし、今のところ、ガバメントクラウドだけで全方位的なセキュリティ対策を実現できるかというと、不透明な部分もあると言わざるを得ない。また、セキュリティにおいてはシステムだけでなく、運用段階や設定時におけるヒューマンエラーへの対策も当然ながら必要となる。

　将来的な運用負荷の軽減や、より強固なセキュリティシステムの実現を期待しつつ、パスワード管理やアカウント設定、個々人のセキュリティ意識やリテラシーの向上など、基本的な対策に加え、運用に関連する対策も引き続き、重要な要素となることだろう。

クラウドストレージを狙ったセキュリティインシデント、事例ごとの対策は？
https://eset-info.canon-its.jp/malware_info/special/detail/221130.html

この記事の編集者は以下の記事もオススメしています

• デジタル

  サイバーセキュリティの未来において重要となる10の課題

• デジタル

  システムの企画・設計の段階からのセキュリティの考え方「セキュリティ・バイ・デザイン」とはなにか

• デジタル

  ゼロトラストネットワークアクセス（ZTNA）のメリット&デメリット

• デジタル

  東アジアのDLPソフトウェア会社を狙ったAPTグループ「Tick」のサイバー攻撃とは？

• デジタル

  最凶のマルウェア「Emotet」が再拡大。どのような対策を講じていくべきか？

• トピックス

  実は義務だった!? 中古スマホ出品時はマイナカード失効手続きを忘れずに メルカリが注意喚起

• クラウド

  さくらインターネット、国内企業初のガバメントクラウド提供事業者に選定