- Column
- 大和敏彦のデジタル未来予測
政府の「クラウド バイ デフォルト原則」が推すクラウドの価値と検討ステップ【第52回】
コラム「正しいクラウドサービスのみを選択」
このコラムでは、「従来型の共同データセンターの単なる延長上にあるものや、単に仮想化技術を採用しただけのものは、本方針におけるクラウドサービスの定義には該当しない」と述べている。
そのうえでクラウド活用に当たっては、「クラウドのメリットを理解した上で、正しいクラウドサービスを選択することが必要」とする。基本方針の中には、「正しいクラウド」によるメリットとして、図1に示す5点が挙げられている。
クラウドサービスが始まった当初、クラウド化のメリットは、「固定資産が不要で、すぐ使え、コストが低減できる」こととされ、オンプレミスからの移行が中心だった。
しかし、クラウドの進化に伴って、セキュリティや、柔軟性、可用性に優れた基盤としての役割が高まり、さらには情報システムの開発・運用の効率性、技術革新対応が期待される基盤になってきた。これらのメリットを理解した上で、利用できるクラウドサービスを選択することが重要である。
コラム「クラウドサービスが危険だろうと思い込んではいけない」
セキュリティに関する、このコラムでは、「オンプレミスとクラウドを具体的な比較検討を行わず、安全性や信頼性を判断することは避ける必要がある」と述べている。
クラウド活用においては、クラウド事業者とユーザーの間にセキュリティの責任分解点がある。クラウド事業者の責任による部分と、自社開発したアプリケーションやデータの保護、ユーザーIDの管理など、ユーザーが責任を持たなければならない部分である。
クラウド事業者は高いセキュリティ水準を持っている。最新技術を組み合わせた多層防御態勢や、サイバー攻撃に関する知識、それらの対処といった強固なセキュリティ防御・管理体制を備え、世界的に認知されたセキュリティ認証取得をしているところも多い。
一方、ユーザーの責任に関する部分に関しては、セキュリティ対策に必要なツールがクラウド事業者から提供されている。これらを適切に使用することによって強固なセキュリティを実現できる。
従来の「クローズなネットワーク内(閉域網)で利用するため安全である」という考え方は、人が利用する限り100%安全とは言えない。またクローズにすることによって、クラウドや他システムとの連携の困難さや開発負荷の増大などのマイナス点がある。これらを考慮した検討が必要である。
政府として、クラウドサービスの検討負荷を軽減する仕組みがある。「ISMAP(Information system Security Management and Assessment Program)」制度だ。内閣サイバーセキュリティセンターとデジタル庁、総務省、経済産業省が、2021年1月30日に出された『政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的仕組みについて』に基づき運営する。米国政府の「FedRAMP(Federal Risk and Authorization Management Program)」を参考にしている。
ISMAP基準は「ガバナンス基準」「マネジメント基準」「管理策基準」からなっている。クラウド事業者は、これら基準を満たすための準備を行い、外部監査機関による監査の後、登録を申請する。登録者は「ISMAPクラウドサービスリスト」によって公表される。2021年12月27日時点で34のクラウドサービスが登録されている。
この仕組みにより、クラウドサービス利用時のセキュリティ基準の確保と円滑な導入が進められる。