エンドポイントの情報漏えい対策を考えるコラム

働き方改革のなかでの情報セキュリティ

デジタル庁のガバメントクラウドの概要とポイントとは

by ·

ガバメントクラウドとは

ガバメントクラウドとはデジタル庁が中心となり提供している政府の共通のクラウドサービスの利用環境のことです。

これまで地方公共団体は三層の対策(三層分離)と呼ばれる対策でシステムを運用していますが、今後はデジタル庁が提供するガバメントクラウドの利用が地方公共団体に求められてきています。

ガバメントクラウドを利用することにより、これまでは地方公共団体が自身でシステムをオンプレミス環境で用意しなければならなかったサーバやストレージ、アプリケーションなどの環境をクラウド上で迅速に構築しサービスを提供することが可能になります。

図:デジタル庁のガバメントクラウドと三層分離の関係性

 

ガバメントクラウドの対象のクラウドサービス

ガバメントクラウドの対象のクラウドサービスは、AWS (Amazon Web Service)、Google Cloud、Microsoft Azure、Oracle Cloud Infrastructureなど、有名なクラウドサービスとなります。

ISMAP(政府によるクラウドセキュリティ評価制度)と呼ばれる政府から評価・登録を受けたクラウドサービスがガバメントクラウドの対象クラウドサービスになることが可能です。また、最先端のクラウドサービスを利用することで、高いセキュリティや可用性やスケーラビリティの恩恵を受けることができます。常に最新のクラウド技術を利用できるメリットがあります。

 

クラウド・バイ・デフォルトとは

クラウド・バイ・デフォルトとは、新たなシステムを開発・構築する時にはクラウドサービスをベースとして利用するという考え方です。

この考え方は、地方公共団体に限らず民間企業にも当てはまります。

現在の地方公共団体のシステムはオンプレミスによるシステムの運用管理が実施されています。オンプレミスによる運用形態は、これまで長期にわたり運用されてきましたが、クラウドサービスが浸透してきたことにより、地方公共団体においても今後のシステムの利用においてクラウドサービスを使用が進むと考えられます。

ガバメントクラウドは、完全なクラウドサービスであり、今後、地方公共団体もこの運用形態に変化することが求められます。

図:オンプレミスとクラウドサービス

 

ガバメントクラウドの全体概要

バメントクラウドはひとつの地方公共団体で利用するシステムはありません。例えばX市とY市が共通のクラウドサービスを利用することが可能となります。
サーバやストレージなどのITインフラ基盤は、デジタル庁が調達して、それぞれの地方公共団体が利用します。アプリケーションについても、これまでは各地方公共団体が独自に導入してきましたが、ガバメントクラウドではクラウドサービスにラインナップされているさまざまなアプリケーションを選択して利用することが可能になります。

民間企業のアプリケーションのベンダーは、地方公共団体が利用する様々なアプリケーション用意することで、多くの地方公共団体に利用してもらうこと可能になります。

尚、マイナーポータルなど、国民全体が直接利用するようなシステムに関しては、デジタル庁が構築することになります。

 

デジタル庁の役割は幅広い

デジタル庁は、デジタル社会の実現に向けた重点計画を進めています。

デジタル庁は地方公共団体以外にも、関係省庁や民間企業などと幅広く連携協力することにより、デジタル社会のあり方など、デジタルで社会をつくりあげる大きな目的や役割を担っています。

 

ガバメントクラウドのセキュリティ対策

クラウドサービスについはISMAPに認定されたクラウドサービスが基本となりますが、この他にもデータセンターの物理的な場所や、情報資産の日本国外への持ち出しについてもセキュリティ対策として議論されています。地方公共団体のシステムに関しては、日本の法律が適用されない国外での運用は禁止されています。

データセンターの設置や、ネットワークセキュリティについてもしっかりとした機密性、可用性、完全性を守る必要があります。

クラウドサービスの利用終了後についても想定し、IT資産の廃棄や返却時のデータ消去やデータ消去証明に関しても考慮することが必要になってきています。

また、ガバメントクラウドのセキュリティ対策については、デジタル庁「地方公共団体情報システムのガバメントクラウドの利用に関する基準」に次のような記載があります。

「地方公共団体が利用する標準準拠システム等の整備及び運用に当たっては、総務省が作成する地方公共団体における情報セキュリティポリシーに関するガイドラインを参考にしながら、セキュリティ対策を行うものとする。」

ガバメントクラウドのセキュリティのガイドラインについては、現時点では総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」が基本となっているところもあります。

セキュリティ対策に関してはデジタル庁及び総務省が定めていくという記載もあり、今後のガバメントクラウドのセキュリティについての動向は、注目していく必要があります。

 

ガバメントクラウドの移行スケジュール

図:ガバメントクラウドの移行スケジュール

 

ガバメントクラウドを利用した標準準拠システムの移行についてはスケジュールが定められています。目指す期間としては2025年度です。

現在は2023年度ですので、約2年後には各地方公共団体はガバメントクラウドを活用したシステムの準備を進めておく必要があります。一部の地方公共団体では、先行して取り組んでいる地方公共団体もあります。
地方公共団体の先行事業の経過はすでにデジタル庁のウェブサイトに公開されており、良い点や改善点など、さまざまな結果が公表されています。災害対策やコスト削減に成功した地方公共団体もあれば、ガバメントクラウドに移行したことにより運用コストが倍増してしまった地方公共団体も存在しているようです。

地方公共団体は、今後のガバメントクラウドの情報を収集し検討しつつ、ガバメントクラウドに対応を慎重に進める必要性があるといえます。

 

まとめ

今回は、主に総務省の地方公共団体向けの情報セキュリティポリシーに関するガイドラインから、三層の対策のセキュリティ対策からデジタル庁が提供するガバメントクラウドについての概要についてご紹介しました。

私たちも日本に住んでいる限り、どこかの地方公共団体に所属しているわけですので、一人の国民として地方公共団体のITシステムが今後どのような方向に向かうかを注目していくと より身近に実感できると思います。

タグ:

ワンビは情報漏洩対策の専門家です。情報漏洩に関する様々な情報はこちらからどうぞ!
ワンビは情報漏洩対策の専門家です。
テレワークPC紛失・盗難時の情報漏洩防止と
第三者データ消去証明にご興味がありましたらこちらから!

あわせて読みたい