政府が推進するクラウド・バイ・デフォルト原則とは?導入によって企業はどう変わる?

【入場無料】TD SYNNEX主催のIT展示会「Inspire 2024」10/24(木)東京国際フォーラムにて開催!

「クラウド・バイ・デフォルト原則」は2018年6月、政府がデジタル政策に関する共通ルールにあたる「標準ガイドライン」の付属文書として発表した「政府情報システムにおけるクラウド・サービスの利用に係る基本方針」の中で具現化された、クラウド・サービスを採用するための指針を示したものです。クラウド・サービスとはIT関連コストを削減するために誕生したサービスで、例えばAmazonの「AWS(Amazon Web Service)」(2006年サービス開始)やGoogleの「GCP(Google Cloud Platform」(2008年サービス開始)、Microsoftの「Azure」(2010年サービス開始)などが挙げられます。

クラウド・サービスの普及状態について、ガートナージャパンは、2020年に行った独自調査の結果から「日本企業におけるクラウドの浸透は、相当にスローな状況」と評価し、「実際の導入には慎重な姿勢」であるとの見解を示しています。そのような評価より前の2018年の段階で、政府の発表した文書の中でクラウド・サービスの利用について触れられたことは、関係者の間では大きな話題となったのです。ここでは、そんな「クラウド・バイ・デフォルト原則」について詳しく解説します。

クラウド・バイ・デフォルト原則とは?

クラウド・バイ・デフォルト原則とは、「政府情報システムを整備する際に、クラウド・サービスの利用を第一候補とする原則」のことです。この原則は内閣官房IT総合戦略室により、「政府情報システムにおけるクラウド・サービスの利用に係る基本方針」として具現化されました。

民間企業、個人共に急速に利用が広がるクラウド・サービスですが、これまで政府関連システムでは、クラウド・サービスの利用に消極的な側面(セキュリティ、移行リスクへの漠然とした不安、クラウド・サービスに対する認識・理解不足)がありました。この「クラウド・バイ・デフォルトの原則」はシステム方式選定時に、最初の候補としてクラウド・サービスを採用することを原則とするものです。

類似する言葉に、「クラウド・ファースト」という言葉があります。これは、システム方式選定時に「クラウド・サービスを優先的に検討していく」という方針(考え方)です。これに対してクラウド・バイ・デフォルト原則は、「原則として、クラウド・サービスを第一候補とする」という指針(ガイドライン)となります。

クラウド・バイ・デフォルト原則が打ち出された背景と目的

クラウド・サービスは急速に進化・発展しています。効果的に利用すれば情報システム整備の迅速化、柔軟なリソースの増減によるコスト削減の他、システムの設置場所を気にせず利用できるため災害時にも継続してシステム利用できる等、さまざまなメリットがあることは明らかでしょう。

しかし、新技術への抵抗感からクラウド・サービスへの理解が進まず、従来の自前で全て用意するシステム構成(オンプレミス)に固執することが多く、そのメリットを享受することができない例が少なくありません。政府機関でも同様にそのような状況であったため、これを変えようと取りまとめられたのがクラウド・バイ・デフォルト原則です。政府が大きくクラウド採用へ舵を切ったことにより、これまでクラウド・サービス利用に消極的でデジタル化が遅れていた行政サービスについても、クラウド化の流れはさらに大きくなることが予測されます。

政府方針によるクラウド・サービスの利用検討プロセス

クラウド・サービスといっても、そのサービス内容はさまざまです。例えばソフトウェアサービスをクラウド上で利用する「Saas(Software as a Service)」、仮想サーバやハードディスクなどITインフラサービスをクラウド上で利用する「IaaS(Infrastructure as a Service)」、データベースやプログラム実行環境など、システムが稼働するためのサービスをクラウド上で利用する「PaaS(Platform as a Service)」があり、それぞれメリット・デメリットを踏まえて用途に合わせた選択が必要です。

そして、クラウド・サービスの形態も、サービスによって以下2つのタイプに分けられます。

プライベートクラウド

企業や組織などが特定の利用者専用のクラウド環境を構築し、サービスを提供するものです。プライベートクラウドは設計や管理、企画、機能拡張など、クラウド・サービスの仕様を独自に行える点が特徴となります。

パブリッククラウド

企業・個人に関係なく、使用したいときに使用できる環境を提供するものを示します。利用者は「サーバ」「セキュリティ」「ネットワーク」など必要な資源を自前で用意せず、必要なときに必要なだけ使用することが可能です。

プライベートクラウド、パブリッククラウドについては、下記の記事で詳しくご紹介をしています。

▼参考:プライベートクラウド、パブリッククラウド、オンプレミスの違いは? それぞれの特徴とメリットを徹底比較

クラウド・サービスの利用検討プロセス

クラウド・バイ・デフォルト原則によってクラウド・サービスの選定が求められますが、どのサービス提供元にするか選ぶのはとても困難です。クラウド・サービスを利用するメリットを最大限に享受するために、STEP.0〜 STEP.4まで評価検討するプロセスが公開されています。STEP4まで検討し、それでもクラウド・サービス利用による優位性がない場合に初めてオンプレミスが選択されます。ここで、各STEPをそれぞれご説明しましょう。

Step.0 検討準備

クラウド・サービスを利用するためには、まず対象となる業務及びサービス内容、その業務で取り扱う情報を検討し、なるべく明確にする必要があります。

1)業務の基本属性

サービス利用者、インターネット利用前提有無、サービス種別、他サービスとの連携

2)必要なサービスレベル

サービス提供時間、障害発生時の復旧許容時間、災害対策の要否等

3)サービス・業務の定常性

定常的な業務か、一時的な業務か

4)業務量

業務量の総量予測、業務処理量の変動予測

5)取り扱う情報

情報の格付け(機密性、完全性、可用性)、取得制限

検討準備段階でこれらの情報をどこまで明確化できたかによって、次STEP以降の検討に良質なインプットとなり、適切なサービスの選択につなげることができます。

Step.1 SaaS(パブリッククラウド)の利用検討

・SaaS(パブリッククラウド)においては、十分な稼働実績を有し、運用の自動化、サービスの高度化、情報セキュリティの強化、新機能の追加等に積極的かつ継続的な投資が行われ、サービス終了のリスクが低いサービスを検討する。

・特定秘密にあたる情報をクラウド上で扱わない。クラウド・サービス利用時の伝送路は暗号化する。また格納されるデータについても機微なものについては暗号化を行う。

Step.2 SaaS(プライベートクラウド)の利用検討

SaaS(プライベートクラウド)においては、一部または全部が、府省共通システムや政府共通プラットフォームなど、各府省の共通基盤等コミュニケーション系のサービスや業務系のサービスについて、利用検討をする。

Step.3 IaaS/PaaS(パブリッククラウド)の利用検討

Step1、Step2までの検討結果を踏まえ、SaaSの利用が著しく困難である場合、または経費面の優位瀬その他メリットがない場合については、IaaS/PaaS(パブリック・クラウド)が利用検討の対象となる。ハードウェアのスペックや数量などのリソースの正確な見積りが困難または、大きな変動が見込まれる情報システムが検討対象として想定される。

Step.4 IaaS/PaaS(プライベートクラウド)の利用検討

Step3までの検討結果を踏まえ、IaaS/PaaS(パブリック・クラウド)の利用が著しく困難である場合、検討対象として想定される。セキュリティポリシーの問題で、パブリッククラウドの利用が禁止されている情報を取り扱うシステムやSaaS利用で代替できない独自システムが検討対象として想定される。

上記のStepに含まれない場合はクラウド・サービスの利用を見送り、個別に動作環境をすべて自前で用意するオンプレミス環境の利用を検討する必要があります。

▼内閣官房「政府情報システムにおけるクラウド・サービスの利用に係る基本方針」より一部抜粋、追記

https://cio.go.jp/sites/default/files/uploads/documents/cloud_policy_20210330.pdf

クラウド・サービスを利用するメリット

クラウド・サービスの利用を原則として考えるクラウド・バイ・デフォルト原則は、なぜ用いられるようになったのでしょうか。ここで、従来型と言われる「オンプレミス」と比べたメリットを見ていきましょう。

リソースの有効活用

オンプレミス環境の場合、急なサービス要求の増大にシステムが応答できず、サービスダウンしてしまうことがあります。一方、クラウド・サービスを利用すれば、リソースの追加・削除を必要なタイミングで行うことが可能です。また、余計なリソースをあらかじめ確保しておく必要がないので、運用コストを削減できます。

セキュリティ水準の向上

オンプレミス環境でセキュリティ対策を行う場合、担当者のスキルに依存してしまうという問題点があります。なぜならセキュリティ対策には、高度な知識と技術が必要だからです。また、一定レベルのセキュリティ水準を保ち続けるためには、それらの環境にも目を配りつつ、新しい脅威にも備えなければならず、リスクが増大する可能性もあります。

一方、クラウド・サービスは基本的なセキュリティ対策をサービス提供元が整備しているため、必要最小限の確認・対応だけで済みます。クラウド・サービス側のセキュリティ水準の向上にも、そのまま対応することが可能です。

ただし、クラウド・サービスはインターネット上のサービスであり、オンプレミス環境よりも「情報漏えい」のリスクが大きいため、適切なアクセス管理や、アカウント管理が有効になります。

最新技術の活用

クラウド・サービスの大きな特徴のひとつに、充実したサービスと最新技術の適用の早さが挙げられます。IT関連の技術の進歩は目覚ましく、日々さまざまな技術が生まれていますが、オンプレミス環境のようにすべて自前で用意する必要はありません。そのため、どんどん新しい技術に触れることができます。それによって、業務の効率化につなげられるはずです。

TD SYNNEX BLOGでは、他にもクラウドに関するさまざまなお役立ち情報を公開しています。

https://jp.tdsynnex.com/blog/category/cloud/

クラウド・サービスの導入における注意点

クラウド・サービスの利用には、「リソースの有効活用」「セキュリティ水準の向上」「最新技術の活用」など多くのメリットがあります。しかし当然ながら、メリットばかりではありません。ここで、特に注意するべき点をご紹介しましょう。

サービス提供会社の信頼性

セキュリティ対策が疎かになっていないか、そのサービス提供会社は信頼できるのかを確認しましょう。たとえサービス提供会社側の責任でセキュリティ問題が発生したとしても、自社への評判の悪化を完全に避けることはできません。しっかりサービス提供会社の事を確認する必要があります。

IDとパスワードの管理の徹底

クラウド・サービス自体は外部からの不正アクセスに備え様々なセキュリティ対策が取られていますが、状況によってはその対策も意味のないものになってしまいます。例えば、ログインIDとパスワードが第3者に知られてしまえば、悪意のある操作も十分に可能となります。そのような状態にならないよう、IDとパスワードの管理を徹底し、さらに「2段階認証」・「2要素認証」を使用することでセキュリティを高めることができます。

社内のセキュリティ意識を高める

クラウド・サービス提供会社は、さまざまなセキュリティ施策を講じています。しかし、利用する側の意識が低ければセキュリティ事故は防げません。前述のIDとパスワード管理の他にも、公衆Wi-Fiなどセキュリティレベルの低い場所からの接続や画面を操作可能な状態にしたままで離席しないなど、セキュリティ意識を高めていくことが求められます。

クラウド・バイ・デフォルト原則による民間企業への影響

クラウド・バイ・デフォルト原則は、各府省で情報システムを整備する際にクラウド・サービスの採用を検討するためのものです。しかし、民間企業においても業務の効率化やセキュリティ対応など、同様に適用できる考え方と言えるでしょう。政府が自らシステムのクラウド化に大きく舵を切ったことで、これまでクラウド化に二の足を踏んでいた企業でも「クラウド・バイ・デフォルト原則」の観点でシステム更改する企業が増えると見られています。ただし、これはクラウド・サービス利用を強制するものではなく、あくまで検討のための考え方を具現化したものであるという点に注意が必要です。

そして各企業において、自社の業務形態や扱う情報の特性、業務量など、「クラウド・サービスの利用検討プロセス」の「Step.0」の内容をよく検討し、本当にクラウド・サービスを利用するメリットがあるのか十分に検討するべきでしょう。もし検討した結果、クラウド・サービスを採用する方針となった場合にはデメリットも合わせて検討し、メリットと一緒に理解することが大切です。

まとめ

まだ一般的に「クラウド・バイ・デフォルト原則」という言葉はなじみがなく、内容を把握することは難しいでしょう。しかし、その言葉の中身はクラウド・サービスの活用を前提とした考え方で、民間企業でも通用する内容となります。ただし大切なのは、クラウド・サービスを利用するのが目的ではなく、利用によって「業務の効率化」「セキュリティ強化」「システムの可用性、柔軟性の向上」などのメリットを得ることです。そのためにはクラウド・サービスの導入について、正しい知識を持って検討する必要があるでしょう。

TD SYNNEX では、既存のオンプレ環境のインフラ(サーバ・ストレージ)の診断を受け付けています(ハイブリッドクラウドアセスメントサービス)。診断した結果、パフォーマンス改善や新規システムのご提案、コスト削減につながる次期インフラに最適な構成のご提案も行っております。お問い合わせは随時承っておりますので、以下の問い合わせフォームよりお気軽にご連絡ください。

https://www.synnex.co.jp/solution/servicesolv/

[筆者プロフィール]
おじかの しげ
https://twitter.com/shige_it_coach
東京近郊の中堅SIerに20年勤務する、インフラ系システムエンジニア。インフラ環境構築からOS、ミドル導入、構築、運用。最近はインフラ関係だけではなく、WEBアプリ開発など幅広く業務を経験。

製品・サービスについてのお問合せ

情報収集中の方へ

導入事例やソリューションをまとめた資料をご提供しております。

資料ダウンロード
導入をご検討中の方へ

折り返し詳細のご案内を差し上げます。お問い合わせお待ちしております。

お問い合わせ