デジタル庁のクラウドサービス利用方針について

こんにちはやまぱんです。

クラウドサービス利用方針("政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針") が政府デジタル庁から発表されています。詳細は参考のリンク先を参照してください。

今回は気になったところを抜粋してみます。
モダンな戦略になっていて、IT産業に従事する一国民としては嬉しいです。
またこれは民間企業もとても参考になるようなところがあると思います。
特に旧来の技術としてバシッと言いきってるあたりとか、人海戦術を辞めましょうっていうのはとても良い。何せ日本はＩＴ人材が不足しているので。 🙂

ちなみに関連するガバメントクラウドの提供ベンダーは現在が外資系ベンダーのみの下記4社です。(デジタル庁が2022/10月3日に発表したもの)

Amazon Web Services

Google Cloud Platform

Microsoft Azure

Oracle Cloud Infrastructure

ちなみに、前身は "適切な" がない、”政府情報システムにおけるクラウドサービスの利用に係る基本方針”というものでした。

2018年6月、「政府情報システムにおけるクラウドサービスの利用に係る基本方針」を発表され、2021年3月には同方針の改定が行われました。
この方針の中では、クラウド・バイ・デフォルト原則が明記されてます。
政府情報システムの構築・整備に関しては、クラウドサービスの利用を第1候補（デフォルト）として考えましょうと記載されています。

デジタル庁のクラウドサービス利用方針(政府情報システムにおけるクラウドサービス利用の基本方針)ですが、この内容は民間企業にも当てはまる部分が多く盛り込まれており、内容を正しく理解することで、自社のクラウドサービス利用を安全かつ効率的に進めることができます。
参考：https://www.topgate.co.jp/government-shared-platform-system-cloud-policy

Contents

1 気になったところ
2 基本方針
3 目次
4 参考

気になったところ

こちらも参考に記載しているURL先に詳細は抜粋元の記述がありますので詳細はそちらを確認してください。

ゼロトラストの採用

オンプレミスでは境界型セキュリティの考え方に基づいてネットワークセキュリティを重視して、危険な外部と安全な内部を遮断するといった対策方法が主流であったため、内部についてのセキュリティ対策が十分でない場合があった。
クラウド利用時においては、ゼロトラストの考え方に基づいて全てのレイヤーでセキュリティ対策を検討し、エンド・ツー・エンドで、データの秘匿・保護を行い、動的に監視や認証等を実施することが推奨される。
脱オンプレ
- オンプレミス時代の旧来技術・運用を単純に踏襲しない.
  旧来技術・運用の例：クライアントサーバ方式、専用端末のシンクライアント（VDI）、踏み台サーバ、閉域ネットワークのみに依存したセキュリティ対策、ビジネス要求やシステム価値につながらない監視ツール、メンテナンスを目的とした定期的なシステム（サービス）の停止、夜間に実施する必要のない夜間バッチ、オンプレミス用ミドルウェア等
- オンプレミス時代の人海戦術的な方式を踏襲せず自動化する
  インフラ環境構築の自動化（IaC）と CI/CD パイプライン化、インフラテストの自動化、システム監視や運用の自動化、セキュリティ監視の自動化をクラウドの機能を活用して行う。
モダンな技術を使いましょう。モダンな技術とは「マネージドサービス」と「IaC (Infrastructure as Code)」が中心。
できる限りサーバーを立てる(IaaSを利用する)ことはやめて、なるべくマネージドサービスを利用しましょう。

今日のクラウド利用においては、マネージドサービス等の利用により、必ずしも自らサーバを構築する必要がなくなるため、データの暗号化や認証など、クラウド利用における様々な設定を適切に行うことがセキュリティ対策の中心となる。
優先的に Saas を使いましょう

SaaSについては、開発量削減の観点から幅広く優先的に、その利用を検討すること。
マルチクラウドはコストがかかるよ。メイン以外には使ってもSaaSを使うぐらいにしましょう。

主たる環境として利用するIaaS/PaaSのCSPを複数とするマルチクラウドはコストが増大することが多いため、真に必要性がある場合を除いては避けること。SaaS等を中心に特定機能に特化して他のクラウドを併用することは問題ない。

基本方針

プライバシー保護とセキュリティを確保すること。クラウドサービスを利用する場合、個人データや機密情報が保存される可能性があるため、プライバシー保護とセキュリティ対策を徹底することが重要です。
クラウドサービスの利用を適切に管理すること。クラウドサービスを利用するにあたり、利用者の管理、アクセス管理、利用状況の管理を適切に行うことが必要です。
クラウドサービスの提供会社との契約を適切に管理すること。クラウドサービスを利用するにあたり、契約内容やサービスレベルの内容、個別の利用条件などを明確に定めることで、サービスの提供を適切に管理できるようにします。
クラウドサービスの提供会社とのコミュニケーションを維持すること。クラウドサービスを利用するにあたり、提供会社とのコミュニケーションを維持し、サービスに関する問題やトラブルを迅速に解決することが重要です。
クラウドサービスの利用を適切に評価すること。クラウドサービスを利用するにあたり、利用の効果やメリット、デメリットを検討し、将来的にも最適なサービスを選択できるようにすることが重要です。

 1 はじめに
 1.1背景と目的
 1.2適用対象
 1.3位置付け
 1.4用語
 1.5クラウドサービスの当初からの利用メリット
1)効率性の向上
2)セキュリティ水準の向上
3)技術革新対応力の向上
4)柔軟性の向上
5)可用性の向上
 1.6 クラウドサービスのスマートな利用によるメリット
1)マネージドサービスの活用によるコスト削減
2)サーバを構築しないシステムにおけるセキュリティ向上とセキュリティ対策コストの削減
3)IaC(InfrastructureasCode)とテンプレートによる環境構築の自動化によるコスト削減

2.基本方針
 2.1 クラウド・バイ・デフォルト原則
 2.2 モダン技術の利用

 3.具体方針
 3.1クラウドサービスの選択
 3.2 クラウド利用者のデータが所在する地域と適用される法令等について
1)ガバメントクラウドに選定されているクラウドサービス
2)その他のクラウドサービス
 3.3 ベンダーロックインについて
 3.4 マルチクラウド等について
 3.5 アプリケーションとシステム刷新について
1)見積りの取得時の留意点
2)クラウド移行に向けた刷新
3)小規模システムにおける刷新
4)組織ごとに独立していたシステムの刷新
5)クラウド上で稼働するアプリケーションについて
6)アプリケーションが利用するクラウド機能（サービス）について
7)クラウド移行後のシステム刷新タイミング
 3.6 セキュリティについて
1)責任共有モデルによる対象の絞り込み
2)リファレンスアーキテクチャへの準拠
3)境界型セキュリティのみに依存しないセキュリティ対策を行う（ゼロトラスト）
4)予防的統制と発見的統制の実施
5セキュリティ対策の自動化
6)サーバを構築しないアーキテクチャの採用
7)IaCとテンプレート適用による主要セキュリティ対策のデフォルト化と適切なセキュリティ管理
8)定量的計測とダッシュボードによる状況の可視化
9)継続的なアップデートへの対応
10)クラウドに最適化した監査
 3.7 公文書管理との関係への留意

 4. 補足
 4.1 ISMAP以外のクラウドセキュリティ認証等
1)認証制度
2)監査フレームワーク