「純国産クラウド」への期待
更新日:
現在、今年10月の運用開始に向けて、「第2期政府共通プラットフォーム」を整備中です。
「政府共通プラットフォーム」とは、各府省が共同で利用する情報システムや中小規模の情報システムを中心に、投資対効果を踏まえて集約化し、セキュリティの向上や運用コストの低減を図る為、平成25年3月から総務省で運用しているものです。
かつては、各府省が独自にシステムを構築し、運用・監視体制も其々で整備し、セキュリティレベルもシステムごとにバラバラでした。
現在は、「第1期政府共通プラットフォーム」を運用中ですが、施設やサーバを一元的に調達して共有化し、運用・監視体制も一元化し、セキュリティレベルを全体として底上げしました。
次は、新技術への対応スピードを上げてセキュリティ面での陳腐化を防止することや、運用・保守コストの大幅削減などを期して、クラウドサービスのメリットを活用することを前提に、「第2期政府共通プラットフォーム」を整備することとなりました。
この「第2期政府共通プラットフォーム」については、昨年3月に「設計開発の一般競争入札」が実施され、そこで提案されたAWS(アマゾン・ウェブ・サービス)の利用を前提として、今年10月の運用開始に向けた作業が進められています。
ただし、提案者の創意工夫によるAWS以外のクラウドサービスを用いた代替案も容認していますので、利用するクラウドサービスが正式決定するのは本年6月下旬になる見通しです。
私は、「第2期政府共通プラットフォーム」については、何とか「純国産クラウド」で整備できないかと考えていました。
昨年9月の総務大臣就任直後、「設計開発の一般競争入札」は昨年3月に終わっていたものの、諦め切れずに、改めて国内各社のクラウドサービスとの比較・検証を行いました。
日本人としては残念ですが、十分な比較・検証の結果、AWSは、「セキュリティ対策」も含め、「クラウドサービスのメリットを最大限活用するという点」で、国内各社のクラウドサービスよりも優れていました。
クラウドサービスのメリットを最大限活用するということでは、「作り込みを最小限とした運用費用の低減」「迅速な整備、柔軟なリソースの増減」「自動化などによる運用の効率化」「政府統一基準などに沿った必要なセキュリティ対策」「クラウド特有のリスク回避」といった観点から、利用するクラウドサービス事業者について、総合的に判断しました。
外国ベンダーを利用することについては、「セキュリティの観点から問題はないのか」という懸念をお持ちの方も居られると思います。
昨年9月時点の私の問題意識も同じでした。
クラウドサービスの調達に当たっては、海外への情報漏洩のリスクへの対応を含め、安全性の観点から、「ユーザ所有データの所在地は国内とすること」「準拠法・裁判管轄を国内に指定すること」「クラウドサービスは国内から提供されること」などを求めるとともに、「暗号化によるデータの保護」「データ送受信の常時監視」「アクセスログの取得」「脆弱性対策」など、必要なセキュリティ対策をしっかりと行うこととしました。
ちなみに、「特定秘密や極秘文書」を取り扱うシステムは、「第2期政府共通プラットフォーム」の利用対象外になっています。
また、「外国ベンダーを利用することによって、外国の法令に基づいて外国政府からクラウドサービス事業者に対して情報提供要請が行われることにより、日本政府が保有するデータが外国政府に押収されるリスクがあるのではないか」という懸念をお持ちの方も居られると思います。
確かに一般論として、外国政府が、自国の法律に基づき、クラウドサービス事業者に対してデータの提供を求めることはあり得ることです。
AWSを意識して米国の法律を見ましたが、米国政府に無制限なアクセスを認めるものではなく、「犯罪捜査」といった限定された場合を想定したものであり、裁判所が発する令状などに基づき適正な手続を通じて要請が行われますので、そもそもデータ提供要請が行われること自体が想定しがたいものとなっています。
なお、「第2期政府共通プラットフォーム」上のデータについては、「日本政府が暗号化を行い」「そのコントロールは日本政府のみが行えること」を、クラウドサービスの選定や契約において担保しますので、仮に誰かがデータを取得したとしても、その内容を読み取ることはできません。
これからも安全性確保の為に必要な対策を講じてまいりますが、「第3期政府共通プラットフォーム」を整備する頃までには、国内各社に頑張っていただき、悲願の「純国産クラウド」が実現できると良いな…と思っています。