はじめに
背景と目的
2018年6月に初版決定された「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(以下「旧方針」という。)は、クラウド第一原則(クラウド・バイ・デフォルト原則)に基づき政府情報システムのオンプレミスからクラウドへの移行を促すものであった。旧方針に基づいて多くの政府情報システムがクラウドに移行されたが、一方でクラウドへの移行そのものが目的化されてしまい、必ずしもクラウドサービスの利用メリットを十分に享受できていないといった例も散見された。
こうした状況を踏まえ、本方針では、政府情報システムが単にクラウドに移行するだけではなく、クラウドの利用メリットを十分に得られるようにするため、政府情報システムがスマートにクラウドを利用するための考え方を示す。
これまでの政府情報システムにおけるクラウドサービスの利用の多くは、オンプレミスのサーバー群を単に「雲の向こうにある仮想サーバー群」に置き換え、迅速な整備や柔軟なリソースの増減を図るものにとどまっていた。他方で、近年においては、クラウドサービスの急速な進化・発展により、多種多様なマネージドサービスが利用可能となっており、利用システムが自らサーバーを構築しなくても、マネージドサービスを利用することによって、必要とする情報システムを構築することが可能となっている。
また、環境構築の自動化や運用の自動化も大きく進展し、いわゆるインフラ作業(構築・運用・保守)の在り方も以下のように根本的に変化している。
すなわち、従来のクラウドでは、オンプレミスと同様の発想でサーバー構築を中心としたインフラ作業を手作業で実施することが多かったが、今日のクラウドにおいては、サーバーは構築せずにマネージドサービスを利用することや、インフラ環境をコードにより自動生成することが可能である。これにより、従来要していたサーバー構築に伴うコストや、手作業に係る工数を大きく削減することが可能となる。
セキュリティ対策についても、従来のクラウド利用においては、オンプレミスと同様の発想で、ネットワークを中心に自らが構築したサーバーを守ることが重要なテーマであったが、今日のクラウド利用においては、マネージドサービス等の利用により、必ずしも自らサーバーを構築する必要がなくなるため、データの暗号化や認証など、クラウド利用における様々な設定を適切に行うことがセキュリティ対策の中心となる。あわせて、合理的な責任分界の下、コンピュータの基本部分(サーバーやOS)のセキュリティ対策を信頼性の高いCSPに委ねることで、利用者はサービス利用に集中することができ、高水準のセキュリティ対策を低コストで実現することが可能となる。
本方針が旧世代のクラウド利用ではなく、今日のスマートなクラウド利用を促進する目的は、システム開発の短期間化や継続的な開発・改善の実現等の要素もあるが、主としてコスト削減とセキュリティの向上にある。オンプレミスから旧世代のクラウドへの移行では、サーバー構築に伴うコストや手作業に係るコストが大きかったが、スマートなクラウド利用ではそれらのコストは大きく削減される。
本方針は、このような大きな技術環境の変化に対応し、政府情報システムが今日においてクラウド利用をスマートに行うための考え方を示すため、旧方針の改訂ではなく、抜本的な改正を行うものである。
本方針の抜本的な改正を実施した2022年から2年が経過し、クラウドを取り巻く環境は更なる変遷を遂げている。クラウドはその黎明期においては「雲の向こうに隠蔽される仮想的なサーバー群」であったが、それが「インフラやソフトウェアを所有しないITの形態」と進化し、今日では「スピーディかつ合理的に業務を進めるための手段」と、より包括的に捉えるべき存在に変遷している。例えば、オンデマンド・セルフサービスは単にすぐに使えるというだけではない。従来の個別価格交渉や納期という概念を不要にするものである。また、事前に利用量を予測して安全マージンを含めたリソースを当初から契約する必要もない。クラウドでは、全体の資源に余裕があれば、必要に応じて必要な量の資源を利用することができる。従来のオンプレミス環境では、個別価格交渉や納期、そして変化に対応しにくいシステム構成のために、常に余裕を持ったリソースを確保しておく必要があった。しかしクラウドでは、そのような「安全マージン」の必要性は低くなる。同様に紙での報告、人手に頼った作業、過剰なテスト実施等、従前の習慣はクラウド環境への移行を契機に見直されることが望ましい。2025年の改正においては、これらの変化も本方針に取り込んでいく。
適用対象
本方針は、デジタル・ガバメント推進標準ガイドラインが適用されるサービス・業務改革並びにこれらに伴う政府情報システムの整備及び管理に関する事項に適用するものとする。ただし、特定秘密(特定秘密の保護に関する法律(平成25年法律第108号)第3条第1項に規定する特定秘密をいう。)及び行政文書の管理に関するガイドライン(内閣総理大臣決定。初版平成23年4月1日。)に掲げる秘密文書中極秘文書に該当する情報を扱う政府情報システムについては、本方針の全部を適用対象外とする。
また、安全保障、公共の安全・秩序の維持といった機微な情報及び当該情報になり得る情報を扱う政府情報システムについては、別添を除いて本方針の全部を適用対象外とする。
地方公共団体や独立行政法人等において、ガバメントクラウドの利用を検討する場合には、本方針も参考にされたい。
位置付け
本文書は、デジタル社会推進標準ガイドライン群の一つとして位置付けられる。
用語
本方針において使用する用語は、表1-1及び本方針に別段の定めがある場合を除くほか、標準ガイドライン群用語集の例による。なお、参照しやすいよう用語集と同様の定義を記載する場合がある。その他専門的な用語については、民間の用語定義を参照されたい。
クラウドサービスの当初からの利用メリット
旧方針策定時において、クラウドサービスを利用する主たるメリットとして、以下を挙げていた。これらのメリットは今日においても有効である。
効率性の向上
クラウドサービスでは、多くの利用者が使用するリソースを共有するため、資源を占有しないアーキテクチャを採用したならば、一利用者当たりの費用負担は軽減される。また、クラウドサービスは、多くの場合、多様な基本機能があらかじめ提供されているため、こうした機能を効果的に活用した場合には、導入時間を短縮することが可能となる。
セキュリティ水準の向上
多くのクラウドサービスは、一定水準の情報セキュリティ機能を基本機能として提供しつつ、より高度な情報セキュリティ機能の追加も可能となっている。また、世界的に認知されたクラウドセキュリティ認証等を有するクラウドサービスについては、強固な情報セキュリティ機能を基本機能として提供している。多くの情報システムにおいては、オンプレミス環境で情報セキュリティ機能を個々に構築するよりも、クラウドサービスを利用する方が、その激しい競争環境下での新しい技術の積極的な採用と規模の経済から、効率的に情報セキュリティレベルを向上させることが期待される。
技術革新対応力の向上
クラウドサービスにおいては、技術革新による新しい機能(例えば、組織内SNS、モバイルデバイスやIoT、分析ツール、AIによる不正検知・認識・予測等の自動化)が随時追加される。そのため、クラウドサービスを利用することで、最新技術を活用し、試行することが容易となる。
柔軟性の向上
クラウドサービスは、リソースの追加、変更等が容易となっており、改修確認に係る試験環境の構築や、災害発生時の利用、数ヶ月の試行運用といった短期間のサービス利用にも適している。また、一般に汎用サービス化した機能の組み合わせを変更する等の対応によって、新たな機能の追加のみならず、業務の見直し等の対応が比較的簡易に可能となるほか、従量制に基づく価格設定や価格体系が公表されていることも一般的である。
可用性の向上
クラウドサービスにおいては、仮想化等の技術利活用により、複数の物理/仮想サーバー等のリソースを統合されたリソースとして利用でき、さらに、個別のシステムに必要なリソースは、統合されたリソースの中で柔軟に構成を変更することができる。その結果、24時間365日の稼働を要件とした場合でも過剰な投資を行うことなく、個々の物理的なリソースの障害等がもたらす情報システム全体への悪影響を極小化しつつ、大規模災害の発生時にも継続運用が可能となるなど、情報システム全体の可用性を向上させることができる。
クラウドサービスのスマートな利用によるメリット
クラウドサービスのスマートな利用においては、これまでの利用メリットに加えて、以下のメリットも享受が可能となる。
マネージドサービスの活用によるコスト削減
旧世代のクラウド利用では様々な機能の実現のために、仮想サーバーを構築し、ソフトウェアをインストールし、サーバーの運用管理を行うことが一般的であった。すなわち、仮想サーバーのクラウド利用料、ソフトウェアのライセンス・保守費用、運用管理の人件費が発生していた。今日のスマートなクラウド利用においては、CSPが提供するマネージドサービスの機能を組み合わせることで多くの機能が実現可能であり、かつ保守・運用管理はCSP側で行われることから、費用はマネージドサービスのクラウド利用料のみとなり、その金額は多くの場合、旧世代の数分の1といわれている。
自らがサーバー構築をしないため、サーバー構築にかかる固定費が不要になることに加え、インフラ環境が完成されたサービスとして提供されるため、インフラ環境のテストや評価等の作業も大きく削減されるからである。
利用数、利用時間などの従量課金体系である場合、処理量が少ない時から多い時まで、クラウド利用料が処理量に比例するため、処理量が少ない場合のコスト効率が特に向上し、例えば、処理量の少ない週末や利用時間が限定的な検証環境では処理量が少ない分コストも明確に下がる。
サーバーを構築しないシステムにおけるセキュリティ向上とセキュリティ対策コストの削減
自らがサーバーを構築し運用すると、そこへのセキュリティ対策として、サーバーへの侵入監視・防止、ソフトウェア脆弱性への対応、OS等のセキュリティ設定管理等を自らの責任で行う必要がある。今日のスマートなクラウド利用においては、マネージドサービスが提供する機能を利用するだけなので、自ら業務影響を避けるなどの理由からアップデートタイミングを定める場合はあるものの、自らの責任でそれらのセキュリティ対策を行うことが基本的に不要となる。本方針で想定するマネージドサービスはISMAPへの登録等で安全性が評価されたクラウドサービスとして提供されており、利用システム側はサービス利用に集中でき、高水準のセキュリティ対策が低コストで実現可能となる。
また、マネージドサービス側が自動で設定・最適化する度合いが高くなり、利用システム側が単にサービスを使うだけとなる度合いが高くなるにつれ、利用システム側のセキュリティ対策の負荷が、より軽減されることになる。
IaC (Infrastructure as Code)とテンプレートによる環境構築の自動化によるコスト削減
旧世代のクラウド利用ではインフラ環境の構築を手作業(画面操作)で実施していたが、今日のスマートなクラウド利用においては、CSP等により準備されたテンプレートをベースに若干の修正を行ったコードを実行することでインフラ環境を構築する。
このIaCには以下のコスト削減効果がある。第一にインフラ環境が短時間で正確に再構築できるようになる。環境構築時の検証コスト(人件費)を削減し、テスト等での一時的な環境利用も可能にすることで、不使用時等、不必要なクラウド利用料の削減にも貢献する。第二にインフラ環境がコード化されることによって、コードに対する自動テストやレビューが可能となり、信頼性を向上させる。第三にコード化されることによって環境のバージョン管理が可能となる。これはアプリケーション開発と同様の管理方法が適用可能となることを意味し、管理チームによるガバナンスを効かせつつ継続的な開発・改善を行うといった形でインフラ管理の更なる自動化につながる。
クラウド化による間接的なメリット
クラウドはその利用における直接的なメリットだけでなく、以下の間接的なメリットが存在する。
クラウドで削減したコストでシステム化される領域の拡大へ
クラウドによってシステムの運用・保守費用が削減されると、これまで費用面で難しかった領域のシステム化が可能になる。今まで人手に頼っていた業務や、紙を介して行っていた業務も、デジタル化を通じて効率化することができる。
クラウドによる競争力の強化へ
従来型のシステム運用・保守から事業者を解放し、クラウドを活用したモダン技術によるシステム刷新や構築を促進することで、事業者の競争力強化を支援していく。また、モダンなシステムの普及と拡大は、社会全体のITによる競争力向上に繋がる可能性がある。今日のクラウドは、単なるデータセンタやハードウェアビジネスではなく、最先端ソフトウェアを駆使したサービスとして進化を続けており、モダンなアプリケーション開発においては、アジャイル開発のような迅速かつ効率的な手法が注目されている。このような環境下では、開発者が自身の能力を最大限に発揮し、創造性を活かしたサービスを迅速に提供できるようになることが期待される。
従来のパッケージシステムは、SaaSなどのクラウドサービスへと移行する流れが加速している。共通的な機能については、個別に開発したりパッケージ製品を導入するよりも、既存のSaaSを利用するか、SaaSや共通サービスとして開発して提供する選択肢を検討することが重要となるだろう。このように、SaaSや共通サービスの利用を積極的に検討することで、開発者と利用者の双方にとってより効率的なシステム構築が可能になると考えられる。