IT記者会Report

オリジナルな記事や送られてきたニュースリリース、セミナーのプレゼン資料など

AWS/GCP採用に続く次の一手は? デジタル庁のガバメントクラウド先行事業(1)

行政DXの基盤となる「ガバメントクラウド(Gov-Cloud)先行事業」にAWSGCPを採用──デジタル庁の公式発表が2021年10月26日で、先日の総選挙の争点にはならなかったが、見落としてはならない重要なニュースだと言える。国民の生命・財産にかかるデータを扱うだけに、システム障害の影響や緊急時の対応、新たなベンダーロックインといった懸念が指摘されるからだ。経済安保そして「IT安保」の観点からら国産クラウドが選ばれるに越したことはないのだが、この決定からは、マルチクラウドとデータの“確からしさ”をどう担保するかという、一般企業にとっても喫緊の課題が見えてくる。

政府に選ばれなかった国産クラウド

 2021年10月26日、デジタル庁の定例会見に立った牧島かれん同庁担当大臣が、ガバメントクラウド先行事業に、AWSAmazon Web Services)とGCPGoogle Cloud Platform)の両クラウドを採用すると発表した(写真1)。2025年度までに地方自治体の基幹業務システムを標準化する「自治体DX」プロジェクトの第1歩となるもので、神戸市、倉敷市盛岡市佐倉市宇和島市須坂市、埼玉県美里町京都府笠置町の計8団体が先行自治体に採択されている。

写真1:デジタル庁担当大臣に就任した牧島かれん氏(写真中央)(出典:デジタル庁 Twitter

 ガバメントクラウドを裏づけているのは、2021年9月1日に施行された「地方公共団体情報システムの標準化に関する法律」だ。地方公共団体が独自に基幹業務処理用のハードウェアやソフトウェアを保有せず、標準仕様に準拠したアプリケーションをクラウドで利活用する基盤を整備する。それによって市区町村が個別にセキュリティ対策やオペレーション、トラブル対応をする必要がなくなり、住民の利便性を向上させる──としている。

 ちなみに市区町村の基幹業務とは、住民基本台帳、税(固定資産、住民、軽自動車)、国民健康保険国民年金、介護・福祉・医療など計17業務のこと。印鑑登録や乳幼児医療など法律に基づかない事務、収納滞納管理や人事給与など内部管理事務は対象外だが、戸籍管理と印鑑登録も追加される可能性がある。総務省厚労省内閣府など所管省庁が機能要件やデータ要件など仕様を策定、デジタル庁が非機能要件を取りまとめる。

 ガバメントクラウドについての説明はこの程度にとどめるとして、本稿のテーマは行政DXの基盤に米国製クラウドを採用するのは、昨今話題の経済安保/IT安保の観点でどう捉えるべきか、にある。政府が国産クラウドにダメを出した──となると、民間企業はどうすりゃいいの? である。

ISMAP付加要件が意味するもの

 なぜ米国2社のクラウドか。牧島担当相の説明によると、政府が定めたセキュリティ評価制度のISMAP(Information system Security Management and Assessment Program、イスマップ)の登録であること、約350の機能・安全性要件をクリアしたことの2点だ。応募した3社の中に国内事業者が含まれていたかどうか、デジタル庁は明らかにしていない。

 ISMAPとは、2018年6月に定められた政府調達における「クラウド・バイ・デフォルト原則」に従って、クラウドサービスプロバイダー(CSP)のセキュリティ対策、管理策基準、マネジメント基準、ガバナンス基準を総合的に評価する制度のことだ(図1)。

図1:ISMAP管理基準の構成(出典:NISC「政府情報システムのためのセキュリティ評価制度(ISMAP)について」)
拡大画像表示

 ISMAPクラウドサービスリストに登録されている日本の事業者は、NEC富士通日立製作所NTTデータNTTコミュニケーションズKDDIサイボウズである(リストは2021年9月13日に更新とある)。この7社のほかにも国内事業者がリスト入りに動いていたと仮定すると(もし国内事業者が1社も応募しなかったとすれば情けない話だが)、当該の国内事業者はISMAPの付加条件をクリアできなかったことになる。

 一方で、ISMAPリストに並ぶAWSGCPSalesforceCisco SystemsMicrosoftOracle、Boxといった米国の事業者が、自社のクラウドサービスでシステム障害を起こしていないわけではない。また、これらが提供するクラウドは世界中に利用者がいて適用範囲が広いため、障害の発生確率と影響の度合いは国内事業者よりも大きくなる。例えば、宇都宮方面で発生した信号機故障が東海道線のダイヤに影響するように、規模は必ずしも安心・安全を担保しない。

 メインフレームが全盛だった1980年代から、国のIT調達の基軸は「NFH+N」(NEC富士通、日立+NTTグループ)が定番だ。ワークフロー型大規模システムはときに千人単位のSE/プログラマーを必要とした。その元請けを担うに足りる資金力、全国をカバーするサポート拠点、多重下請けを含めた協力会社の集人力がモノを言うわけだ。

 この“定説”に対して、デジタル庁は「クラウドに限っては局面が異なる」と言うかもしれない。しかしガバメントクラウドのターゲットが地方公共団体であるなら、全国をカバーするサポート拠点は必須となる。既存システムのクラウド移行には少なからぬSEを動員しなければならない。しかも国産クラウドもISMAPに登録されているという点で遜色はない。

 では、クリアできなかったのは、約350の機能・安全性要件のうちのどれほどなのか。国内事業者への忌避感ないし米国製クラウドへの盲信が「約350の機能・安全性要件」を付加させたとは思えないし、「メインフレーム時代の旧守的判断」との批判を回避するためにAWSGCPを選択したわけでもあるまい。しかしデジタル庁が本気で国産クラウドを育成するつもりなら、クリアすべき機能・安全性要件を示して改善させる手法もあったのではなかろうか。

続きは⬇️

AWS/GCP採用に続く次の一手は? デジタル庁のガバメントクラウド先行事業(2) - IT記者会コラム