「政府情報システムにおけるクラウドサービスの利用に係る基本方針」がすごい

投稿日:

クラウド・バイ・デフォルト

標準ガイドライン群 | 政府CIOポータルからたどれる、政府情報システムにおけるクラウドサービスの利用に係る基本方針(PDF)がすごいです。

正直ここまで踏み込んでいいの?と思わせる内容です。

なんちゃってクラウドは除外

「コラム:正しいクラウドサービスのみを選択」に以下のように書かれています。

従来型の共同データセンタの単なる延長線上にあるものや、 単に仮想化技術を採用しただけのものは、本方針におけるクラウドサービスの定義には該当しない。

つまり、クラウドと名乗っているだけで柔軟性がない「なんちゃってクラウド」は最初から排除されています。

SaaS → IaaS/PaaS、パブリック → プライベート

まず前提として、極秘文書については扱わないとしています。 その他、情報の内容によってはパブリッククラウドを禁止しているケースもあるようです。

それはしょうがないとして、まずいいなと思ったのが、パブリックなSaaSをまず検討することです。 別の言い方をすると、ゼロから開発する、ゼロからインフラを作るのをやめて、標準的なサービスを使うということです。

もちろん、SaaSは囲まれるリスクもあるので、以下の注記があります。 ただ、先に検討するのはいいことです。

なお、SaaS(パブリック・クラウド)においては、未だ市場が流動的であることから、 後述「SaaS(パブリック・クラウド)の利用検討と利用方針」を活用して慎重に検討することが望まれる。

セキュリティについての考え方

「コラム:クラウドサービスが危険だろうと思い込んではいけない」に以下のように書かれています。

インターネットとの接続の有無のみによって、情報システムの安全性を単純に判断してはいけない。 情報セキュリティを重視して情報システムをインターネットから物理的に分離する場合は、 物理分離を実施していることだけをもって十分な情報セキュリティ対策を講じているわけではないことを 理解し、物理分離と従来型のセキュリティ対策に加え、 最新技術の適切な組み合わせによる多重防御を実施することが望ましい。 また、インターネットに接続されていることだけからクラウドサービスが危険だろうと思い込んではいけない。

スマートフォンが普及し始めた頃、Web開発者の中でケータイ脳に冒された間違った手法が普及していました。

さすがに今はこのような開発者はいないはずですが、 「物理的に遮断していたら安心」と考える人もいまだにいます。

民間に波及して欲しい

銀行のシステムですらパブリッククラウドを使う話を聞きます。 政府系システムでは最低でもプライベートIaaS/PaaSを使うという方針です。

オンプレしか使えないシステムは採用しないのが当たり前になって欲しいですね。