クラウド・バイ・デフォルト原則とは?背景やメリット、注意点も解説

この記事は約9分で読めます。

クラウド・バイ・デフォルト原則とは

クラウド・バイ・デフォルト原則は、「クラウドサービスの利用を第一候補として、その検討を行う」考え方です。システムを導入・利用する際には、まずクラウドサービスから検討をすること、そして、事情によってはあとでオンプレミス(情報システムの自組織運用)を検討しましょうということです。

この原則は、2018年に「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の中で、政府が情報システムを調達する際のルールとして採用されました。かつては、多くの企業でもそうであったと思われますが、クラウドサービス=注意して導入すべきシステム、ととらえられていました。しかし、政府はクラウドサービスに対するスタンスを方向転換しています。

クラウド・バイ・デフォルト原則採用の背景

従来幅広く利用されていたオンプレミスの環境には、初期費用や維持費が高価であり、保守の手間も大きいといった弱点がありました。また、災害や事故等の対策として冗長化・強化し、保守を行うにもコストがかかることになっていました。

そうした中で、オンプレミスの環境の弱点を埋めるような形で「クラウドサービス」が登場するようになりました。

ただ、クラウドサービスが便利であるという認識はある一方で、「システムを載せ替えるのめんどくさい…」「データの載せ替え作業で事故が発生するかも…」「クラウドってセキュリティ的に安全なの?」といった漠然とした疑問や不安から導入が渋られていたのも事実です。

もしかすると皆さんの中にも、上記のような不安や疑問をお持ちの方もいるかもしれません。

しかし、技術の発展や後述するクラウドサービスのメリットを考えると、やはりクラウドサービスを利用する方が望ましいのではないかという考え方が大きくなってきました。セキュリティに関しても、多くのクラウドサービスプロバイダは、次々とセキュリティ認証を取得、より強固なインフラを整備した実態があります。

その中で、政府として、2018年に「クラウド・バイ・デフォルト原則」を掲げ、クラウドファーストに舵を切ることとなりました。

クラウド・バイ・デフォルト原則を加速させるISMAP

クラウド・バイ・デフォルトとは言うものの、方針を示すだけで不安が拭えるものではありません。

そこで、政府はクラウドサービスの安全性を評価するための制度も合わせて検討することになりました。

それが、冒頭でも少し出てきた「ISMAP」です。このISMAPは、2021年3月12日に制度利用開始となりました。

国として、採用するクラウドサービスの安全性評価の制度が出来上がったことで、各クラウドサービスはより安全性を詳細に評価されることになります。言い方を変えると、この制度で安全性を確保されたクラウドサービスは一定の信頼を得て、積極的に利用されていくとも言えるでしょう。例えば、企業にとって、各種認証に加え、政府の「お墨付き」があれば、クラウドサービスを採用したことの妥当性は担保されやすくなります。

正式に安全性評価制度が出来上がったことで、クラウド・バイ・デフォルト原則は民間にも影響を与え、より加速していくと考えられます。

クラウド・バイ・デフォルト原則による世の中への影響

もう少し、クラウド・バイ・デフォルトが与える影響を深掘りしてみましょう。どのような効果が期待できるのでしょうか。クラウドサービス利用のメリットから、どのように世の中に好影響が出るかを中心にご紹介します。

クラウドサービス利用のメリット

クラウド・バイ・デフォルト原則が採用されたのは、やはり、それなりにメリットがあると考えられたためです。

「政府情報システムにおけるクラウドサービスの利用に係る基本方針」でも、クラウドサービスを利用することによる主たるメリットの想定について触れられています。メリットは、主に5つあります。

メリット1:効率性の向上

オンプレミスの場合、自分たちでシステムを構築する必要がありました。それだけ工数がシステム構築にはかかります。さらに、自社で人員を賄えない場合は、構築費用はもちろん、導入サポート・データのマイグレーション費用など、多くの費用もかかります。

一方で、クラウドサービスの場合、あらかじめ様々な機能が提供されており、導入工数を大幅に削減することができます。特に導入は、オンラインでサービスに接続すると基本的に利用が可能なことから、従来の工数を大幅に削減でき、効果が実感しやすいでしょう。

また、利用者当たりの費用負担も割安になります。クラウドサービスプロバイダが、すでに用意したサービスを使う費用は、実際はさまざまな料金形態があります。しかし、基本的には利用者が増えれば増えるほど一人当たりの費用はおさえることが可能な仕組みです。

加えて、システム導入には、オンプレミスの場合、サーバを増設し、システムを構築し、さらにアウトソースなどと多額の費用を一気に支出することがつきものでした。しかし、こうした多額の費用の出費も導入時に避けられ、IT予算の利用も効率的になります。

メリット2:セキュリティ水準の向上

クラウドサービスにもよりますが、多くのクラウドサービスではセキュリティに配慮した機能が提供されています。認証やログに関する機能、暗号化機能などは、高水準の機能が提供されていることが多いものです。

また、そうしたサービスのベンダー企業は、情報セキュリティによる認証を取得するなど、セキュリティ体制の構築にも力を入れています。クラウドサービスの利用が自社のオンプレミス環境で独自にセキュリティ対策を行うよりも安全な可能性もあります。

あるシステムにつき、セキュリティ機能強化する、などといった場合も、スピード感が異なることも少なくありません。次々とセキュリティ仕様をアップデートするクラウドサービスのスピードが自社の導入のスピードを上回ると思われる、といった話もよく聞かれるようになっています。
次々に手を変え、品を変え、攻撃を仕掛けてくる悪意ある攻撃者に対し、クラウドサービスの方が先手を打っているという例さえあります。

メリット3:技術革新対応力の向上

多くのクラウドサービスでは常に新しい機能が提供されており、また、利用者がそれらの機能を実装することも非常に簡単です。

クラウドサービスを使うことで、最新技術を活用した業務を行っていくことも可能になります。
セキュリティ機能・仕様についても、ご紹介した通りですが、機能強化もスピードが早く、拡張性・互換性といった点もまた対応スピードが早いものです。

メリット4:柔軟性の向上

従来のオンプレミス環境の場合、導入時に容量や能力をある程度決め打ちで準備する必要があり、簡単に規模を変更できるものではありません。トラフィック・サーバ容量・仮想マシンの増設がどのくらい必要になるかどうかなど、導入時には決めておく必要があります。目測を誤ると大きな追加出費を迫られるなど、IT部門の責任も大きなものです。

一方でクラウドサービスの場合、状況に応じて必要な容量や能力に調整したり、アカウントを増減させたり、機能を変更するなどの融通を効かせることが簡単です。そのため、使用感などを確かめながら調整していくということが簡単にできます。ビッグデータの活用や、ネットワークスピードの向上など、IT環境が激変している状況においては、このような柔軟性が大きなポイントとなっています。

メリット5:可用性の向上

オンプレミス環境の場合、災害や事故などに備えて複数の設備を用意しておくということはコストがかかるうえに容易でもありませんでした。また、システムの日常管理にも人的コストが必要となります。

一方でクラウドサービスの場合、サービス自体があらかじめ複数のサーバ等のリソースに冗長化されていることも多く、しっかりとデータ保全策が何重にも取られ、保守もされているため、いざというときに使えなくなるというリスクも低くなります。

クラウドサービス利用にあたっての注意点

しかし、全体に信頼性が上がったとはいえ、クラウドサービスの利用にあたっては、注意すべき点があるのは否定できません。個別のクラウドサービスの選定・導入に当たっては、次のような点に気を付けておくべきです。

信頼できるサービスプロバイダを選定すること

ISO認証・ISMS認証を取得していることや、監査基準などを満たしていることなど、一定以上の安全性・信頼性を確保しているプロバイダを選びましょう。

サービスプロバイダ等との役割・責任分担が明確で合理的なこと

データの管理責任、データ消失の際の責任はどちらに、そしてどのような場合にあるのか、また、他のユーザーとの関係でサービスが分離され、それぞれの責任が定められているかなど、利用規約等でチェックする必要があります。

インシデント・サイバー攻撃などの有事の備えがあること

インシデントやサイバー攻撃の予防はセキュリティ体制で確保することは最低限の備えです。
しかし、インシデントや、サイバー攻撃が生じた際に、どのように対応するか、文書化されている(手順書・マニュアル等)サービスを選ぶようにするべきです。

サービスの停止に備えること

信頼できるクラウドサービスプロバイダであっても、大規模な通信障害などの際にサービス停止することがあります。サービスの停止の際に、どのように可用性を確保するか、サービスプロバイダを複数組み合わせて利用することにするかなど、具体的に決めておく必要があります。

データ消去のルールが明確で、合理的なものであること

サービスを永久に使い続けることはまずありません。データの消去のルールについて、明確で、ユーザーにとって受け入れることが合理的であるものかはチェックしておく必要があります。
また、データセンターの所在国によっては、企業のデータ利用・消去に制限がかかるケースもあるので、この点もあわせて注意しておく必要があります。

クラウド・バイ・デフォルト原則の関連用語

クラウド・バイ・デフォルト原則を知るうえでは、ISMAPのほか、次のような用語も知っておくとよいでしょう。
クラウド、という場合に、どのクラウドを指しているのか、クラウド・バイ・デフォルトをリードする政府はどのようなクラウドサービスを想定しているのか、知っておくと便利です。

パブリック・クラウド

民間事業者の提供するクラウド・サービス全般を指します。

プライベートクラウド

いくつかの形態がありますが、クラウドサービスを特定の企業や、政府機関が構築し、一定の事業者・期間などの利用者のみが利用できるサービスを提供することです。なかでも、仮想プライベートクラウドは、クラウドサービスの中に、ある企業のみ・政府機関のみの「閉じた空間」を作ることを指しています。

ガバメント・クラウド

地方自治体のクラウドサービス活用の一つとして「ガバメント・クラウド(Gov-Cloud)」という共通基盤を設置、これを各自治体で共通に利用することが予定されています。

まとめ

クラウド・バイ・デフォルトは、クラウドサービスをシステム導入の際に第一選択肢とする考え方です。
クラウドサービスには、効率性・柔軟性・導入の迅速性など、いくつかのメリットがあります。
現在のIT環境にクラウドサービスはよりマッチしており、セキュリティ体制も進化しています。
しかし、サービス・プロバイダとの責任分担、信頼性などには注意して選定して利用することが必要です。

情報セキュリティ対策組織体制・ルールの構築
タイトルとURLをコピーしました