ガバメントクラウドの利用を検討されている地方公共団体の方へ

khayakawa — Fri, 23 Jun 2023 04:18:53 GMT

ガバメントクラウドとセキュリティについて

●デジタル庁により推進されている政府共通のクラウドサービス環境である「ガバメントクラウド」を活用し、地方公共団体で現在オンプレミス環境で稼働しているマイナンバー系のシステムをガバメントクラウドに「アップ」が推進されています。ガバメントクラウドの活用により、最新のクラウド技術を活用し、世の中の状況の変化に応じて情報システムを柔軟に変更でき、インフラコストの削減も期待されています。

●ガバメントクラウドは、Amazon Web Service(AWS)、Google Cloud、Microsoft AzureおよびOracle Cloud Infrastructureの4つのパブリッククラウドサービスを利用することが決定しています。

●パブリッククラウドサービスは、柔軟性やコスト面でのメリットは大きい反面、従来のオンプレミスなシステム環境とは異なり、インターネット上に展開されているため従来以上にセキュリティ面での配慮が必要になり、運用管理面でも新たな設計や運用体制が必要となります。パブリッククラウド/ガバメントクラウド環境における技術的な課題や懸念点についての詳細は下記のサイトをご覧ください。

https://www.paloaltonetworks.com/blog/2022/06/security-measures-for-public-sector-native-cloud/?lang=ja

そのため、地方公共団体情報システムのガバメントクラウドの利用に関する基準【第 1.0 版】では「ガバメントクラウド運用管理補助者」と定義し、安全なガバメントクラウド環境の構築や運用が行える体制の構築を推奨しています。

「ガバメントクラウド運用管理補助者」とは？

地方公共団体情報システムのガバメントクラウドの利用に関する基準【第 1.0 版】より抜粋

https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/c58162cb-92e5-4a43-9ad5-095b7c45100c/3013abc6/20221007_policies_local_governments_outline_04.pdf

4.1.2　ガバメントクラウド運用管理補助者

地方公共団体は、自ら直営で、ガバメントクラウド個別領域利用権限を行使し、ガバメントクラウド個別領域のクラウドサービス等の運用管理をする方式（以下「ガバメントクラウド単独利用方式」という。）を採用することが可能である。

この場合、地方公共団体は、事業者と「ガバメントクラウド運用管理補助委託契約」を締結し、ガバメントクラウド個別領域利用権限の一部又は全部を当該事業者（以下「ガバメントクラウド運用管理補助者」という。）に付与し、ガバメントクラウド個別領域のクラウドサービス等の運用管理の補助を委託することができる。

4.1.3　ガバメントクラウド共同利用方式の推奨

一方で、複数の地方公共団体が同一のガバメントクラウド運用管理補助者に委託をする場合（複数の地方公共団体による委託が予定される場合の当初の一の地方公共団体による委託の場合を含む。）、当該ガバメントクラウド運用管理補助者に対し、運用管理に必要となるガバメントクラウド個別領域利用権限を付与し、当該ガバメントクラウド運用管理補助者が、複数の地方公共団体のガバメントクラウド個別領域利用権限を行使してクラウドサービス等の運用管理を行う方式（以下「ガバメントクラウド共同利用方式」という。）を採用することも可能である（図３）。

ガバメントクラウド運用管理補助者の業務が安全なガバクラ維持の「要」

●ガバメントクラウド環境を管理/監査するためには「監査ツール」が重要

○役務契約したガバメントクラウド運用管理補助者が、机上での管理や監査の報告だけではガバメントクラウド環境を適切に管理/監査しているとは言えません

○そもそもクラウド環境での設定内容の管理や監査は人間が行える次元のレベルではありません。適切に運用管理/監査を行うには、必ず管理/監査ツールが必要です

●マルチテナント/マルチアカウントおよびマルチクラウド環境でも統一的な管理/監査に対応が必要

○ガバメントクラウドにアップされる各システムでASPが異なり、マルチテナント/マルチアカウント環境になります。また、ガバメントクラウドでは4つのCSPが提供されており、ベンダーロックインの課題もあり、複数のCSPを利用したマルチクラウド環境になる（するべき）と考えられます。それらの環境でも統一的に管理/監査が行えるツールの利用が重要です

●多様なクラウド環境への対応

○当初は既存のプライベート仮想クラウド上で稼働しているマイナンバー系システムのガバメントクラウドの単純な移行（アップ）から、中長期的にはモダンなクラウドアプリケーションやコンテナへの移行やCI/CDによる開発環境なども想定され、それらの環境に対しても容易に管理/監査が行えるツールの活用が重要

「適切な設定」を行うことで安全なパブリッククラウド環境の維持が可能

●パブリッククラウドの利用は、従来のオンプレ環境以上の運用管理/監査が必要

○不適切な設定により、インターネットからのサイバー攻撃の被害や情報漏洩につながるリスクがあります

○パブリッククラウド環境では、システムの開発、構築や導入の作業負担軽減のために便利な自動化機能が提供されています。その反面、各種設定を十分に把握せずにデフォルト設定のままで利用できてしまいます

○ASPの開発者がパブリッククラウドの機能やライブラリやモジュールを十分に把握せずに利用することで、思わぬセキュリティホールを作ってしまうリスクがあります

●不適切な設定が行われていないかを監査ツールにてリアルタイムで管理/監査する必要性

○机上での人間が行う設定項目の監査報告では、監査できているとはまったく言えません

○ASP開発者の一時的な不適切な設定変更が思わぬ不正アクセスの原因となりうるケースもあります

●重要なのは監査するための「コンプライアンス基準」

○パブリッククラウド環境が「適切な設定」が行われているかの判断基準は重要です。いくら監査していても、監査基準の項目が不十分だったり、基準が緩ければ安全な環境が維持できているとは言えません

○監査のための国際的なコンプライアンス基準などを利用することで、不適切な設定が行われていないかをチェックすることを推奨します

最後に

今後、全国の地方公共団体にて導入が加速されるガバメントクラウド環境を、安心・安全な状況を維持するために、適切な管理/監査ツールを活用した運用体制が必須と考えられます。

是非、PrismaCloudを活用し安心・安全なガバメントクラウドの運用管理のご検討をお願いいたします。

PrismaCloudのソリューションについては下記のサイトをご覧ください。

https://www.paloaltonetworks.jp/prisma/cloud

公共市場向け情報の記事ガバメントクラウドの利用を検討されている地方公共団体の方へ

ガバメントクラウドの利用を検討されている地方公共団体の方へ