令和２年度末に更新された政府「標準ガイドライン群」をクラウドのレンズで読み解く

令和２年度末の2021年３月30日に、日本政府の「標準ガイドライン群」の文書６点が更新されました。今回のブログでは、この更新におけるクラウド観点での読み解きを AWSジャパン・パブリックセクターよりお届けします。──── 「標準ガイドライン群」のような政府文書が広く皆様に参照されること、特にも「クラウド × 公共調達」の掛け算の領域での議論が深まることを通じて、日本の政府機関・公共機関（自治体・独法・教育・医療/ヘルスケア・NPO）のお客様の歩むクラウド・ジャーニーに伴走していきたいと、AWSでは考えています。

なお、「標準ガイドライン群」の定義については、次のように「政府CIOポータル」に記載されています。

　”政府では、ＩＴを徹底活用し、行政内の利便性、効率性、透明性の向上を実現するだけでなく、行政サービスを見直し、デジタル社会に対応したデジタル・ガバメントを目指しています。このデジタル・ガバメントへ変革していくために、政府ＣＩＯを中心に各府省ＣＩＯがリーダーシップを発揮し、「共通ルール」の下、各府省及び政府全体のＩＴガバナンスを強化する必要があります。

　このため、行政のサービス・業務改革に伴う政府情報システムの整備及び管理について、その手順や各組織の役割等を定める体系的な政府共通ルールとして、「デジタル・ガバメント推進標準ガイドライン」(2019年2月25日各府省情報化統括責任者(CIO）連絡会議決定。以下「標準ガイドライン」という。）を決定しました。また、標準ガイドラインに関連する指針類等に係る文書体系を「標準ガイドライン群」と称します。”

• 「クラウドサービスの選定」のセクション(p.8-9.)では、「＞クラウドサービスの調達を行う際は「政府情報システムのためのセキュリティ評価制度（ISMAP）」において登録されたサービスから調達することを原則とする」──とし、クラウドの選び方についての指針が示されています。
  • なお、「＞本原則による調達が困難な場合には暫定措置により対応することを検討」する旨も、合わせて記載されています。
• 「情報セキュリティ」のセクション(p.9.)では、「＞クラウドサービス提供者から提供されているサービスが各府省の情報セキュリティポリシーを満たしていることを、ISMAP の管理基準への対応状況の確認結果又は ISMAP 以外のクラウドセキュリティ認証等の認証基準、監査フレームワークの監査報告書の活用や個別の調査等により確認するものとする」とし、利用を検討するクラウドサービス事業者に関してIPAのサイトに掲載されていること調達者側で確認いただく作業により、セキュリティ観点での「確認」とする指針を提示しています。

なお、2021年３月12日より、AWSは「政府情報システムのためのセキュリティ評価制度（ISMAP）」に登録されていることを、この場でもお知らせさせていただきます（IPAのサイト「ISMAPクラウドサービスリスト詳細情報」はこちら）。AWSからのアナウンスを、下記に一部抜粋します：

“ISMAPプログラムは2020年6月に開始され、今回、AWSは初回の登録事業者である数少ないクラウドサービス事業者の一つとなりました。[…] ISMAPは、パブリッククラウドサービスのセキュリティを評価する日本政府のプログラムです。ISMAPの目的は、政府調達のベースライン要件として、クラウドサービス事業者（CSP）が遵守すべき共通のセキュリティ基準を可能にすることです。[…] CSPのセキュリティを評価を通じて、日本政府のセキュリティ要件を満たした事業者を登録します。ISMAPによるCSPの登録に成功すると、政府の調達部門や機関は、登録されたCSPとの連携を促進し、政府情報システムへのクラウドサービスの円滑な導入に貢献することができます。今回の認証取得は、日本政府が定めたコンプライアンス要件を満たし、安全なAWSのサービスをお客様に提供するために、AWSが積極的に取り組んできたことを示すものです”

クラウドの「見積もり」に際しての７つのアンチパターン

少し詳しく見ていくと、今回の改訂版では、次のような「７つのアンチパターンと留意点」が新たに記載されており、最も読み応えのあるセクションの１つとなっています。以下、引用符（” “, >）で区切られた箇所は全て、内閣官房掲載資料からの抜粋となります。

• 「見積もりの精査」：「＞標準ガイドラインでは、情報システム関係予算の要求に当たって、原則としてクラウドサービスの利用を前提とした見積りも取得することを定めています。これを受け、各府省でクラウドサービスの導入事例が増えていますが、見積りの取得の過程では、従来のオンプレミスを継続した場合とクラウドサービスを利用した場合の比較が適切に行われていない例も散見され」る──との問題意識が語られ(「改定ポイント」p.15)、次のようなアンチパターンが列記されます。
  

  内閣官房のHPに掲載されている７つの事例

  • 【１】「（価格競争力のあるCSPではなく）割高なクラウドサービスが選定」された見積もりを提出し、オンプレミスに誘導しようとするアンチパターンに対しては、「＞現行事業者だけでなくクラウドサービスの導入実績が多い事業者を含めた複数事業者から見積りを取得」することを推奨しています。
    • “>クラウドサービスは国内外含め様々なものが提供”されており、”その中でも利用料が割高なクラウドサービスの利用を前提として” 見積もりが提出され、結果として”>見積額全体も高額になるケースが多く”発生しているとのこと。
  • 【２】「適切ではない価格体系を前提とした見積もりがなされる」（例えば、全ての利用を従量課金で試算するなどの高額な見積りが事業者から提示される）アンチパターンに対しては、「＞複数年予約型割引［AWSの用語体系でのReserved Instance］を採用」することを推奨しています。
    • “>ある府省では、24時間365日利用されることが想定されているにも関わらず複数年予約型割引を採用していない高額な見積りが事業者から提示されて”いたとのこと。
  • 【３】「不確定要素に対して過剰な費用が上乗せされる」アンチパターンに対しては、「＞事業者がリスクを見込んで見積りが高額と［なっていないかどうか］、そして”リスク”と呼ばれるものが「適切な範囲なのかは確認が必要」であり、「＞必要な作業について、精査を求め」ることを推奨しています。
    • “>ある府省では、クラウドサービスへ移行する場合の環境構築費用がオンプレミスを継続する場合の1.5倍の金額で見積もられ [..] 事業者に原因を確認したところ、クラウドサービスと省内WANとの接続において、作業や費用の見通しが十分ではないままの状態で、オンプレミスと比較して大きな金額を見積もったとの回答がなされ”たとのこと。
  • 【４】「現行システムの構成のままの移行が提案されてしまう」、言い換えれば単純なリフト＆シフトが提案されてしまうアンチパターンに対しては、「＞クラウドサービスの長所を活かせるように改修を加えてからクラウドサービスに移行する［AWSの用語体系で言うリファクタリング］」ことを推奨しています。「整備経費は高額」となる場合もありますが、「運用費用は下がり、長期的に見るとコスト削減につながる […] 短期的に発生する経費だけでなく、情報システムのライフサイクル全体を考慮した見積り比較を行うことが必要」であると推奨されています。
    • “>ある府省ではオンプレミスとクラウドサービスの比較といいながら、オンプレミスの構成をクラウド環境にそのまま持ち込み（現システムへの影響を最小限にするという理由でベアメタルのクラウドサービスを採用）、オンプレミスの構築費用に加えてクラウド利用量を上乗せする形で比較し、クラウドサービスの長所を全く活かしていない事例”もあったとのこと。
  • 【５】「各種費用を二重計上している」アンチパターンに対しては、「＞二重計上[..]のような不要な費用が見積もられていないか、見積りを精査」することを推奨しています。
    • ”>ある府省で事業者に見積りを依頼すると、ソフトウェアライセンス料込みのクラウドサービス利用料を計上した上で、さらにそのソフトウェアのライセンス料・保守料を追加で見積もっており、二重計上に”なっていたケースがあったとのこと。
  • 【６】「災害対策環境が本番環境と同じ構成となっている」アンチパターンに対しては、「＞災害対策環境を本番環境と同一の構成とするのではなく、本番環境よりも冗長性を省いた限定的な構成としたり、常時稼働ではなく、ウォームスタンバイやコールドスタンバイとしたりして、復旧する目標に応じた適切な水準とすることで費用を抑える」ことを推奨しています。
    • ”>ある府省で事業者に見積りを依頼すると、ソフトウェアライセンス料込みのクラウドサービス利用料を計上した上で、さらにそのソフトウェアのライセンス料・保守料を追加で見積もっており、二重計上になって”いたとのこと。
  • 【７】「過剰なスペックで見積もられている」アンチパターンに対しては、「＞リソースの性能や容量は、要件にあったものが選定されているか精査する必要」があり「クラウドサービスは正しく利用することで、大幅なコスト削減を実現できる」とした上で、「事業者［＝提案企業］にクラウドサービスを前提とした見積りを依頼しても、必ずしもシステムの特性を踏まえて安い金額で見積もってもらえるとは限りません。オンプレミスを継続するケースなどと比較して割高になっている場合には [..] 見積りが適切に行われているか、内訳を精査して妥当性を確認」することを推奨しています。
    • ”>ある府省では、数百TBものディスクが、すべて当該クラウドサービスの最高スペックで積算されており、見積もり額の大部分を占め”ていたがゆえに、オンプレミスに比してクラウドのほうが高額であるとの見積もり提示がなされていたとのこと。

上記のような観点でお悩みの際には、ぜひ「AWS料金計算ツール」や、5 つの柱（優れた運用効率、セキュリティ、信頼性、パフォーマンス効率、コストの最適化）に基づいてお客様とパートナーがアーキテクチャを評価しながら設計を実装するためのアプローチである「AWS Well-Architected」をご参照ください。

クラウド利用時の「データ消失」予防の手法

加えて、今回の改訂版では、次のような「障害発生でのデータ消失への注意喚起」が新たに記載されており、２つの事例により例解されています。

• 事例＃１：クラウドサービスのハードディスク障害によるデータ消失の責任 ──　これまで、原則としてクラウドサービスのクラウドサービス事業者に預けたデータがハードディスク障害によって消失した場合、クラウドサービス事業者の責任範囲については種々の議論がありました。今回の改訂では、「東京地裁での平成21年5月20日の判決」の以下部分（＊）を引用し、”クラウドサービス事業者等にデータやプログラムを預ける際には、データ消失の対策としてバックアップの取得等を講ずることは、ユーザ側の責務であると考えられます”──と記載しています。しかしながら併せて、”データのバックアップ等消失対策を講じるためには別途費用が必要となる場合が多いため、ユーザは、各々のデータの重要性と対策にかかる費用について十分に検討し、バランスの良い対策をとる必要”がある旨も、併記されています。
  

  ＊：「サーバは完全無欠ではなく障害が生じて保存されているプログラム等が消失することがあり得るが、プログラム等はデジタル情報であって、容易に複製することができ、利用者はプログラム等が消失したとしても、これを記録・保存していれば、プログラム等を再稼働させることができるのであり、そのことは広く知られているから、ユーザ企業らは本件プログラムや本件データの消失防止策を容易に講ずることができたのである。」(東京地判平21.5.20判タ1308-260 より)

• 事例＃２：クラウドサービスの外へのバックアップの検討 ── この事例では、ある情報システムにおいて、プログラムを含むクラウドサービス上のすべてのデータが消失し、利用できなくなったケースを取り上げています。”発注者と情報システムの運用事業者の間では、この情報システムを継続して運用することが合意されていたものの、運用事業者がクラウドサービスの利用継続手続きを怠っていたために、当初の契約期間満了とともにクラウドサービス上のデータが削除されたことがこの障害の原因でした”。こうしたケースの対策としては、”オンプレミスの環境や別のクラウドサービスなどを用意しておき、定期的にバックアップを保管することが考えられ”るとするものの、”追加の費用”がかかる点、注意を促しています。バックアップを取得する対象や周期、データの保持期間などの検討も必要となるため、”当該情報システムの目標とする復旧水準と、対策に要する費用等を考慮して、バックアップ取得の必要性を総合的に判断する必要”がある旨、記載されています。上記のような「データ消失」を防ぐためのサービスとして、99.999999999% (9 x 11) の耐久性を実現するように設計されたAmazon S3やAWSのデータベースサービス一覧、AWSの訴求する「バックアップと復元」や「Disaster Recovery」の考え方についても、ぜひご覧ください。

AWSでは、上記のようなクラウドの公共調達の各フェーズでの課題を解決するべく、お客様・パートナー各社様向けのセッションを随時設けておりますので、お気軽にご相談ください。

読み解き③

「アジャイル開発実践ガイドブック」

今回「デジタル・ガバメント推進標準ガイドライン実践ガイドブック」に新たに追加された「アジャイル開発実践ガイドブック」における以下の記載は、クラウドの長所に着目した書きぶりとなっています。

• まず冒頭、「＞政府情報システムの利用は府省職員だけではなく、自治体や国民をもその範囲とするため、昨今の社会環境の変化や多様化に基づく様々なニーズに迅速に応えていく必要性が高まってい」る政府情報システムであればこそ、「＞実際の利用における望ましい挙動を実現するためには、作成されたアウトプットを使ってみて、そのフィードバックを元に洗練させていくアプローチの方が効率的かつ効果的である」とし、アジャイル開発が適用されるべき理由が語られています（p.1, 「はじめに」）
• 「チームの学習効果が高い」：”>技術領域によっても担当者を分けず、例えば、１人のエンジニアがインフラ（サーバー、ネットワーク、ミドルウェア等を含むシステム基盤）構築からアプリケーション開発、運用まで幅広く担当したりサポートしたりする体制を組むこともしばしばあります。この点では、インフラ構築を専任のインフラ・エンジニアでなくアプリケーション・エンジニアが行うことも多いクラウドとの相性が良いと言えます。”(p.8)
• 「情報システムの変更容易性を確保し続ける」：巨大なモノリシックなシステムをワンショットで構築して終わり──とする政府情報システム整備の在り方は、急速に変わりつつあります。この点、”>変更容易性を確保するには、構成を柔軟に変更できるクラウドやコンテナ技術、CI/CD や DevOps の考え方が有効です。システム間を REST API によって疎結合とする方式や、データ構成を柔軟に変更できる非構造型の DB（NoSQL）の活用、クラウドデザインパターンと呼ばれるシステム構成を利用する”とし、政府情報システムにこそ高度に求められる「変更容易性」をクラウドによって確保するという論点が盛り込まれています(p.10)。
• 「要件定義書における工夫」：”>運用フェーズの品質確保と効率化のため、事業者から提案を求める事項として”は、諸々の監視（稼働、セキュリティ、リソース等）に関しては、”>基本的にはクラウドのマネージドサービスを活用する”こととしています。併せて、”>運用フェーズでの CI（継続的インテグレーション）について、インフラ層もコード化（Infrastracture as Code）してテスト環境や検証環境を容易に準備できることを要件”とするなど、クラウドとアジャイル開発の時代に相応しい公共調達における要件定義の在り方が記載されています(p.28)。

日本の公共部門の皆様へのご案内

AWSでは、政府・公共部門、パブリックセクターの皆さまの各組織におけるミッション達成が早期に実現するよう、継続して支援して参ります。

【New!!】視聴登録のご案内：2021年4月16日（金）に、AWS公共部門サミット・オンラインが開催されます（【登録はこちら】）。午前10時からの無料配信となりますので、ぜひご登録ください。ご登録をいただければ、後日のオンデマンド視聴も可能です。米 国防総省の関連機関であるアメリカ国防兵站局など海外政府機関や、女性エンジニア育成にコミットする「Girls Who Code」、スタンフォード大学等の公的機関の事例を中心に４０以上のセッションが予定されており、日本からも初の事例登壇として京都大学の長﨑正朗先生から「ハイブリッドクラウドで実現したヒトゲノム解析プラットフォーム」について講演をいただく予定です。

今後ともAWS 公共部門ブログで AWS の最新ニュース・公共事例をフォローいただき、併せまして、「農水省DX室」「気象庁の衛星ひまわり8号のデータセット」や「re:Invent 公共部門セッションのサマリー」など国内外の公共部門の皆さまとの取り組みを多数紹介した過去のブログ投稿に関しても、ぜひご覧いただければ幸いです。「クラウド×公共調達」の各フェーズでお悩みの際には、お客様・パートナー各社様向けの相談の時間帯を随時設けておりますので、ぜひAWSまでご相談ください。

＊　＊　＊　＊

このブログは、アマゾンウェブサービスジャパン株式会社 パブリックセクター 統括本部長補佐（公共調達渉外担当）の小木郁夫が翻訳・執筆しました。

＊　＊　＊　＊