Amazon Web Services ブログ

”冷戦期”のデータ分類を刷新し、行政のDXを加速する

今回のブログでは、 AWSジャパン・パブリックセクターより、「データ分類のポリシーを、クラウドに相応しいものにアップデートした英国政府の取り組み」について紹介します。ご不明の点、「Contact Us」までお問合せください。(以下、AWS Public Sector Blog へ掲載された「How updating Cold War era data classification unblocked government digital transformation」と題した投稿の翻訳となります。)

英国政府は、冷戦期から続いていた
旧来の「データ分類」を見直し

”情報セキュリティ”への配慮を、変化を妨げる「ブロッカー」としてではなく、変革を加速する「イネーブラー」として認識することが、英国政府のデジタル変革(DX)に貢献するマインドシフトとなりました。英国では、データ分類(data classification)の概念とプロセスを近代化(=モダナイズ)することにより、より応答性の高い公共サービスと、巨額のコスト削減(2014年だけで17億ポンド)が可能になりました。2012年から2015年にかけて、このブログの著者たち(リアムとベン)は、イギリスのCabinet Office(内閣府)で、リアムが最高技術責任者、ベンがサイバーセキュリティの上級政策顧問として、数十年来に渡って温存されてきた情報セキュリティ政策の改革に共同で取り組みました。この取り組みにより、英国の公共部門におけるクラウドの普及と、この改革を行ったことに伴うメリットが明らかになりました。結果、2016年、 国連はイギリスをデジタルガバメントが世界で最も進んでいる国として選出しました。こうした経験を通じ、セキュリティを強化し、柔軟性を得るためにクラウドに移行することで得られた教訓は、テクノロジーやビジネスの変革を追求するどの組織にも当てはまるものです。以下に紹介させてください。

冷戦時代から残るデータ分類

私たち(=ブログ原文の筆者2名)が受け継いだ時点での、公式の「データセキュリティ分類方針」は、40万人の英国の公務員をはじめとする広範な公共部門、軍、法執行機関、政府のサプライチェーン関連機関に向けて、「紙文書に手作業で印を付けるようなやり方によって、ITシステムを保護する方法」を規定するものだったのです。また、情報を送信してよい場所とそうすべきでない宛先、さらにはドアのロックの物理的な強度までも規定されていました。このポリシーは、手首にブリーフケースを結びつけて書類を守れると信じる人たちのために設計されており、冷戦以来、基本的に変更されていませんでした。

この旧来のポリシーは、次の 6 レベルのセキュリティ分類を定めるものでした。非分類、保護、制限、秘、極秘、最高機密[=Unclassified, Protect, Restricted, Confidential, Secret, and Top Secret ] (なお、大半の政府に、類似のポリシーがあります)。それぞれの分類では、要求されるプロセスと制御方法がまったく異なっていました。つまり、6つの情報の区分け、6つの異なるITレベル、6つの異なるやり方が存在していたのです。こうした煩雑な区分と複雑なプロセスため、危機的な状況が発生した場合でも、部門全体が情報を共有したり、共同作業をしたりすることが、極めて困難、もしくは不可能となっていました

スパイ活動やテロリスクの高まりを背景に作成された 6 つの分類のうちの 4 つは、国家安全保障の目的で設計されたものでした。政府の業務の大部分は、「制限付き=Restricted」の分類で実施されていました。「制限付き」の分類は、機密性の高いポリシー策定、(一部の) 機密性の高い個人データ、防衛、外交、諜報活動、および政府による多くの策略に関連する低レベルの情報──をすべて対象とする総称でした。

「制限付き」の区分は、英国政府の IT 環境 に大きな影響を及ぼしました。厳しい基準はほとんどありませんでしたが、英国政府は何年もの間、書面によるガイダンスと分類ポリシーに基づいた特定のテンプレートに従って「制限 / Restricted」されたシステムを構築することになったのです。これは、私たちが暮らす現代の世界には適さない、コンピュータ・セキュリティに関する”時代遅れ”の見方だと言わざるを得ないものでした。政府のセキュリティ担当者は、全体的なアプローチを再考するのではなく、機能を静的な要件へとロックダウンすることで、急速に変化するテクノロジー像やサイバー脅威に対応しようとしていました。── この問題は、クラウド、特に英国政府の「クラウドファースト」ポリシーで一挙に表面化するに至りました。分類体系を変える

英国の「クラウドファースト」がもたらしたインパクト

まだ古いポリシーの影響下にあった頃は、クラウドファーストのアプローチは端的に、「実行不可能」なものと見なされていました。長年にわたり、多くの英国の機関もこの状況を克服しようとしました。通常は、AWS のようなクラウド企業に、これらの企業の運用モデルとテクノロジーモデルを根本的に「変更」するように依頼していました──これは、本末転倒で、商用クラウドを魅力的なものにしていた当の要素の角を矯めるような発想でした。政府機関内では、妥協案として、「プライベートクラウド」(つまり、名前だけのクラウド)  “private cloud” (i.e. cloud in name only)  が事実上の選択として浮上しました。ただし、セキュリティがアナログであれば、デジタル政府は到底成り立たないことは、英国政府内部でも十分に認識されていました。

では、「分類ポリシー」を作り直すというアクションは、この問題をどのように解決することに繋がるのでしょうか? 私たちが求める改革を実行するには、現状を繰り返したり進化させたりするのではなく、まったく最初から始めなければならないということ──このことは、とても早い段階から明白でした。この経験は、重要な教訓を教えてくれました。セキュリティの面で、インパクトの有る変化を起こすには、「上手くいっていないことだけでなく、上手くいっていること (または上手くいっているように思えること) も、トータルに中止しなければならないことがしばしば有るのです。ただ微調整(tweak)するだけではなく、環境全体の変更が必要になるのです。

結局、私たちは 6つの分類をすべてなくし、3つに置き換えました。上位 2つの分類には、”極秘(Secret)”と”最高機密(Top Secret)”という名前を引き続き付けることにしました。特に英国の防衛および諜報パートナーとの国際連携の観点からは、複雑な依存関係と潜在的な問題が大き過ぎることが判明しました。最も機密性が低い分類である”オフィシャル(Official)”が、政府の新しいドメインになるように設計されました。この「オフィシャル」というカテゴリーは、以前の「非分類、保護、制限、(たいていの)秘 – Unclassified, Protect, Restricted, and (most of) Confidential」情報を含んでおり、政府の業務において存在してきたこれまでのギャップを、この分類によって十分にカバーすることができます。

新しい”サイバー脅威モデル”

「オフィシャル」の区分が政府が求めるメリットを確実に提供できるように、私たちは従来とはまったく異なる「脅威モデル」を作成しました。これは基本的に、セキュリティ・コントロールを定着させていくための基礎となりました。「オフィシャル」区分の情報が直面し得るサイバー脅威は、銀行、製薬会社、大規模なテクノロジー企業などの大規模な民間組織が直面している脅威に比肩しうるほど、重大で、差し迫ったものでした。これは非常に物議を醸しました。政府は、旧来の区分の「制限 / Restricted」レベルで提供されるセキュリティを踏まえれば、最も強力なサイバー脅威に対しても十分な防御を敷けるきるだろうと、誤って信じていたのです。これで[=データを”制限”レベルに指定することさえすれば]、古くて機能性が低い IT を利用せざるを得ないハンディキャップを相殺できるだろうと考えられていたのです。それが真実ではなかったことは、多くの人にとって、到底受け入れがたいものでした。

2番目の教訓は、次のようなものです:  セキュリティに関する「不快な真実」を直視し、各組織が「無知なまま」活動することを認めない──ということです。さらに、セキュリティコントロールは、パブリック・クラウドを含め、民間・商用の世界が提供する最高のものを中心に構築する必要があります。そこで私たちは、「ネイティブ・セキュリティ」のメリットを支持し、購入したいテクノロジーが備える既に利用可能なコントロールとオプションを取り入れたのです。これにより政府は、体裁の悪い増強をしたり、さらに悪い場合には、重大な制限を課したりするのではなく、意図した形で最新のデバイスやサービスを利用できるようになりました。

シンプルで安全なオプション

こうして発出された「新しい分類ポリシー 」は2014 年から発効しました。前の文書の 7 分の 1 の量になりましたが、作成にはほぼ 3 年の交渉と文書作成の工数が必要でした (ここで3つめの教訓です。英国政府には、「政府のデザイン原則」として シンプルにするために力を尽くす──というテネットが存在するのです)。1 年も経たず、政府は新しい分類ポリシーがもたらした新たなチャンスを享受し始めました。その頃、タブレットやスマートフォンなど、以前はアクセスできなかったデバイスが一般的になりつつありました。政府全体のテクノロジーチームは、クラウドを活用し始めていました。明確に差別化された新規のセキュリティ・ポリシーを実装することで、政府は最も機密性の高いデータのセキュリティ対策にリソースを集中させながら、イノベーションを実現することが容易になりました。数年後、新しく設立された国立サイバー セキュリティ センター (GCHQ の一部) が、「適切に使用した場合、クラウドは政府にとって安全なオプションである」と公式に述べたことは極めて重要な転換点となりました。


このブログと埋め込まれた動画は、AWS Institute が制作したものです。AWS Institute では、テクノロジーを駆使して公共部門の課題を解決することに関心を持つグローバルリーダーたちが集まり、連携しています。AWS Institute の詳細については、こちら。ご意見やご感想があれば、aws-institute@amazon.com までメールをお送りください。他の機関・組織の経験から学びたい場合は、行政のためのオープン・ソリューションにアクセスしてください。

Learn More

  • 英国政府の「Public Cloud First」ポリシー
  • Government Security Classifications
  • Government Security Classifications – FAQ Sheet 3: Working with Personal Information :
    • “OFFICIAL内では、ほぼ全ての個人情報/データが、注意書きや説明書きなしに扱われます。(Almost all personal information/data will be handled within OFFICIAL without any caveat or descriptor. )”──との記載があります。
    • “Technical controls at OFFICIAL utilise ”good‟ commercial ICT products and services.”との記載があります (=“OFFICIAL区分内での技術的なコントロールは、「良い / goodな」 商用ICT製品とサービスを利用する ”)。 この「商用ICT製品」の筆頭には、英国政府の「Public Cloud First」ポリシーと合わせて読むならば、「商用パブリック・クラウド」が挙げられます。この、“good ”という形容詞の定義や基準に関しては、国際(および国内)規格や認証(例:ISO27001ファミリー他)、SOCレポートに示された第三者監査による管理、さらにNitroシステムのようなセキュリティの最新イノベーションを使用できるベストプラクティスの組み合わせ──として解釈されます。
    • 「至極限定的な状況下では(Only in very specific circumstances)」、「オフィシャル」区分のなかにおいて、 “Official – Sensitive”のdescriptor (注意書き)を付すことが認められています。 あくまでも「オフィシャル」の区分内ではありますが、例示として、Tax RecordCourt Reportが挙げられています。
  • Introducing the Government Security Classifications – Core briefing for 3rd Party Suppliers : Key Pointsとして、以下の記載があります。
    • OFFICIALの分類は、ほとんどの政策立案、サービス提供、法的助言、個人データ、契約、統計、事件簿、行政データなど、公共部門のビジネスの 90% までをカバーしています。
    • OFFICIALのセキュリティコントロールは、最もよく経営されている企業が機密情報を管理するのと同じように、優れた市販の製品に基づいています。
  • AWS Blog: 英国 国防省がAWSに言及しつつ、「パブリッククラウド」のメリットを説くブログを公表しました

日本の公共部門の皆様へのご案内

AWSでは、政府・公共部門、パブリックセクターの皆さまの各組織におけるミッション達成が早期に実現するよう、継続して支援して参ります。

今後ともAWS 公共部門ブログで AWS の最新ニュース・公共事例をフォローいただき、併せまして、国内外の公共部門の皆さまとの取り組みを多数紹介した過去のブログ投稿に関しても、ぜひご覧いただければ幸いです。「クラウド×公共調達」の各フェーズでお悩みの際には、お客様・パートナー各社様向けの相談の時間帯を随時設けておりますので、ぜひAWSまでご相談くださいContact Us)。

* * * *

このブログは英文での原文投稿を参照し、アマゾンウェブサービスジャパン合同会社 パブリックセクター 統括本部長補佐(公共調達渉外担当)の小木郁夫 が翻訳・執筆し、Learn More部分を補足しました。

* * * *


小木 郁夫
AWSジャパン パブリックセクター
統括本部長 補佐(公共調達渉外)
BD Capture Manager
LinkedIn
Twitter
#AWSCultureChamp (2021年7月~)