”冷戦期”のデータ分類を刷新し、行政のDXを加速する

冷戦時代から残るデータ分類

私たち（＝ブログ原文の筆者２名）が受け継いだ時点での、公式の「データセキュリティ分類方針」は、40万人の英国の公務員をはじめとする広範な公共部門、軍、法執行機関、政府のサプライチェーン関連機関に向けて、「紙文書に手作業で印を付けるようなやり方によって、ITシステムを保護する方法」を規定するものだったのです。また、情報を送信してよい場所とそうすべきでない宛先、さらにはドアのロックの物理的な強度までも規定されていました。このポリシーは、手首にブリーフケースを結びつけて書類を守れると信じる人たちのために設計されており、冷戦以来、基本的に変更されていませんでした。

この旧来のポリシーは、次の 6 レベルのセキュリティ分類を定めるものでした。非分類、保護、制限、秘、極秘、最高機密［＝Unclassified, Protect, Restricted, Confidential, Secret, and Top Secret ］ (なお、大半の政府に、類似のポリシーがあります)。それぞれの分類では、要求されるプロセスと制御方法がまったく異なっていました。つまり、6つの情報の区分け、6つの異なるITレベル、6つの異なるやり方が存在していたのです。こうした煩雑な区分と複雑なプロセスため、危機的な状況が発生した場合でも、部門全体が情報を共有したり、共同作業をしたりすることが、極めて困難、もしくは不可能となっていました。

スパイ活動やテロリスクの高まりを背景に作成された 6 つの分類のうちの 4 つは、国家安全保障の目的で設計されたものでした。政府の業務の大部分は、「制限付き=Restricted」の分類で実施されていました。「制限付き」の分類は、機密性の高いポリシー策定、(一部の) 機密性の高い個人データ、防衛、外交、諜報活動、および政府による多くの策略に関連する低レベルの情報──をすべて対象とする総称でした。

「制限付き」の区分は、英国政府の IT 環境 に大きな影響を及ぼしました。厳しい基準はほとんどありませんでしたが、英国政府は何年もの間、書面によるガイダンスと分類ポリシーに基づいた特定のテンプレートに従って「制限 / Restricted」されたシステムを構築することになったのです。これは、私たちが暮らす現代の世界には適さない、コンピュータ・セキュリティに関する”時代遅れ”の見方だと言わざるを得ないものでした。政府のセキュリティ担当者は、全体的なアプローチを再考するのではなく、機能を静的な要件へとロックダウンすることで、急速に変化するテクノロジー像やサイバー脅威に対応しようとしていました。── この問題は、クラウド、特に英国政府の「クラウドファースト」ポリシーで一挙に表面化するに至りました。

英国の「クラウドファースト」がもたらしたインパクト

まだ古いポリシーの影響下にあった頃は、クラウドファーストのアプローチは端的に、「実行不可能」なものと見なされていました。長年にわたり、多くの英国の機関もこの状況を克服しようとしました。通常は、AWS のようなクラウド企業に、これらの企業の運用モデルとテクノロジーモデルを根本的に「変更」するように依頼していました──これは、本末転倒で、商用クラウドを魅力的なものにしていた当の要素の角を矯めるような発想でした。政府機関内では、妥協案として、「プライベートクラウド」(つまり、名前だけのクラウド)  “private cloud” (i.e. cloud in name only)  が事実上の選択として浮上しました。ただし、セキュリティがアナログであれば、デジタル政府は到底成り立たないことは、英国政府内部でも十分に認識されていました。

では、「分類ポリシー」を作り直すというアクションは、この問題をどのように解決することに繋がるのでしょうか? 私たちが求める改革を実行するには、現状を繰り返したり進化させたりするのではなく、まったく最初から始めなければならないということ──このことは、とても早い段階から明白でした。この経験は、重要な教訓を教えてくれました。セキュリティの面で、インパクトの有る変化を起こすには、「上手くいっていないことだけでなく、上手くいっていること (または上手くいっているように思えること) も、トータルに中止しなければならないことがしばしば有るのです。ただ微調整（tweak）するだけではなく、環境全体の変更が必要になるのです。

結局、私たちは ６つの分類をすべてなくし、３つに置き換えました。上位 ２つの分類には、”極秘（Secret）”と”最高機密（Top Secret）”という名前を引き続き付けることにしました。特に英国の防衛および諜報パートナーとの国際連携の観点からは、複雑な依存関係と潜在的な問題が大き過ぎることが判明しました。最も機密性が低い分類である”オフィシャル（Official）”が、政府の新しいドメインになるように設計されました。この「オフィシャル」というカテゴリーは、以前の「非分類、保護、制限、(たいていの)秘 – Unclassified, Protect, Restricted, and (most of) Confidential」情報を含んでおり、政府の業務において存在してきたこれまでのギャップを、この分類によって十分にカバーすることができます。

新しい”サイバー脅威モデル”

「オフィシャル」の区分が政府が求めるメリットを確実に提供できるように、私たちは従来とはまったく異なる「脅威モデル」を作成しました。これは基本的に、セキュリティ・コントロールを定着させていくための基礎となりました。「オフィシャル」区分の情報が直面し得るサイバー脅威は、銀行、製薬会社、大規模なテクノロジー企業などの大規模な民間組織が直面している脅威に比肩しうるほど、重大で、差し迫ったものでした。これは非常に物議を醸しました。政府は、旧来の区分の「制限 / Restricted」レベルで提供されるセキュリティを踏まえれば、最も強力なサイバー脅威に対しても十分な防御を敷けるきるだろうと、誤って信じていたのです。これで［＝データを”制限”レベルに指定することさえすれば］、古くて機能性が低い IT を利用せざるを得ないハンディキャップを相殺できるだろうと考えられていたのです。それが真実ではなかったことは、多くの人にとって、到底受け入れがたいものでした。

２番目の教訓は、次のようなものです：　 セキュリティに関する「不快な真実」を直視し、各組織が「無知なまま」活動することを認めない──ということです。さらに、セキュリティコントロールは、パブリック・クラウドを含め、民間・商用の世界が提供する最高のものを中心に構築する必要があります。そこで私たちは、「ネイティブ・セキュリティ」のメリットを支持し、購入したいテクノロジーが備える既に利用可能なコントロールとオプションを取り入れたのです。これにより政府は、体裁の悪い増強をしたり、さらに悪い場合には、重大な制限を課したりするのではなく、意図した形で最新のデバイスやサービスを利用できるようになりました。

シンプルで安全なオプション

こうして発出された「新しい分類ポリシー 」は2014 年から発効しました。前の文書の 7 分の 1 の量になりましたが、作成にはほぼ 3 年の交渉と文書作成の工数が必要でした (ここで３つめの教訓です。英国政府には、「政府のデザイン原則」として シンプルにするために力を尽くす──というテネットが存在するのです)。１ 年も経たず、政府は新しい分類ポリシーがもたらした新たなチャンスを享受し始めました。その頃、タブレットやスマートフォンなど、以前はアクセスできなかったデバイスが一般的になりつつありました。政府全体のテクノロジーチームは、クラウドを活用し始めていました。明確に差別化された新規のセキュリティ・ポリシーを実装することで、政府は最も機密性の高いデータのセキュリティ対策にリソースを集中させながら、イノベーションを実現することが容易になりました。数年後、新しく設立された国立サイバー セキュリティ センター (GCHQ の一部) が、「適切に使用した場合、クラウドは政府にとって安全なオプションである」と公式に述べたことは極めて重要な転換点となりました。

このブログと埋め込まれた動画は、AWS Institute が制作したものです。AWS Institute では、テクノロジーを駆使して公共部門の課題を解決することに関心を持つグローバルリーダーたちが集まり、連携しています。AWS Institute の詳細については、こちら。ご意見やご感想があれば、aws-institute@amazon.com までメールをお送りください。他の機関・組織の経験から学びたい場合は、行政のためのオープン・ソリューションにアクセスしてください。