SaaSと政府

SaaSを売り込む先として、政府系は何かと敷居が高いと感じるのではないか。実際のところ敷居は大変高く、それを開設するのが本投稿である。

公共系と民間系、どちらがSaaSの主戦場かと言えば、一部の特殊なアプリケーションを除けば民間系と言い切って差し支えないと思う。何せ日本には368万の民間企業がいるが、地方自治体（市長村）は1718しかない。桁違いである。霞ヶ関の中央官庁こと省庁の数はたったの12で、その外郭団体である独立行政法人は2020年時点で87らしい。合わせて100程度しか見込み顧客が存在しない。

日本の独立行政法人一覧 - Wikipedia

いつものようにかみ砕いた言葉で各公共市場の持つ特色を紹介していく。

中央官庁

霞ヶ関の中央官庁は一つの案件がとにかく大きい。持っているIT予算が地方自治体の比ではないし、セキュリティ要件が厳しいのでSIerにとっては稼ぎどころだ。

また、すごく重要なのがスクラッチ＆ビルドという方針で、5年くらいすると全システムを捨てて丸ごとIT環境を作り直すのだ。これは霞ヶ関に出入りきているIT会社にとってはお祭りで、ここで勝てるかどうかで天国か地獄だ。何せ4-5年に一度しかチャンスがなく、選ばれるのは1社だけだ。

ところが、である。以前は中央官庁のIT関係に大きな影響力を持っていたのは総務省だったが、デジタル庁が彗星のごとく誕生し、この市場は一変してしまった。デジタル庁がここまでの変化を起こすと予想した人はほとんどいなかったのではないか。

ガバメントクラウド

ガバメントクラウドは、一言で言えば中央官庁向けのIaaSで、その実態はAWS（とそのサブ的扱いのGCP）だ。通常ガバクラ。

AWSとGCPが日本政府の共通クラウド基盤「ガバメントクラウド」に　「セキュリティや業務継続性で判断」

もともと多くの政府機関はクラウドに前向きではなかったのだが、デジタル庁が旗振りしたガバクラを利用する省庁が増えている。

メガバンクですらAWSを使う時代なのでIaaSを利用すること自体に特段の違和感はないのだが、これがとんでもないのは前述のスクラッチ＆ビルドの時代が終わりを告げてしまったことだ。霞が関に生息するSIerの公共系部署の多くが大打撃を受けた。特にサーバー系は死んだ。

今までは必ず数年毎に巨大な案件が発生していた。物理サーバーからPCからネットワークからオンプレミスアプリケーションまで含まれる。それらの多くがIaaSになったらシステムが老朽化して一括入れ替えする必要がなくなってしまった。
もちろんIaaSも実態は物理データセンターなので大量の物理機器が動いているが、それを持っているのはAWSやGoogleだ。彼らがの日本の公共系SIerからIT機器を買うわけではないので、このビッグビジネスが大幅にシュリンクしてしまったのだ。

前述の通りガバクラにはAWSとGCPが採用されており、NECや富士通などの大手を含む国産IaaSには現状出る幕がないという状況である。
ただ、さくらインターネットがMicrosoftの技術供与を受けてガバクラ向けにサービス提供開始する予定らしい。
(これが実質Azureでさくらインターネットの名前を使ったOEMみたいなものだったら笑ってしまうのだが、そこまでのディテールは公開されておらず不明である。)

さくらインターネット、ガバメントクラウドサービス提供事業者に選定 | さくらインターネット

ただ、ガバクラは（SIerを絶望させたものの）SaaS企業にとっては何の影響もない。IaaSにアプリケーションをインストールして使うというのは実質オンプレミスなので、それがSaaS選定に影響を及ぼすわけではないからだ。SaaS企業にとってとても重要なのは次のISMAPである。

ISMAP

ISMAPを知って愕然としたSaaS企業の経営者や社員の数は計り知れないであろう。私もその1人である。

ISMAPの特徴を簡単に記載する。

・「管理策」と呼ばれるセキュリティチェック項目の数が膨大
・取得に2年はかかる
・取得に何千万円はかかる（組織規模やサービスによってはもっとかかる）
・更新にも同じくらいかかる

ISMAPクラウドサービスリスト - ISMAPポータル

ただサイボウズ、弁護士ドットコムやカオナビといった国産SaaSの中では大手にカテゴライズされる会社は登録されているので、超大手と外資でないと全く手が出ないというわけではない。

とはいえ日本の宝である（と私は思っている）SaaS企業にこのような「税金」「入場料」とも言える莫大な負担を課すのはいかがなものかと私は思う。（ちなみにサイボウズ社のISMAP取得プロセスは公開されているので興味ある人は是非ご覧頂きたい。）

中央官庁にはクラウド・バイ・デフォルトという原則があり、基本的にはクラウド使いましょうという発想がある。その割にはISMAP認定されたクラウドサービスしか使わないという状況になってしまっており、つまり中央官庁やその外郭団体は潤沢な資金・人員を誇る大企業のサービスしか使わないという宣言なのである。

ちょっと変わった例として、ISMAP認定企業が、更新をしなかったというケースがある。一度認定をされたので、十分なセキュリティレベルを証明出来て、それにより市場の信頼を得るという目的は果たせたというロジックである。

“政府認定クラウドサービス”から自主的にサービス取り下げ　辞退企業に理由を聞いた

また、このようにISMAP認定されたサービスがサイバー攻撃を受けたという例もあるので、もちろんISMAP認定されたものを使えば100％安全というわけではない。

富士通の“政府認定クラウド”が再監査に

独立行政法人

通常独法、外郭団体と呼ばれることも多い。前述の中央官庁の下部組織みたいなもので、意外と知られていないのだが中央官庁の業務を代行している人たちであり、つまり実質中央官庁の一部とも言える。

総務省｜独立行政法人制度等｜独立行政法人

ITサービス提供者に取っては中央官庁本体よりはハードルが低く、比較的アクセスしやすい市場である。

大体本丸である中央官庁からの出向者がいる。独法にIT製品が導入されて、それを出向者が気に入ってくれると、中央官庁や同系列の別団体で検討してくれることもある。大手企業のグループ会社に入ると本体のIT部門の目に留まるのと同じだ。

そして、大変残念なことにこの市場においてもISMAPが求められる。ここでも高額な通行料を取られてしまうのだ。

地方自治体

地方となるとそもそも企業の数は大変に少ない。自治体だけで飯を食っているIT企業や支店・営業所がたくさんある。

国産ソフトウェアメーカーの場合、要件がマニアックな地方自治体であるとか教育委員会といった市場はそれなりに大きい。
そういうニッチ路線でないと外資が強い（要件が素直な）民間企業ではお金を稼ぎにくいからだ。逆に言えば外資が弱い市場で戦うSaaS会社にとってはわざわざ公共系を狙う必要性はないと思う。

幸いなことに地方自治体には現状ISMAPを求められない。

どちらかというと行政システムを標準化して個々の自治体が個別に大掛かりなシステムを持たなくていいようにしようというのが大きな流れであるが、それは我々SaaS企業には関係のないことなので割愛する。

三層分離

だが、地方自治体には以前から「三層分離」というやっかいなセキュリティルールがある。簡単に言うと下記の通りである。

・自治体のネットワークを下記3つに分けないといけない
・インターネット接続系セグメント：その名の通りインターネットに接続していいPCやサーバーたちが接続されている
・LGWAN系セグメント：「LGWAN-ASP」認定されたシステムを原則閉域ネットワーク経由で利用する
・マイナンバー系セグメント：超機密情報であるマイナンバーを扱う、インターネット接続はもちろんあらゆる外部接続が禁止されている

これがSaaS企業にとって面倒なのは、基本的に重要情報を扱うサービスにアクセスするにはインターネット接続系ではなく、LGWANセグメントのPCを使わないといけないことである。

ここに大きな矛盾があるのだが、インターネットで使えるからSaaSなのであり、それなのにインターネットを使えないネットワークからアクセスしないといけない。この矛盾を解くにはLGWAN-ASPという仕組みに乗っかる必要があるのだ。

LGWAN-ASP (αモデル)

LGWANというのは、名前の通りWAN (Wide Area Network)である。実態としては各自治体に閉域回線を提供する通信キャリアがおり、それをLGWANと位置付けている。そのWANに繋ぐためのルーターが自治体のLGWAN接続系セグメントにある、ということである。

ASP (Application Service Provider) というのはもはや死語のようにも思えるが、SaaSのご先祖様である。クラウドという言葉生まれる前からインターネット経由でアプリケーションを顧客に提供する事業者はそれなりに存在していた。
ただ、当時は仮想化技術がなかったので、実質1社に付き1つのサーバーを用意して、そこにインターネットやVPN経由でアクセスするという全くスケールしない仕組みが用いられていた。
自治体が自前でサーバーを持つ必要はない、ただしクラウドとかSaaSと言うとミスリーディングなのでASPという言葉が採用されたのだろう。

ここにLGWAN-ASPリストがあるので、興味のある方は同業他社が登録されているかなど見ているといいだろう。

ASPサービスリスト - LGWAN-ASPポータルサイト

これもやはりSaaSとの嚙み合わせが悪い。下記資料の「図 4-2 外部ネットワークからの IP リーチャビリティ」をご覧頂くと分かりやすいのだが、LGWAN-ASP認定されたアプリケーションのサーバーはインターネットではなく、LGWAN-ASP環境（多くの場合は前述の回線業者のIaaSやDCと思われる）に存在する必要がある。

名前の通りクラウドではなくASPなのである。そのため多くのSaaS企業が使っているAWSなどではなく、LGWAN-ASP環境にシステムを構築する必要がる。
これはもともとオンプレミスパッケージを提供しているサイボウズガルーンのようなケースであればへっちゃらであるが、AWSなどパブリッククラウドのRDSやサーバーレス機能なんかを思い切り使っているクラウドネイティブなSaaSを運営しているとほぼ対応不可となる。「オンプレミスで立てたいんだけど」と言われているのと同じである。（それでもIPリーチャビリティを排除するというややこしい要件があるのだがそれは話の本筋ではないので省略）

選べる導入形式

ただ、このBoxサービスのようにパブリッククラウドにインターネット接続するためのセキュリティソリューションをLGWAN-ASPに入れて、それを踏むとBoxが使えるという解釈のサービスが存在する。
色々と工夫の余地はあるらしいが、我々SaaS企業はそんな面倒なことまで考えたくないというのが本音である。

NECネッツエスアイ、自治体向け「Box」サービスを開始 | NECネッツエスアイ

LGWAN-ASP (β'モデル)

実際のところ三層分離は使い勝手が悪いというか、中央官庁が進めるクラウド・バイ・デフォルトと真逆の方向を向いているという根本的な突っ込みところがある。
そういうのは自治体の監督官庁である総務省も重々承知なのか、コロナ過であった2021年にはβ'モデルおよびでは前述のαモデルとは異なるβモデルなるものがガイドラインに含まれることになった

この資料のスライド7「主な技術的対策」に下記記載がある。

・無害化処理
・LGWAN接続系の画面転送
・未知の不正プログラム対策 （エンドポイント対策）
・業務システムログ管理
・情報資産単位でのアクセス制御
・脆弱性管理

また、同資料のスライド8にははっきりと「パブリッククラウド」と書かれている。

つまり、EDRや資産管理ソフトなどを各PCにインストールするといった要件をクリアすればSaaS使っていいよということである。素晴らしい。自治体によってセキュリティ予算の制約はあるものの、ここは是非多くの自治体とセキュリティベンダー/SIerに頑張ってもらい、日本中にβ'モデルを導入してほしいものである。

情報セキュリティクラウド

B'モデルが許されるのであればLGWAN-ASPは一切不要だろう。

ただ、自治体独自の仕組みとして「情報セキュリティクラウド」というものがあり、インターネット接続系セグメントからインターネットに出ていくにはこのフィルタリングを受けてアクセスすることになっている。

ソフトバンクの関連会社であるSBテクノロジー社が公開している情報によると、このようにファイアウォールとメール・Webアクセスセキュリティをまとめているものらしい。

当社が管理する自治体情報セキュリティクラウドの障害について（最終報） | SBテクノロジー (SBT)

私の経験上情報セキュリティクラウドはかなり細かいアクセス制御をかけているので導入にあたって多少の手間はかかるだろうが、全くSaaSが使えない状態に比べれば大いなる進歩である。
SaaS企業の皆さんはこういうものがあると覚えておけばそれでいいであろう。