標準準拠システムをゼロトラストネットワークアクセスで利用する未来

　2023年4月28日にAWSにおいて、AWS Verified Accessというサービスが一般公開になりました。
　一言で言えば、AWS上の特定のアプリケーションにゼロトラストネットワークアクセスを提供するマネージドサービスです。
　自分は昨年末のre:Inventでの公開以来、このサービスを注視していました。というのも、システム標準化・ガバメントクラウド利用における銀の弾丸となり得るからです。

　拙記事「全国のシステム標準化事務に従事する自治体職員に伝えたい事」でも触れましたが、システム標準化の大きな課題となるコスト要因に、新たに発生するガバメントクラウドへの回線費用があります。

　コスト3割減の方も、ガバメントクラウドにかかる共同利用方式などが十分に活用され、かつアプリのモダン化が十分になされた場合の想定とデジタル庁は説明しています。
　しかしアプリベンダが費用負担やセキュリティが絡む提案を行い、顧客自治体の合意を短期間で取り付けるのは困難だと思われます。そして開発期間が限られているためアプリのモダン化もどこまで出来るか不明瞭です。クラウドエンジニアの数もまだまだ少ないため人件費が高騰し、それは開発費用や運用経費に転嫁されます。また新たに回線費用が必要になることもあり、コストメリットは非常に出づらい状況です。

全国のシステム標準化事務に従事する自治体職員に伝えたい事

　ガバメントクラウドを利用するための回線については、デジタル庁が標準的な接続サービスとして「ガバメントクラウド接続サービス」を調達し、各自治体が利用することにとなっています。

　本基準におけるガバメントクラウド接続サービスとは、ガバメントクラウドへの標準的な接続サービスとしてデジタル庁が 3.2のとおり調達するものであって、地方公共団体の拠点とガバメントクラウドを専用線接続するために必要となるネットワークをポータル画面及びAPIから短時間で構成できるサービスをいう。ガバメントクラウド接続サービスは、庁内ネットワーク（地方公共団体の庁舎・出先機関を含めた団体が管理主体となるネットワーク及び同ネットワークを委託しているデータセンターに設置している情報システムをいう。以下同じ。）とガバメントクラウド接続拠点とを接続する拠点接続サービス及びガバメントクラウド接続拠点とガバメントクラウドとを接続するクラウド接続サービスで構成される。

地方公共団体情報システムのガバメントクラウドの利用に関する基準【第 1.0 版】

　ここで言う「拠点接続サービス」は自治体庁舎からクラウドの接続ロケーションまでの回線であり、「クラウド接続サービス」はCSPが提供する専用線接続サービス、AWSであればダイレクトコネクトです。

　国が回線を用意してくれるというのは自治体に取っては非常に有難いように思えますが、問題はその中身です。　

　ガバメントクラウド接続サービスの要件として、利用基準では「SLAとして、ネットワーク稼働率99.99%以上とすること。」と定めています。AWSのダイレクトコネクトのSLAのページによれば、これを満たす条件の１つとして"Multi-Site Redundant"、即ち複数の接続ロケーションを利用し、かつ各経路が冗長化されていることが求められています。要するに、２×２でダイレクトコネクト回線を４重にしなければならないということです。
　加えて、AWSだけの事情ですが、ダイレクトコネクトでTransit Gatewayというサービスを利用するための要件として最低1Gbpsの帯域確保が必要です。

　料金を試算してみましょう。
　2023年4月現在、東京リージョンのダイレクトコネクトホスト型接続の1Gbpsのポート時間料金は１時間あたり0.314 USDです。これが４回線ですので、１時間あたり1.256 USD、１年間の料金はだいたい150万円ぐらいになります。
　これにデータ転送料金の他、回線提供事業者であるデリバリーパートナーに支払う料金が発生します。
　そしてこの料金はダイレクトコネクト、即ちクラウド接続サービスの部分だけですので、拠点接続サービスの回線料金は別途必要になります。

　では、AWS Verified Accessはどうでしょうか？
　本サービスはまだ東京リージョンで提供されていませんので、正確な料金比較は出来ません。そこで、他のマネージドサービスの傾向から、米国料金の120％がかかるものとして想定してみます。
　米国料金は１アプリケーションにつき１時間あたり0.27USD、120％だと0.324USDで年間だと40万円ぐらいです。これにもデータ転送料金がかかりますがやはり軽微です。
　なかなか良い値段ではありますが、デリバリーパートナーへの支払い料金や拠点接続サービスの回線料金がかからないため、使用する標準準拠システムが４つ程度であればVerified Accessの方が安そうです。
　あと出来るかどうかは検証が必要ですが、AWS Verified AccessをIaC的なコードで管理して、標準準拠システムが起動している間だけ接続を確立するような仕組みの構築が可能であれば、料金は1/3程度に軽減できます。その価格帯であれば、多くの自治体にとってかなり現実的な選択肢になり得るのではないかと思います。

　自分がAWS Verified Accessを気に掛ける理由は料金以外にもあります。それは正にゼロトラストアクセスのサービスであることです。

　自治体はご存知のとおり「三層分離」と呼ばれる境界型セキュリティ対策を実施しています。
　三層分離は元々マイナンバー制度導入直前の際どいタイミングで日本年金機構が標的型攻撃による情報漏洩事件を発生させてしまったことから、緊急避難的な措置として導入されたものと認識しています。
　しかし実際には緊急避難ではなくそれが常態化してしまい、業務効率の低下や例外的な電子記録媒体での持ち出し運用によりセキュリティリスクの増大等、必ずしも自治体の現状にマッチしたセキュリティ対策とは言えない側面があります。

　一方で、国は既にガバメントソリューションサービス（GSS）というゼロトラストネットワークアーキテクチャを積極的に活用した仕組みを導入しています。
　当然地方にもその流れが来て然るべきですが、実は真逆のことが起きようとしています。
　具体的には境界型セキュリティの象徴であるLGWANを更改して、ガバメントクラウド接続サービスの代わりにしようとしているのです。

　LGWANの方がガバメントクラウド接続サービスより安く自治体が助かるというのがその趣旨ですが、自分はこれに懐疑的です。なぜならば、J-LISが調達しようがデジタル庁が調達しようが基本的に料金は変わらないはずだからです。しかもLGWANは基本的に都道府県単位のノードを経由します。LGWAN構成が複数接続ロケーションを利用するかどうかは定かではありませんが、都道府県ノードから東西に分岐するような構成であれば結局自治体庁舎から都道府県ノードまでが単一障害点となるわけで、台無しです。
　結局は安かろう悪かろうの内容では無いかと邪推しています。

　そもそもLGWANが担うのは拠点接続サービスの部分だけであり、ダイレクトコネクトの代替になるわけではありません。そしてガバメントクラウド接続サービスの料金で高いのはクラウド接続サービスであるダイレクトコネクト４重冗長の部分です。拠点接続サービスの可用性を犠牲にして多少コストを下げても焼け石に水ではないでしょうか。
　自分は、どうにもこの件が、標準化後の自治体のネットワークのあるべき姿を見据えたものでは無く、事業の存続そのものが目的になっている気がしてならないのです。

　国がゼロトラストの導入をもう始めているのに、地方はLGWANの呪縛にかかって真逆の方向に進もうとしている。これは望ましい姿ではありません。
　しかしAWS Verified Accessの方がLGWANより安くて便利だということになれば、自治体のゼロトラストネットワークアーキテクチャの導入は一気に進むでしょう。
　銀の弾丸は三層分離の亡霊を消し去り、我々自治体は長き呪いから解放されるわけです。

　AWS Verified Accessはインパクトがあるサービスです。恐らくAzureやOCIなどの他のCSPも追従し、より低価格で勝負してくるでしょう。東京リージョンで利用できるようになるころには値段は更にリーズナブルになっているかもしれません。
　もちろん導入にあたっては様々な課題や整理が必要です。セキュリティポリシーの話もありますし、ゼロトラストの肝となるID管理をどうするかという話もあるでしょう。
　しかし、デジタル庁が自治体のあるべき姿をちゃんと見据えて進む方向を誤らなければ、標準準拠システムをゼロトラストネットワークアクセスで利用する未来は、決して遠くはないと思うのです。