見出し画像

ガバクラの単独利用方式と共同利用方式って結局どうなの?

 ガバメントクラウドの利用方法には単独利用と共同利用があります。
 違いはガバメントクラウドの運用管理補助者(インフラ構築を担当する事業者)が単独市町村を扱うか複数市町村を扱うかによります。
 どちらもデジタル庁と市町村とのガバメントクラウド利用権付与・運用管理委託契約に基づきますが、前者が市町村に直接クラウド管理のアカウントを払い出すのに対し、後者は複数市町村とベンダとの合意を前提に、担当ベンダが直接アカウントを利用できるように措置します。
 それとは別の話として、運用管理補助者はアプリベンダを兼ねることができます。

 もしシングルベンダの場合、共同利用方式かつ運用管理補助者とアプリベンダを兼ねてもらえれば、市町村は一切合切をベンダにお任せで、SaaSのような使い方ができます。これがデジタル庁の推奨する方式です。
 しかし実際には20業務全てシングルベンダで運用している市町村ばかりではありません。住民記録系と福祉系でベンダが分かれている2ベンダでの運用のケースをかなり聞きますし、中核市ともなれば3以上のマルチベンダの方が多数派では無いでしょうか?
 ともあれデジタル庁が推奨する方法ですんなりとはやれないマルチベンダの自治体は相当数あります。むしろ多数派かも知れません。
 じゃあどうすれば良いのか?それが今各自治体の担当者を悩ませている事項だと思います。
 それは正に自分が半年前に通った道なので、生暖かい目で濃尾平野から見守っている所ですが、実はこの方式の違いを深掘りすると、単独と共同という言葉の意味以上の大きな違いがあることが分かってきます。

 結局本質は、以下につきます。

単独利用は市町村が自分でアカウントを管理する。
共同利用はベンダがアカウントを管理する。

 当たり前じゃないかと言われるかもですが、アカウントはいわば全権です。住民の特定個人情報を市町村が自分で管理するか、ベンダに全権を委任して管理を任せるかの違いと言い換えても良いかもしれません。
 「いや単独利用方式だって、ベンダに委託するのだからベンダの管理下じゃないか?」
 と言われるかもしれません。確かにそのとおりですが、単独利用方式の場合はベンダの権限を制限する等コントロールすることが出来ますし、不審な活動があればそれを検知視する事も出来ます。

 しかし共同利用方式の場合は、何も出来ません。
 基本、アカウントが異なると何も干渉できません。
 共同利用方式はアカウントが異なるため、ベンダ側がそう明示的に設定しない限り仮想サーバーやデータベースにはアクセスできません。単独利用方式なら出来ます。
 共同利用方式は料金がどれだけかかったかを直接市町村が確認する事は出来ません。極論ですが、請求料金が本当に正しいかも分かりません。単独利用方式であればかかった料金が正確に把握できます。
 それこそ、ベンダの社員が不正を働いて特定個人情報を持ち出そうとしていても、何も分かりません。ベンダがしっかりと内部統制を行い、防止や検知してくれるのを祈るしかありません。単独利用方式であれば権限管理でそれを事前に防止したり不審な活動を検知する事ができます。
 共同利用方式は文字通り全権をベンダに委任する事なのです。

 「いやいや、そうは言っても契約条項でしっかり管理するよう依頼する事は出来るだろう?」

 確かに、統制を直接行う事は出来ませんが、契約条項で縛ることは可能です。(契約条項がしっかり履行されているかの検査確認が実際に出来るかはまた別の話ですが)
 しかし、その条項をベンダが飲んでくれるかはまた別問題です。
 ガバメントクラウド利用基準の共同利用方式の説明にこういう一文があります。

地方公共団体がガバメントクラウド個別領域のクラウドサービス等の運用管理を個別に行わないことを前提として、デジタル庁が直接ガバメントクラウド運用管理補助者にガバメントクラウド個別領域利用権限を行使できるよう措置する。

地方公共団体情報システムのガバメントクラウドの利用に関する基準【第1.0版】P9

 「運用管理を個別に行わないことを前提」とあります。要するにベンダのやり方に任せて干渉するなという事です。ある意味「市町村としてのガバナンスを放棄しろ」という話に置き換えれるかもしれません。
 ただこれはある意味ごもっともな話で、ベンダが顧客自治体ごとに運用管理ポリシーを変えていたら、画一的な運用によりコストダウンをはかるという共同利用方式の趣旨に反し、メリットがスポイルされてしまいます。

 繰り返しになりますが、共同利用方式は全権を放棄しろという事です。

 じゃあ単独利用方式が良いのか?というと、それも茨の道です。
 自治体に全権があると言えば聞こえが良いですが、ユーザーや権限の管理、アクセスの制御、必須適用テンプレートのカスタマイズによる予防的統制や発見的統制の実行と運用、バックアップやディザスタリカバリの方針・方式・手順の決定、利用料金の把握分析と最適化のための検討、そうしたことを全部自治体が決めなければなりません。共同利用方式であれば全部ベンダにお任せできます。

 単独利用方式は全権を保有する代わりに、全部自分で決めなければなりません。そしてそのやり方をベンダに強制する事により、運用コストは高くなります。
 体力のある自治体しか単独利用方式は出来ないでしょう。

 ガバクラの話をしていますが、じゃあ今まで民間企業がAWSなどのパブリッククラウドを利用する時はどうしていたのか。それは各CSPが最も良い方法(ベストプラクティス)を示しています。
 その内容は、マルチアカウントで運用し、かつそれらを統制するやり方です。AWSであればOrganizationsやControl Towerを利用します。
 各部門にアカウントを払い出し、細かいあれこれの運用はアカウントを払い出した部門に任せて、統制べき部分は企業としてしっかり全体統制をかけていく。そういうやり方です。

 しかし、そのやり方はデジタル庁が「ガバメントクラウドテンプレート」の実装のために使ってしまっているので、我々はベストプラクティスを選べない不完全な形で利用せざるを得ません。その代わりのトレードオフとして、ガバメントクラウドテンプレートやSCPに基づくガードレールとかデジタル庁とCSPとの契約上のあれこれ(Cloud Act法への対処)の恩恵を受けます。
 ただしガバメントクラウドテンプレートの統制は、自由度を損なうという理由から最低限です。足りない部分を市町村やベンダで頑張る必要があります。
 最低限と言えども、SCPでサービスレベルでごっそり制限されてしまうので、痒い所に手が届くような機能が使えなかったりします。
 例えば、AWS Outpostで縮退環境を整備しようとしても出来ません。リザーブドインスタンスも買えません。マーケットプレイスで便利なものを購入する事もできません。

 そもそもAWS Organizationsは本来一つの法人が複数アカウントを管理するためのサービスです。企業の情報部門が各業務部門に細かい運用は任せつつ、全体統制するためのものです。
 同じ企業であれば、当然企業としてのガバナンスを体現した統一的なポリシーが適用されるべきで、そこに何の問題もありません。

 しかし、これを政府機関と地方公共団体の枠組みで運用しようとしている所に無理が生じているわけです。
 標準化法は、道具であるシステムは今のものを捨てて統一仕様のものを使えとありますが、それが内部統制やガバナンスにまで及ぶものではありません。適用される法律や条例は当然違います。(2000個問題と併せてそこにも手を入れようというのであれば話は別ですが、今度は地方自治とは?という憲法問題になってくると思います)
 だからこそ、ガバメントクラウドテンプレートは自由度を損なわないために最低限です。残りの足りない部分を市町村かベンダのどちらかが頑張るしかありません。

 ベストプラクティスを選べない我々は、あれこれを放棄してベンダに全権を委任するか、自らアカウントを掴んでIAMポリシー等様々な運用ルールの構築をめちゃくちゃ頑張るかの二択です。

 そして冒頭の問題に立ち返りますが、多くの市町村はマルチベンダであり、単一ベンダに完全に任せることは出来ず、仮に複数ベンダに共同利用方式を任せたとしても、共通的な部分、例えばダイレクトコネクトゲートウェイからトランジットゲートウェイに接続する部分のVPCは誰が管理するのかというような問題があります。
 その共通部分を仮にマルチベンダのうちのどこかが持つというような話になったとしても、共同利用方式としてのメリットは出せないでしょう。各市町村のオンプレ環境を踏まえたIPやルーティングの管理を一本化して省力化できるとは思えません。

 ではどうすれば良いのでしょうか?

 弊社は単独利用方式で頑張る方針ですので、完全に門外漢の野次馬的な意見となりますが、上記の共通部分はオンプレのネットワークを現在運用している事業者がリスキリング頑張って単独利用方式で持つのが良い気がします。少なくともアプリ屋さんが片手間に出来るものでは無いでしょう。

 そこから先、トランジットゲートウェイの向こう側は、各アプリベンダの担当領域となり、単独利用方式・共同利用方式どちらでも可能です。単独利用方式であれば色々決めてガバナンスを効かせ、共同利用方式の場合はベンダにお任せです。
 いずれにせよ、運用やセキュリティ水準のベンダ間(および単独利用方式との)ギャップは整理して埋める必要があります。
 オンプレはADのグループポリシーで統制を効かせ、ガバクラも単独利用部分は同様に統制が効くけれども、共同利用部分は統制が効かない。単独利用の住民基本台帳はしっかり庁内のルールを守って運用も基準に従ってやっているけど、共同利用の国民健康保険は好き勝手やっている。そういう状況が起こるわけです。

 一案ですが、アプリの部分に共同利用方式が1つでも混じるのであれば、もう(共通部分を除いて)アプリ部分は全て共同利用方式にし、ガバナンスを放棄してしまった方が良い気がします。
「ベースとなる共通インフラ部分は単独利用で頑張るけれど、アプリ部分はSaaSだ、デジタル庁もそう言っている。」
 そういう整理の仕方です。

 ただ共同利用方式はベンダ主導でベンダ提案から始まりますので、仮に現行ベンダから共同利用方式の提案が無いのであれば、単独利用方式でやらざるを得ませんが、その場合もIAMではなく別途(共通インフラ部分とは別の)アカウントを渡して共同利用方式と同様に全権を委任してしまいます。
言うなれば、単独利用方式マルチアカウント運用です。(恐らくそれは共同利用方式のアカウント分離方式とほとんど差異がありません。) もしかすると、今後そのベンダが共同利用方式を始めるかもしれません。その場合も大きく運用を変えずに移行できるでしょう。

 単独利用シングルアカウントで全部やる余力やコストが捻出できないなら、それが現実解の気がしますね。

いいなと思ったら応援しよう!