拡大する地方自治体のクラウド導入、その裏に潜むセキュリティ課題と対策方法

自治体クラウド導入

コロナ過におけるリモートワークの促進に伴い、官民を問わずクラウドサービスへの業務移行および導入が急激に進められています。また2020年にはデジタル・ガバメント実行計画が閣議決定され、デジタル庁主導のもと地方公共団体の基幹業務のクラウド移行が今まさに推し進められています。

本記事ではそんなクラウド移行真っ只中の「地方公共団体」に焦点を当て、地方自治体のクラウド導入のメリットと現状、およびセキュリティ課題とその対策について解説します。

 

地方公共団体クラウド導入の現状

地方公共団体が情報システムやデータを管理・運用する際の選択肢は大きく分けて3つあります。

庁舎内等に設置したサーバによってシステムやデータを管理する「オンプレミス」に代わって、昨今急激に導入が進められているのが「クラウド」です。また一口にクラウドと言っても、各自治体が独自にデータセンターと契約してシステム・データを管理・運用するタイプの「単独クラウド」と、複数の自治体が共同でシステム・データを利活用する「自治クラウド」があります。

都道府県毎のクラウド導入状況と推移

総務省の公表資料によると、クラウドを導入した地方公共団体は2015年から2022年までの7年間で550団体から1,279団体まで増加しており、今後も導入団体の増加が見込まれています。

クラウド導入市区町村数の推移

出典:総務省HP

同じく2020年時点における各都道府県毎のクラウド導入割合は以下の画像の通りです。単独クラウド自治クラウドの利用割合には地域差が見られますが、全国の市町村の約7割がクラウドを導入していることが分かります。

各都道府県のクラウド導入状況

出典:総務省HP

デジタル庁が主導するガバナンスクラウドの位置づけと現状

地方公共団体クラウド移行といえば、昨今注目されているデジタル庁主導のガバメントクラウドを思い浮かべる人もいると思います。

ガバメントクラウドは政府と地方自治体が共同で利用できるクラウド基盤です。地方自治体の基幹業務システムを統一・標準化してクラウドへ移行することで、従来のように各団体が独自にサーバ・ハードウェア・OS・ミドルウェア・アプリケーションなどを整備あるいは管理する必要を無くすことを、大きな目的の1つとしています。

ただし、ガバメントクラウドの対応領域はあくまで計20の「基幹業務」であり、それ以外の業務については今まで通り単独クラウド自治クラウドで運用管理することが可能です。

2020年12月に閣議決定されたデジタル・ガバメント実行計画によると、全ての地方公共団体が2025年までにガバメントクラウド上に構築された標準準拠システムへ移行する必要があるため、政府は2022年夏までに標準仕様書の完成を目指し、2023年~2025年の間を本格的な移行期間にする予定だということです。

 

地方自治体のクラウド導入事例

最近では複数の自治体が共同でクラウドを利用する「自治クラウド」の導入事例が大きく注目されています。今回はその中でも、人口30万人以上の中核市としては全国初となった愛知県岡崎市豊橋市自治クラウド導入を例に見ていきましょう。

愛知県岡崎市豊橋市の場合、自治クラウド導入の背景として次のような長年の課題がありました。

  • 度重なる法改正対応の改修によるシステムの複雑化
  • 職員による自前での開発・運用の困難
  • 運用・保守の委託費用の高騰
  • 災害時の業務継続性の確保
  • リーマンショックによる財政ひっ迫

また、自治クラウドの実現にあたっては、システム稼働のスケジュールの統一、業者選定、パッケージ選定、共同化への推進体制構築などの課題に直面したものの、業務主管課に管理部門を設置して統制を取り、ベンダーに対しても共同化を調整したりしたことで解決しました。

結果としては、クラウド導入後5年で次のような効果が得られたといいます。

  • 国民健康保険/国民年金システム ▲5億800万(▲46%)
  • 税総合システム ▲10億9,700万円(▲45%)
  • 5年ごとの業者見直しによる柔軟な運用
  • 災害時の業務継続性の向上
  • 業務統一・共通化による業務改善

以上を踏まえて、次章では地方自治体がクラウドを導入するメリットについて紹介します。

 

地方自治体がクラウドを導入するメリット

地方自治体がクラウドを導入するメリットについては、民間企業のそれと大差なく、代表的な項目は次の通りです。

  • 耐震性など災害時の業務継続性向上
  • セキュリティ水準の向上
  • システム運用費用の削減
  • ハードウェア障害対応の迅速化

また、中にはブラックボックス化された外部のクラウドサービス事業者にシステムデータを預けることに不安を感じる方もいると思いますが、上記項目にもある通り、一般的にクラウドの情報管理・セキュリティはオンプレミスよりも堅牢だと言われています。

理由として、地方公共団体クラウドとして利用するデータセンターは、自然災害対策や情報セキュリティ対策が十二分に施されているほか、政府情報システムのためのセキュリティ評価制度である「ISMAP」を適用することで、客観的な信頼性を確かめることも可能なためです。

 

クラウド導入のセキュリティ課題と対策方法

オンプレミスよりクラウドの方が安全である、という話は既述の通りです。しかしながらクラウドサービスも完璧ではなく、特有のセキュリティリスクが確かに存在しています。

従来のオンプレミス環境では、社内と社外が明確に分かれておりその境界を守ることで容易にセキュリティを強化することができました。しかし、クラウドを利用する場合にはそういった境界線が曖昧になり、従来のセキュリティ対策では対応しづらくなってきているのです。

クラウドにおける事業者と利用者の責任範囲

一口にクラウドサービスといっても大きく「SaaS」「PaaS」「IaaS」があり、セキュリティ対策における事業者・利用者の責任範囲がそれぞれ異なります。簡易的に比較すると、PaaSやIaaSに比べて、SaaSの方が利用者側でのセキュリティ対策範囲が狭いといえます。

  • SaaS:データやコンテンツに関してのみ、利用者側でのセキュリティ対策が必要(例:ID管理、多要素認証、マルウェア対策、暗号化など)
  • PaaS:データからアプリケーション層までのセキュリティ対策が必要
  • IaaS:データからミドルウェア層までのセキュリティ対策が必要

このように、利用するクラウドサービスに応じて対策範囲を見極め、適切な措置を講じる必要があります。

クラウドを利用する場合のセキュリティ対策

PaaSやIaaSを利用する場合のセキュリティリスクは、代表的なものだけでもこれだけあります。

こういったセキュリティリスクに関しては、それぞれID管理、VPNWAF・改ざん検知、サーバ保護などの対策が必要になります。

しかし、どのような場合であっても、最優先として考えるべきなのは「データ」そのものに対するセキュリティ対策です。データはクラウドサービスプロバイダーのコントロール可能な範囲に置かれていないため、データの暗号化などデータ保護に関するセキュリティはクラウドを利用する企業の責任の下で運用することが求められます。

また、組織内にそれらを適切に管理運用できるセキュリティの専門家がいるとは必ずしも限りません。その場合は、専門家に依存せずかつ信頼のおけるセキュリティソリューションを導入を検討すると良いでしょう。