日本政府が未来の社会として実現を目指しているのが「Society 5.0」です。そのために、自治体をはじめとする各公共機関では、デジタル技術を活用したデジタルトランスフォーメーション(DX)を実現する必要があります。そして公共機関がDXを実現するために重要となるのがセキュリティです。その一つの解決策としてクラウドサービスの活用があり、政府も情報システムの検討にクラウドサービスの検討を優先する「クラウド・バイ・デフォルト原則」を打ち出しています。政府からも関連方針や施策が数多く示されており、公共機関がシステムを構築するに当たっては事前にチェックすべき点が数多くあります。
向かうべきは“誰一人取り残されない”デジタル化
狩猟社会のSociety 1.0に始まり、農耕社会のSociety 2.0、工業社会のSociety 3.0、情報社会のSociety 4.0と、社会は変化してきました。ところが、人口が増えず少子高齢化が当たり前になると、労働力の総数が減少し、人的リソースが不足することにより、経済の発展を阻害してしまう危険性があります。そうした指摘がある中、日本の目指す未来社会として、政府が2016年に閣議決定したのが「Society 5.0」です。
Society 5.0が目指すのは「サイバー空間(仮想空間)とフィジカル空間(現実空間)を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する、人間中心の社会(Society)」(内閣府)です。日本におけるデジタル社会実現の司令塔として発足したデジタル庁も、Society 5.0の実現に向けて2022年6月に「デジタル社会の実現に向けた重点計画」を発表しています。
この重点計画を受けて打ち出したコンセプトが、“誰一人取り残されない人に優しいデジタル化”であり、地方自治体や中央の府省庁の公共サービス全体をデジタル化する「デジタルガバメント」です。デジタルガバメントを実現するためには、それぞれの公共機関がデジタル技術を活用しDXを実現することが欠かせません。
あらゆるものがつながるネットワーク社会のセキュリティ
公共システムのDXを進めるうえで大きな課題となっているのがセキュリティです。あらゆるものがつながるネットワーク社会においてセキュリティインシデントは増え続けており、個人情報などの重要な情報を人質としたり、システムを機能不全にして復旧のための身代金を要求するランサムウェアは相変わらず猛威を奮っています。海外を中心に、政府関連Webサイトの改ざんや発電所や通信衛星といった重要インフラへの攻撃も発生しています。こうした新たなステージに進化しつつある脅威に対抗するため登場したのが「ゼロトラスト」という考え方です。
これまでの公共システムにおけるセキュリティ対策は、地方自治体の3層分離(インターネット接続系、LG-WAN系、個人番号系)のように物理的境界線を置くことによって防御する考え方でした。内部は信頼(トラスト)できる環境と考え、庁内ネットワークなど組織内部からのアクセスは許可し、インターネット経由など組織外部からのアクセスはファイアウォールで防御することで、内部のセキュリティを確保します。
ですが、最近のクラウドサービスやリモートワーク、テレワークの普及により、ネットワークの内部と外部の境界は曖昧になってきています。さらにデジタルガバメントによるSociety 5.0の社会では、産官学民すべてを連携させて情報をより柔軟にやり取りできることが求められます。
そこで、組織の内部や外部にかかわらず、すべてのデバイスやネットワークを信頼できないものと考えて、あらゆる通信セッションについて正しいユーザーからの要求であることを確認し認証したうえで、アクセスを認可するというのがゼロトラストの考え方です。認証・認可が済んだセッションだけがアクセスできることで、利便性の高い公共サービスと高いセキュリティを両立させます。デジタル庁も2022年6月に公表した「ゼロトラストアーキテクチャ適用方針」で、政府情報システムにおいてゼロトラストを適用する方針を示しています。
セキュリティをイノベーションにどう組み込むか
仮想と現実が融合するSociety 5.0を実現する社会では、いままで以上にセキュリティが重要です。しかしながら、過度にセキュリティを重視してしまうと、公共システムにおけるDX推進のブレーキとなりかねません。セキュリティを確保しながらDXを確実に進めていくという、そのバランスをうまく取ることが重要です。つまり、Society 5.0ではDXの検討/推進と同時に、セキュリティをどのようにイノベーションに組み込んでいくかが重要になります。
そのためのキーテクノロジーとなる1つがクラウドサービスです。例えば、インフラからアプリケーションまでのすべてを統合した形で提供するSaaS(Software as a Service)を活用すれば、導入工数を削減できるのに加え、サーバー、OS、ミドルウェアなどのインフラをとくに意識する必要がありません。運用フェーズに入ってからもセキュリティパッチを適用するといった日常の運用業務は不要です。こうしたクラウドサービスを積極的に利用することで、イノベーションやスピードというメリットを享受しながら、DXに注力することが可能になります。
イノベーションで「社会課題」を解決する ~市民一人ひとりを中心とした、デジタルガバメントの未来像
地方におけるモビリティや災害対策などの社会課題の解決や住民を中心としたスマートシティの実現に向けて、テクノロジーをどのように活用していけばいいのか、事例を交えて紹介します。
知っておきたい評価制度と3つのガイドライン
政府もデジタル社会の実現に向けた重点計画の中で、政府情報システムではクラウドサービスの利用を第1候補とする「クラウド・バイ・デフォルト原則」を定めてクラウドの利用を推進しています。デジタル庁も、各府省庁にクラウドを積極的に利用するように求めています。公共システムのアーキテクチャを根本から見直し、品質・コスト・スピード・レジリエンス(障害からの回復力)を兼ね備えたシステムへのDXを実現するには、クラウドサービスの利用が有効なのです。
たとえば、国際標準などを踏まえて策定したセキュリティ基準を適切に実施しているかどうかを第三者が監査し、その結果にもとづいて適切に実施していると評価されたクラウドサービスだけが登録される「政府情報システムのためのセキュリティ評価制度」(ISMAP:Information system Security Management and Assessment Program)があります。ISMAPの認証を得たクラウドサービスを利用すれば、評価対象に関しては基本的なセキュリティ要件も担保されていることになります。
それ以外にもSociety 5.0を実現するために、政府情報システムのセキュリティ関連技術ガイドライン群などデジタル技術におけるセキュリティ関連の法整備やガイドラインの策定に力を入れています。たとえば、サイバーセキュリティ対策に関連する政府のドキュメントは、デジタルガバメントに関係するものだけでもサイバーセキュリティ戦略本部による「政府機関等のサイバーセキュリティ対策のための統一基準群」などがあります。デジタル庁もデジタル社会推進標準ガイドラインの中で「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」や「ゼロトラストアーキテクチャ適用方針」などを2022年6月に公表しています。
このように政府からはさまざまな方針や施策がガイドラインなどの形で数多く示されています。これらを簡潔に把握し、デジタルガバメントを速やかに推進できるように、セールスフォース・ジャパンでは『公共機関のDXに求められるクラウドセキュリティ-SaaS活用による業務改革とセキュリティの実現に向けて』というホワイトペーパーをまとめました。セキュリティを確保しながらDXを確実に実現するために、公共機関の方はぜひご一読ください。
新時代の公共システムに求められるDXとセキュリティのあり方とは?
公共システムにおける「クラウド導入の現状と課題」、「クラウド・バイ・デフォルト原則」のほか、組織的な攻撃を防ぐための「サイバーセキュリティ対策」について、政府発行の各種ガイドラインなどにもとづき紹介します。
関連資料