中小企業庁DXプロジェクトにおけるクラウド導入

Transcript

1. 中⼩企業庁DXプロジェクトにおける クラウド導⼊ 2019.12.13 中⼩企業庁デジタルトランスフォーメーション室

2. 経済産業省におけるデジタル化と中⼩企業庁の取組 l 2016年度以来、経済産業省では、法⼈番号をキーに認証・⼿続き・共有等の階層からなる法⼈デジタル サービスの全体デザインのもと、デジタル化を進めてきた。 l ①共通機能の標準化を進めることにより重複投資の排除、利便性を向上を実現し②⼿続件数の多い⾏ 政サービスのシステム化を進めることでより多くの事業者にとって利便性の⾼いシステム開発を進める。 省内・官⺠データ連携（法⼈データ交換基盤） オープンデータ（法⼈インフォ） API

   API API API API API API API 1 事業者のログイン（GビズID（法⼈共通認証基盤）） API API 補助⾦ 他⼿続 他⼿続 他⼿続 ①本⼈確認 ②⾏政⼿続 ③データ連携 中⼩企業庁では、補助⾦、中⼩企業⽀援施策に係る⼿続の電⼦化を推進 ④オープンデータ 中⼩企業 ⽀援施策 ⾏政サービスのデジタル化

3. デジタル・ガバメント実⾏計画（平成30年7⽉ デジタル・ガバメント閣僚会議決定） 【デジタルファースト】 【ワンスオンリー】 【ワンストップ】 ▪ ⾏政⼿続における添付書類の撤廃 n ⼿続オンライン化の徹底 横断的施策による「⾏政サービス改⾰」の推進

   (1) 利⽤者中⼼の⾏政サービス ▪ オープンデータ・バイ・デザインの推進 ▪ ニーズの把握と迅速な公開 (2) ⾏政保有データの100％オープン化 (3) デジタル改⾰の基盤整備 【オープンデータの推進】 【⾏政データ標準の確⽴】 ▪ ⺠間サービスとの連携も含めたワンストップサービスを推進 ▪ ⾏政データ連携標準の策定 ▪ 語彙・コード・⽂字等の標準化、環境整備 2 システム基盤の整備 政府全体におけるデジタルガバメントの取組⽅針 ⾏政情報システムのクラウド化（クラウド・バイ・デフォルト） 投資対効果やサービスレベルの向上、サイバーセキュリティへの対応強化 を図るため、政府情報システムの新規開発⼜は次期の 更改、若しくは⼤幅な 改修時期を⾒据えつつ、システム⽅式として、クラウドの活⽤を推進する。 具体的には、各府省にお いて、上記の「政府情報システムにおけるクラウ ドサービスの利⽤に係る基本⽅針」に基づき、各種クラウドサービスの 利⽤ を検討する。

4. なぜクラウド活⽤を推進するのか 効率性の向上 • 利用者当たりの費用負担、導入時 間の短縮 セキュリティ水準の向上 • 一定水準の情報セキュリティ機能 （オンプレミス環境より効率的に情 報セキュリティレベルの向上）

   技術革新対応力の向上 • 新しい機能の随時追加、最新技術 の活用 柔軟性の向上 • リソース変更の容易性、試行、短期 間サービス利用 可用性の向上 • 過剰な投資を行うことなく24時間 365日の稼働、可用性の向上 3 クラウドサービスのメリット（政府情報システムにおけるクラウドサービスの利⽤に係る基本⽅針より）

5. 政府情報システムにおけるクラウドサービスの利⽤に係る基本⽅針 (2018 年6⽉7⽇ ＣＩＯ連絡会議決定) l クラウド・バイ・デフォルト原則（クラウドサービスの利⽤を第⼀候補） － 政府情報システムは、クラウドサービスの利⽤を第⼀候補として、その検討を⾏う （クラウドサービスにはパブリック及びプライベート（府省共通・府省内の提供する共通基盤 等）を含める）

   － 情報システム化の対象となるサービス・業務、取扱う情報等を明確化した上で、メリット、開 発の規模及び経費等を基に検討を⾏う l CIO補佐官の関与 － 企画段階及び予算要求段階から、府省CIO補佐官の関与の下で検討を⾏う 4 政府CIOポータルより https://cio.go.jp/guides 政府におけるクラウド利⽤の基本⽅針

6. クラウドサービスの利⽤検討プロセス Step0:検討準備 Step1: SaaS（パブリッククラウド）の利用検討 Step2: SaaS（プライベートクラウド）の利用検討 Step3: IaaS/PaaS（パブリッククラウド）の利用検討 Step4: IaaS/PaaS（プライベートクラウド）の利用検討

   オンプレミス（ノン・クラウド） の選択 5 l 検討準備（Step0） － 以下の事項を明確化 業務の基本属性、必要なサービスレベル、 サービス・業務の定常性、業務量、取り扱う情報 l SaaSの利⽤検討（Step1、Step2） － パブリック・クラウドSaaSとプライベート・クラウドのSaaS（政府 共通PF・各府省の共通基盤等が提供）の総合的な検討・評価 l IaaS/PaaSの利⽤検討（Step3、Step4） － パブリック・クラウドIaaS/PaaSとプライベート・クラウドのIaaS/Paas (政府共通PF・各府省の共通基盤等)の総合的な検討・評価 l オンプレミスの利⽤検討

7. パブリック・クラウドとプライベート・クラウドの利⽤⽅針 パブリック・クラウドの利⽤⽅針 l クラウドサービスの選定ポイント － 政府機関の情報セキュリティ対策のための統⼀基準（以下「統⼀基準」という。）に定める 「クラウドサービス利⽤に関する遵守事項」を満たすクラウドサービス － 第三者による認証もしくは監査報告（ISO/IEC27017、CSゴールドマーク、AICPA SOC2等）

   － 可⽤性、法的リスクの観点から国内データセンター（が望ましい） l 情報セキュリティ － 特定秘密及び極秘⽂書に該当する情報は取り扱わない － クラウドセキュリティ認証等の認証基準、監査フレームワークの監査報告書から統⼀基準を 満たしていることを確認 － クラウドサービス利⽤時の伝送路を暗号化。 － 格納されるデータやデータベースについても、機微な情報については暗号化。 － 必要があれば、統⼀基準を満たす情報セキュリティ機能を利⽤者側で設計・実装（IaaS/PaaSの場合） l クラウドサービスの利⽤ － データ移⾏⼿段の確保 － 取得可能なログの種類と範囲の確認（SaaSの場合） プライベート・クラウドの利⽤⽅針 l 府省共通システム、政府共通プラットフォーム、各府省の共通基盤等で提供されるサービスの仕様 及び運⽤ルールに従う 6

8. 7 中⼩企業庁DXプロジェクトでのクラウド導⼊のポイント 開発期間 セキュリティ 法令 • ハードウェア導⼊期間をなくし、短期間でシステム基盤を⽤意する • スクラッチ開発を減らし、標準化された機能を使い回せる仕組み •

   本番環境、テスト環境、開発環境を柔軟に準備、拡張できる • 政府統⼀基準に準拠した情報セキュリティ管理規定に基づく仕様 • 第三者認証（CSゴールドマークなど） • 機密性の⾼い⽂書は扱わない（機密性１、２⽂書のみ） • 通信経路、データ保存領域のアクセス制御 • デジタル⼿続法 ⇒ デジタル化の基本⽅針 • ⾏政⼿続オンライン化関係三法 ⇒ 実装上の前提 • 公⽂書管理法 ⇒ 保存データの扱い ＋下位政省令、各ガイドライン SaaS パブリッククラウド クラウドサービスでも実装可能と判断

9. 8 クラウド導⼊検討時に必ず実施すべきこと BPR Business Process Re-engineering 目標（売上、収益率など）を達成するために、既存の業務内容や業務フ ロー、組織構造、ビジネスルールを全面的に見直し、再設計（リエンジニ アリング）すること •

   どういう情報を扱っているか • 誰が業務を⾏っているか • どういう条件で作業を実施しているか • 業務にどのような制約があるか • どういう⼿段でなければ業務が実施できないか ＜整理事項の例＞ BPRができていないと適切なシステム方式、クラウドサー ビスを選定できません。

10. （参考）経済産業省情報セキュリティの共通ルール l 政府全体の情報セキュリティに関する共通ルールである「政府機関等の情報セキュリ ティ対策のための統⼀基準」（以降、政府統⼀基準）がサイバーセキュリティ戦略本 部（⼤⾂級会合）の決定により整備。（最新は平成30年7⽉に決定した平成30年度版） l 経済産業省のセキュリティ関係の規程（経済産業省情報セキュリティ管理規程、経済 産業省情報セキュリティ対策基準、その他内規）についても政府統⼀基準に準拠。 ・政府機関等の情報セキュリティ対策のための統⼀基準（平 成30年度版）

    https://www.nisc.go.jp/active/general/pdf/kijyun 30.pdf ・政府機関等の対策基準策定のためのガイドライン（平成 30 年度版）【政府統⼀基準の解説】 https://www.nisc.go.jp/active/general/pdf/guide3 0.pdf ・経済産業省情報セキュリティ管理規程 https://www.meti.go.jp/intro/data/pdf/kanri_kite i_1906.pdf ・経済産業省情報セキュリティ対策基準 https://www.meti.go.jp/intro/data/pdf/taisaku_ki jun_1906.pdf 9