政府情報システムにおけるクラウド設置場所等に関する考え方
public.icon
#政府CIOディスカッションペーパー
https://scrapbox.io/files/612f225e866a7400222b8d98.png
Link: https://cio.go.jp/dp2020_04
PDF: https://cio.go.jp/sites/default/files/uploads/documents/dp2020_04.pdf
概要
政府情報システムでクラウドを利用する場合、「国内のデータセンタ」と「裁判管轄権があるクラウドサービス」を原則とする
しかし、バックアップのリスクなどを考慮して、海外にデータセンターがある事業者でも利用できる場合もある
どんな観点で海外製のクラウドサービス(AWSやGCP, Azureのことだと思う)を利用するかを書いたペーパーです
背景
以下の観点から、国内データセンタであることを必要とするかしないかを判断します
1. 保存されているデータに可用性を必要とするかどうか
バックアップが取得されているかどうか?も重要な観点になってくる
tkgshn.icon極端な話、"「どうでもいいデータ(語弊あり)」はどこに保存してもいい"という話なのかもしれない
2. 大規模災害などの被害を受けた際に、継続性が保障されているかどうか
tkgshn.iconSLAとかの議論が入り込んでくると予想します
3. データ保護されているかどうか
4. 国内法や裁判管轄など、争訟リスクがあるかどうか
具体的な検討
利用者データを保管するサーバーは国内であることが強く望まれるが、複製された(tkgshn.iconバックアップ先の話だと思う)データや、原則としてオープンなデータは国内である必要はない
災害の被害を考慮するとなると、国内だけに保存しておくのはリスクである可能性がある
むしろ分散させたほうがいい
全部のソフトウェアを自作するのではなく、IaaS/SaaSも利用することになると思う
その場合は、最小権限の原則などを基本として対策を取ることが求められる
raw title: 政府情報システムにおけるクラウド設置場所等に関する考え方
original page: /tkgshn-private/政府情報システムにおけるクラウド設置場所等に関する考え方