2010年以降、米国大統領府は、政府機関が市民向けサービスを向上するためにクラウドを活用することを奨励しています。
現在、新しい「クラウドスマート」戦略に則って、連邦機関のグループが主導権を握り、クラウドの活用に関する最善の方法を模索しています。業界および幅広い連邦ITコミュニティからの情報・意見を基に、OMB(行政管理予算局)、DHS(国土安全保障省)、GSA(連邦調達庁)などの組織は、今後18ヶ月間にわたって戦略を推進するために、「行動計画と目標を定めたポリシー更新」をまとめています。
この戦略の最初の概要を読んで、私は驚きました。政府はこれまでの「クラウドファースト」イニシアチブの欠点を十分に把握しているようで、新しいクラウドスマート戦略では、セキュリティを「熟慮と投資」を要する重要な上位3つの分野の1つとして位置付けています。
このドキュメントで提案されているいくつかの推奨事項は、商用クラウドの熟達者が採用しているベストプラクティスと似た内容で、注目に値するものです。
-
この計画では、オンプレミスからクラウドに移行しても、必ずしもクラウドの利点を享受できるとは限らないことを認めているとともに、クラウドに移行すべき確かな理由を持たずに採用に踏み切ってはいけないことを強調しています。
-
政府が望む結果を達成するために、クラウドを採用する政府機関は、クラウドで提供される自動スケーリングおよび自動プロビジョニング機能を活用しなければならないとしています。
-
政府は、DHSのCDM(継続的な診断と緩和)プログラムが「進化し続けなければならない」ことを認識し、クラウド内のサイバーリスクを理解するためにモニタリングツールなどの監視機能が必要であることを強調しています。
焦点とするべき3つの主要な領域(セキュリティ、調達、労働力)のうち、連邦政府にとって最大の課題はセキュリティであると私は考えています。
セキュリティ上の課題に取り組むうえで、クラウドスマート戦略の最終案に次のような点を盛り込むことを政府は考えるべきでしょう。
-
採用するセキュリティ製品は、自動プロビジョニングと自動スケーリングに対応できるものでしょうか。それらは、政府が現在採用しているセキュリティソリューションの多くに欠けている重要な機能です。
-
クラウドへの移行中も、監視が必要なオンプレミスのアプリケーションが存在します。クラウドとオンプレミスの両方を監視できる単一のツールを備えていますか?
-
クラウド管理用のアカウント設定をしっかり監視できる機能を優先させていますか?設定が適切に行われ、変更が発生した場合にはそれを知ることができますか?これらは備えるべき必須機能です。
-
クラウドプロバイダーは、セキュリティについて全責任を負うものではありません。責任はプロバイダーとクラウドを利用する政府機関の両方にあります。この戦略では、その責任の所在をしっかりと線引きする必要があります。
最後に、政府からのパブリックフィードバックの要請に対して私が回答したように、クラウドの構成管理の安全性を確保することを一層重視すべきでしょう。クラウドサービスの安全性を確保するには、IaaS、PaaS、SaaSのいずれの場合でも、設定の継続的な監視が必要です。またそれは、オンプレミス環境よりクラウド環境のほうでより重要となります。
