架空の「ガバメントクラウド認定試験」 #10-#13
2週間ぶりの第3弾です! 過去問もぜひ。
はじめに
本記事に掲載されている「ガバメントクラウド認定試験」は、公式なものではありません。これは筆者が個人的に作成した架空の試験問題であり、ジョークとしてお楽しみいただくことを目的としています。
ガバメントクラウドや自治体システムの標準化に興味がある方々向けに作成していますが、難易度はすでにガバメントクラウドの検討に着手されている方を対象としており、一部の用語の説明は省略している場合があります。
なお、本内容は投稿日時点の情報に基づいている点にご注意ください。標準仕様書やガバメントクラウド関連文書群は随時更新されていますので、最新の正確な情報については、必ず公式の資料をご確認ください。
問題
それでは、「ガバメントクラウド認定試験」の問題に挑戦してみましょう。今回は全4問です。
AWS社さんの認定試験にならって、正答率70%以上を目指しましょう。3問以上正解で合格です。
第10問
第11問
第12問
第13問
回答・解説
それでは回答編です。
なお、回答や解説は筆者本人の見解に基づいて記載されており、国の公式の回答ではありません。事業者・担当者によっても解釈が分かれる可能性がありますので、内容の取扱いには注意してください。
第10問
まずは大量帳票印刷に関する質問です。自治体基幹システム等では大量帳票印刷をアウトソーシング事業者(アウトソーサ)に外部委託するケースがあります。先日も大手の事業者にて大規模なセキュリティ事故が起きていますが、ガバメントクラウドにおける推奨構成上の定義について出題しました。
正解(誤りのある選択肢)はBの「本番アカウント内の環境から印刷データを直接ダウンロードできるように設定する」です。
ガバメントクラウド推奨構成(AWS編)では、「2-6. 大量帳票印刷機能に係る構成例」のなかで大量帳票印刷の実現方法について4つの方式を記載しています。
以下に引用します。
①庁舎内で印刷:ガバメントクラウドから庁舎内の環境へデータをダウンロードし、庁舎内の印刷基盤で印刷する。
②データセンタ内で印刷:ガバメントクラウドからデータセンタ内の環境へデータをダウンロードし、データセンタ内の印刷基盤で印刷する。
③印刷事業者にて印刷(媒体授受):ガバメントクラウドから庁舎内等の環境へデータをダウンロードし、媒体へ保管の上、印刷事業者に媒体を提供し、印刷事業者にて印刷する。
④印刷事業者にて印刷(NW経由):印刷事業者の環境からガバメントクラウドにアクセスし、直接データをダウンロードして印刷する。
また、想定される課題をもとに対応策案として4つの方針が示されています。
a. データ圧縮・最適化
b. 帯域増加
c. データ・通信の暗号化
d. アクセス制御の実装
外部業者へのアウトソーシングを検討している場合、4つの方式のどれに該当するのか、また、4つの対応策の実現方法を確認すると良いでしょう。特にc,dが重要です。
印刷事業者アクセス用の回線は閉域網を用い、暗号化によって転送データを保護する。
蓄積データはS3にて暗号化し、暗号化鍵は団体ごとに管理する。
既存環境内の蓄積データ・伝送データは標準非機能要件に則り継続して暗号化を行う。
印刷事業者接続用のアカウントに印刷用のS3バケットを作成し、印刷事業者がアクセスするデータを本番アカウント内のリソース及び他団体のリソースと分離する。
印刷事業者拠点の専用端末からS3へのアクセスについて、ネットワークACL・Security Groupにて送信元のIPアドレス・ポート番号を特定した通信を行う。S3に特定のVPCエンドポイントからの接続を許可するバケットポリシーを設定し、接続元を制限する。
データ取得用のインスタンスは必要な時のみ稼働しコストを抑制する。利用するプロトコルによってはTransfer Family等の利用も検討できる。
欄外には、印刷事業者についても、地方公共団体のセキュリティポリシーガイドラインを確認し、印刷事業者拠点にて以下に代表する必要な対策を求めている点も注意が必要です。
データ送受信はインターネットに接続されていない専用の端末にて実施する
IPアドレス・ポート番号を特定し、接続先を限定した接続を行う
上記のようなセキュリティ遵守の状況について、委託先管理の徹底を行う
さて、今回の設問ですが、「④印刷事業者にて印刷(NW経由)」がテーマになっています。構成図のうち関係のないところを網掛けにしてみました。
先述のポイントと構成図を念頭に置きながら、個々の選択肢を確認してみましょう。
Aは正しい選択肢です。「印刷事業者拠点からの接続(NW経由)」の場合、印刷事業者接続用の専用AWSアカウントを用意し、そこにS3バケットを構築します。各業務システムはそのS3バケットに印刷データを格納して、データの授受を行います。
Bは誤った選択肢です。「印刷事業者拠点からの接続(NW経由)」の場合、本番アカウント内の環境から直接データをダウンロードすることは避けるべきです。代わりに、選択肢Aの通り、団体専用のS3バケットを介してデータを受け渡しする必要があります。
ただし、「データセンター経由」の構成の場合は認められている方式です。
Cは正しい選択肢です。S3の暗号化において、団体ごとに異なる暗号鍵を使用することを求められています。
Dは正しい選択肢です。印刷事業者拠点内では、データ送受信用の専用端末を用意し、インターネットに接続しないことが求められています。これはデータセンターも同様です。
運用管理補助委託契約以外の関係にある業者に外部委託を依頼するようなケースでは、各種事業者にて必要なセキュリティ対策が確実に実行されるよう、契約書や覚書等にて合意形成を行っておくとよいでしょう。
冒頭のセキュリティ事故の件でも、ネットワーク分割はきちんとおこなえていたようですが、データ持ち出し等の運用が一部不適切であったことで被害が大きくなっているように見受けられます。
【参考文書1】
ガバメントクラウド推奨構成(AWS編) 令和6年5月22日作成
2-6. 大量帳票印刷機能に係る構成例
https://www.digital.go.jp/news/ZYzU5DYY/
【参考文書2】
「地方公共団体における情報セキュリティポリシーに関するガイドライン」(令和5年3月28日改定)
https://www.soumu.go.jp/main_sosiki/kenkyu/chiho_security_r03/index.html
第11問
続いては、ガバメントクラウド個別領域(自治体に払い出された環境)へのデジタル庁の例外的アクセスに関する設問です。
正解は、Cの「デジタル庁は、取得及び保管する情報を機密性を確保すべき情報として取り扱い、厳格に管理し、アクセスの有無等についてのレポートを地方公共団体に定期的に提供する。」です。
認定試験企画としては初めての「ガバメントクラウドの利用について(第2.1版)」からの出題です。
まずこの企画参加者ならご存じのはずですが、念のための確認として、デジタル庁と地方公共団体の間では「ガバメントクラウド利用権付与・運用管理委託契約」が締結されると、地方公共団体には「ガバメントクラウド個別領域」の利用権限が与えられます。
そしてこの環境については、
と定義されており(読みやすくするために改行を入れました)、基本的には必要がない限りはデジタル庁は地方公共団体に払い出したガバメントクラウド環境にはアクセスしないとしています。
「必要があればアクセスするんかい!」と一部でツッコミを受けたこともあり(かどうかはわかりませんが)、第4章でその詳細が記載されています。
ガバメントクラウドへの安全性についての不安の声があるなか、デジタル庁も真摯にどのようなケースで例外的なアクセスがありえるのかを明示しようとしている姿勢はすばらしいでしょう。しかし、「開発できるまでは実現しない、もしくは手動での処理となる」という表記は少し気になります。
これらをすべて覚えておく必要は全くありませんが、当該文書にこのような記載がある点は認識しておく必要があります。また、どのような内容が記載されているかは一度読んでおく方がよいとおもいますので出題してみました。
というわけで、個々の選択肢について確認しましょう。
選択肢Aは誤りです。デジタル庁は、メタデータを含む一部の情報を取得及び「保管」します。ただし、これらの情報は機密性を確保すべき情報として取り扱われます。
選択肢Bは誤りです。デジタル庁は確かに取得した情報を機密性を確保すべき情報として取り扱い、厳格に管理しますが、透明性確保のために第三者からの監査も受けると宣言をしています。
選択肢Cは正解です。デジタル庁は、取得及び保管する情報を機密性を確保すべき情報として取り扱い、厳格に管理します。さらに、アクセスの有無、アクセスに関する設定変更の有無についてのレポートを地方公共団体に必要に応じて定期的に提供し、これらの運用に関して第三者からの監査を受けます。
選択肢Dは誤りです。デジタル庁は取得した情報を機密性を確保すべき情報として取り扱います。また、地方公共団体からの要請があった場合にのみではなく、必要に応じて定期的にレポートを提供します。
デジタル庁が全体管理をする以上は上位権限を保有していることになり、機密性の高い情報の取り扱いについて厳格なポリシーをもって対応すると表明しています。今後、サービス終了になるそのときまで適切に運用されることを願います。
すでにガバメントクラウド上で本番運用を始めている自治体もあるとおもいますので、第三者監査などの詳細についても早期の提示を期待したいですね。
【参考文書1】
ガバメントクラウドの利用について(第2.1版)
4.ガバメントクラウド共同利用方式における責任分界
4.1 システム管理上の責任分界
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/c58162cb-92e5-4a43-9ad5-095b7c45100c/a3f24ea9/20240705_policies_local_governments_outline_04.pdf
第12問
続いては「非機能要件の標準」の「暗号化要件」からの出題です。単純に達成レベルを問う問題なので、ラッキー問題でしょうか。
正解は、「C. すべてのデータを暗号化(レベル3)」です。
「標準非機能要件」はガバメントクラウド先行事業の結果を受けて、1.1版に拡充がなされています。その内容は「地方公共団体情報システム非機能要件の標準【第1.1版】(概要)」のなかで紹介されています。
その中でも厄介なのが暗号化要件です。第1版では「認証情報のみ暗号化(レベル1)」とされていましたが、第1.1版では「すべてのデータを暗号化(レベル3)」に格上げされてしまいました。
もし非機能要件を2022年8月より以前に策定している場合は、見直しが必要です。
また、補足として
本項番の「暗号化」は「ハッシュ化」等も含む。
ガバメントクラウド及びISMAPクラウドサービスリストに登録されているクラウドサービスについては、ISMAPの認証の過程で通信のセキュリティ対策の実施を確認しているため、クラウドサービス内の伝送データの暗号化は必須ではない。
暗号化方式等は、国における評価の結果をまとめた「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」を勘案して決定する。(CRYPTREC暗号リスト: http://www.cryptrec.go.jp/list.html )。
と併記されています。ALBまではHTTPSで受けて、HTTPにリダイレクトすることも問題はないようです。
ただし、ガバメントクラウド技術マニュアルのセキュリティ(共通編)の章では、
HTTP、FTPなどの暗号化されていない通信では盗聴、改ざんのリスクがあるため、使用しない。
VPC外部との通信は閉域網であってもHTTPS、SFTPなどの暗号化された通信に限定する。
VPC内部の通信も暗号化を推奨する。
ストレージに保存されるデータのうち、機密性の高いものに関しては、暗号化を行う。
と少し異なる表現がされています。具体的にはVPCをまたぐ場合は暗号化を求めており、同一VPC内でも暗号化を推奨しています。蓄積データも非機能要件標準は「すべてのデータを暗号化」ですが、技術マニュアルでは機密性の高いもののみでよいようです(機密性の高さの定義はされていません)。
このタイミングでこの要件を議論している自治体はあまりないとおもいますが、もしまだ整理が十分にされていない場合は、庁内とガバメントクラウド間での通信プロトコルを洗い出し、暗号化可否を確認しましょう。HTTPSやSFTPなど一般的なものはよいのですが、プリンタ(サーバサイドで印刷する場合)や外字配信など、製品によってはどうしても暗号化できないものも一部残ると思われます。代替製品を検討するのであれば、早めに着手しないと間に合わなくなります。この要件にどう対応するのか、方針を早期に確定しましょう。
個人的な見解ですが、この要件はすべての通信プロトコルを厳密に暗号化せよと求めているのか、Webシステム等で一般的な通信プロトコルに限っているのか、定義がありませんので、どこまで厳密にみるかは解釈次第ともいえます。
4か月ほど前にX上でも本要件について言及したことがありますので参考に載せておきます。
【参考文書1】
地方公共団体情報システム非機能要件の標準【第1.1版】
E.6.1.1 伝送データの暗号化https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/c58162cb-92e5-4a43-9ad5-095b7c45100c/4eded239/20220831_local_governments_05.pdf
第13問
こちらは実はガバメントクラウド関連文書群からの出題ではありませんが、頻繁に問い合わせを受けるOffice製品の利用に関する設問です。ライセンス違反にならないように注意して対応しましょう。
なお、誤りのないように努めて記載はしていますが、ライセンスに関する正式な判断が必要になる場合は必ずMicrosoft社様あるいはリセラー各社、CSP各社に問い合わせをお願いします。条件は変更になる可能性がありますし、製品や契約によっても適切な判断が異なる場合があります。
正解は、Bの「WorkSpaces with Office を利用する」です。
AWS上でOffice製品を使うのはかなり大変ですし、コストがかかります。なるべくOffice製品に依存したアプリケーション開発は避けましょう、というのが大前提ではありますが、すべてのアプリケーションでそれを満たせないケースも十分に考えられます。
大きく二つの選択肢が考えられます。ひとつはAmazon WorkSpacesの活用、もうひとつはOffice付きAMIを使う方法です。前者のほうが比較的手順はシンプルですが、EC2上での動作が必須である場合は後者を選ばざるを得ないでしょう。
Amazon WorkSpacesはアプリケーションバンドルとして「Microsoft Office Professional Plus 2016」「Microsoft Office Professional Plus 2019」「Microsoft Office LTSC Professional Plus 2021」などを選択可能です。また、2023年8月からはMicrosoft365 Apps for EnterpriseのBYOLも可能になりました。サポート期間を考慮してサーバOSとOfficeバージョンを選定してください。
先日発表されたAmazon WorkSpaces Poolsでは「WorkSpaces アプリケーションバンドル」は提供されません(Microsoft 365 Apps for Enterpriseは可能)ので注意してください。
なお、Microsoft365 Appsは30日に1回、ライセンス認証のためのインターネット接続が必要です。「地方公共団体における情報セキュリティポリシーガイドライン」上でもクラウドにおいては一定の条件のもとソフトウェアアクティベーションのためのインターネット接続は認められていますので、もし活用する場合はライセンス認証できるような構成設計を検討しましょう。
EC2にOfficeをセットアップする手順は複雑なのでここでは省略しますが、必要な方はAWSさんの技術ブログなどを参照してみてください。
最後に、個々の選択肢に対する説明です。
A: 不正解です。Office製品にライセンスモビリティが付与された製品は提供されていません。
C: 不正解です。こちらは現在は有効な施策ではありますが、2025年9月30日までの期限付きです。長期的な利用は望めません。
D: 不正解です。Office製品はリテール版・ボリュームライセンス版・サブスクリプション版のいずれも、購入者が保有するハードウェアでのみ利用が認められており、クラウド環境への持ち込みはできません。
ライセンスモビリティが提供されている製品はSQL ServerやRDS SAL等です。SA権付きの製品を購入する必要がありますので注意してください。3年程度で期限が切れるので、4年目以降も利用する場合は追加購入が必要です。
【参考文書】クラメソさんの良記事
傾向
では最後に正答率を見ていきましょう。
祝日(7/15)の朝9時前後に投稿して、23時で締めました。13~14時間ほどの投票期間がありました。11と#13は鬼門といいますか、ちょっと難しすぎたかもしれません。
設問ごとの状況は次の通りです。
第10問
ガバメントクラウド推奨構成より、大量帳票印刷に関する設問。
正解(誤った選択肢)はBで、Bが多数派でした。正答率は60.5%と高めですね。
解説にも記載した通り、データセンター経由の場合はBも認められています。「データセンター経由」の定義もあいまいですが、印刷事業者が運用管理補助者を兼務するようなケースであれば問題なく②のデータセンター経由と名乗ってもよいかとおもいます。
第11問
こちらは「ガバメントクラウドの利用について」からの出題ですね。第2.1版がちょうど前の週に出ていましたので新しい内容から選びました。
正解はCでしたが、回答はかなり割れました。正答率は28.1%で難問でした。
これは特に記憶すべき内容ではないのですが、ガバクラの安全性に不安の声をあげる方も一定数いますので、ご紹介がてら出題させていただきました。ちなみに、内部監査ではなく、第三者監査を行いますので、Bは誤りです。
第12問
非機能要件の標準に関する設問です。
正解はCで、Cが多数派でした。正答率は76.3%でした。
暗号化要件の件は散々いろんなところで触れられていますので、こちらはラッキー問題ですね。過去イチの正答率でした。
第13問
Office製品の利用に関する設問です。
正解はBで、Bが多数派ではありましたが、かなりこちらも割れました。正答率は26.6%でした。Cは半分正解なのですが、長期利用を前提とすると望ましい回答ではありません。
自治体システムはOffice製品を利用するものもかなり見かけますし、ライセンス違反となると賠償請求のリスクもありますので注意しましょう。できればもう少しマイクロソフト様にはライセンス面の条件を緩和してほしいものです。
おわりに
第3弾では、「ガバメントクラウド推奨構成」から大量帳票印刷について、「ガバメントクラウドの利用について」からデジタル庁の例外的なアクセスについて、「非機能要件標準」からは暗号化要件について、また、AWSにおけるOffice製品のライセンス上の注意事項についての計4問を出題しました。
ガバクラ認定試験はあくまでも架空の試験問題ですが、今後の自治体システムの標準化・ガバメントクラウド移行に対する理解が深まり、実際の業務で何か役に立つことを願っています。
なお、冒頭・途中にも記載した通り、実際の業務で活用される場合は、必ず最新の公式資料をご確認いただきますようお願いいたします。標準仕様書やガバメントクラウド関連文書群は随時更新されています。また、回答や解説は筆者本人の見解に基づいて記載されており、国の公式の回答ではありません。事業者・担当者によっても解釈が分かれる可能性がありますので、内容の取扱いには注意してください。
【第13問について】
繰り返しになりますが、ライセンスに関する正式な判断が必要になる場合は必ずMicrosoft社様あるいはリセラー各社、CSP各社に問い合わせをお願いします。見直しも度々おこなわれますので、あくまで参考程度の情報として、最新の公式情報を参照するよう改めて注意喚起させていただきます。
【コメント等】
何かこちらの記事について気になる点やアイデアがあれば、Querie.meでコメントいただければとおもいます。XにメンションやDMいただいてもかまいません。
この記事が気に入ったらサポートをしてみませんか?