米国連邦政府におけるクラウド戦略 - クラウドシフトを支える組織と法令
さて、米国連邦政府のクラウド戦略その3である。その1とその2はこちらからどうぞ。今回は、米国の連邦政府という組織と法令という観点からクラウド戦略を見ていきたいと思う。これらはエンジニアからすると周辺的なことと思われるかもしれないが、実際にクラウドを活用していくには欠かすことのできない観点である。
それでは初めにまずは組織の観点から見ていこう。
クラウドシフトを支える組織
エンジニアの直接雇用と内製文化
連邦政府はよく知られているように多くのエンジニアを直接雇用しており、伝統的に内製による開発を行ってきた。連邦政府が雇用しているITエンジニアの人数は8万人弱という大所帯である(ソースはこちら)。デカければいいというものではないにしろ、純粋に物量で負けていることが分かる。
(軍が)すごくおっきいの・・・。
軍関係が上位に来るのは、予算の多さからも納得できる(国防総省はIT予算の半分を消費する化け物官庁である)。また、凄いのは数だけではない。連邦政府のエンジニアの60%以上が年収9万ドル(1350万円)を超えている。ITエンジニアは高給な方なので、もっと高くなると思われる。これくらいの高給を出さないと優秀な人材はシリコンバレーのテック企業に持っていかれてしまうのである。逆に言うと、それくらいのリソースを抱えて初めて内製が回るのである。日本の場合どうだろうか。デジタル庁だけで解決する問題とは、筆者には思えない。
責任主体としての政府 - 頭を下げるのは誰か
この豊富な人的リソースを背景として、米国政府は伝統的にシステム開発において主体的な役割を担ってきた。システムの品質を最終的に担保するのは政府だという役割分担なのである。これはいわゆる「丸投げ」と呼ばれる日本型のSIerおんぶにだっこ型の開発とは対極にある。
この主体性は、クラウドシフトにおいても変わらない。連邦政府のCIOが2019年に公表したクラウド戦略についての文書「FEDERAL CLOUD COMPUTING STRATEGY」では、政府とクラウドベンダの責任分界について以下のように述べられている。少し長いが重要な文章なので読んでもらいたい。
Second, heads of executive agencies are accountable for managing the risk to their enterprises, and that responsibility remains with the agency head even with respect to contractor-operated systems. An important element of acquiring cloud services is clarity in what services a cloud provider performs and at what level. Therefore, to facilitate effective risk management by way of their relationships with commercial cloud service providers, agencies should granularly articulate roles and responsibilities, establish clear performance metrics, and implement remediation plans for non-compliance. Such governance, architecture, and operational clarity would help 'ensure that services are performed as intended, and, when paired with the right SLA language, would offer agencies a way to mitigate risk while optimizing the performance and efficiency of their newly procured cloud-based solution.
第二に、行政機関の長は、企業のリスクを管理する責任があり、その責任は、請負業者が運用するシステムに関しても、行政機関の長が負う。クラウドサービスを利用する際の重要な要素は、CSPがどのようなサービスをどのようなレベルで提供するのかを明確にすることである。したがって、CSPとの関係を通じた効果的なリスク管理を促進するために、政府機関は、役割と責任を明確にし、明確なパフォーマンス指標を確立し、コンプライアンス違反の是正計画を実施すべきである。このようなガバナンス、アーキテクチャ、運用の明確化は、サービスが意図したとおりに実行されることを保証するのに役立ち、適切なSLAの文言と組み合わせることで、新たに調達したクラウドベースのソリューションのパフォーマンスと効率を最適化しながらリスクを軽減する方法を機関に提供することになる。
「請負業者が運用するシステム」とは要するにクラウドサービスのことである。はっきりと、システムに関する最終責任は連邦政府の側にあると宣言しているのが分かると思う。「ベンダやSIerを殴ってりゃいいと思うなよ」とCIO自ら釘を刺している格好だ。さて、日本政府はここまで言い切るほど腹をくくれるだろうか。
また、この役割分担から必然的に導きだされるのだが、米国では連邦政府が自ら要件調整をクラウドベンダと行う。SIerの役割は比較的小さく、MSPというサービスプロバイダ化が進んでいる(これについては以前書いたSIerの役割についてのエントリを参照してほしい)。それだけのリテラシのある人材がいるということは、前掲のエンジニアの人数を見ても容易に想像がつくだろう。日本では、現実的にSIerの仲介が入らざるをえないと思われるが、その場合やはり最終責任を負うのは政府ではなくなるだろう。
GAO - 議会の番犬
次に、クラウドとは一見無関係に見えるGAO(Government Accountability Office:会計検査院)という組織を取り上げようと思う。それは、この組織が連邦政府にとってPDCAサイクルを回すうえでカギとなる「C(Check)」の部分を担うからだ。GAOは通称「Congress Watchdog(議会の番犬)」とか「納税者のベストフレンド」と呼ばれている。連邦政府の各機関が行った施策の成否やコストパフォーマンスを計測し、議会に対して説明することを専門的に行う部局であり、中立性の観点から立法府に所属し、職員3000人を擁する巨大組織である。GAOが年間公表するレポートは900本に昇る。個人的には番犬というより狂犬と呼んだ方がいいのではないかと思う。そのくらいあちこちの機関に嚙みついて鋭く批判するのだ。この一連のエントリその1で見たレポートも、GAOの手によるものである。
もしすべての組織が無惨様のように失敗も間違いも絶対にしないのであれば、GAOのような振り返り専門組織は必要ない。しかし往々にして現実の組織は調査兵団だったりする。「成果が得られなかった」ことを失敗ではなく、「うまくいかない方法を一つ見つけた」成果だと考え、改善に繋げる仕組みを制度化しているのが米国型組織の強さの秘密であろう。
日本では官僚には無謬主義という信念があることが知られている。政策を立案・遂行する際に間違えることなど考えてはならないという信念のことだ。しかし米国では、「人間は間違えるもの」という根本的な人間理解を前提にして組織が作られているのだ(だからソフトウェアがバグだらけでも許容される)。
なお、筆者は個人的にこのGAOという組織の大ファンである。この組織があるおかげで一介の外国人のエンジニアに過ぎない自分でも、連邦政府のIT政策の核心に触れることができる。本当にこんな赤裸々な情報をインターネット上で公開してしまって大丈夫なのだろうかと心配になってしまうのだが、米国人の情報公開にかける情熱には何か宗教的とでもいうような熱意を感じるところがある。日本にも会計検査院はあるが、米国ほど痛烈なレポートはしていないという印象だ。
先生、どこにも書いてありません!
第二に法令遵守(コンプライアンス)の観点からクラウドシフトを見ていきたい。クラウドという新しい形態に対応するには現行の法律体系では不十分なことが多く、連邦政府も手探りの状態というのが実情だ。
従量制に法的根拠はあるか?
連邦政府におけるクラウドの調達は、以下の二つの契約形態を使って行われている。
FFP(Firm-Fixed Price)
固定額による契約。IaaSにおけるリザーブドインスタンスやSaaSのサブスクリプション購入で利用される。連邦政府の調達において最も伝統的かつ一般的に利用される手段である。コストの予測性は高いが、動的なリソース・コスト制御というクラウドのメリットは享受できない。Time & Material
時間単位の単金に対する稼働量をベースに請求額が決まる契約形態。従来、連邦政府の調達規約(FAR)ではT&Mは人的サービスに対してのみ定義されていたが、FAR 1.102(d)の規程「明示的な禁止がなければ許容される」を根拠にクラウドサービスのPAYGモデル(従量制)の購入に適用されている。
1番は特に問題はない。問題は2番である。T&Mは日本でもコンサルティング契約などで一般的に利用される契約形態なので皆さんにもなじみ深いと思う。ただ、問題はこれが果たしてクラウドの調達に利用してよいかどうか、条文を読んでも書いていないことである。クラウドの登場前に定められたのだから仕方がない。しかしここで引き下がらないのが米国人である。米国では「書いてないならやっていい」という法律解釈をすることが珍しくない。今回もその伝統に則ってT&Mをクラウド調達に利用している。もし今後、裁判が起きてこの調達方法が違法だということが明示されたら、この手段は使えなくなる。その点で危うさを孕んでいる手段である。
また、一部の政府機関ではT&Mが全面的に禁止されており、PAYGモデルを利用する場合もFFPを利用せざるをえない、連邦政府がサービスを購入する場合、 1年単位での予算消化が義務付けられており、会計年度をまたいで予算を持ち越すことが出来ない、といった問題も指摘されている。
データは誰のものか
クラウドは、私たちの生活の隅々までいきわたっているのでそれがあって当然のようなサービスに見えているが、道路や水道のような一般的なインフラと違って政府が何の保証をしているものではない。一私企業の提供するサービスである。そのため、データの所有権、変更よび削除を行う権利が保障されるかという点を契約に明記しておくことが重要となる。政府クラウドともなれば国民の情報を数多く扱うのだから、これは一企業がクラウドを使うよりはるかに重要な観点である。従来、連邦政府が自らホストするオンプレミス環境を選択してきた理由の一つが、データ所有権にあり、クラウド利用において懸念されるポイントになっている。所有権、変更権、削除権、CSPによる利用可否を契約書に明記することが推奨されている。
また、以下のようなガバナンスの体制構築が追い付いていない点も指摘されている。
T&Mを採用している場合、誰がバーンレートを監視し、資金追加の必要性を判断するか。
チャージバック・インセンティブのためのクラウド利用率のレポートを評価する責任は誰にあるか。
クラウドサービスのプロビジョニングを行う権限は誰が持つか。
クラウドベンダに対する支払いを調整する窓口はどこか。
この辺りは日本でも同様に問題になる箇所であろう。特にAIの学習に大量のデータが必要になる現在、こうした学習データに国民のデータが使われるのではないかという懸念は多くの人が持つと思う。今後問題として浮上してくる可能性が高い観点である。
クラウドシフトをサポートするイニシアチブ - FERMI
連邦政府はデジタル・ガバメント構想を進めており、クラウドシフトも大きく見ればその一環と言える。なのでそれ以外にも関連する施策がいくつかある。たとえば、NARA(米国国立公文書館)はFERMI (Federal Electronic Records Modernization Initiative)というデータ電子化イニシアティブを進めている。ロードマップは以下のようになっている:
2016 - すべてのe-mailを電子フォーマットで管理する。
2019 - すべての永続的データを電子フォーマットで管理する。
2022 - 連邦政府機関はすべての一時的・永続的データを電子フォーマットで管理する。
日本ではハンコ行政と呼ばれるように今でも紙主体の業務プロセスになっているが、米国ではもう原則電子データですべての行政業務が行われるようになっているのである。こうしたイニシアティブと、諜報や医療に関するデータ爆発が組み合わさることで、連邦政府が扱う電子データ量は爆発的増加を見せており、クラウドの持つ高いスケーラビリティが適合している。ビッグデータ分析のBig Data Research and Development Initiativeといった取り組みも、デジタルガバメント構想の下で並行して進められている。
さて、今回は組織と法令という観点で連邦政府のクラウドシフトを見てみた。正直エンジニアの数など米国ならではの物量作戦の部分は日本には逆立ちしても真似できないところもあるのだが、本気で内製やるならこれくらいの覚悟が必要ということである(その米国ですら必ずしもうまくいっていないということは、その1で見たとおりである)。
以上、全三回にわたる米国クラウド戦略についての概観は終わりである。長々とお付き合いいただき感謝する。日本の公共IT政策を考える人々にとって何かしらのヒントになれば幸いである。
あと最後にしょうもない連邦政府トリビアを一つ。ペンタゴンではまだWindows 95が現役で動いている。
GAOが怒るわけである。
この記事が気に入ったらサポートをしてみませんか?