クラウドを利用しろ！進め方がわからない時の検討手順を解説

プロジェクトファシリテーターのじゅんです。

大規模システムの導入や既存システムのクラウド以降プロジェクトに参画してきた経験からどのようなステップでクラウド選定すればよいかをまとめます。
今回紹介するステップは、政府情報システムにおけるクラウド サービスの利用に係る基本方針を参考にしながらまとめています。

https://cio.go.jp/sites/default/files/uploads/documents/cloud_%20policy.pdf

自社に合わせて必要な検討項目は増やす必要がありますが、まったく進め方がわからない場合は、今回紹介する流れとポイントを押さえながら進めてみてはいかがでしょうか

スポンサーリンク

クラウドバイデフォルト！クラウドサービスの利用を第1候補として考えよ！

インターネットは危険、クラウドは危険と反射的に考えていませんか？
自社でシステムを保有し、社内で厳重に情報を管理するという考えで、業務に影響しない重要でない情報のみをクラウドで管理しようという考えを持ってはいませんか？

クラウドバイデフォルト（Cloud by default）：クラウドサービスの利用を第1候補として考えよ！という表現からわかるように、まずはクラウドで管理できないか？という発想になる必要があります。

クラウドは危険と反射的に考えるのではなく、クラウドサービスを提供する事業者を選定し、安全でサービスレベルが安定しているところを選んで利用するという考えに変えていかなければなりません。

日本の政府情報システムのクラウド利用方針がクラウドバイデフォルトとなっているので、積極的にクラウド利用をすすめてよいと考えます。

具体的なステップ：クラウドサービスの利用検討プロセス

自社のシステムをクラウドに移行する場合、もしくは、新しいシステムを自社に導入する場合に具体的にどのように検討を進めていけばよいかを紹介します。基本的には以下のステップで検討します。

STEP0．検討準備｜自社を把握する

STEP1．SaaS(パブリッククラウド)で対応できないかを考える

STEP2．SaaS(プライベートクラウド)で対応できないかを考える

STEP3．IaaS/PaaS（パブリッククラウド）で対応できないかを考える

STEP4．IaaS/PaaS（プライベートクラウド）で対応できないかを考える

STEP5．オンプレミスでやるしかない！

STEP0．検討準備｜自社を把握する

クラウドを利用するしない以前に自社の把握をまず行いましょう。
特定の中核メンバが把握しているからOKではなく、サービス・業務・情報などを可能な限り可視化しましょう。

先日参加したDELLのセッションにおいてもDXレポートの話の中で、自社の業務とシステムを把握することは基本であると話されています。

可視化するサービス・業務・情報

業務の基本属性

(1) 主なサービス利用者（お客様が利用、社内スタッフが利用）及びその利用者の詳細
(2) インターネット利用を前提とした業務か否か
(3) サービスの種別（特定の業務か、コミュニケーション系か）等
(4) 他のサービスやシステムとの連携

必要なサービスレベル

(1) サービス提供時間
(2) 障害発生時の復旧許容時間
(3) 災害対策の要否等

サービス・業務の定常性

(1) 定常的なサービス・業務か、試行的又は一時的なサービス・業務かコスト・条件等を総合的に検討して評価する

業務量

(1) 業務処理量の総量、単位時間当たりの処理量の予測
(2) 業務処理量の変動（増加・減少、ピーク特性等）予測

取り扱う情報

(1) 社内の情報セキュリティポリシー等に基づいた情報の格付け（機密性、完全性、可用性）、取扱制限

業務系・コミュニケーション系って？

コミュニケーション系のシステム

社内外と連絡を取ったり、情報を共有したりする仕事内容をコミュニケーション系と呼びます。
情報システムにおいては以下のようなシステムが例としてあげられます。

メール
チャット
ファイル保管（ワード、エクセル、パワーポイント、画像、動画、音声など）
音声通話（電話）・ビデオ通話
リモート会議システム（PCの画面共有をしながらビデオ通話などの打ち合わせができる）

業務系のシステム

経理部の決算書作成
人事部の従業員管理
営業部の顧客管理
製造部の製品管理など
特定の業務領域に特化した仕事内容を業務系とよびます。

情報システムにおいては以下のようなシステムが例としてあげられます。

在庫管理
財務会計
災害時の安否確認システム
職員の業務管理システム
職員及び外部委託先等のプロジェクト管理システム等

可視化したサービス・業務・情報を見直すことも行いましょう

可視化した内容を見直す作業も実施しましょう。
創業当初から同じフローで運用している業務などは非効率になっている場合があるのでプロセスの統廃合をして簡略化できるところはしておきましょう。
また、コミュニケーションに関しては電話が必須になっているという業務フローでも電話じゃなければいけないのか？という視点で見直すことも必要です。
対象の業務はチャットツールやメールが無いときに作られたプロセスが当たり前のように習慣化している場合は「そうでなくてはならない！」と頭が固くなりがちですが、「急ぎでない連絡や情報共有などはチャットに置き換えられるのでは？」と柔軟に考えるようにしましょう。

STEP1．SaaS(パブリッククラウド)で対応できないかを考える

検討準備で整理されたサービス・業務・情報に関してまずはSaaSで置き換えられないかを考えましょう。

SaaSに置き換える際の自社での利用方針とクラウドサービス利用時のチェックポイントは大きく3つの観点で検討します。

１．クラウドサービス選定時のチェックポイント
２．情報セキュリティ関する方針とサービスのチェックポイント
３．クラウドサービスの利用方針とチェックポイント

１．クラウドサービス選定時のチェックポイント

(1)クラウドサービスの選定基準

■コミュニケーション系のクラウドサービス

・十分な稼働実績がある

・以下のような内容に積極的かつ継続的な投資が行われている
　　運用の自動化
　　サービスの高度化
　　情報セキュリティの強化
　　新機能の追加等

・サービス終了のリスクが低い

■IaaS/PaaS をインフラ部分として構築された業務系のSaaS

インフラ部分において、
コミュニケーション系のクラウドサービスと同等の投資が行われていることが望ましい。

(2) 政府機関の情報セキュリティ対策のための統一基準に定める「クラウドサービス利用に関する遵守事項」を満たすクラウドサービス

「政府機関等の情報セキュリティ対策のための統一基準群（平成30年度版）」について
政府機関等の対策基準策定のためのガイドライン（平成30年度版）
4.1.4 クラウドサービスの利用

https://www.nisc.go.jp/active/general/kijun30.html

(3) 第三者による認証もしくは監査報告がある

ISO/IEC27017、CSゴールドマーク、AICPA SOC2等があることを確認する

1) 認証制度

(1) ISO/IEC 27017 による認証取得

https://isms.jp/isms-cls/lst/ind/index.html

(2) JASA クラウドセキュリティ推進協議会 CS ゴールドマーク

http://jcispa.jasa.jp/cs_mark_co/cs_gold_mark_co/

(3) 米国 FedRAMP

https://marketplace.fedramp.gov/#/products?status=Compliant

2) 監査フレームワーク
AICPA SOC2（日本公認会計士協会 IT7 号）
AICPA SOC3（SysTrust/WebTrsuts）（日本公認会計士協会 IT2 号）

(4) バックアップ環境や災害対策環境が、データ同期やバックアップへの切換も含め、標準サービスとして提供されているか

２．情報セキュリティ関する方針とサービスのチェックポイント

(1) 社内の情報取り扱いポリシーにそってクラウドサービスを利用する

政府情報システムでは以下のように設定している。
特定秘密及び行政文書の管理に関するガイドラインに掲げる秘密文書中極秘文書に該当する情報をパブリック・クラウド上で扱わないものとする。

(2) クラウドセキュリティ認証等の認証基準、監査フレームワークの監査 報告書の活用や個別の調査等により、クラウドサービス提供者から提供されているサービスが統一基準を満たしていることを確認するものとする。

「政府機関等の情報セキュリティ対策のための統一基準群（平成30年度版）」について
政府機関等の対策基準策定のためのガイドライン（平成30年度版）
4.1.4 クラウドサービスの利用
https://www.nisc.go.jp/active/general/kijun30.html

(3) クラウドサービス利用時の伝送路は暗号化するものとする。

格納され るデータやデータベースについても、機微な情報については暗号化を行 うものとする。
データの暗号化に使用する鍵については、クラウドサー ビス提供者側よりも利用者側で管理することが望ましく、
選択可能な場 合は利用者側で鍵管理が可能な暗号機能を選ぶものとする。

３．クラウドサービスの利用方針とチェックポイント

(1) データバックアップは、クラウドサービスの全体的な災害や障害に備え、クラウドサービスの外部でも保管することが望ましい。

(2) 将来、他のクラウドサービスに移行可能となるように、データ移行の 手段を情報システムの要件定義当初から考慮しておくものとする。

(3) 情報システムの運用において管理に必要なログの種類とクラウドサービス上取得できるか否か、その際の利用料金等をあらかじめ確認しておくものとする。

政府情報システムの例

業務系のクラウドサービス

災害時の安否確認システム
職員の業務管理システム
職員及び外部委託先等のプロジェクト管理システム等

コミュニケーション系のクラウドサービス

メール・スケジュール管理等を中核とする統合コミュニケーションシステム
オンラインストレージ等

STEP２．SaaS(プライベートクラウド)で対応できないかを考える

STEP1で検討した内容に対して、SaaSのプライベートクラウドで対応できないかを検討しましょう。
取り扱う情報によってプライベートクラウドでもSaaSのサービスを提供している事業者もありますのでそちらを検討するというながれになります。

政府情報システムの例

府省共通又は府省内等に閉じて、
行政に特化した業務サービスを提供する情報システム（人事給与サービス、旅費システム等）
行政データを提供・共有する情報システム（職員認証サービス（ＧＩＭＡ）
各種ＡＰＩでのサービス提供）等を利用する情報システム

STEP3：IaaS/PaaS（パブリッククラウド）で対応できないかを考える

STEP2までの検討結果を踏まえて、以下の2点に当てはまる場合は、IaaS/PaaS（パブリック・クラウド）の検討に入ります。

・SaaS の利用が著しく困難
・経費面の優位性、その他利用メリットがない

IaaS/PaaSに置き換える際の自社での利用方針とクラウドサービス利用時のチェックポイントは大きく５つの観点で検討します。

１．クラウドサービス選定時のチェックポイント
２．情報セキュリティ関する方針とサービスのチェックポイント
３．クラウドサービスの利用方針とチェックポイント
４． システム移行のポイント
５．オンプレミス等と連携するシステム形態についての留意点

1) クラウドサービス選定時のチェックポイント

（１）SaaSの「１．クラウドサービス選定時のチェックポイント」をクリアし、クラウドセキュリティ認証等は必須

（２）バックアップ環境や災害対策環境が、標準サービスとして提供されているクラウドサービスのみを選定する

データの同期やバックアップへの切換の仕組みも含める

２．情報セキュリティ関する方針とサービスのチェックポイント

SaaSの「２．情報セキュリティ関する方針とサービスのチェックポイント」と同じ

(2)統一基準を満たすことを容易に確認できない場合には、任意機能の構築として、統一基準を満たす情報セキュリティ機能を利用者側で設計・実装する

３．クラウドサービスの利用方針とチェックポイント

SaaSの「３．クラウドサービスの利用方針とチェックポイント」の（２）と同様の取り扱いをする

SaaSの「３．クラウドサービスの利用方針とチェックポイント」
(2) 将来、他のクラウドサービスに移行可能となるように、データ移行の 手段を情報システムの要件定義当初から考慮しておくものとする。

(2)データバックアップは、複数及び外部保管を考える

データの完全性やデータリカバリのコストのバランスを踏まえ、同一クラウドサービスの内部で複数作成するものとする。

クラウドサービスの全体的な災害や障害に備え、クラウドサービスとは別に外部でも保管することが望ましい。

(3) 24 時間 365 日のサービス提供が必要不可欠である情報システムについてはサービスの冗長化を行う。

フェイルオーバー時の運用についてもあらかじめ準備を行っておくものとする。

4) システム移行のポイント

既存システムをクラウドサービスに移行させる際には、
クラウドに最適化されたアプリケーションとして改修した上で移行することが望ましい。

対象のシステムがレガシーシステムになっている場合で、改修も困難である場合には
VMwareの仕組みなどを活用して、丸ごとクラウドに移行することを考えてもよい。
いずれにしてもコスト面などを比較して検討することをお勧めします。

5) オンプレミス等と連携するシステム形態についての留意点

パブリック・クラウドを利用する際に、
オンプレミスやプライベート・クラウド上で運用する情報システムと
パブリック・クラウド上で運用する情報システムとを
連携させるシステム形態については、
情報システムの複雑性が増し、
結果として高コストとなること及び複雑性に起因する
情報セキュリティ対策の困難さが増すことに留意するものとする。

例えば、システム移行や既存システムとの連携等で当該形態とならざるを得ない場合や、
連携させるオンプレミスやプライベート・クラウドが
利用を検討しているパブリック・クラウドよりも明確に高い水準の情報セキュリティ対策を実装している場合は、
メリットとリスクを明確にした上で利用するものとする。

政府情報システムの例

ハードウェアのスペックや数量といったリソースの正確な初期見積もり（サイジング）が困難又は大きな変動が見込まれる情報システム
24 時間 365 日のサービス提供や災害対策が特に必要な情報システム
インターネットを介して国民や法人に直接サービス（ＡＰＩを含む）を提供する情報システム
最新技術を含めパブリック・クラウドの提供する技術・機能・サービス（運用管理、マイクロサービス、分析機能、ＡＩ等）の採用が基本となる情報システム

STEP4：IaaS/PaaS（プライベートクラウド）で対応できないかを考える

STEP3までの検討結果を踏まえて、以下の2点に当てはまる場合は、IaaS/PaaS（プライベートクラウド）の検討に入ります。

・IaaS/PaaS（パブリック・クラウド）の利用が著しく困難
・経費面の優位性、その他利用メリットがない

政府情報システムの例

当該政府情報システムが扱う情報の格付けや情報セキュリティポリシー等で
パブリック・クラウドの利用が明示的に禁じられている情報システム、
府省共通システム等、政府共通プラットフォームが提供する共通機能・共通サービスの利用が基本となる情報システム、

SaaS 利用で代替できない（独自システムの構築が必要な）小規模システム、
情報システムを担当する職員等の体制が不十分であり、
単独ではパブリック・クラウドの適切な利用が困難と想定される情報システム等が想定される。
なお、IaaS/PaaS（プライベート・クラウド）にはパブリック・クラウドのグループ利用も想定される。

STEP5：オンプレミスでやるしかない！

STEP1～４までの検討を行い、どのステップにも当てはまらないコミュニケーションや業務が残ってしまった場合は、オンプレミス環境での構築を検討するしかなくなります。
このステップまで残ってしまう内容というのはかなり限定的で相当な機密情報で外部とのネットワークを切断しているというレベルの内容であることも考えられます。

オンプレミス環境でシステム構築するメリットは、自社で柔軟に管理できるということがあります。
一方で、デメリットは、設備投資などの高いコストがかかることと、高い技術力が自社に必要になることです。

機密情報を扱うためにオンプレミス環境を選択したにもかかわらず、
構築技術が乏しいことでセキュリティが弱かったということになっては元も子もありません。

本日の提案｜情報システムを導入するときの検討手順

・クラウドバイデフォルト！クラウドサービスの利用を第1候補として考えよ！

・以下の順番で考えましょう

STEP0．検討準備
STEP1．SaaS(パブリッククラウド)で対応できないかを考える
STEP2．SaaS(プライベートクラウド)で対応できないかを考える
STEP3．IaaS/PaaS（パブリッククラウド）で対応できないかを考える
STEP4．IaaS/PaaS（プライベートクラウド）で対応できないかを考える
STEP5．オンプレミスでやるしかない！

投稿者プロフィール

じゅんプロジェクトファシリテーター

フリーランスのITコンサルタント として、CIO代行サービスで多くの企業をサポートしています。
企業のIT戦略 立案・実行支援を行い、
ITを活用した情報システム の導入・マネジメント支援しています。
IT利活用 に関して気軽な相談から経営に関わる支援まで幅広く受け付けています。

普段私が仕事をする時にお客様やプロジェクトチームの方々に実際に話している内容をたくさんの方々に届けます。

DX（デジタルトランスフォーメーション）が好きすぎるので「DX王子」と呼ばれています。

最新の投稿

この著者の記事一覧

• フリーランス2024年3月22日フリーランス年収1000万を目指すなら「誰の言葉か？」が重要
• 仕事術2024年3月19日なぜオンラインミーティングを録画するのか！？メリットしか無いからです！
• フリーランス2024年3月4日50歳以上のエンジニアに送る！あなたに仕事がない理由
• 仕事術2024年2月19日新年会や歓送迎会で人と差がつく下準備とは？