JALとPayPayは経済安全保障推進法における特定社会基盤事業者に指定されているのだが、それらの企業がAWSの単一AZ障害の影響を受けてしまったことは憂慮すべき。特にPayPayは2019年のAWS東京リージョン障害でも影響を受けていたのだが、その後も対策していなかったのか。
kokumin_a
kokumin_a
2,123 posts
kokumin_a’s posts
現デジタル庁幹部で以前AWS社員だった人物は特定できている。Chief Cloud Officerのこの人。デジタル庁に入った後も毎年のようにAWSのイベントに登壇している。
Quote
はちみつ(20)
@honeycomb_bnbn
国がパブクラ至上主義になったタイミングで、外資系クラウドベンダ出身者の人が上層部についたとかじゃないの。しらんけど
デジタル庁「ガバメントクラウドにおけるモダン化」方針の問題点
書きました。
デジタル庁はクラウドを使うことを目的にしないで欲しい。オンプレ=レガシーとは限らないし、多重下請もクラウドかオンプレかは関係ない。合理的な経営判断として枯れた技術を選んでいる企業、適切な技術選択により安く効果的に運用できているオンプレのシステムもある。
ガバメントクラウド上のデータは暗号化されているので安全であり米国クラウド法により開示を求められたとしてもデータが見られることはない、というデジタル庁や平大臣の説明について、AWSの鍵管理の仕組みをもとに反論してみる。
==
AWS KMSにおいてはFIPS
デジタル庁のガバメントクラウド班は相変わらずAWS関係者の巣窟だ。
digitalagency-career.connpass.com/event/326024/
最近(2023/10)に入庁したらしい元AWS社員もいて、デジタル庁の採用は偏りとか利害関係者との距離感とかいったことは一切気にしないようだ。
IPAはOracle Cloudの侵害及び漏えいについて注意喚起を発信すべきではないか。
デジタル庁も、ガバメントクラウドに採用されているサービスに関連するインシデントであるしこれが国内企業だったらすぐに紀尾井町に呼び出して説明を求めたと思うのだが、まだアクションを取っていないのだろうか。
デジタル庁にフリーランスのコンサルが入ってるのか。
「体調が安定しており病欠が少ない方」ってわざわざ入れるあたり切実な感じ。
freelance.techcareer.jp/projects/detai
csoonline.com/article/395364
・Oracleが(Oracle Cloudでの)データ侵害の発生を隠蔽したして集団訴訟が起こされている。
・Oracleは集団訴訟の数日後にセキュリティインシデントについて(静かに:一部の顧客に通知して)認めた。
平将明氏はデジタル通を自認しているみたいだけど,
どうも理解が浅い。web3に傾倒し、マルチステークホルダーと言いながら一部の事業者の営業トークを真に受けて政策を突っ走らせてしまう人な印象。
デジタル庁とAWSの関係やガバメントクラウドの技術要件に突っ込んだ記事が出てきた。
あまりに異常なデジタル庁、「日本企業追い出しルール」を突き付ける河野太郎大臣
ガバメントクラウドについて、デジタル副大臣がこの認識か。ガバクラ使ってもデータのアクセス権も管理も別だし別の自治体のデータを引っ張れたりはしないってだれか教えてあげて。
それができたら個人情報を一元管理する主体は存在はしないという説明に反するのでまずい。
facebook.com/reel/176516815
日本のクラウド政策について、半導体からCPUからすべてを国産にはできないのだから米国・AWSに依存したっていいじゃんという0か1かの問題にしようとする意見がよく出てくる。
河野大臣は「データの持ち方の具体的な部分は、これまでも競争領域としてそれぞれの事業者に委ねてきております」と言っているけれども、競争領域になっているのはシステムのデータベースの構造その他の実装方法であって、入出力に係るデータ要件は競争領域でなく仕様として規定されるべきもののはずだ
Quote
kokumin_a
@kokumin_a
本日の河野大臣記者会見から、自治体システム標準化関連について文字起こししてみた。
youtube.com/watch?v=HXsgKl
「デジタル庁には多くの民間出身職員に元アマゾン社員がいて、幅を利かせている。今回のガバメントクラウドの技術要件はアマゾンの提供するAWSに準拠したものだが、約8割は日本の自治体に必要のないものだ。この無意味な技術要件が、日本企業の参入を妨害しているのは間違いない。当然、コストも上がる
ガバメントクラウドについては、何よりデジタル庁が誤った情報を発信してそれを前提に政策を進め広げようとしていることがまずい。データはすべて国内に留まるとかBYOKでCSPからデータはアクセスできないとか米国からのデータアクセスは主権免除や事前通知で防げるいったことをデジタル庁や過去のデジ
デジタル庁はAWSの構成図を見てモダン化されているかを判断しているようだが、本当に見るべきは組織・文化やプロセスをどう変えるか。公共分野はそこが一番難しいはず。組織・文化やプロセスの変革を伴わないモダン化は価値を発揮しないし、特にマイクロサービス化はむしろ積極的に止めるべき。
・平大臣は日本企業はISMAP基準をクリアできないという誤解をしている。(ISMAPリストに登録されている国内事業者はたくさんある)
Quote
kokumin_a
@kokumin_a
生成AI使えば分量が多くてもそんなに大変ではないのではと思ったが、やっぱり結構大変だった。
読んでみるとやはり明らかにおかしい答弁、引っかかる答弁が結構ある。 x.com/kokumin_a/stat…
Show moreヨーロッパによる自業自得のクラウド危機
berthub.eu/articles/posts
染みるなあ。
==
> (米国の)既製コンポーネントからサービスを組み立てる場合、特定のプロバイダーに無期限に縛られることになります。そして、それは非常に高価でもあります。米国のクラウドは良いことばかりではありません。
>
【ガバメントクラウドに関わるデジタル庁職員が関連する事業を行う民間企業の 取締役を兼任していることについての国家公務員倫理法上の懸念について】
Quote
kokumin_a
@kokumin_a
「ガバメントクラウドにおけるSaaS(公共SaaS)に ついて(案)」の結果が出た。
私は21件の意見を提出してNo.16-32, 35, 36として回答が示されたが、2件の意見が結果に掲載されなかった。
public-comment.e-gov.go.jp/pcm/1040?CLASS
「影響なし」というタイトルは誤解を招くのでは。デジタル庁も「直接の被害はないとの認識だ」「ガバメントクラウドに影響がある分かった際にはCSPとの契約に基づいて対応」と話しており、間接的な被害は否定しておらず、今後影響が判明するかもしれないと言っていると思う。
茨城県知事記者会見(11/8)で自治体システム標準化についての発言。
>ランニングコスト、これが我々の試算だと4割も上がるわけですよ。(中略)あんたたちが言うからガバメントクラウドに移行するけれども、(中略)それを自腹で負担してくださいというのは、それはないでしょうと。
開示請求によりガバメントクラウドの利用実績調査の元ネタについての開示を受けたのだけれども(画像は開示資料をもとにグラフ化したもの)、デジタル庁はこの調査内容から「ガバメントクラウド技術要件の86.6%について国・地方で利用されている」と結論付けたようだが、資料を見る限りかなり印象は異
自治体システム標準化について、PMOツールで管理されている進捗データを開示請求し、令和6年9月版のデータについて総務省より開示を受けました。その資料をもとに1741の基礎自治体の進捗を可視化してみたのでここで共有します。
※「完了済み」に加えて「実施しない」「対象外」は達成とカウント
Quote
kokumin_a
@kokumin_a
着手しているだけで、あたかもそこまで達成しているかのように見せる自治体システム標準化の誤魔化し進捗。デジタル庁のこの手の数字の見せ方が本当に嫌い。ちなみに国が示すベンダー選定の「完了」目安はR6.3。 x.com/otohiromiyasuk…
渾身の提言だなあ。自治体システム標準化・ガバメントクラウドに現場の最前線で取り組み、得られた知見を広く発信しているまさに第一人者であり、多くの自治体、事業者、デジタル庁ともフラットにコミュニケーションを取ってきた高橋さんだからこそ説得力がある。
Quote
高橋 広和/Hirokazu TAKAHASHI
@techniczna
書いた!寝る!
紀尾井町と霞が関のシステム標準化事務に従事する中央省庁職員に伝えたい事|高橋 広和/Hirokazu TAKAHASHI @techniczna #note note.com/techniczna/n/n
このPDFを読んでいるところだけれども、パブリッククラウドやゼロトラストへの幻想をぶった切ってて面白すぎる。デジタル庁の思想とは正反対だ。デジタル庁クラウド班がどんな顔で読んでいたのかわからないが、この指摘を受け止めることはなかったのだなあ。
Quote
Daiyuu Nobori (登 大遊)
@dnobori
1 年以上前にデジ庁国地方 NW 会議に出した自作「意見書」PDF です。ガバメントクラウドを、重要・機密な目的でも安全に活用でき、デジ庁が多数の省庁や多様な地方自治体の皆さんからの支持を得ることを目指して書いたものですが、走り書きだったので間違いもあると思います。
dnobori.cyber.ipa.go.jp/ppt/download/2
自治体システム標準化におけるシステム間連携の課題を嚙み砕くとこんな感じかな。
マルチクラウドに関する技術的な課題
Quote
はちみつ(20)
@honeycomb_bnbn
システム間連携については今回の件以外にも問題だらけでして。
インフラの面では
・オブジェクトストレージ・認証認可関連要件で揉め始めている(マルチCSPの場合はさらに深刻)。
で箱から決まってない上に、さらにアプリの面では
Show more「ガバメントクラウドの共同利用をめぐる諸課題に関する質問に対する答弁書」でわかったこと。
・ガバメントクラウドにおけるAWSのシェアは97.4%(全1927中1877がAWS)
・データの国外移転を防止するための取り決めは、調達時の技術要件に示されているのみであって契約条項としては示されていない。
Oracle Cloudのデータ侵害がもしClassicでないOCIにも影響が及んでいるとしたら、ISMAP認定を一時取り消されてもおかしくない。ISMAPクラウドサービス登録規則にはセキュリティインシデント発生認知後原則3日以内に報告することが定められている。
AWSから「AWSにおける経済安全保障推進法に関する考慮事項」というペーパーが公開されたが、AWSは特定社会基盤事業者に指定されておらず、特定重要設備の供給者でもなく構成設備の供給者という扱いになり、またISMAP登録済みということもあって多くのリスク管理措置項目がAWS自身に対しては省略され、A