英国内務省とAWSの「4.5億ポンドの契約書」に含まれていた“危うい一文”とは：英国内務省とAWSの契約更新を巡る議論【前編】

英国内務省が2023年末にAWSと締結した3年契約は4.5億ポンドもの大型案件だった。政府が公開している契約書の内容と経緯が、専門家の間で議論を巻き起こしている。

≫ 2024年02月29日 08時00分公開

「前例がないほどの大型案件」と専門家たちが驚く理由

併せて読みたいお薦め記事

クラウドに行く企業、去る企業

　ITセキュリティコンサルティング会社Secon Solutionsでシニアパートナーを務め、国家警察のシステム導入に関して20年以上の経験を持つオーウェン・セイヤーズ氏は、このたび内務省とAWSが締結した案件は「全く前例がない大型案件だ」と考えている。

　セイヤーズ氏が公的資料を調べたところによると、G-Cloudが開始して以来、AWSが政府機関と締結した契約金額は8億4000万ポンドに上る。このたびの約4億5000万ポンドの案件は、3年の個別契約にもかかわらず、総額の半分以上を占める。「このような契約を正当化すること、つまり、どのようにして納税者に十分な価値を提供するかを正当化するのは容易ではない」と同氏は話す。

　この案件が注目を集める理由は契約金額の高さだけではない。内務省には、このプロジェクトに従事するAWSの担当者を審査する権限や、AWSのデータセンターインフラを監査する権限が付与されないという条項が契約に盛り込まれていることも、専門家たちは注目している。

　この案件の契約書には「機密保持契約書（NDA）が適用される場合、買い手（政府機関）はサプライヤー（AWS）の物理インフラの運用に関する監査報告書の提出を第三者機関に求めることができる」という一文がある。クラウドサービスの契約について詳しい専門家によると、この条項はAWSの契約では標準的なものだが、公共部門の契約ではまず見られないものだ。

　英国の内務省は、イングランドとウェールズの移民問題、安全保障、治安維持などを担当する省庁であり、非常に機密性の高いデータとシステムを扱う可能性がある。にもかかわらず、このたびの契約内容で内務省にAWS担当者の審査やインフラの確認をする権限が与えられないことは驚くべき事態といえる。監視権限のないクラウドインフラに約4億5000万ポンドもの費用を投じるのも驚くべきことだ。

　「内務省はAWS担当者の審査に関する義務を全面的に免除している。このような審査には法律で義務付けられているものもあるため、現実的に全ての義務を免除することは不可能だ」とセイヤーズ氏は説明し、「なぜこのような対応が必要だと考えたのか理解に苦しむ」と語る。この点について英Computer Weeklyは内務省に問い合わせたが、明確な回答は得られなかった。

　内務省が扱うデータの機密性を考えると、「AWS担当者は高機密なデータの処理に携わるにもかかわらず、担当者の審査をする必要がないと考える理由を、内務省は明確に示すべきだ」とセイヤーズ氏は主張する。

　事態を複雑にしているのは、G-Cloudフレームワーク合意の最新版「G-Cloud 13」の内容だ。G-Cloud 13にはAWSのサービス基本情報について記載があり、そこには同社が「BS7858：2019」の基準を満たしているという記述がある。BS7858：2019は雇用主がセキュリティ担当者を雇用する前に審査することを目的とした規格であり、英国規格協会（British Standards Institution：BSI）が定めている。AWSが担当者の雇用時に審査をしたとしても、内務省はその状況を確認する術を持っていないことになる。

　セイヤーズ氏は、英国立サイバーセキュリティセンターが定める「Cloud Security Guidance」のある一文に注目する。そこには「担当者の適格検査を実施したがらないクラウドサービスベンダーも存在する」という警告があるという。ただし同氏は、「内務省がAWSに審査の義務を免除したのは、純粋にAWSの管理者とエンジニアが世界各地に分散している状態を表しているだけの可能性も否定はできない」と言い添える。

　中編は、本契約の金額面に焦点を当てて解説する。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

TechTargetジャパントップクラウド