AWSと英内務省による「前代未聞のクラウド契約」に業界が震えた訳英国内務省とAWSの契約更新を巡る議論【後編】

英国内務省とAWSが2023年末に締結したサービス契約の内容が、専門家の間で議論を呼んでいる。内務省には、プロジェクトに従事するAWS担当者を審査する権限がないためだ。どういう背景があるのか。

2024年03月14日 08時00分 公開
[Caroline DonnellyTechTarget]

 英国内務省はAmazon Web Services(AWS)と約4億5000万ポンドの3年契約を締結した。2023年12月1日に効力が発生するこの契約は、英国政府がクラウドインフラの調達を効率化するフレームワーク合意「Government Cloud」(G-Cloud)に基づいて締結したコールオフ契約(注1)であり、内務省はAWSのサービスを割引価格で利用できる旨の記載がある。

※注1 英国の公共機関が資材調達をする際の契約形式の一種。フレームワーク合意に基づき、必要に応じて個別に締結する契約をコールオフ契約(Call-Off Contract)と呼ぶ。

 英国政府とAWSは、クラウドサービスの確約利用による割引価格の枠組みを定めた包括契約「One Government Value Agreement」(OGVA)を締結している。最初の契約「OGVA 1.0」は2023年10月に満了しており、2023年12月1日に更新した2回目の契約がOGVA 2.0となる。内務省がAWSと今回締結したコールオフ契約の割引は、OGVA 2.0に基づいている。

 そもそも、このコールオフ契約がG-Cloudのフレームワーク合意に基づいていることも問題があるのではないか、と公共事業の専門家たちの間で議論が巻き起こっている。なぜなのか。

AWSと英内務省による「前代未聞のクラウド契約」の謎

 政府機関がクラウドサービスの調達に利用するフレームワーク合意のうち、G-Cloudはもともと中堅・中小企業との契約に焦点を置いたものだった。大手パブリッククラウドベンダーからの調達に焦点を置いたフレームワーク合意としては「Cloud Compute」および、後続の「Cloud Compute 2」(2023年12月に開始)が存在する。本来Cloud Computeは、政府機関がG-Cloudを使用して大手パブリッククラウドベンダーに大規模で高額な契約を直接発注することを阻止する目的で策定されたフレームワーク合意だった。

 内務省とAWSが交わした今回のコールオフ契約が議論の的になる理由は、なぜG-Cloudに基づいた個別契約になっているのか、なぜCloud Computeに基づく個別契約ではなかったのか、という点だ。前述の通り、このような契約はG-Cloudが策定された当初の目的と異なる。

 内務省がG-Cloudのフレームワーク合意を使って、今回のような高額な契約の手はずを整えると決めたことについて、かつて内閣府でICT責任者を勤めていたニッキー・スチュアート氏は「英国政府がCloud Computeのフレームワーク合意を介して多くの企業との取引を増やそうと取り組んでいる状況に、水を差すことになる」と批判する。

 スチュアート氏によると、前回の契約金額は約1億2000万ポンド、2023年12月1日から始まる今回の契約金額は約4億5000万ポンドで、ほぼ4倍に増えている。「本来ならばCloud Compute2に基づいて締結されるはずの高額契約だ。なぜG-Cloudだったのか。これは驚くべきことだ」(スチュアート氏)

 今回のコールオフ契約は、G-Cloudフレームワーク合意の最新版「G-Cloud 13」の個別契約という扱いだ。約4億5000万ポンドという額は、2012年以降にAWSがG-Cloudに基づいて獲得した契約総額のほぼ半分に相当する。

 政府機関の支出先という点では、AWSがG-Cloudにおける最大のサプライヤーになる。内務省は現在までにG-Cloud経由で最も多くの費用を支払っている政府機関であり、その額は18億ポンドを超える。

 「OGVA 2.0に基づいて締結する今後のあらゆる契約が、G-Cloud 13に基づいて取引されるのかどうか、契約金額も同じように増えるかどうか、注目に値する。もしそうなら、Cloud Compute 2の意義はますます損なわれる」とスチュアート氏は語る。

 英Computer Weeklyは内務省に対して、今回の契約がCloud Compute2ではなくG-Cloud 13を使用した理由を問い合わせたが、回答は得られなかった。

 内務省にとってG-CloudがCloud Computeよりも好都合だった理由は「この契約に盛り込まれている『審査なしの条項』に関連している」と、オーウェン・セイヤーズ氏は考えている。セイヤーズ氏はITセキュリティコンサルティング会社Secon Solutionsでシニアパートナーを務め、国家警察のシステム導入に関して20年以上の経験を持つ人物だ。

 セイヤーズ氏はこう説明する。「今回の契約において内務省は、プロジェクトに従事するAWSの担当者を審査する権限や、AWSのデータセンターインフラを監査する権限がないことを許容している。このような対処はCloud Compute 1やCloud Compute 2だけでなく、英国政府のポリシーでは許可されない。つまり今回の契約は、Cloud Compute 1やCloud Compute 2の条項下では実現し得なかった」

 Cloud Computeの1と2のどちらであっても、ベンダーは、政府資産にアクセスする担当者の信頼性を保証するセキュリティ基準「Baseline Personnel Security Standard」(BPSS)を満たすことが最低要件として定められている。政府機関にサービスを提供するには、ベンダーの全ての担当者が、雇用前に国家安全保障の認定審査を受けなければならない。「政府機関から要求があった場合は、BPSSよりも高いレベルの審査が必要になる。そのため、Cloud Compute 2の条項下で内務省がAWSと契約を締結した場合、このような審査に関する裁量をAWSに与えることは不可能だった」とセイヤーズ氏は説明する。

 公共部門のIT調達のために英国政府が運営しているマーケットプレース「Digital Marketplace」で公開している情報を見る限り、AWSの担当者は「BS7858:2019」の基準を満たしているという記述がある。BS7858:2019は雇用主がセキュリティ担当者を雇用する前に審査することを目的とした規格であり、英国規格協会(British Standards Institution:BSI)が定めているものだ。他にも、セキュリティ関連サービスを提供するAWS担当者は「Developed Vetting」(DV)を保有しているという記述も見かける。これは内閣府の一部門United Kingdom Security Vetting(UKSV)が定める認証資格で、その人物が政府情報を扱う最上位レベルの資格者であることを示す。

 AWSはこのように自社担当者の安全性をさまざまな形で主張するものの、今回の契約書の内容としては内務省にAWS担当者の審査やインフラの確認をする権限が与えられないことに変わりはなく、内務省はAWSの主張をうのみにする他ない。

 セイヤーズ氏が言うように、この契約書に基づいて、内務省がAWSにデプロイしたサービスをどのようにテストして保証できるようにするのかは定かでない。内務省は証拠なしでAWSの主張を信じるしかない。「これが政府機関として賢明な対応であるかどうかは分からないが、前代未聞の対処であることは断言できる」(同氏)

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news002.jpg

ロシアのbotファームがXを標的に虚偽情報を拡散 どうしてこうなった?
ロシアによる生成AIとソーシャルメディアを使った世論操作が活発化している。標的とされ...

news075.png

Z世代の告白手段は「直接」が大多数 理由は?
好きな人に思いを伝える手段として最も多く選ばれるのは「直接」。理由として多くの人は...

news100.jpg

日本はなぜ「世界の旅行者が再訪したい国・地域」のトップになったのか 5つの視点で理由を解き明かす
電通は独自調査で、日本が「観光目的で再訪したい国・地域」のトップとなった要因を「期...