全4853文字
PR

 「エストニアはアグレッシブな隣国(筆者注:ロシア)を持つが、政府機能の全てがデジタルになれば、例え領土を失っても国家を運営できる」――。

 筆者は7年前の2015年、当時のエストニア政府CIO(最高情報責任者)であるターヴィ・コトカ(Taavi Kotka)氏に取材し、この発想にのけぞってしまった。危機に対する想定の「深さ」が、日本と違いすぎるのだ。

 エストニア、韓国、そしてウクライナ。好戦的な隣国を抱える各国が、電子政府システムなど国の運営を支えるITインフラの危機管理をどう捉えているか、筆者の過去の取材と最新の動向を踏まえつつ、改めて考えてみたい。

【エストニア】不可侵の「データ大使館」に基幹データを退避

 エストニアのコトカ氏は取材の中で、電子政府における「デジタルコンティニュイティー(デジタル継続性)」の重要性を繰り返し強調した。

 電子政府を支えるシステムが他国からサイバー攻撃を受けた場合、あるいは隣国の侵攻を受けてITインフラの安全稼働が脅かされる事態に備え、政府の基幹データのバックアップを国外に持ち、すぐにシステムを再稼働できるようにする。コトカ氏はこの構想を「データ大使館(Data Embassy)」と呼んでいた。

 この取材から2年後の2017年、エストニア政府は構想を実行に移した。データ大使館のパイロットプロジェクトとして、ルクセンブルクのデータセンターに「国家運営を継続できる最低限のデータセット」のバックアップを構築したのだ。具体的には裁判記録、土地登記、年金保険登録、課税対象者登録、身分証明書登録などのデータを備える。

 エストニア政府はデータ大使館の構築にあたり、米Microsoft(マイクロソフト)のクラウドサービスの利用なども検討したという。だが、こうした外資系企業のサービスでは「データとシステムの完全な制御と管轄権」の維持が難しいと判断。周辺各国の政府と交渉した結果、ルクセンブルクと覚書を交わし、バックアップサイトの構築に至った。

 物理的な「大使館」はウィーン条約の下、設置国の官憲であっても敷地内に許可なく立ち入ることができない。これと同様に、データ大使館も国外にありながら「完全な制御と管轄権」を維持できるというわけだ。将来は単なるデータバックアップを超え、必要に応じてシステム自体を運用できるようにする考えという。

 エストニアが世界で初めてデータ大使館を実現させた背景には、2つの出来事があった。1つは、2007年に同国のITインフラを襲った大規模なサイバー攻撃だ。政府や銀行、新聞を含む58のWebサイトがDDoS(分散型サービス拒否)攻撃を受けてダウンした。エストニア政府はこの攻撃をロシア政府によるものとみている。

 もう1つは2014年に勃発したウクライナ危機だ。ロシアがウクライナ領のクリミアを併合したことで、同じくロシアと国境を接するエストニアの危機感は一気に高まった。

 電子政府の先進国であるエストニアは、逆にいえば電子政府システムの安定稼働が国家の存立に関わる。仮に敵国の侵攻やサイバー攻撃によって国内のシステムがダウンしたとしても、デジタル認証を含む電子政府サービスを引き続き機能させる必要があった。

参考リンク: Digital Public Administration factsheet 2021 Estonia(PDF) Estonia to open the world’s first data embassy in Luxembourg

【韓国】サイバー防衛拠点を集約、データセンターは首都から離す

 好戦的な隣国を抱え、国家レベルのサイバー攻撃にさらされている点で、エストニアと同じ悩みを抱えているのが韓国だ。

 韓国政府は2000年代、これまで省庁ごとにバラバラに構築・運用していた行政システムを、大田(テジョン)と光州(クァンジュ)の2つのデータセンターに集約した。

 筆者は2013年、データセンターを運営する政府統合電算センター(NCIA、現在のNIRS)を訪問した。当時のNCIAプレジデントは取材に対し、データセンター集約には2つの理由があったと教えてくれた。

 1つは、政府の情報システムに外部からのサイバー攻撃に対するセキュリティーの機能を集中させることで、全ての政府システムに高レベルのサイバー防御を適用できる点。そしてもう1つは、データセンターを首都ソウルから離すことで、万一北朝鮮と紛争が起きてソウルが攻撃を受けた際にも、政府の活動を継続できるようにすることだ。

 普段は大田、光州のデータセンターが別個の政府システムを稼働させているが、仮に1つのデータセンターが全面的にダウンしても、もう1つのデータセンターで業務を継続できる。さらに韓国政府は2019年以降、公州(コンジュ)にバックアップ専用サイト、大邱(テグ)にクラウド専用サイトの構築を進め、4サイト体制を目指している。

 ちなみに韓国では、政府だけでなく民間企業も「戦時」を想定したITインフラを構築している。同時期に取材した韓国サムスングループの中核データセンターでは、非常用発電機を1カ月に1回試験運転していた他、半年に1回、商用電源を5時間遮断させる試験を実施していた。この試験中は、UPS(無停電電源装置)や非常用発電機のみで、サムスングループの基幹データセンターを稼働させることになる。

 「サムスンでは少なくとも2000年代から、経営トップがボタン1つで情報システムの運用を海外のデータセンターに移管できるバックアップ体制があった」――韓国で会ったサムスングループの元従業員は筆者にこう教えてくれた。