エストニアにおける電子政府クラウドサービスの緊急時対応について

韓国の電子政府サービスが、政府データセンターの火災により停止して、2025年9月29日現在も復旧できない状態が続いています。中央日報の記事では「行政安全部は復旧まで少なくとも2週間以上はかかると予想している」とあります。

火災で停止した韓国‘デジタル政府’…実質的に存在しなかったバックアップシステム | 中央日報
https://japanese.joins.com/JArticle/339185

ジェアディスでは、2025年9月20日にオンライン勉強会「エストニアとEUにおけるデータ連携基盤について」を開催しましたが、この中で「単一障害点（SPOF: Single Point of Failure）」についても触れました。具体的には、

エストニアのデータ交換基盤であるXロードはP2Pリアルタイム通信で単一障害点が存在しない（リスクを無視して良いレベル）のに対して、日本のマイナンバー制度の情報提供ネットワークシステムは仲介型で、「符号変換ゲートウェイ」として機能するコアシステムが単一障害点になっている。

というものです。これは、コアシステムが攻撃されたり故障等で機能停止したりすると、情報提供ネットワークシステム全体が止まってしまうことを意味します。今後、公共サービスメッシュにより中間サーバを廃止する予定がありますが、その場合も単一障害点は残ることになります。

今回、韓国の電子政府サービスがデータセンターの火災により停止してしまったことは、韓国の電子政府クラウドサービスに単一障害点があったことを意味します。この問題は、クラウドに依存する電子政府の安全性を考える上で非常に重要なので、エストニアにおける電子政府クラウドサービスの緊急時対応について整理した上で、日本のガバメントクラウドとも比較してみたいと思います。

---

（１）エストニアの国家クラウドとデータセンターのセキュリティ要件

エストニアの電子政府（e-Estonia）を支える国家クラウド（Estonian Government Cloud ：RIIGIPILV）は、韓国のデータセンター火災のような単一障害によるシステムダウンを防ぐため、データセンターの完全な二重化（full redundancy）を採用しています。

完全な二重化というのは、単なるバックアップ（定期的にデータコピーする等）にとどまらず、地理的に分散した能動的な冗長システムとして設計して、リアルタイム同期やフェイルオーバー機能を備えているということです。

リアルタイム同期により、電子政府サービスで使用している住民データ等のコピー（副本）が、別の場所にあるデータセンターにも自動的に保存（バックアップ）されて、最新データに更新されます。システム障害が発生したり、正本データが火災等により損失した場合でも、他のデータセンターに保存されたコピーデータを使用することで復旧が可能になります。

フェイルオーバー機能は、システム障害が発生した場合に備えて、予備のシステムをいつでも稼働できる状態にしておき、システムの稼働状況を常時監視して障害の発生を瞬時に把握すると、自動的に予備のシステムに切り替えてサービスを継続させる仕組みです。

エストニアでは、重要インフラの保護について規定するサイバーセキュリティ法（2018年）が成立する前から、「データセンターのセキュリティ要件（2014年）」を政府が定めていました。このセキュリティ要件は、当時適用されていた公共部門の情報セキュリティ基準（ISKE）を補完するもので、ISKEでカバーされていない大規模／高可用性要求のデータセンター設計・運用について規定し、電磁パルス攻撃に対する保護についても定めています。

現在は、政府の情報セキュリティ基準がISKEからE-ITS（Estonian Information Security Standard）へ移行しており、このE-ITSの中でデータ保管・運用インフラに関して期待されている要件を定めていますが、「データセンターのセキュリティ要件」も依然として有効で、エストニアの国家クラウドの設計・開発・運用にも同要件が反映されています。

エストニアの国家クラウドは、経済通信省によって作成された「State Cloud」の概念を実装するサービスとして、2016-2020年の開発計画で実現されました。2018年から段階的にサービス提供を開始して、現在は国家クラウド2.0の開発・刷新が進められています。国家クラウドへの移行は原則として任意ですが、既存システムの運用コストや安全性を考えて、多くの機関が国家クラウドへの移行を順次進めています。

国家クラウドは、国の機関や自治体を中心とした公共部門のITシステムを統合管理するプラットフォームとして、2つの地理的に分散したデータセンター（1つは首都タリンの外）で運用されています。この分散により、国内の物理的障害（火災など）に対する耐性を確保して、電子政府サービスの継続的な運用を可能にしています。

セキュリティ基準（E-ITS）に準拠した構築・運用で、すべてのコンポーネント（構成する部品）に冗長性（余裕）を組み込み、緊急時でも中断しない運用を目指しています。エストニアの国家クラウドは、Tier 4レベル相当（公式認証取得ではない）のデータセンター基準（完全故障耐性、99.995%以上の稼働率）を満たしており、単なるバックアップではなく、能動的な二重化になっているのが特徴です。

国内データセンターの二重化に加えて、データ大使館（Data Embassies）をルクセンブルクのTier 4データセンター（公式認証取得）に構築して、国内データセンターとネットワーク化しています。エストニアの国家クラウドという名称は、国内2か所のデータセンターとルクセンブルクのデータ大使館で構成されるクラウドの総称です。また、アイルランドなど複数の国外データセンターで単純なバックアップだけを行っています。

データ大使館は、エストニア政府とルクセンブルク政府との二国間協定（2017年批准）により、物理的な大使館と同等の治外法権（ウィーン条約に基づく外交的特権の考え方の応用）を実現しています。このため、ルクセンブルグの警察や検察等の捜査機関・権力機関でも、エストニア政府の許可なしにデータセンターのデータ大使館の領域に入ることができません。

ルクセンブルクが選ばれた理由としては、Tier 4レベルのデータセンター（Uptime Institute認証済み）の稼働実績が多くあり国際的な評価が高かったこと、政治的に非常に安定していること、ドイツやフランスなど大国に隣接しており地理的にも安全性が高いこと、同じEUの小国として相互の外交的尊重や技術的協力など対等の関係性を確立しやすかったことなどがあります。

エストニアのデータ大使館では、土地登記、税務登録、人口登録、企業登録などの「公共業務の遂行に重大な影響を与えるシステム（戦略的データセット）」がリアルタイム同期または定期バックアップで更新されており、サイバー攻撃や物理的脅威時の継続性を保証しています。フルミラーリングに近い冗長システムで、主要レジストリのデータはリアルタイムで同期され、エストニア国内のシステムがダウンした場合の即時フェイルオーバー（自動切り替え）を想定しています。

目的はデジタル公共サービスの完全な継続性です。エストニアでは、国家安全保障上の脅威として常にロシアを想定しており、国内が物理的な攻撃を受けた場合でも、地理的分散（国内＋海外）により、国外のデータセンターで最低限の政府の機能を維持できる仕組みが必要と考えています。

公共業務の遂行に重大な影響を与えるシステムのリスト
1 裁判ファイルシステム
2 地籍登録システム
3 土地登記システム
4 商業質権登録システム
5 課税対象者登録システム
6 非営利団体および財団の登録システム
7 人口登録簿
8 国および地方自治体機関の登録システム
9 官報システム（法令等データベース）
10 国家財務情報システム
11 社会保障情報システム
12 企業登録システム（法人および個人事業主の登記）

（２）日本のガバメントクラウドの耐障害性

日本のガバメントクラウドは、デジタル庁の要件に基づき、全てのデータセンターがTier 3相当の基準を満たすよう設計されています。日本国内には、Tier 4の正式なUptime Institute認証を受けているデータセンターは存在しないこともあり（Tier 4相当と公表する事業者は存在する）、実現可能性を考慮して「Tier 3相当」としたのでしょう。

「Tier 3相当」であれば、単一障害点を排除した冗長構成になるので、エストニアの国家クラウドのような完全な多重化（Tier 4レベルの故障耐性）ほど包括的ではありませんが、基本的な耐障害性を確保することができます。

Tierの分類は、Uptime Instituteの基準に従って「データセンターの可用性と耐障害性」を評価して行われます。Tier 3の場合、「同時メンテナンス可能（Concurrently Maintainable）」で、「必要なリソース＋1つのバックアップ」を採用し、電源・冷却・ネットワークなどのコンポーネントにバックアップを備えています。Tier 3であれば、計画的なメンテナンス中でもシステム停止を避け、年間稼働率99.982%を達成可能ですが、複数の同時障害（自然災害＋機器故障など）に対する完全な自動フェイルオーバー機能（自動切り替え）はTier 4ほど強くありません。

日本のガバメントクラウドにおける多重化構成は、日本国内データセンターを活用しており、東日本（東京）と西日本（大阪）のリージョンを用いた地理的分散（災害復旧）を採用しています。この構成には、接続経路の冗長化（Site-to-Site VPN＋専用線）やバックアップデータセンターなどを含みます。

この多重化構成により、地震などの地域的災害時でもサービス継続が可能ですが、他国からのミサイル攻撃、同時テロ、または広域地震（首都直下地震＋南海トラフ連動など）で分散拠点が同時に停止した場合、電子政府の運用も基本的に停止します。エストニアの場合は、こうした事態に備えてデータ大使館を稼働しています。
​

（３）エストニアと日本の比較

エストニア：
・国家クラウド（データ大使館を含む）はTier 4基準
・完全バックアップシステムの並行運用
・リアルタイムフェイルオーバー
・物理的・サイバー脅威に対する「完全多重化」を達成

日本：
・ガバメントクラウドはTier 3相当で十分な耐障害性を提供
・エストニアほどの故障耐性を目指した包括的な多重化ではない
・現実的かつ実用性を重視したアプローチ

このように、日本のガバメントクラウドも、韓国のデータセンター火災のような単一障害は存在しないので、緊急時対応における安全性もかなり高いと言えます。

しかし、日本のガバメントクラウドには、「米国企業が提供するクラウドサービスへの過度な依存」という別のリスクが存在します。この問題については、個人的なブログ「米国テック企業による日本の電子政府への浸食（見えない侵略）」で詳しく解説していますが、緊急避難的な解決策として、

AWS等が意図的あるいは災害等により止まった時に備えて、デジタル庁（国）の予算と責任で、国内ベンダーによる政府クラウドをバックアップ用に確保して、最低限の行政サービス提供と行政運営ができるようにデータとアプリケーションを保存しておくこと

​を強く推奨します。