デジタル庁ガイドライン（政府情報システムにおけるゼロトラスト適用に向けた考え方等）では、GCAS/GSS（ガバメントソリューションサービス）をゼロトラストアーキテクチャ（ZTA）の基盤として位置づけており、「全てのアクセスを検証する」原則を導入したのは、日本のデジタル化にとって大きな前進であるのは確かです。

しかし、現行のGCASモデルは、クラウド環境内での統合的セキュリティ制御を重視しており、「外部信頼を前提としない」構造となっています。そのため、ゼロトラストの理念に沿いつつも、実装上は「クラウド境界型セキュリティ」に近い運用となっています。結果として、ガバメントクラウド外に存在する自治体システムや独立行政法人との接続が制約され、行政データの相互運用性や分散協調の実現を阻む構造的要因になります。この場合、認証情報の管理負荷が高く、機関間接続や分散システムには不向きと言えます。さらに、主要クラウドベンダーが提供する特定サービスや機能への依存度が高く、技術中立性やベンダーロックインの課題も指摘されています。

---

（１）日本とエストニアの違い

ガバメントクラウド利用システムにおけるセキュリティ対策(共通) | ガバメントクラウドの全般的なガイド | GCASガイド
https://guide.gcas.cloud.go.jp/general/security-tech

GCASが提示する「認証情報を秘匿して管理する」アプローチは、クラウドサービス提供者（CSP）と利用機関との責任分担モデルに基づいています。この設計では、アプリケーション層やデータ層が同一クラウド内にあることを前提とし、外部接続や相互運用よりも、クラウド内統制を優先しています。よって、日本のガバメントクラウドの設計思想は、「内部信頼＋秘匿管理」モデルと言えます。

他方、エストニアのX-Roadは、すべてのデータ交換を暗号化・電子署名・相互認証（双方向TLS＋eシール）によって行い、認証情報を「秘匿すべきもの」ではなく、「公開検証可能な信頼証明」として扱います。エストニアのゼロトラストは「誰も信頼しない」のではなく、「すべての信頼を検証可能な署名によって確認する」仕組みになっているのです。

この仕組みは、X-Roadだけでなく、EUの域内データ流通基盤「European Data Space」や「Once Only Technical System（OOTS）」とも技術的整合性を保っており、エストニアの設計思想がEU全体の相互運用標準化に波及していることを示しています。

X-Roadでは認証方法を、サーバ証明書・eシール・電子署名（PKIベース）による相互認証とすることで、システム間通信の完全な相互認証とトレーサビリティを実現します。秘密鍵は機関ごとに保持するため、漏えいしても証明書無効化でリスクを最小化でき、オンプレ・クラウドを問わず、同一セキュリティ水準で運用可能となっています。X-Roadのオープンソース化により、技術中立性やベンダー依存の問題もほとんどありませんが、実装・PKI管理の複雑さ（証明書ライフサイクル管理が必須）を伴います。

---

（２）エストニアの設計思想は「相互信頼＋署名検証」モデル

日本のガバメントクラウドの設計思想が「内部信頼＋秘匿管理」モデルで、「ゼロトラスト」ではなく「クラウド境界防御」であるのに対して、エストニアの設計思想は「相互信頼＋署名検証」モデルで、本来のゼロトラストにより近いと言えます。エストニアのゼロトラストは、リスクベースで技術的にも環境的にも中立な設計となっており、オンプレミス環境やレガシーシステム、さらには電力・金融・交通といった重要インフラまでを包括しています。

エストニアの「相互信頼＋署名検証」モデルによるゼロトラストは、EUのeIDAS規則に基づく「トラスト制度（Trust Framework）」の確立があることで成立しています。興味深いのは、時系列で見ると、エストニアの「相互信頼＋署名検証」モデルによるゼロトラストが先で、その後に「トラスト制度」が確立していることです。エストニアは、国内で技術及び制度として確立した「トラスト制度」を、EU全体の「トラスト制度」にまで高めることに大きく貢献しています。

エストニアは単なる技術運用としてのゼロトラストではなく、法的に裏付けられた「Trust-by-Design」を実現している点が、日本と異なる本質的な強みです。EUのeIDAS規則に基づく「トラスト制度」があることで、電子署名やeシールの法的効力が明確になり、行政機関だけでなく民間（銀行、医療機関など）も安心してPKIベースの相互認証を利用できるのです。

---

（３）「クラウド・バイ・デフォルト」から「ハイブリッド・バイ・デフォルト」へ

国や自治体など公的業務を処理する情報システムやデータベースについて、レガシー脱却を行い、ガバメントクラウドへ移行してモダン化するという流れは、世界の電子政府先進国で見られるものです。しかし、実際の移行には多くの困難が伴い、「クラウド・バイ・デフォルト」ではなく「ハイブリッド・バイ・デフォルト」とするのが現実的と言えるでしょう。

法制度・データ主権・セキュリティ要件を考慮すると、全システムをクラウドに統一することは難しく、エストニアやフィンランドでも「クラウド＋オンプレ＋省庁内専用環境」を組み合わせた運用が実態です。「クラウド・バイ・デフォルト」という理念的スローガンで始まり、現実的な「ハイブリッド・バイ・デフォルト」に帰結するという流れです。

もう一つ、「ハイブリッド・バイ・デフォルト」とすることの重要なメリットは、PQC（ポスト量子暗号）への対応です。今後の量子計算時代を見据えると、「ハイブリッド・バイ・デフォルト」は単なる運用上の妥協ではなく、技術的必然でもあります。

PQCアルゴリズムの導入は、クラウド・オンプレ双方にまたがる鍵管理・証明書発行・検証体制の再構築を意味します。現行のクラウドサービスのPQC導入状況を踏まえると、短中期的には「オンプレ or 国内クラウド環境でのPQC実装＋クラウド側とのハイブリッド接続」が現実的です。ハイブリッド構成とすることで、移行期に「従来PKI」と「PQC鍵」のデュアル運用（ハイブリッド署名）が可能となります。エストニアでも、移行期のデュアル運用を想定しています。

日本においても、「PQC対応を見据えたハイブリッド・バイ・デフォルト」とするのが合理的な戦略です。日本が本来のゼロトラストに近づくためには、「PQC対応を見据えたハイブリッド・バイ・デフォルト」とともに、相互認証・署名検証による“信頼中立”な接続基盤の確立が不可欠です。それは単なる技術選択ではなく、国家的な信頼設計（Trust Architecture）の再構築を意味します。

今後の日本のデジタルガバナンスを支える基盤として、技術・法制度・運用の三位一体による設計が求められています。「日本版の国家信頼設計（Trust Architecture）」の策定・標準化に期待します。