2012年08月10日 08時00分 UPDATE
特集/連載

クラウドガバナンス現在進行形【比較編・2012年夏】【徹底比較】安心・安全なクラウドはどれだ? 35のIaaSを比較

クラウドの本質的特徴とガバナンス要求を基に、35のIaaSを比較した。第三者認証の対応状況や約款掲示の有無、そしてハイブリッドクラウド化をしてリスク分散が可能な事業者とは。比較表はダウンロードできる。

[川田大輔]

IaaS比較表をダウンロード

NISTのクラウド定義とガバナンス要求を基に、35のIaaSを徹底検証しました。比較表をExcelファイルで提供しています。「35のIaaSクラウドをガバナンス要求で徹底比較」でダウンロードしてください。


おわびと訂正

本記事の比較表「35のIaaSクラウドをガバナンス要求で徹底比較」を以下のように訂正しました。ご迷惑をお掛けしました。

【訂正前⇒訂正後】

マイクロソフト

Windows Azure Platform ⇒ Windows Azure

米国法 ⇒ 日本法(※)輸出管理規制について米国法/その他が適用される

SAS70 ⇒ SSAE 16/ISAE 3402

日本ユニシス

ユニアデックス ⇒ 日本ユニシス

BIGLOBEクラウドホスティング

IaaS管理ツールによって制御できない ⇒ IaaS管理ツールによって制御できる

仕様開示または互換性確保手段が提供されていない ⇒ 仕様開示または互換性確保手段が提供されている

日本システムウエア

日本システムソフトウェア ⇒ 日本システムウエア


 連載「クラウドガバナンス現在進行形」ではさまざまな角度からクラウドコンピューティング、特にIaaS(Infrastructure as a Service)について検討してきた。ほぼ1年前、第1回の記事「“オレオレクラウド”にはこりごり、クラウドの本質を知る」で38サービスを比較た際には、日本国内で提供され実質的にNIST定義を満足していると評価できる真のクラウドサービスは「Amazon Web Services」(AWS)と「Windows Azure」そして富士通「Fujitsu Global Cloud Platform FGCP/S5」の3つしかなかったが、現在はどうなっているだろう?

 また、2012年6月7日に富士通館林データセンターでの電源障害、同6月20日にファーストサーバのデータ喪失(関連記事:バックアップは誰の責任? ファーストサーバ事件が残した教訓)、同6月28日と7月10日にセールスフォースの障害などなど、ここ数カ月の間に起きた障害だけでも本が書けてしまうほどいろいろな問題が顕在化している。こんなときこそ基本に立ち返り、ガバナンス要件をしっかり押さえていざ障害に直面したときにうろたえずに済むようにしておきたい。この観点でのチェックポイントは、精密に記述された約款の整備状況や、約款に記載された条件の通りにサービスが提供されているかをチェックするためのログ提供やSLA定義がなされているか、さらにログやSLAの非改ざん性を保障するための仕組みが整備されているか、といった点が重要だ。

 もちろん、絶対に障害が起きないサービスは実現不可能だ(関連記事:クラウドは安全か? 事業者との責任分界点、注目すべき安全基準とは)。冗長化など施していても障害は起こり得る。それでも高可用性やデータ生残性を求めるなら複数のデータセンターを利用するなどして並列化した信頼度確保が必要になるし、その行き着くところはハイブリッドクラウド化によるリスク分散となる。ハイブリッド実装を実現するためには、ダッシュボードからのOn-demand self-service操作ができるだけでは足りない。APIによる操作など、より自動化に適した機能実装が必要だ。うるさいことを言うと、今後はインスタンスのストップ/ゴーなどの単純なAPIだけでなく、より高度なAPI公開もチェックしたいところだ。

 ガバナンス全般の観点からすると、情報セキュリティマネジメント体制の整備状況や財務会計基準の整備状況、さらにはCommunity resilience(関連記事:クラウドが普及した市場で、生き残るエンジニアと組織)を実践して情報やノウハウの共有やオープンな組織効率の追求に取り組んでいるかも押さえておきたい。

クラウド利用によって起こる本質的な変化

 何度も繰り返している話で恐縮だが、クラウド化とは仮想化を指すわけではない。本質的にクラウド化とはICTの見える化・測る化を伴うモジュラアーキテクチャ化であり、言い換えると利用者を無自覚にITIL化された市場に連れ出す舞台装置だ。

aa_hikaku01.jpg 図1 クラウドの本質的特徴と運用サイクル《クリックで拡大》

 NISTが定義したクラウドの本質的特徴は実によくできていて、この定義に従った実装を利用するだけでSLM(Service Level Management)が見える化されてしまう。実際、このサイクルをより簡単に、精密に回すことを狙って、以前にも「エンドユーザーによるクラウド設備実査要求は百害あって一利なし」で紹介したNewvemなどの分析機能やCloudHarmonyなどのメトリクス機能を提供する事業者が世界では増えてきている。将来的にはクラウド運用サイクルだけでなく、あらゆるPDCAサイクルが5ライフサイクルリンケージモデル(図1右下)で提示したように相互に影響を与えるエコシステムを形成するだろう(5ライフサイクルリンケージモデルの関連記事:クラウドの応答性能とサポート品質を客観的に比較するには)。

ガバナンスとは、曖昧さを閉じ込める枠組み

 Open Cloud Campus クラウドセキュリティ分科会で吉井和明弁護士が発表していたように、ファーストサーバの事例1つを取っても見える化されていない部分についてのリスクの闇は深い(関連記事:バックアップは誰の責任? ファーストサーバ事件が残した教訓)。ガバナンスとは極論すると、曖昧な部分を減らし、曖昧な部分が残るなら範囲を決めて解決方法をあらかじめ決めてしまう取り組みだ(関連記事:エンドユーザーによるクラウド設備実査要求は百害あって一利なし)。もちろん、その考え方の根底には、エコシステム全体の崩壊を防ぐために、リスクを封じ込める思想がある。その第一歩は見える化と測る化となる。先に指摘したようにNIST定義はSLMライフサイクル=クラウド運用サイクルを見える化・測る化してくれる点がミソだ。外部監査などによって付与される第三者認証などの取り組みは、事業者と利用者の間に公平な第三者を介在させることで、見える化・測る化を可能にする。とは言っても、競争上競合相手にまで見せたくはないといった微妙な心理が働く情報を抽象化しつつ、非改ざん性を担保した形て開示するクッションとして機能する点にも意味がある。もちろんPCI DSSのように定量的な基準を提供してくれる点の重要さも忘れてはいけない。

 第三者認証を整備することには、事業者相互の不信頼が連鎖して垂直統合による閉じた市場が乱立することを防ぐ狙いもある。閉じた市場を志向する向きもあるかもしれないが、実は開かれた市場を形成することで流動性を担保すると、ゲーム理論でいう協調戦略が裏切り戦略より有利になることが既に知られている(参考:The outbreak of cooperation among success-driven individuals under noisy conditions)。裏切り戦略を当然のこととして学んできたMBAホルダーなどにはぜひ最新のゲーム理論の研究成果をご一読願いたい。

調査に当たっての項目割り出し

 今回の調査ではNIST定義とCSA Cloud Security Modelの拡張版を、ITILサービスデザインの管理項目分類を意識しつつ、情報セキュリティマネジメント認証取得状況など外部から確認可能な検証手段にマッピングして、IaaS事業者の比較条件を決定した。

aa_hikaku02.jpg 図2 クラウドの枠組み《クリックで拡大》

 こうすることで、NIST定義がSLMにかかわる問題の自動化を狙っていること、その外部に広がる他の管理項目との関係を整理できること、何度か紹介してきたCloud Security ModelのスコープがNIST定義やITILなどより広いことが理解いただけると思う。

リアルクラウドとオレオレクラウドを仕分ける

 まず、割り出した調査項目一覧を全てマッピングしてクラウドと呼べるものとホスティングと呼ぶべきものを仕分ける条件として整理してみた。

aa_hikaku03.jpg 図3 クラウド評価項目《クリックで拡大》

 利用者へのブロードバンドアクセスやオンデマンドセルフサービスが提供されていないなら、それは間違いなくマネージドホスティングと呼ぶべきサービスだ。一定限度のブロードバンドアクセスとオンデマンドセルフサービスが提供されているならセルフサービスホスティングとでも呼ぶべきだろう。プライベート、コミュニティー、パブリックの各デプロイメントモデルを名乗るならクラウドの本質的特徴を備えていなければならないし、ハイブリッドクラウドまで視野に入れるならAPI提供などさらに一段高い実装水準が必要だ。

 ガバナンスの観点から見て信頼性の高いサービスを割り出すことが目的なので、ホスティングであろうがクラウドであろうが、ガバナンス関連の要求については非対応可とする項目は置かなかった。また、準拠法開示は約款掲載していれば必ずできることなので、約款開示を必須とした結果、必須対応項目となっている。

2012年夏のクラウドガバナンス比較表

 先の条件マップと縦横が異なる体裁で申し訳ないが、これらの要素を35のIaaSを名乗るサービスについて検証したのが下の表だ。

aa_hikaku_hyou.jpg 表 2012年夏のクラウドガバナンス比較表

IaaS比較表をダウンロード

NISTのクラウド定義とガバナンス要求を基に、35のIaaSを徹底検証しました。比較表をExcelファイルで提供しています。「35のIaaSクラウドをガバナンス要求で徹底比較」でダウンロードしてください。


この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news023.jpg

「カゴ落ち防止」のつもりで“ネットストーカー”になっていないか?
「枠」から「人」へ。広告の効率的な配信ができるのはネットの強み。ECサイト事業者にと...

news016.jpg

Appleは今でもイケてるブランドか? 調査とデータで考察する
ビジネスパーソンの人的ネットワークから日本人の国語に関する意識変化、ウェアラブル端...

news101.jpg

セールスフォース・ドットコム、SalesforceにAI機能を組み込む「Salesforce Einstein」を発表
セールスフォース・ドットコムは、Salesforceのクラウドサービスに人工知能(AI)を組み...