「クラウドサービス」は何が危険か？ オンプレミスとの違いが生むリスク：クラウドが浮き彫りにするリスク【前編】

IaaSやPaaSといったクラウドサービスは企業にメリットをもたらす一方、オンプレミスとの違いが新たなリスクを生む可能性がある。どのような点に気を付けるべきか、専門家に話を聞いた。

[大久保 心織，TechTargetジャパン]

　企業の間で、IaaS（Infrastructure as a Service）やPaaS（Platform as a Service）といったクラウドサービスの活用が進んでいる。ITインフラの運用負荷を軽減したり、迅速なスケーリング（規模の拡大や縮小）を実現したりするためだ。一方クラウドサービスへの移行が困難なアプリケーションはそのままオンプレミスで運用することも珍しくない。オンプレミスとクラウドサービスを併用した「ハイブリッドクラウド」が、企業のITインフラのクラウド化における通過点として存在している。

併せて読みたいお薦め記事

クラウドに潜むリスク

• クラウドの脆弱性に潜む9つの脅威、対策は？
• クラウドセキュリティの“最大の敵”が「人」である理由
• 最大のリスクは「ユーザー」と「GDPR」　専門家が語るクラウドセキュリティの危機

さまざまなクラウドセキュリティ製品

• 「CASB」とは？　クラウドセキュリティを強化する4つの役割
• 「ゼロトラストセキュリティ」とは？　クラウドが求めたセキュリティモデル

　企業が運用するアプリケーションの中には、クラウドサービスへの移行が進んでいるアプリケーションもあれば、オンプレミスのまま運用されているアプリケーションもある。それぞれの例は以下の通りだ。

• クラウドサービスへの移行が進むアプリケーション
  • 顧客情報や営業資料を扱うアプリケーションなど、社外から参照できるようになることで利便性が上がるアプリケーション
  • 従業員の勤怠情報を管理するアプリケーションなど、社内リソースで運用する必要がないアプリケーション
  • 自社で提供するサービスの基盤システムなど、スケーリングできると都合が良いシステムを構成するアプリケーション
• クラウドサービスへの移行が進みにくいアプリケーション
  • オープン系OSでは操作や稼働に制限があるといった理由で、オープン化が難しい基幹アプリケーション
  • ポリシー上外部に出すことが難しい機密データを取り扱うアプリケーション
  • 製造業の工場運用システムを構成するアプリケーション
    • 関連部門が多く管理責任の所在があいまいなため、クラウドサービスへの移行による既存システムの刷新に際し「誰が責任を取るのか」という論争が発生しがち

　このようにさまざまなアプリケーションが混在する中では、業務ごと、部門ごとにクラウドサービスの利用状況がばらばらなのが現状だ。「クラウドサービスの導入時は、企業ITがオンプレミスだけにとどまっていたときには意識する必要のなかったさまざまなセキュリティホールに注意すべきだ」と、企業ITのセキュリティに詳しい日立ソリューションズの扇 健一氏は指摘する。クラウドサービスの活用で意識すべき脅威とセキュリティ対策には、具体的にどのようなものがあるのか。以下前後編にわたり、クラウドサービスの導入における注意点とその対策を紹介する。

クラウドサービスの活用で露見するリスク

　扇氏によれば、クラウドサービスが持つ以下3点の特徴が、オンプレミスだけでアプリケーションを運用していたときには存在しなかったリスクを浮かび上がらせるという。

1. ソフトウェア資産管理がしづらい
2. シャドーITを許容しやすい
3. 問題発生時の原因特定が難しい

1．ソフトウェア資産管理がしづらい