「脱クラウド」したくなるセキュリティ問題 クラウドが狙われる理由とは？：「脱クラウド」が意味するもの【第3回】

クラウドサービスの利用で企業が懸念するポイントの一つがセキュリティだ。これがクラウドサービスからオンプレミスのインフラに回帰する「脱クラウド」の主要な要因にもなっている。

[遠藤文康，TechTargetジャパン]

　クラウドサービスからオンプレミスのインフラに移行する「脱クラウド」（「オンプレミス回帰」とも）の動きは決して小さくない。調査会社IHS Markitが、米国に拠点を置く350社に対して調査した結果によれば、約74％の企業が一度クラウドサービスに移行させたシステムをオンプレミスのインフラに戻した経験があると回答している。これは米国を中心とした調査だが、国内でも同様の動きはある。

併せて読みたいお薦め記事

クラウド運用の注意点

• なぜ企業は“脱クラウド”“オンプレミス回帰”に踏み切るのか
• 「マルチクラウド」運用に失敗しないための3つのステップ

「脱クラウド」の事例

• Dropboxはなぜ「AWS」からオンプレミスへの回帰を選んだのか
• “脱クラウド”に踏み切ったHR企業　原因は中途半端な「リフト＆シフト」
• ひかりTVが「クラウドストレージ」をやめて「オンプレミス」に回帰した理由

　オブジェクトストレージベンダーCloudianの日本法人クラウディアンのヒアリングによれば、同社製品を導入した国内企業のうち「3〜4割ほどはパブリッククラウドからの回帰組」だという。Cloudianは、Amazon Web Services（AWS）のクラウドストレージ「Amazon S3」のAPI（アプリケーションプログラミングインタフェース）互換性を持つオブジェクトストレージ製品を開発・販売する。

　脱クラウドが起こる理由として、クラウドサービスのコストや運用管理の問題があることは、第2回の「『脱クラウド』はなぜ起きる？　“コスト”や“運用管理”における企業の悩み」で紹介した。クラウディアンの代表取締役を務めるブライアン・バーンズ氏が、脱クラウドを引き起こすもう一つの要因として指摘するのが「セキュリティ」だ。

脱クラウドをしたくなる「セキュリティ」面の理由

　企業を不安にさせる要因は、クラウドサービスで運用するシステムからのデータ漏えいだ。AWSのような世界的に導入が進むクラウドサービスならば、自社で構築するよりもセキュリティ面で安全なインフラを利用できると考える企業は珍しくない。クラウドベンダーが日々、大小含めさまざまなセキュリティ機能を追加しているため、新しいセキュリティ技術を利用しやすい利点もある。それでもインシデントは発生する。

　主要なクラウドサービスは世界中で大量のユーザー企業を抱えている。これが原因で「そもそもクラウドサービスは攻撃者の標的にされやすい」とバーンズ氏は語る。さらにリスクを生み出す可能性があるのは、クラウドサービスが「責任共有モデル」によってベンダー側とユーザー企業側が担うセキュリティ対策の責任範囲を明確に分けていることだ。

　現状、AWSなどの主要クラウドベンダーの責任共有モデルでは、ベンダー側はサーバやストレージ、ネットワークといったインフラ部分のセキュリティ対策の責任を持つ。その上位レイヤーであるアプリケーションやOS、データのセキュリティはユーザー企業自らが担う。

　クラウドサービスからのデータ流出の主要な要因となっているのが、ユーザー企業側の設定ミスだ。脆弱（ぜいじゃく）性がある状態でシステム運用を続けるミスをなくせば、インシデントを抑止できる可能性がある。だが設定担当者が、不注意による自分のミスに気付くのは簡単なことではない。それよりも先に攻撃者が脆弱性に気付けば、知らない間にデータを抜き取られる可能性が高くなる。クラウドサービスではデータへのアクセス権限を適切に設定しなければ、インターネットに機密情報を公開してしまう可能性もある。これらのリスクを嫌い、重要なデータをオンプレミスのインフラで保管する方針に切り替える企業もある。

　オンプレミスのインフラからクラウドサービスへの移行（以下、クラウド移行）をこれから検討する企業にとって、セキュリティはクラウド移行すべきか否かを考える上での重要な検討事項になる。

---

　クラウド移行を選ぶとしても、脱クラウドを選ぶとしても、コストだけではなく、本稿で紹介したセキュリティを含めさまざまな要素を検討する必要がある。次回は別の視点から脱クラウドを引き起こす可能性がある要因を検討するとともに、オンプレミスのインフラとクラウドサービスを使い分けるポイントを考える。