「デプラットフォーム」による事業継続性リスクを軽減する方法：クラウド利用の新たなリスク

サービスプロバイダーの判断しだいで事業継続が不可能になるという事態を続けざまに見ることになった。ビジネスの中枢を担うシステムをホストしているクラウドが、サービス提供を突然拒んだらどうする？

[Lydia Leong，Computer Weekly]

　2021年1月、組織化された暴徒が米国国会議事堂を襲撃した。これを受け、Amazon Web Services（AWS）、Okta、StripeはParlerへのサービス提供を終了または一時停止した。その結果、Parlerのビジネスは事実上停止に追い込まれた。それだけでなく、サービスプロバイダーが好ましくない顧客を「デプラットフォーム（プラットフォームからの排除）」するという意思を公に示すことにもなった。

　ビジネスに必須のアプリケーションをパブリッククラウドプロバイダーに依存する企業は多い。そのため、これを目にした経営陣はパブリッククラウドのリスクを改めて評価している。

クラウド契約解除の理由

　デプラットフォームは頻繁に行われるわけではない。だが行われているのも確かだ。特定の企業との契約を拒否または解除したり、契約の中止を発表したりしたサービスプロバイダーはこれまでも存在する。

　2020年12月、Mastercard、Visa、PayPalはMindGeekの「Pornhub」へのサービス提供を終了した。Pornhubは「YouTube」を模したアダルト動画サイトだ。Salesforce.comも2019年にサービス利用規約の文言を変更し、銃砲店へのサービス提供を拒否できるようにした。

　ほとんどのサービスプロバイダーは、利用規定（AUP：Acceptable Use Policy）の順守を顧客に義務付けている。AUPの正確なニュアンスは企業ごとに異なる。だが、ほぼ全てのサービスプロバイダーは最低でも、違法行為や過度のリスクをプロバイダーにもたらすコンテンツを禁止している。

　ParlerやPornhubはサービスプロバイダーにとって「過度のリスク」になる。サービスプロバイダーを法的責任から守る法律の存在を考えると、過度のリスクと判断される基準は決して低いものではない。とはいえ、企業がそれまで普通に行ってきたやり方がAUPに抵触する恐れはある。セキュリティプロバイダーがペネトレーションテストやその他の「レッドチーム攻撃」を顧客に実施することが、クラウドプロバイダーのAUPに抵触するかもしれない。

関連記事

• 企業に広がる「パブリッククラウドからオンプレミス」への移行
• クラウドファーストの終焉――クラウドへの集約とエッジへの分散
• 安易なクラウド利用契約に潜むリスクとその回避策
• 財務担当者が震え上がるクラウド料金払い過ぎ問題
• クラウド市場で進む寡占化、得する人損する人

　母国では問題がないとしても、他国で違法になる恐れもある。グローバルなサービスプロバイダーを利用している場合、顧客の国では事業が違法になる可能性がある。

　顧客がサイバーセキュリティに効果的に対処しておらず、侵害が繰り返されて他の企業やユーザーに危険を及ぼす恐れがあれば、クラウドサービスが一時停止されることもあり得る。例えば侵害されたインスタンスがbotネットの一部として利用された場合などだ。こうしたリスクはあらゆる業界に存在する。自社のサイバーセキュリティが不十分だと認識している経営陣は全員、この点を検討する必要がある。

　「社会の声」によってデプラットフォームされることを懸念する顧客もある。社会の声とは、現状改革を求める従業員、株主、法人など、特定の原因によって引き起こされる内外からの圧力を指す。

　こうした社会の声による圧力に対する姿勢はサービスプロバイダーによって異なる。だが、リスクの緩和を考えるに当たって世間やメディアの圧力がサービスプロバイダーの意思決定に影響を与える可能性があることを想定しておくべきだろう。

リスク軽減には何をすべきか

　正当に事業を営む企業であれば、サービス提供の一時停止や解除を招く重大なAUP違反に直面することはほとんどない。

　とはいえ、リスクを減らすためにもクリックスルー契約（訳注：クリックラップ契約ともいう）ではなく個別契約の締結を交渉することをGartnerは推奨する。パイロットプロジェクトやコロナ禍用の短期的解決策であればクリックスルー契約でも構わない。個別契約への「橋渡し」としてのクリックスルー契約も許容されるだろう。だが、個別契約を結ぶ努力をする必要がある。

　少なくとも、リスクの軽減に必要になりそうな修正条項については交渉が必要だ。AUPに関する懸念については、AUPの明確化や例外についての適切な契約文言を使って確実に対処する必要がある。そのような契約は全て、クラウドプロバイダーの契約を吟味した経験がある法律顧問のレビューを受けることが欠かせない。

　クラウドでホストされるコンテンツに適切なガバナンスを導入することも重要だ。ユーザーが送信したコンテンツがクラウドにホストされ、それに対する法的責任を自社が負うのだとしたら、全コンテンツに適切なモデレーションとガバナンスを実装する。その対象には顧客、パートナー、サプライヤーと共有する可能性がある環境全てが含まれる。

　自動フィルターは役立つ可能性が高いが、適切ではないこともあり得る。一般消費者から送信されるコンテンツをホストする場合は特にそうだ。ユーザーが生成したコンテンツに対するモデレーションが新たな優先事項になるとGartnerは考えている。

　Gartnerからの3つ目のアドバイスは、脱クラウド戦略の構築だ。脱クラウド戦略はクラウドプロバイダー関連のリスクを管理する上で欠かせない。脱クラウド向けに対応策を練る際は現実的なシナリオと期間を用い、更新しない旨を通知する場合は契約書に示されている通知期限を忘れないようにする。SaaSの場合、この期間が30日間と短い場合がある。IaaSとPaaSの場合は脱クラウドに1〜2年かかるだろう。

　「AWS」「Microsoft Azure」「Google Cloud Platform」などのIaaSプロバイダーは、顧客に協力するに当たって誠実な是正努力を求めるエンタープライズ契約を交わす。IaaSプロバイダーは一般的に、違反は意図的なものではないと考えるためだ。顧客がプラットフォームの安全な運用を脅かしていることを理由に、クラウドプロバイダーが強制措置を取らざるを得なくなったとする。その場合でも、その顧客への全サービスを止めるのではなく、顧客の特定の要素を一時停止するか隔離するなど、対象を絞った方法による措置を取る可能性が高い。

　正当に事業を運営している企業ではそうしたリスクは低いものの、無視することはできない。少しのデューデリジェンスが、自社のビジネスをデプラットフォームから守る上で大きな役割を果たす可能性がある。