サービスプロバイダーの判断しだいで事業継続が不可能になるという事態を続けざまに見ることになった。ビジネスの中枢を担うシステムをホストしているクラウドが、サービス提供を突然拒んだらどうする?
2021年1月、組織化された暴徒が米国国会議事堂を襲撃した。これを受け、Amazon Web Services(AWS)、Okta、StripeはParlerへのサービス提供を終了または一時停止した。その結果、Parlerのビジネスは事実上停止に追い込まれた。それだけでなく、サービスプロバイダーが好ましくない顧客を「デプラットフォーム(プラットフォームからの排除)」するという意思を公に示すことにもなった。
ビジネスに必須のアプリケーションをパブリッククラウドプロバイダーに依存する企業は多い。そのため、これを目にした経営陣はパブリッククラウドのリスクを改めて評価している。
デプラットフォームは頻繁に行われるわけではない。だが行われているのも確かだ。特定の企業との契約を拒否または解除したり、契約の中止を発表したりしたサービスプロバイダーはこれまでも存在する。
2020年12月、Mastercard、Visa、PayPalはMindGeekの「Pornhub」へのサービス提供を終了した。Pornhubは「YouTube」を模したアダルト動画サイトだ。Salesforce.comも2019年にサービス利用規約の文言を変更し、銃砲店へのサービス提供を拒否できるようにした。
ほとんどのサービスプロバイダーは、利用規定(AUP:Acceptable Use Policy)の順守を顧客に義務付けている。AUPの正確なニュアンスは企業ごとに異なる。だが、ほぼ全てのサービスプロバイダーは最低でも、違法行為や過度のリスクをプロバイダーにもたらすコンテンツを禁止している。
ParlerやPornhubはサービスプロバイダーにとって「過度のリスク」になる。サービスプロバイダーを法的責任から守る法律の存在を考えると、過度のリスクと判断される基準は決して低いものではない。とはいえ、企業がそれまで普通に行ってきたやり方がAUPに抵触する恐れはある。セキュリティプロバイダーがペネトレーションテストやその他の「レッドチーム攻撃」を顧客に実施することが、クラウドプロバイダーのAUPに抵触するかもしれない。
母国では問題がないとしても、他国で違法になる恐れもある。グローバルなサービスプロバイダーを利用している場合、顧客の国では事業が違法になる可能性がある。
顧客がサイバーセキュリティに効果的に対処しておらず、侵害が繰り返されて他の企業やユーザーに危険を及ぼす恐れがあれば、クラウドサービスが一時停止されることもあり得る。例えば侵害されたインスタンスがbotネットの一部として利用された場合などだ。こうしたリスクはあらゆる業界に存在する。自社のサイバーセキュリティが不十分だと認識している経営陣は全員、この点を検討する必要がある。
「社会の声」によってデプラットフォームされることを懸念する顧客もある。社会の声とは、現状改革を求める従業員、株主、法人など、特定の原因によって引き起こされる内外からの圧力を指す。
こうした社会の声による圧力に対する姿勢はサービスプロバイダーによって異なる。だが、リスクの緩和を考えるに当たって世間やメディアの圧力がサービスプロバイダーの意思決定に影響を与える可能性があることを想定しておくべきだろう。
正当に事業を営む企業であれば、サービス提供の一時停止や解除を招く重大なAUP違反に直面することはほとんどない。
とはいえ、リスクを減らすためにもクリックスルー契約(訳注:クリックラップ契約ともいう)ではなく個別契約の締結を交渉することをGartnerは推奨する。パイロットプロジェクトやコロナ禍用の短期的解決策であればクリックスルー契約でも構わない。個別契約への「橋渡し」としてのクリックスルー契約も許容されるだろう。だが、個別契約を結ぶ努力をする必要がある。
少なくとも、リスクの軽減に必要になりそうな修正条項については交渉が必要だ。AUPに関する懸念については、AUPの明確化や例外についての適切な契約文言を使って確実に対処する必要がある。そのような契約は全て、クラウドプロバイダーの契約を吟味した経験がある法律顧問のレビューを受けることが欠かせない。
クラウドでホストされるコンテンツに適切なガバナンスを導入することも重要だ。ユーザーが送信したコンテンツがクラウドにホストされ、それに対する法的責任を自社が負うのだとしたら、全コンテンツに適切なモデレーションとガバナンスを実装する。その対象には顧客、パートナー、サプライヤーと共有する可能性がある環境全てが含まれる。
自動フィルターは役立つ可能性が高いが、適切ではないこともあり得る。一般消費者から送信されるコンテンツをホストする場合は特にそうだ。ユーザーが生成したコンテンツに対するモデレーションが新たな優先事項になるとGartnerは考えている。
Gartnerからの3つ目のアドバイスは、脱クラウド戦略の構築だ。脱クラウド戦略はクラウドプロバイダー関連のリスクを管理する上で欠かせない。脱クラウド向けに対応策を練る際は現実的なシナリオと期間を用い、更新しない旨を通知する場合は契約書に示されている通知期限を忘れないようにする。SaaSの場合、この期間が30日間と短い場合がある。IaaSとPaaSの場合は脱クラウドに1~2年かかるだろう。
「AWS」「Microsoft Azure」「Google Cloud Platform」などのIaaSプロバイダーは、顧客に協力するに当たって誠実な是正努力を求めるエンタープライズ契約を交わす。IaaSプロバイダーは一般的に、違反は意図的なものではないと考えるためだ。顧客がプラットフォームの安全な運用を脅かしていることを理由に、クラウドプロバイダーが強制措置を取らざるを得なくなったとする。その場合でも、その顧客への全サービスを止めるのではなく、顧客の特定の要素を一時停止するか隔離するなど、対象を絞った方法による措置を取る可能性が高い。
正当に事業を運営している企業ではそうしたリスクは低いものの、無視することはできない。少しのデューデリジェンスが、自社のビジネスをデプラットフォームから守る上で大きな役割を果たす可能性がある。
Copyright © ITmedia, Inc. All Rights Reserved.
契約業務の効率化やコストの削減といった効果が期待できることから、多くの企業で「電子署名」の導入が進んでいる。一方で、訴訟問題へと発展した際に証拠として使えるのかといった疑問を抱き、導入を踏みとどまるケースもあるようだ。
半導体ベンダーBroadcomは仮想化ベンダーVMwareを買収してから、VMware製品の永久ライセンスを廃止した。その永久ライセンスを継続する非公認の方法とは。
システム基盤をオンプレミスで運用するか、データセンターやクラウドで運用するかは、業種によって大きく異なる。調査結果を基に、活用の実態を探るとともに、最適なクラウドサービスを考察する。
SaaSサービスが普及する一方、製品の多様化に伴い、さまざまな課題が発生している。特にベンダー側では、「商談につながるリードを獲得できない」という悩みを抱える企業が多いようだ。調査結果を基に、その実態と解決策を探る。
生成AIの活用が広がり、LLMやマルチモーダルAIの開発が進む中で、高性能なGPUの確保に問題を抱えている企業は少なくない。GPUのスペック不足を解消するためには、どうすればよいのか。有力な選択肢を紹介する。
クラウド活用で顕在化するコスト増大と活用スキル不足の課題、解決の決め手は? (2025/5/9)
KDDIの通信品質と事業成長を支える“共通インフラデータ基盤”構築の舞台裏 (2025/3/12)
高まるSaaSバックアップ需要で「ストック収益」を拡大するには (2025/1/22)
大和総研に聞く、基幹システムのモダナイズ推進を成功に導いた四つのポイント (2024/12/23)
「オンプレミス仮想化基盤」のモダナイゼーションに最適なクラウド移行の進め方 (2024/11/11)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
