クラウドサービス採用で見極めるべきポイント:セキュリティは? プライバシーは?
クラウドベースサービスを早くから採用した企業は多くの障壁に突き当たっている。検討に際しての注意事項をForresterがまとめた。
米Forrester Researchは新しい報告書において、クラウドベースのサービスを検討する際は慎重になるよう、企業に促している。早くから採用した企業は、自社のデータがどこにあるのか分からない、サービスを変更すると決めた場合データがどうなるのか分からない、サービス事業者が顧客のプライバシーをどう守ってくれるのか分からないといった、多くの障壁に突き当たっている。
Forresterの報告書「How secure is your cloud?」(そのクラウドはどの程度安全か)によると、クラウドベースサービスを検討する企業は、サービス事業者と契約する前に、セキュリティ、プライバシー、法的問題についてはっきり理解しておく必要がある。情報セキュリティとコンプライアンス上の優先事項についてチェックリストを作成し、組織的ニーズをクラウドサービス事業者のポリシー/手順と照らし合わせるよう、企業に促している。
報告書を執筆したForresterの主席アナリスト、チェンシ・ワン氏は「大ざっぱな言い方をすれば、社内で発生したニーズをアウトソーシングする際は、ベンダーのセキュリティが自社と同等以上でなければならない」と話す。
企業はまた、コンプライアンス問題にどう影響するか、サービス事業者が情報セキュリティにどう対処するか、会社の知的財産が危険にさらされる恐れはないかどうかについても理解しておかなければならない。多くの場合、災害対策の手順、データの適切な扱い、情報流出が起きた場合のサービス事業者の役割について、契約書で綿密に定めておく必要がある。
ワン氏は言う。「データの所在、イベントのログ、複製の手段、予備インフラといった、クラウドサービスでは見えにくくなりがちな具体的業務には、特に注意を払わなければならない」
ワン氏によると、コスト削減と効率性向上のため、Salesforce.comやプロジェクトコラボレーションサイトなどのクラウドベースサービスに目を向ける企業は多い。Forresterが最近、大企業と中堅・中小企業を対象に実施した調査では、ソフトウェアについて意思決定権を持つ担当者の47%が、SaaS(Software as a Service)を利用あるいは試用しているか、2009年中のSaaS導入を検討していると答えた。
クラウドコンピューティングによって、情報セキュリティとプライバシー問題は複雑になりかねないとワン氏は言う。会社のデータは別のネットワークに置かれるので、企業からは見ることもコントロールすることもできなくなる。中には従業員がITセキュリティ責任者の承諾を得ないまま、クラウドベースサービスを使っている企業もあるという。
「多くの場合、IT部門を通したり、別の管理部門を巻き込んだりすることなく、極めて簡単にサービスの設定ができてしまう。クライアント部分はユーザーのデスクトップ上にあっても、コンテンツは会社の外に存在しているケースが多い」(ワン氏)
Eastman KodakのCISO(最高情報セキュリティ責任者)ブルース・ジョーンズ氏は最近のインタビューで、特定のプロセスについてはクラウドベースサービスの利用を考えていると語った。ただし、会社の情報が危険にさらされるのではないかとの不安から、慎重になっているとも言い添えた。
「『これはクラウドに移せるのか?』といつも尋ねられているが、現時点ではまったく気乗りがしない。大きなメリットがあるとは思えない」とジョーンズ氏は話す。
Kodak研究開発部門の高性能コンピュータプロセスに関しては、クラウドコンピューティングのメリットはあるかもしれないとジョーンズ氏。同部門は膨大な計算をするために、膨大なコンピューティングパワーがオンデマンドで必要になることがあるという。
「これに関してはクラウドのメリットがある程度期待できるだろう。しかし、知的財産を危険にさらしたり、個人情報などの社外秘情報を危険にさらしたりすることがない確実な方法が欲しい」(ジョーンズ氏)
クラウドサービス事業者を徹底調査する上では、監査を行ってその事業者の社内業務についてある程度見通しておくことも必要だとワン氏は指摘する。クラウド事業者は内部監査を受け入れないかもしれないが、「インフラとネットワークについて何らかの形の外部監査」は提示してくるはずだ。目的は、そのサービスがイベントのログをどう使い、バックエンドで実際に誰がデータにアクセスできるのかを理解することにある。
ワン氏によると、クラウドサービスの採用にはコンプライアンス問題も絡んでくる。コンプライアンス問題に対応するには、サービス事業者によるデータの扱い方と事業継続計画も考慮する必要がある。また、各業界特有のコンプライアンス制度も念頭に置かなければならない。
ワン氏は、サービスレベルと契約条件を念入りに精査するよう、顧客にアドバイスしている。極めて標準的なものが大部分ではあるが、中には契約の中の具体的な条件について交渉し、その組織のビジネスプロセスと情報処理手順に合わせた独自の条項を盛り込みたい企業もあるかもしれない。多くの場合、大規模な組織が相手でない限り、クラウドサービス事業者は独自のサービスレベル契約(SLA)や契約条件の交渉にほとんど時間を割いてはくれないだろうとワン氏は言う。
「小規模な顧客が相手では注意を払ってもらえないだろう。しかし大企業なら最大限の努力はしてくれる。そういうものなのだ」(ワン氏)
契約には、もしもSLAが守られなかった場合の措置、サービス契約終了後のデータの扱い、企業に返還されるデータの種類、クラウドサービス事業者が特定の期間内に全データをネットワークから消去するといった内容を盛り込む必要があるとして、ワン氏は次のように話している。
「ベンダーのせいで身動きできなくなって痛い目に遭っている企業も幾つか見てきた。サービスの切り替えが簡単にはできないこともある。切り替える場合、ベンダーに事に当たらせることができれば運がいい。しかし、サービス終了の際のサポート延長が契約で定められていなければ、何もしてもらえないだろう」
関連ホワイトペーパー
クラウドコンピューティング | コンプライアンス | プライバシー | SaaS | 情報流出 | アウトソーシング | Salesforce.com(セールスフォースドットコム)
Copyright © ITmedia, Inc. All Rights Reserved.