米ボーイングのクラウド採用はセキュリティが最優先:適正評価でクラウド事業者にプレッシャーをかけよ
技術的には実現可能でも、Boeingの複雑な組織構造の中でクラウドコンピューティングを推進するのは困難を極めた。
数年前、BoeingのITセキュリティ専門家、E・J・ジョーンズ氏には名案があった。ソースコード検証アプリケーションを自分の手元からAmazon Web Services(AWS)に移したいと思ったのだ。AWSなら同アプリに最適で、自分のニーズに完ぺきにかない、相対的には破格の料金で、社内インフラチームの負担にもならないはずだった。
問題は、ジョーンズ氏がもともと慎重な性格だったことに加え、勤務先は何事も、特にセキュリティについては軽く受け止めることのない会社だったことだ。Boeingには、、クラウドコンピューティングの概念を組織に浸透させる手段が必要だった。ジョーンズ氏率いるITセキュリティ部門はその手段を見つける責務を担った。
「初期のBoeingアプリの1つをクラウドに置きたかった」というジョーンズ氏が小規模のプロジェクトにクラウドコンピューティングを利用したいと思ったのは、例によってその手軽さ、安さ、速さを考えてのことだった。「われわれには帯域幅が足りない。それならクラウドを使おう」と考えた。
クラウド事業者の選定
技術的には実現可能でも、Boeingの複雑な組織構造の中でそのアイデアを推進するのは困難を極めた。セキュリティチームはクラウドのために一貫性のある現実的なプロセスとフレームワークを開発したい意向だったが、多数の法的、戦略的、実際的障壁に突き当たったという。
それでもジョーンズ氏は突き進み、クラウド事業者が何を提供できて何を提供できないのかを見極めるための方法論を確立した。セキュリティチームはBoeingの通常の業務委託先向けではなく、クラウド事業者向けの標準的な提案依頼書(RFP)から着手した。
「笑うしかないような反応が返ってきた」とジョーンズ氏は振り返る。大抵のRFPで最初にくるのはビジネスニーズであり、セキュリティプロトコルではない。従って同氏のチームの当初の105項目からなる情報提供依頼書(RFI)は少し変わっていた。
しかし返ってきた答えは──大手クラウド事業者や管理型ホスティングの事業者でさえも──経験も知識もない営業宣伝担当者が作成したものであることは明らかだった。事業者に製品の情報を期待することはできないことがはっきりした。
解決策は、事業者を公平なスコアカードで評価することだったという。Boeingは5項目のチェクリストを作成し、各事業者に点数を付けた。チェック項目は「障害がいつどのようにして起きたかをプロバイダーはわれわれに知らせてくれるか」「アップタイムを保証できるか」など。こうしたことができないクラウド事業者が多いとジョーンズ氏は言う。
駄目な項目が1つあれば全面失格にした。セキュリティ専門家として、「相対で評価」して「それなりに」安全なサービスでは許容できなかった。この過程で学んだことでもう1つ驚いたのは、セキュリティが大抵の場合、契約の最初ではなく最後にくることだった。同氏は、以前は無視できていたようなことに関しても知識を身に着けていった。
「わたしは情報セキュリティのプロだが、サービス品質保証契約(SLA)についてはあまりよく知らなかったし、法律のことも知らなかった。しかし今では分かるようになった」(ジョーンズ氏)
クラウドの社内迷路
仕事の大部分は社内調整だったともジョーンズ氏は言う。最高情報セキュリティ責任者(CISO)に調査結果を報告した日のことは忘れない。重要人物である社内弁護士がその場に出席しており、ジョーンズ氏が法務と綿密な打ち合わせをしていたにもかかわらず、その筆頭弁護士はBoeingがITアプリケーションのために社外のサービス利用を検討していることを知らなかった。ジョーンズ氏にとっては大きな驚きだった。あれは興味深い会議だったと同氏は振り返る。
Boeingはクラウドコンピューティング事業者の評価と契約のためのテンプレートを作ることができたが、もっといいセキュリティ基準が採用され、業界に普及していれば、企業にとってもプロバイダーにとっても多くの問題が解消されていたはずだとジョーンズ氏は指摘する。
プロバイダーは企業に足を踏み出させるようなセキュリティの行き届いたサービスを提供すべきだとジョーンズ氏。それ以外のITサービス業界は従来型の製品をクラウドと称して恐ろしいペースで問題を作り出しているともいい、「この用語の乱用のされ方は驚異的だ」と話す。
ジョーンズ氏は現在、Cloud Security Allianceのガイドラインと提言をBoeingで進行中の作業に取り入れている。Allianceの実績は自分自身のラーニングカーブに沿っており、企業の出発点としてふさわしいモデルになるという。同氏の部門は既にクラウド事業者について30件の評価を実施した。近道は存在せず、「セキュリティの観点から多大な時間がかかる」と同氏は言う。
最終的な分析結果として、クラウドコンピューティングは明らかにやる価値があるとジョーンズ氏は明言する。ただし企業が安全にアプローチできる唯一現実的な道は、布教や宣伝の声を遠ざけ、セキュリティ(および法律面)の適正評価を実施してクラウド事業者にプレッシャーをかけ、広く理解されている標準に沿った明確で意味のある技術情報を追求することだ。
「われわれ全員の声が1つになれば、きっと浸透するだろう」とジョーンズ氏は話している。
Copyright © ITmedia, Inc. All Rights Reserved.