検索
特集/連載

「過度なクラウド依存」の代償――ベンダーに支配される企業ITの末路ソブリンクラウドの選択肢も視野に

クラウドサービスにおける地政学的リスクが、企業のIT戦略の新たな検討事項となっている。クラウド依存のもたらす地政学的リスクとはどのようなものなのか。

Share
Tweet
LINE
Hatena

 近年の地政学的な出来事により、ITインフラの状況はこれまでになく不安定で、不確実性が高く、複雑になっている。このような情勢下で、企業は国境を越えたクラウドサービスへの依存を再評価し始めている。

 企業は長年にわたり、ベンダーロックインや交渉力の低下、セキュリティベンダーCrowdStrikeが2024年に引き起こしたような大規模障害の可能性といった、クラウドサービスのリスクに直面してきた。これらの課題は、クラウドサービスがもたらすイノベーション(技術革新)や俊敏性、スケーラビリティ(拡張性)とのトレードオフとして受け入れられてきた。

 調査会社Gartnerの調査によれば、これまでユーザー企業にとって優先順位が低かった「データ主権」(データの制御や管理に関する権利)や「ソブリンクラウド」(データ保護に関する各国の法律や規則にのっとることを保証したクラウドサービス)が注目を集めつつある。背景には、地政学的な観点でのクラウドサービス特有のリスクがある。

クラウド依存の裏に潜む「地政学的リスク」の実態

 企業のITシステムはクラウドサービスに大きく依存している。地政学的混乱によって生じるリスクは、制裁や貿易摩擦によるサービス停止だけにとどまらず、政府によるデータ押収や超法規的措置による情報窃取にまで及んでいる。関税やインフレ、為替変動によるクラウドサービス価格の不確実性も懸念材料だ。こうした要因が、クラウド戦略を再び経営レベルの議題へと押し上げている。

 クラウド依存のリスク管理のためには、広範な視点が求められる。ハイパースケール(大規模)クラウドベンダーへの依存だけでなく、IT環境に潜在するあらゆるクラウド依存リスクを見極める必要がある。

 クラウドベンダーへの依存や関連するサードパーティーの重要リスクを最近見直していない組織は、今すぐにでも対策に着手すべきだ。クラウドサービスへの直接的な依存だけでなく、ネットワーク境界の内外を問わずクラウドインフラに支えられているサービスや技術の全体像を把握することから始めるとよい。

 これは、直接的なクラウドサービスの範囲を超えて検討することを意味する。オンプレミスのシステムの多くも、クラウドベースの脅威インテリジェンスに依存するセキュリティ対策や、クラウドを通じて構成および管理されるネットワークやIoT(モノのインターネット)デバイスなど、クラウドに結び付いた機能に依存している。

 実際、従来のハードウェアやソフトウェアであっても、クラウド経由でライセンス供与されているものが増えており、障害時に重大な影響を与える隠れた依存ポイントが存在する。

 依存関係を洗い出す過程では、各クラウドサービスやベンダーの地政学的な影響範囲も考慮しなければならない。ベンダーの本社所在地、契約される場所、サービス提供国といった複数の管轄区域を把握することが必要だ。このような可視化により、ITインフラのどの領域が地政学的リスクにさらされているのかを迅速に特定できる。

 依存関係に対する継続的な把握とモニタリングは、成功の鍵を握る。Gartnerの調査では、一時的な見直しよりも継続的なクラウドベンダーのモニタリングの方が効果的であるとされている。

重要なクラウド依存に対する代替案の検討

 多くの企業はクラウドサービスにおいて必要以上の機能を契約しているが、現実には、代替サービスがあっても、重要なワークロード(タスクや処理)に関しては業務要件を満たし切れない場合がある。場合によっては、そもそも代替手段が存在しないこともある。

 クラウドサービスを切り替える際には、以下のようなトレードオフが発生する。

  • コスト増
  • 導入期間の長期化
  • 運用の複雑化
  • 社内スキルの必要性

 これらは技術的課題にとどまらず、事業判断でもあるため、企業内の関係者を巻き込み、リスク管理を追求する上でどのような犠牲が許容されるかを議論する必要がある。

 検討すべき代替案には、以下のようなものがある。

  • ソブリンクラウドの導入
  • 多国籍クラウドベンダーから国内クラウドベンダーへの移行
  • 特定のクラウドサービスの排除

 これらの対応策を分析することで、どの選択肢が実行可能であり、コストや作業量、導入および運用リスクを評価できる。ただし、安易な切り替えが逆にリスク全体を高める可能性もあるため、慎重な検討が求められる。

シナリオベースの計画立案

 地政学的リスクには差異があり、全ての企業に同じように影響するわけではない。影響の大きさは、関与する管轄区域、クラウド依存の性質と程度によって異なる。

 そのため、現実的に起こり得る状況に応じてクラウドサービスの代替戦略を策定するためには、シナリオプランニングが有効になる。異なるシナリオに応じて、以下のようなプランニング要素が変わるためだ。

  • 対応のタイムライン
  • 契約保護
  • データアクセス
  • ベンダーの協力体制
  • リソースや予算
  • 実現可能な代替手段

 クラウドサービスを中断させ得る地政学的シナリオには、次のようなものがある。

  • 経済情勢による価格高騰
  • 政治的意図による標的化
  • 貿易停止
  • 国境封鎖

 Gartnerの調査によれば、通常の条件下でもクラウドサービスの切り替えには少なくとも2年を要するという。そのため、迅速な移行を目指すなら、相応の事前準備が不可欠になる。場合によっては、地政学的にリスクの高いクラウドサービスの導入自体を避けるという判断も必要だろう。企業は、以上の対策を講じることで、クラウド依存に大きな影響を及ぼしかねない重大な事象に備えることが可能となる。

翻訳・編集協力:雨輝ITラボ(株式会社リーフレイン)

関連キーワード

GDPR(一般データ保護規則) | IaaS | パブリッククラウド


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る