最新ITトレンドとビジネス戦略をわかりやすくお伝えします!

「クラウドなんか使って大丈夫なのか?」経営者からのこんな質問にどのように答えればいいか

»

「クラウドなんか使って大丈夫なのか?」

パブリック・クラウドへの移行を検討するある情報システム部長に、経営者はこんな疑問をぶつけました。さて、どう答えればいいのでしょうか。よくありそうな、3つの質問について回答を考えてみました。

4767700249_1318fca82f_o.jpg

クラウド利用の安全性、情報漏洩や改ざんなどの問題はないのか

クラウドだからセキュリティ・リスクが高いと言うことはありません。

セキュリティ対策は「脅威」と「脆弱性」に対処する取り組みです。「脅威」とは、不正侵入やコンピューター・ウイルスなどの外部からの攻撃と社員によるデータの持ち出しや破壊行為などの内部からの攻撃です。一方、「脆弱性」はシステムの弱点であり、脅威はこの脆弱性に対する攻撃なのです。

だれがやっているかも分からない外部からの攻撃は、「しないでくれ」といっても辞めてくれるものではありませんし、社員を教育しても悪いことをする人間を完全に無くすことはできません。ですから、「脅威」を無くすことはできません。一方、「脆弱性」はウイルス対策ソフトを導入し常に最新の状態にしておく、外部から攻撃ができないようなシステム構成にしておく、攻撃されてもすぐに分かるような仕組みを組み込んでおくといったことですから、これは自分たちの責任で対策できることです。

さて、セキュリティを「脅威」と「脆弱性」という観点で見てゆくと、クラウドも自社で所有システムも基本的にはネットワークにつながっているコンピューターです。使っている機材やOSなどの基本的な構成は変わりません。従って、両者にとっての「脅威」はおなじです。

しかし、クラウドでは、専任のエンジニアが24時間365日体制でセキュリティ上の「脆弱性」を排除するための取り組みをしています。また、「脅威」を検知したら直ちに対策を施せる運用体制をとっています。また、人工知能など高度なテクノロジーを駆使して、ネットワークにアクセスしてくる不審な振る舞いを検知する仕組みを取り入れているサービスもあります。このような対策を一企業が行うことは膨大なコストがかかるだけでなく、高度な専門スキルが必要なことから、簡単にはできるものではありません。一方クラウド事業者はそれができなければ誰も使ってくれませんから、そのための投資や人材を惜しみません。

もちろん全てのクラウドでそれができるわけではありませんが、企業の基幹業務の受け皿を標榜しているサービスにとっては前提条件と言えるでしょう。

ただ、どれほど対策が徹底しているサービスでも、それをうまく使いこなすことができなければ、セキュリティ対策はうまくできません。つまり、クラウドであっても自社で所有する場合であっても、適切なセキュリティ対策をしなければ、セキュリティ・リスクは変わらないと言うことです。

ただ、しっかりとした対策をしたいと考えるなら、それに対応できる体制や仕組みが揃っているクラウドをつかうことが賢明だと考えます。これを自社で整えようとするととてつもない費用がかかり人材も採用しなければなりません。言い換えれば、クラウド・サービスを使うことで、こういうセキュリティ対策を自社でやるのではなくクラウド事業者にアウトソーシングすることができるのです。

【追記】調査会社アイ・ティ・アール株式会社(ITR)レポートが参考になるとアドバイスを頂きましたので追記致します。

外部サービスを利用すると、容易にそのサービスをやめることができず、値上げなど、その会社のいいなりになるのではないか

クラウドだから「いいなりになる」リスクが高まるとは言えません。

クラウド・サービス基盤はオープン・テクノロジーです。従って、他のサービスに乗り換えることは可能です。ただし、各クラウド・サービスはユーザーの利便性を考えて、独自のサービスを提供しています。それをうまく使うことは、構築や運用の生産性を高めコストを下げることに役立ちます。しかし、一方で過度に依存してしまうと乗り換えが難しくなってしまうこともまた事実です。これは、自社で所有する場合でも同じ話であり、独自の仕組みを必要以上に作り込み、それに依存するシステムを作ってしまうと、もっといいテクノロジーが登場しても容易に利用できなくなってしまいます。

大切なことは、オープンと利便性をうまくバランスして、システムを設計することです。また、システムの基盤がオープンであること、さらには、各サービス事業者が同様のオープン・システム基盤で作られているので、価格競争を繰り広げているのが現実です。それをうまく利用する、こちらとしての取り組みが必要になります。

クラウド利用時「米パトリオット法」によりシステム利用に制限がかけられたりしないか

2013年5月31日に米国大使館で行われたセミナーで、「米国が日本のデータセンターのデータを直接差し押さえることはない」という見解が示されています。

パトリオット法は、2001年の同時多発テロ事件後に、捜査機関の権限を拡大する法律として成立しました。捜査令状に基づいて情報通信に関連しては、電話回線の傍受、インターネット・サービス事業者における通信傍受、サーバーなどの機器の差し押さえ、電子メールやボイスメールの入手、プライバシー情報の提出などを求めることを可能としています。

ただ、この法律は米国の国内法であり、米国のクラウド事業者が日本国内にデータセンターを設置する場合、捜査権は我が国にありますから、必要とあれば米国からの要請を受け、国内法に照らし合わせて対応するというのが現実的と言えるでしょう。

ただ、米国に限ったはないしではありませんが、海外のデータセンターを使用する場合は、その国の法律や捜査権が及ぶことになりますから、それを使う場合は、そのリスクを考慮した上でデータやアプリケーションなどの配置を考える必要があります。

なお、考慮すべき法律はパトリオット法以外にもあります。これらは、クラウドだからという問題ではなく、情報システムを扱う上では考慮しなくてはなりません。

EUデータ保護指令(Data Protection Directive)

EU内の住民の個人情報に関して十分なデータ保護レベルを確保していない第三国へのデータの移動を禁止

外国為替及び外国貿易法(外為法)

国際的な平和及び安全の維持を妨げることがないよう、特定の技術を特定の外国において提供する際や特定の外国人・外国企業に提供する際には、経済産業大臣の許可が必要と規定

米国輸出管理規則

自国で開発されたソフトウェアの輸出を規制

不正競争防止法

「営業秘密管理指針」において、営業秘密としての保護を受けるためには、「当該情報を他情報と区別して、より高度な管理を行うことが望ましい」旨を定めている

e-文書法(民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律)

記録を外部のサーバーへ保管することに関しては必ずしも考慮されていないため、個別の法令によっては、データの外部保存に関して一部制約が残っている

医療情報システムの安全管理に関するガイドライン

医療情報の取り扱いに関するガイド

クラウドと法律に関し、参考になる情報を以下に紹介しておきます。

いかがでしょうか?クラウドへの誤解をなくし、より一層の活用を促すために、ご意見や誤りへの指摘などありましたらFacebookへコメントをお願いします

【最新版】最新のITトレンドとビジネス戦略【2016年2月版】

*** 全て無償にて閲覧頂けます ***

LIBRA_logo

【新規登録】新入社員研修のための2つの教材を登録しました。

新入社員研修のための教材を公開しました。基礎的なことですが、これだけは知って欲しいという内容をできるだけ平易な文章と図解で紹介しています。プレゼンテーションだけではなく、教科書としてMS Wordの解説資料も合わせて掲載しています。

まもなく始まる新入社員研修や基礎的なことが不安という方の復習用にもご活用下さい。

【ITの基礎】

  • プレゼンテーション(pptx形式:31ページ)
  • 教科書(docx形式:23ページ)

【情報システムの基礎】

  • プレゼンテーション(pptx形式:10ページ)
  • 教科書(docx形式:15ページ)

【更新】最新のITトレンドとビジネス戦略

人工知能に関連した記述を増やしたこと、および、ITや情報システムの基礎的な知識については、「新入社員のための研修教材」として切り出し、そちらでより詳しく解説しています。

【サービス&アプリケーション編】(204ページ)

*スマートマシンと人工知能について、資料を刷新致しました。

  • 2045年までのスマートマシンのロードマップを追加しました。P.119
  • スマートマシンが労働にもたらす影響について追加しました。p.126-128
  • 自動運転車の動向について追加しました。p.129-130
  • 人工知能についてのページ順序を変更しました。
  • 従来の機械学習とディープラーニングの違いを図表に組み込みました。p.149-150

【ビジネス戦略編】(86ページ)

  • 営業人材の育成について、「営業の能力モデル」についての解説を追加しました。( p.72-75)

【インフラ編】(246ページ)

  • 変更はありません。

LIBRA_logo

「ポストSIビジネスのシナリオをどう描けば良いのか」

Amazonでの予約が始まりました。出荷は、1月26日を予定しています*

これまでと同じやり方では、収益を維持・拡大することは難しくなるでしょう。しかし、工夫次第では、SIを魅力的なビジネスに再生させることができます。

その戦略とシナリオを一冊の本にまとめました。

「システムインテグレーション再生の戦略」

si_saisei_w400

  • 歴史的事実や数字的裏付けに基づき現状を整理し、その具体的な対策を示すこと。
  • 身の丈に合った事例を紹介し、具体的なビジネスのイメージを描きやすくすること。
  • 新規事業を立ち上げるための課題や成功させるための実践的なノウハウを解説すること。

また、本書に掲載している全60枚の図表は、ロイヤリティ・フリーのパワーポイントでダウンロードできます。経営会議や企画書の資料として、ご使用下さい。

こんな方に読んでいただきたい内容です。

SIビジネスに関わる方々で、

  • 経営者や管理者、事業責任者
  • 新規事業開発の責任者や担当者
  • お客様に新たな提案を仕掛けようとしている営業
  • 人材育成の責任者や担当者
  • 新しいビジネスのマーケティングやプロモーション関係者
  • プロジェクトのリーダーやマネージャー
Comment(0)

コメント

コメントを投稿する