【図解】コレ１枚で分かるクラウドでセキュリティをアウトソーシングできる理由

データセンターサービスを"利用しない"理由として「セキュリティ上の不安」が1位

IDCは、「国内データセンターサービス ユーザー調査結果」を発表した。この結果を見て、改めて「セキュリティ」が正しく理解されず、合理的な理由を持たないままに、「不安だから使わない」という感情論的消去法によって、せっかくのメリットを活かせない企業がまだまだ多いことを改めて思い知らされる。クラウドも然りで、「セキュリティ上の不安があるから使わない」という企業は未だ多い。

以前、このブログで書いたが、セキュリティ対策の本質は「脆弱性対策」である。様々な攻撃や不正行為といった「脅威」の対象となる弱点、例えば、ソフトウェアのバグやシステム構成上の不備、管理の不手際などの「脆弱性」を無くすことがセキュリティ対策の要だ。なぜなら、「脅威」は悪意ある相手による行為であるから彼らに頼んでも辞めてはくれない。そんな自らコントロールできないことは対策できないので、自分たちにできること、つまり「脅威」の対象となる「脆弱性」を無くすための取り組みがセキュリティ対策となる。詳しい解説は、この記事をご覧頂きたい。

データセンターやクラウドの場合と自分たちの施設内に設置する場合、どちらもそこで使われているサーバーやOS、ネットワーク機器は基本的に変わらない。ならば潜在的な脆弱性は同じだ。つまり、対策を怠れば、セキュリティ・リスクは高まり、適切に対策すればリスクを小さくすることができる。この点において、両者は同じと言うことになり、「クラウドやデータセンターだからセキュリティ上のリスクが高い」という理屈にはならない。

ただ、クラウドの場合は、もっと積極的にセキュリティ・リスクの低減が図れる可能性がある。例えば、SaaSを利用すれば、アプリケーション・プログラムやミドルウェア、OSやインフラ一切合切をその事業者に任せるわけで、当然それらのセキュリティ対策もアウトソーシングされることになる。PaaSであれば、ミドルウェアやOSなどのプラットフォーム以下、IaaSであれば、サーバーやストレージ、ネットワーク機器やデータセンター設備などのインフラのセキュリティ対策をアウトソーシングできる。

もちろん全ての事業者が適切なセキュリティ対策をしているかどうかは利用者が見極めるべきだが、エンタープライズ・システムの受け皿を標榜している事業者は、可能な限りの最大限の対策をしているといってもいいだろう。

例えば、AWSの場合、DoD SRG; FedRAMP; FIPS; IRAP; ISO 9001; ISO 27001; ISO 27017; ISO 27018; MLPS レベル 3などの主要なセキュリティ認証を取得し、その内容を開示している。一企業でこのような対策をとることは技術的にもコスト的にも容易なことではない。また、24時間365日体制で対応を行っている。果たして一企業でそんな体制を運営できるだろうか。

セキュリティ対策はコストもかかるが、その一方で効果が見えにくい。しかし、効果が見えないと言うことは、セキュリティ対策が効果を上げているとも言える。そんなセキュリティ対策は、そのコストパフォーマンスを説明することが難しいので予算を付けにくい一方で、高い専門スキルとコストがかかる。これを自前で持つのか、アウトソーシングするかだ。

もちろんアウトソーシングにともない「思い通りにできない」というデメリットは生ずる。しかし、その一方で高度なセキュリティ対策を任せることができるメリットは大きい。

ものごとは、常にプラスとマイナスだ。そのプラスとマイナスが結果としてプラスになるのであれば、その価値を最大限に享受できるように自分たちのやり方を変えるのが、当然の合理的な判断と言える。

「分からないから不安である」、「手元にないから心配だ」という感情論で、その価値を活かせないというのであれば、ITを任される資格などない。もっと積極的に「なぜそのサービスがあるのか」を学び、不安を解消し合理的な判断を下すべきだろう。

【最新版】最新のITトレンドとビジネス戦略【2016年9月版】

＊＊＊　全て無償にて閲覧頂けます　＊＊＊

最新版【2016年9月】をリリースいたしました。

今回は全資料について、ノートへの解説を追加しています。また、更新履歴が増えすぎたことで、ダウンロードボタンが押しにくいというご指摘をいだき、過去の履歴を別ファイルに集約して、すっきりさせました。

「ポストSIビジネスのシナリオをどう描けば良いのか」