クラウドの企業利用におけるセキュリティ懸念
【朝メール】20091023より__
===ほぼ毎朝エッセー===
□□クラウドの企業利用におけるセキュリティ懸念
クラウドコンピューティングという言葉が、先日日経新聞の一面に出たことで従来はITと無縁だった人たちからも、その単語を聞くようになりました。実際の各社企業でも「コストダウンのためにクラウドを検討するように」との指示が出ているのではないでしょうか。
クラウド自体の考え方は、その昔からコンピュータの世界にある、外部コンピュータリソースを分割して使うというものと同じです。グリッドコンピューティングという言葉もありました。Googleのエリック・シュミット氏が2006年のSearch Engine Strategies Conferenceで「クラウド」という言葉を使ったことが最初といわれていますが、「雲の向こうに存在しているどこかのコンピュータ」というイメージが受けたのでしょう。この数年、SaaS (Software as a Service) とあいまって積極的にマーケティングのキーワードとして使われてきました。
通信速度が大幅に高速化されて、コンピュータリソースをどこに置いてもそれらがスムーズに利用できるという点、そしてモバイル端末の進化で、どの端末からでも同じリソースにアクセスできるという点でも、この2年ほどで一挙に使い物になってきている感があります。また、コンピュータの管理はプロにまかせて、利用者は利用した分だけ費用を支払うという考え方も合理的です。
いいことずくめに見えるクラウドコンピューティングですが、いざ、企業で使おうとする場合には様々な懸念点が出てきます。とくにセキュリティです。列記してみましょう。
外部にデータがすべて残ってしまう
J-SOX対応などのための、監査向きには、情報が自動的にアーカイブされるようなものでメリットもあります。ところが、どのサービスも「政府指示によりその中身を監査する可能性」は謳っています。例えば国際的な商取引で独禁法違反の疑いがかけられたときに、過去の電子メールなどが外国政府、特にアメリカを中心に分析されてしまいます。各国が自国企業保護へと大きくシフトしている昨今、これがフェアな競争環境を生むとはいえません。ちなみにフランス政府は BlackBerry の政府機関での利用を2年前から禁止しています。カナダの1企業にメール情報が集約されてしまうことを危険視しているわけです。
複数サービスを使う場合の統合管理が困難である
ひとつの会社が提供しているサービスで企業ニーズが満たせることはまれです。必然的に複数のサービスを使っていくことになるのですが、その際のIDやパスワード管理は個人に任されることが多くなります。その統一が各サービスのポリシーの違いなどで困難です。一方、統合できたとしても、例えばひとつのサービスが失態を起こしパスワードが漏れてしまった際に、連鎖的に他サービスのすべての情報が漏れてしまう事態にもなりかねません。
使える端末が指定しづらい
どの端末からでも使えるということはユーザーにとっては大きなメリットですが、そのアクセスする端末を特定できないことは大きな懸念点でもあります。例えば自宅やネットカフェでのパソコンにスパイウェアが仕込まれていて情報を取られてしまうリスクもありますし、携帯電話もAndroidのようにオープンな開発環境が用意されているマルチタスクが可能なものは、時間とともにスパイウェアが出てくる可能性が高いです。企業内部情報を取り扱う端末は、利用企業のコントロール内に置いておく必要があります。
利用ログを社内に残しづらい
利用ログはサービス毎に残りますが、前述の複数サービスと複数端末からピアツーピア型でアクセスされてしまいますと、利用ログの管理が格段に困難になります。そして例えば、ログが残しづらい状態で外部で仕事をしてしまうと、労務上の問題を起こしてしまう可能性も出てきます。企業情報はピアツーピアーでの管理よりはハブアンドスポークスの管理にする必要があります。
サービスから撤退されるリスクがある
クラウドコンピューティングやSaaSは、その必要とされるリソースが肥大化しやすい一方、得られる収入が少なく、また、「いつでもやめられる」というユーザー利点がサービス提供側にはリスクとなります。そのため、一般的には事業化がより困難です。始めてみたものの、採算ラインには乗らず数年後には撤退するという判断はいつでもありえます。それなので、利用企業としては、突然にサービス撤退された際にも、会社業務が止まらないようにリスクヘッジをしておく必要があります。
==
嫌なことばかりを列記しましたが、これらが現在の企業におけるシステム企画に携わる人たちの共通の悩みではないでしょうか。これらを統合して安全に使えるマネジメントシステムが必要になってきています。
さて、手前味噌になりますが、社内外に分散しているウェブシステムやメールデータなどを統合してアクセス管理する方法があります。弊社で自社開発し、ひたすら創り込みを続け、サービス提供しているCACHATTOは、ここのところのこういったニーズに応えるネットソリューションサービス、(Network as a Service: NaaSとでも言うでしょうか?) として、その存在価値を高めています。
従来から我々が提供してきた、管理された様々な端末から、社内の複数システムを利用できるという仕組みが、クラウド時代においてのセキュアゲートウェイとしても、意味合いを急速に強めてきています。モバイル端末から社内メールを見るといった類似の製品は多数ありますが、アクセスのハブアンドスポーク化を含めた統合管理までできる製品は少ないです。おかげさまで、この不況下でも新規採用が勢いをもって広がっています。(幸運に感謝!)