コントロールと所有を分けたのがクラウド

感覚的議論に陥りやすいパブリック・クラウドのセキュリティー議論ですが、監査役にはこう説明したらという記事を見つけたのでご紹介しましょう。

セキュリティという視点で、クラウドが今までと違うのは、データなどの所有と、そのコントロールを分けた点だというものです。確かに今までは自分のデータは自分が所有して管理することで、セキュリティーが保たれていると主張したりしていました。が、クラウドになると所有自身はクラウド・ベンダーになってしまい、ユーザーとしてはどうコントロールを維持するかが課題です。

セキュリティーが保たれている、コントロールされているということをどう担保するか。それは暗号化といったような技術、そしてSLAといったような契約の二つでそれを維持するという考え方です。

考えてみれば、今までも企業のIT部門はいろいろなものの所有を外に出してきました。給与計算といったバッチ処理などは随分昔から外部委託されていました。こういったものは技術と契約でコントロールするという立場から言えば、暗号化してデータを届け（昔はほとんどしていなかったでしょうが）、守秘義務を中心とした契約でしっかり安全を担保しています。

データセンターのアウトソーシングなども、専用線、センターのセキュリティー技術と対策、そして分厚いSLAの契約の上で、さまざまなシステムを任せるようになりました。また最近ではVPNによって、インターネット上に企業データを流すようにもなりました。これもしっかりした暗号化技術の裏づけ、そして通信キャリアの守秘義務や信頼によるところがあると思います。

こう考えてくれば、クラウドだからといってことさら騒ぎ立てることもないのでしょう。クラウドの特性であるユーザー同士のシステムでの同居によるリスク、インターネット利用のリスクといったものが、いかに技術面で防がれているか。また契約面でそのサービスのレベルと守秘義務がきちんと担保されているかをユーザーとして見極める。こういった一段階レベルの上がった外部の所有を、技術と契約で冷静に評価していけばいいのでしょう。