クラウド普及の課題（１） セキュリティ

クラウドコンピューティング市場の成長が期待されているが、普及のあたっての課題も多いと考えています。関さんが、「SLAでの信頼と実績での信頼」というテーマで書かれているように、ユーザから信頼されるサービスであるという裏づけと実績がなければなかなか普及していくことは、難しいでしょう。

クラウド普及にあたって、何回かに分けて課題を整理していきたいと考えています。第一回目はセキュリティを取り上げてみましょう。 

クラウドコンピューティングは雲のようにあちら側がどの場所に置かれているか、どのようなシステム環境になっているのか、基本的にはユーザからはわからない状況です。特に企業の機密情報をクラウドに預けることになれば、保管先がどこにあるかわからないため、非常にリスクが大きいと考えることも多いでしょう。また、情報がクラウドに集中して集まることになれば、ハッカーの格好の標的になることも想定されます。

クラウドサービスがどのようにセキュリティ対策がなされているか、ユーザ側でもある程度状況が確認でき、信頼できる状態にしておくことが求められていくでしょう。 

（財）マルチメディア振興センターが認定する「ASP・SaaS安全・信頼性に係る情報開示認定制度」中では、審査基準において特にセキュリティの部分を重要視しています。その内容の一部をとりあげながら少し整理をしてみましょう。

ちなみに本制度の認定第一号となったのは、セールスフォース・ドットコムが提供する営業支援システムの「Salesforce」です。（認定年月日：平成２０年５月１６日）  

まず、コンプライアンス面です。   
情報セキュリティに関する規定など、コンプライアンスに関わる整備がなされているかが重要なポイントになってくるでしょう。例えば、ISMS認証取得、プライバシーマークの取得等があげられます。

しかし、クラウドサービスを提供しているサービス提供事業者によっては、アメリカ等の海外にデータセンターを設置しているケースも多く、国内の法制度が適用できないケースも出てくることが想定されます。サービス提供事業者がその国においてどのような資格を取得しているか、どのような体制をとっているか、事前に確認しておくことが重要になっていくでしょう。また、将来的には各国が連携してクラウドサービスを提供するデータセンターの規制やデータ保護やプライバシー保護等の法制度の整理を図っていくことが求められていくでしょう。 

システムやネットワークに対するセキュリティ対策も重要です。   
サーバー側のウイルスチェック、そして記録（ログ）やセキュリティパッチ管理を適切にしている点も重要です。ネットワークにおいてもファイアウォール（防火壁）の設置や、ＩＤ・パスワードの運用管理、ユーザ認証や管理者認証がしっかりとなされていることも重要になってくるでしょう。

情報漏洩リスクの高いインターネット回線を利用しないという選択肢も考えていく必要があるでしょう。まだ提供されるサービスは限定されていますが、企業向けのクローズドなネットワークであるVPN（Virtual Private Network）や、今後エリアが拡大される予定の次世代ネットワークのNGN（Next Generation Network）を利用するという選択肢も今後は視野に入ってくるでしょう。 

現在、セールスフォース・ドットコムの「Salesforce」のサービスをＮＴＴコミュニケーションズのＶＰＮ経由で利用することができるため、インターネット回線にセキュリティ等の不安があるユーザにとって選択肢の一つに入るでしょう。また将来はＮＧＮ経由でも利用できるように検討を進めています。

また、クラウドサービスのデータを蓄積しているデータセンターが入退室管理等、物理的にもセキュリティ対策が施されているかの確認も重要となってきます。 

セキュリティへの意識は、これからクラウドサービスを利用しようとしているユーザにとっては不安が高いのですが、いざ利用をしてみると、セキュリティへの不安はそれほど高くはなくなり、運用等他の部分に意識が移る傾向があります。

サービス提供事業者側はしっかりとセキュリティ対策に取り組んでいることを明示し、ユーザ側はしっかりと提供事業者側の取り組みを事前に確認し理解しておくことが重要となっていくでしょう。