クラウド検討は現状のセキュリティ調査から

「我が社のIT部門が、わたしのもとに100項目ものセキュリティ要件が記載されたリストを持ってきたのだが、そこでふと気づいたんだ。ちょっと待てよ、そもそも我々自身のデータセンターはこれらの要件のほとんどを満たしていないじゃないかと」。

これは、病院に緊急治療室の管理サービスを提供するSchumacher GroupのCIO、Doug Menefee氏が、クラウドプロジェクトでの経験について、今年の春行われたIDC Cloud Computing Forumで述べたことだそうです。

Schumacher Groupは専任でセキュリティのITスタッフは3名。そんな中でCIOのMenefee氏はセキュリティに関して、「大手のクラウド・プロバイダの方が信頼がおける」と考えているそうです。

また米国のHIPPA法（医療保険の相互運用性と説明責任に関する法律）を順守しているプロバイダには、機密データの保存を委託しているそうです。ただし、Googleのツールを導入するプロジェクトを開始したものの、GoogleはHIPPAの認定を受けていないので、「そこに患者データを保存することはない」とも。自社の守るべきセキュリティと現状をきっちり踏まえた上での意思決定と言えるでしょう。

一方で、CSAJ(社団法人コンピュータソフトウェア協会)が、中小企業を対象にSaaSを選ぶ上でのアンケート調査を昨年実施しています。この中で、「信頼できるベンダーであれば、自社でデータを持つよりSaaSを利用した方が情報セキュリティ面で安心である」という質問をしています。この質問と回答でユニークなのは、SaaSに対して「内容を十分理解している」と自認している企業の回答では、「そう思う」が18.9%と、「ややそう思う」が45.9%、「内容もおおよそ知っている」という企業の回答では、「そう思う」が7.6%と、「ややそう思う」が50.3%となっており、SaaSをよく知っている人ほど、セキュリティ不安が少ないという結果になっています。

このように見ていくと、クラウドのプロバイダのセキュリティに関する信頼度の理解という側面、もう一つは、自社のセキュリティの現状の理解という側面の二つの観点が、クラウドにデータを預けるかという質問に対する答えの大きな要素になっていると思われます。

以前、グリッドや仮想化のセリングをしていたときに多くのお客様から、「うちのサーバーは余っていない」とか、「100%つかっている」という反応を随分いただきました。また、一台に統合すると、それが落ちたら全滅するという信頼性への不安も聞きました。それから何年かたって、今起こっていることは、サーバーやストレージの使用率をきっちりモニターして測定し、その上で、仮想化統合などを設計、実施していくという流れです。また、一台への統合で信頼性が落ちないような設計、ないしはリカバリープランを立てられています。なにか新しい技術の信頼度の理解と、自社の現状に対する理解という二つの軸で同じ流れを感じます。

高度化してきたセキュリティ対策、加速してきたセキュリティ・ベンダーのプロダクトやサービスのリリース。これらに追いついていくのか、外部にまかせるか。いずれにしても、まずは自社のセキュリティの現状を的確に調査、理解することが、適切なクラウドの検討を進めるのに重要なステップと思えてきます。