書いてあること
- 主な読者:クラウドの利用を検討しているが、よく理解できていない経営者
- 課題:サービス自体は便利そうだが、情報漏洩のリスクなどセキュリティー面が心配
- 解決策:多くのクラウドは、データの暗号化など一定のセキュリティー機能を備えている。自社のセキュリティー要件を満たせるかを利用前にクラウド事業者に確認する
1 そもそもクラウドって何?
クラウドは、サーバーが内蔵するCPU(プロセッサ)やストレージなどといったハードウエアのリソース、またはアプリケーションが備える各種機能などをインターネット経由で提供するという概念、サービスを指します。
クラウドには、SaaS(Software as a Service、サース)、PaaS(Platform as a Service、パース)、IaaS(Infrastructure as a Service、イアースまたはアイアース)の3種類があります。
SaaSは、アプリケーションが備える各種機能を提供するサービスです。具体的には、メールやチャット、路線検索などの個人向けのサービス、グループウエアやCRM(顧客関係管理)、資材調達などの企業向けのサービスを提供します。対応している分野が幅広いため、一般的には「クラウド=SaaS」と解釈されることが多いようです。
PaaSは、アプリケーションを開発したり稼働させたりする環境を提供するサービスです。具体的には、アプリケーションの開発ツール、データベースなどを提供します。アプリケーションの開発に携わるエンジニアなどの利用を想定しています。
IaaSは、ハードウエアのリソースを利用者に提供するサービスです。CPUによる演算処理能力、メモリーやストレージといったデータ記憶能力などを提供します。SaaSやPaaSの土台を構成するサービスで、必要な処理性能や容量を利用者が自由に組み合わせられるのが特徴です。
2 クラウドのメリットは?
クラウドは、サーバーやストレージ、アプリケーションなどの導入費が掛からず、CPUの性能やメモリー、ストレージの容量といったハードウエアのリソースを柔軟に変えられます。そのため、企業は事業の成長スピードに応じて、必要な性能のハードウエアを都度調達できます。
例えば、利用するユーザー数が増えればハードウエアのリソースを動的に追加し、減れば元に戻すといった運用が可能です。オンプレミス(自社保有)のサーバーなどは、事業がどの程度成長するかを予測して機種を選択するため、予測が外れた場合、導入した機種の性能が実情に合わなくなってしまう恐れがありますが、クラウドではその心配がないわけです。
また、大事なデータをオフィス以外の別の場所に退避しておけるのもメリットです。被災によるデータ喪失のリスクを低減することで、事業の早期再開が見込めるようになります。
3 クラウドのセキュリティーって大丈夫?
多くのクラウドが、保管するデータを暗号化したり、データにアクセスする利用者を認証したりするセキュリティー機能を備えています。クラウドを利用する企業ごとに異なるセキュリティーポリシーを満たせるように、利用者がこうした機能を選択利用できるのが一般的です。「オンプレミスだから安心、クラウドだから危険」という考えではなく、オンプレミスとクラウドのどちらの運用形態でも必要なセキュリティー対策を施さなければなりません。
クラウドを利用する場合、クラウド事業者がどんなセキュリティー機能を提供しているのかを把握し、自社のセキュリティー要件を満たせるのかを確認することが大切です。中には、データを事前に暗号化してからクラウド上のストレージに保管したり、クラウド利用者や権限を社内で制限したりするなど、利用する企業側でセキュリティー対策を事前に講じた上で運用しなければならないこともあります。特にSaaSを利用する場合、セキュリティー機能のレベルはSaaSごとに大きく異なるため注意が必要です。
4 クラウドに預けたデータはどこに保管される?
データはクラウド事業者が利用するストレージに保管されることが大半です。ストレージが実際にどこにあるのかはクラウド事業者によって異なるため、データをクラウドに保管する場合は、国内か海外かを事前に確認する必要があります。もっとも国内でSaaSを利用する場合、多くのサービスがデータを国内に保管していると考えてよいでしょう。知らない間にデータが海外にあるストレージに保管されていた、ということはありません。
クラウド上のストレージがある場所は、国内なら東日本か西日本かといったおよその地域は分かるものの、セキュリティー上の理由から住所まで把握できることは原則ありません。クラウドを検討する上でデータ保管先の住所を事前に知りたい場合、SaaS事業者などと機密保持契約(NDA)を締結すれば教えてくれることがあります。
SaaSを利用するときはデータの所在を明らかにするため、SaaS事業者に対し、自社独自のPaaSやIaaSを使っているのか、どの事業者のPaaSやIaaSを使っているのかを確認しておくのが望ましいでしょう。
5 クラウド事業者がデータを見ているってホント?
クラウド事業者の従業員が、クラウドに保管されているデータを見ることはありません。クラウド事業者がセキュリティー上のリスクをわずかでも高める行為はしません。
もっとも、利用者の「振る舞い」を監視するクラウド事業者はあるかもしれません。例えば、アクセス数が増えるのはいつごろか、どんな機能が多く利用されているのかなどの情報を、サービス改善などに役立てるクラウド事業者は少なくないようです。
また、データを海外に保管する場合、その国の「検閲」によってデータを見られる可能性があります。どの国が、いつ、どの企業の、どんなデータを検閲するのかは不明ですが、データを海外に保管する可能性がある場合、こうしたリスクも踏まえておくべきです。
6 データのバックアップは自前でしないとダメ?
クラウド事業者が、利用者から預かるデータを自らバックアップすることは原則ありません。ただし、クラウド事業者の中にはバックアップサービスをオプションとして提供している事業者もあります。利用者はこうしたサービスを申し込むことで、バックアップ環境を容易に構築できます。
バックアップ用のデータを社内に設置するオンプレミスのストレージに保管したり、別のクラウドと契約して異なる地域に保管したりすることもありますが、いずれにせよ、データの容量や使用頻度、重要度などに応じて、自社の要件を満たすバックアップ環境を構築することが大切です。
7 災害が発生してもクラウドを利用し続けられる?
災害時にクラウドを利用できるかどうかは、クラウドの提供元となるサーバーやストレージ、アプリケーションなどが無事かどうかに依存します。これらを設置する施設(データセンターなど)が被災せず、インターネットが断絶していなければ、これまで通り利用できます。しかし、施設への電力供給が途絶えたり、インターネットが断絶したりすると利用できなくなる可能性があります。
なお、クラウド事業者が利用するデータセンターの中には、特定エリア内に複数の施設を設置していることがあります。エリア内にある特定のデータセンターが被災したからといって、クラウドが必ずしも利用できなくなるわけではありません。
また、データセンターの中には、無停電電源装置(UPS)と呼ぶ自家発電装置を設置するとともに燃料を備蓄し、数日程度はサービスを提供し続けられるようにする施設があります。2つの電力会社と契約し、どちらかの電力供給が途絶えても一方の電力を使うことで停電を回避する施設もあります。
クラウドの利用を検討する際は、サービスの提供元となるデータセンターの設備にも目を向けるべきでしょう。SaaSを利用するときはSaaS事業者に対し、データセンターの設備や災害発生時の対応内容を確認しましょう。
8 クラウドを解約する前に確認することは?
クラウドは一般的に、不要になったタイミングで自由に解約できます。月額課金の場合、残りの契約期間分の料金は返金されないものの、違約金などは発生しないケースが大半です。時間単位の使用料を課すクラウドなら、無駄な料金はほぼ発生しません。サービス利用料の支払日や支払い方法によって利用期間が異なることもあるため、解約を申し出たときのサービス終了日を事前に確認しておくとよいでしょう。
解約することを想定し、データの取り出し方を事前に把握しておくのが望ましいでしょう。データ容量が大きい場合、インターネット経由ではなくDVDメディアなどに記録して取り出せるのか、ファイル形式をcsvなどに指定できるのか、いつまでに取り出せばよいのかなどを確認します。他のクラウドに切り替えるなら、新たに利用するクラウドにデータを直接アップロードできる方法も調べておくとよいでしょう。また、解約するクラウドを他の自社システムなどと連携して使用中の場合、解約によって連携先のシステムに影響が出ないかも調べておくようにします。
以上(2021年2月)
pj60142
画像:photo-ac