クラウドセキュリティにコストをかける覚悟はあるか：セキュリティ、そろそろ本音で語らないか（16）（2/3 ページ）

» 2010年08月09日 10時00分公開

自社ビルが欲しい理由、自社ビルがいらない理由

　そもそも他社と同居しない仮想サーバと、自社のハードウェア資産で運用する仮想サーバでどれだけセキュリティが違うのでしょうか。

　物理的に独立した環境のサーバであれば安全になっているように見えますが、それと引き換えに、「可用性」というセキュリティの中でも重要な要素が損なわれてしまうかもしれません。新しい技術には犠牲が必要ですが、自社がそうならないとも限りません。

　日本には、本格的な仮想サーバシステムの運用経験を持つ技術者はほとんどいないでしょう。まして、いまは技術の進歩がとても速く、技術者はそれについていくだけの高いスキルを持ちつつ、“雲をつかむような”未知の障害対応に臨まなければならないのです。

　自社所有のプライベートクラウドというのは、自社ビルと賃貸ビルの違いに似ています。会社がある程度の大きさになれば自社ビルが欲しくなります。しかし、ひとたび自社ビルを持ってしまえば、さまざまな制約も受けます。会社の大きさが変わっても縮小も拡大もできなくなりますし、空調や電源、警備なども自前で調達して運用しなければいけません。

　賃貸ビルなら必要最小限から始めて、環境に応じて大きくしたり小さくしたり、引っ越しだって簡単です。もちろん、自社ビルには自社ビルのメリットがありますが、セキュリティという観点で考えた場合はどうでしょうか。

　賃貸ビルで他社と同居する場合、セキュリティの高い自社ビルとどれくらい安全性の差があるでしょうか。気分の問題はあると思いますが、私は大きな差はないと考えます。むしろ、身内ばかりと気を緩めている方が危ないこともあるかもしれません。雑居ビルであっても、それなりのセキュリティ対策をしていれば、自社ビルと変わらないセキュリティが保てます。

可用性の高さはコストに比例する

　この話と、プライベートクラウドとパブリッククラウドの違いも同じようなことがいえます。つまり、プライベート／パブリックで、機密性には大きな違いはありません。

　パブリッククラウドであれ、プライベートクラウドであれ、可用性はかけたコストと比例します。このコストが大きな問題になります。こなれた技術なら自社運用も考えられるかもしれませんが、クラウドは未知の領域です。ベンダから高額な保守サポート料金を請求されても文句はいえませんし、ひょっとしたら、ベンダの教育に使われているかもしれません。

　所有して専有すればセキュリティが向上する、あるいは確保できるというのは、リスクを分析できずコスト判断できないときに選んでしまいがちな安易な選択です。もちろん、特殊なデータやシステムでは高度なセキュリティが要求され、リスクとコストを検討した結果、“所有”する方法を選ぶかもしれませんが、可用性を考慮するとクラウド技術を利用せず、従来のシステム構築手法を選択することが多いでしょう。

　他社との同居を望まないのであれば、自社ビルにサーバを設置して、空調も電源も管理し、技術レベルは特A級の信頼できる技術者を確保して……という「要塞」のようなシステム運用を行って、はじめて「自社所有、かつ自社運用しているから大丈夫」といえるのではないでしょうか。

　実際には、サーバは自社にあるものの賃貸オフィスであったり、自社にあるからと慢心して入退管理がずさんだったりということは少なくありません。あるいは、管理はベンダに丸投げで、そのベンダも派遣社員や関連会社の社員に作業をさせる……ということは珍しくありません。

　こういう状況にあれば、むしろ複数の厳しいクライアントに管理体制を問われ続けている「データセンター業者」に預けた方がむしろ安全である、といえるかもしれません。

　レンタルサーバやサーバラックの貸し出しをメインにしているデータセンター業者の場合には、事前登録や入室の際の認証などが厳しいとしても、不特定多数が出入りしています。これに対して、クラウドサービスのみを提供しているデータセンター業者には、その関係者しか立ち入ることはないので、物理的なセキュリティは高まると考えられます。さらに、入社年数や技術訓練などの一定の規定をクリアした作業者のみが立ち入れるように運用されていれば、さらにセキュリティは高まり、自社運用と比べてもコストメリットは大きくなります。