ソーシャルメディアプラットフォームの「Parler」が最近、クラウドなどのプラットフォームから締め出された。こうした動きをきっかけに、企業は、ITサービスプロバイダーに依存したビジネスのリスクについて、理解を深めようとしている。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
2021年1月6日、米国連邦議会議事堂に暴徒が侵入したことを受け、Amazon Web Services(AWS)やOkta、StripeなどのITサービスプロバイダーは、(こうした暴徒を含む極右ユーザーが多かった)Parlerへのサービスの提供を一時停止または終了した。これにより、Parlerのビジネスは事実上停止に追い込まれた。こうしたプロバイダーのサービス打ち切りによるプラットフォームからの排除は「デプラットフォーム」と呼ばれる。Parlerなどのデプラットフォームの事例を踏まえ、ビジネスリーダーは、重要なオンラインサービス契約が解除された場合、自社がいかに危ういかを理解し、リスク管理戦略を再検討しようとしている。
デプラットフォームは頻繁に起こるわけではないが、事実として起こっている。ITサービスプロバイダーが特定の企業との契約を拒否したり、解除したり、サポートを停止すると発表したりしている。
例えば、PayPalは今後、アダルトビデオコンテンツプラットフォーム「PornHub」の出演者の決済を処理しないと発表した。Salesforceも、2019年にサービス規約の文言を変更し、顧客企業に対して特定の種類の銃器(ライフル、ピストルなど)の小売販売を禁止した。
サービスプロバイダーは、サービス規約の重大な違反があった場合に契約を解除することや契約を更新しないこと、あるいは契約非更新のみが合理的な選択肢となるような、魅力的でない条件を提示することが可能だ。これはクラウドサービスプロバイダーだけでなく、決済処理事業者や電子商取引サービスプロバイダー、従来型のホスティング事業者、多くの基幹インターネットインフラストラクチャプロバイダーにも当てはまる。プロバイダーがサービス契約を解除すると、解除された企業のビジネスに重大な影響が及ぶ可能性がある。
サービスプロバイダーがサービスを一時停止したり、打ち切ったりする場合には共通した理由があり、一部の企業は、プロバイダーから否定的な扱いを受けるリスクが高いかもしれない。全ての企業がこのリスクを評価し、最小化できる。
ほとんどのITサービスプロバイダーは、契約書の中で顧客が利用規定(AUP:Acceptable Use Policy)に順守してもらうことを要求する。AUPの厳密なニュアンスはサービスプロバイダーによって異なるが、ほぼ全てのプロバイダーが、最低でも違法行為やプロバイダーを過剰なリスクにさらすコンテンツを禁止している。例えば、PornHubのケースでは、Mastercard、Visa、Discoverは、サイトに自動虐待動画が公開されていることを懸念して、顧客による同サイトでのカード使用をブロックした。
ParlerとPornHubは、プロバイダーにとっての異なるタイプの“過剰なリスク”を示している。通常、サービスプロバイダーを法的責任から保護する法律があるため、顧客企業がこうしたリスクと見なされることはほとんどない。米国の法律では、サービスプロバイダーがコンテンツの節度を保つために誠意を持って行動すればプロバイダーを保護する。ただし、たいていの場合(全ての場合ではない)、そうすることをプロバイダーに義務付けていない。一般的に、法律に違反するコンテンツや行為は許容できない高リスクと判断され、ほぼ確実にAUPの強制措置につながる。
ITサービスプロバイダーの一部の顧客は、“社会の声”――つまり、従業員アクティビズムや株主アクティビズム、企業アクティビズムなど、特定の理由に基づく社内外のさまざまな圧力の結果として、デプラットフォームが起こることを懸念するかもしれない。こうした圧力に対する姿勢は、サービスプロバイダーによってさまざまだ。一般的に、インフラストラクチャプロバイダーは、他のプロバイダーと比べてこうした圧力に影響されにくい傾向がある。なお、こうした圧力と反応は、クラウドコンピューティングに固有するものではない。
ほとんどの場合、違法なことをしていない顧客は、サービスの一時停止や解約を招く形で重大なAUP違反を犯す恐れはない。デプラットフォームのリスクを軽減する施策は次の通りだ。
不用意に攻撃者にリソースを悪用され、結果的にAUPに違反することがあってはならない。
サービスに関するエンドユーザーとの取り決めの中で、行動規範を文書化するとともに、AUP違反を未然に防止するために、システムをモニタリングして順守を確認する。
AUP違反があった場合に対応するためのプロセスと、明確な責任体制を構築する。
クリックスルー契約ではなく、交渉を経たエンタープライズ契約に基づいて運用する。通常のビジネス過程で、組織がAUPに違反する可能性がある場合は、AUPの関連内容を契約に明文化することを交渉しなければならない。
一般的に、AWSやMicrosoft Azure、Google Cloud PlatformのようなIaaSプロバイダーは、自社のサービスを公的な性格を持つ中立的なサービスと位置付け、AUPの尊重を含む契約義務に顧客が従う限り、分け隔てなく顧客を受け入れサービスを提供している。だが、サービスの提供先を選別する傾向があるサービスプロバイダーもあるかもしれない。
出典:Can Your Cloud Provider Deplatform You?(Smarter with Gartner)
Contents Writer, Gartner associate
Copyright © ITmedia, Inc. All Rights Reserved.