いまだ根深い「クラウドに対する不安」の正体と解消するための特効薬とは：10年間も拭いきれていないセキュリティへの懸念

アイティメディア ＠IT編集部の読者調査「クラウドに対する懸念・課題」で常に上位に入り続ける「セキュリティ」。10年間変わらないこの傾向の真因は何か。クラウドへの不安を解消し、有効活用するにはどうすればよいのか。多数の組織の悩みを知り抜くAWSに話を聞いた。

[PR／＠IT]

PR

　社会全体でデジタル化が進み、DX（デジタルトランスフォーメーション）に取り組む企業・組織は大幅に増えた。実践手段として欠かせない「クラウド」も浸透したが、まだまだ使いこなせていない、あるいは利用に足を踏み出せていないところも多いのが現実だ。

　クラウド利用に関するハードルとなっているのが「コストとセキュリティに対する不安」だ。＠IT編集部が実施した最新の読者調査でも「パブリッククラウド（IaaS／PaaS）利用に当たる課題」として「コストが高い」が39.4％、「情報漏えいなどセキュリティの不安」が29.6％と、1位、2位を占めた。

2022年3月に実施した＠IT編集部の読者調査「パブリッククラウド（IaaS／PaaS）利用に当たる課題」の結果（上位5位までを抜粋）《クリックで拡大》

　しかし、いつまでもクラウドに不安を抱いているだけでは、企業・組織の成長、ひいては国力の成長も阻みかねない。こうした傾向の背景には何があるのか。不安や懸念を払拭（ふっしょく）するポイントは何か。アマゾン ウェブ サービス ジャパン合同会社でセキュリティ、公共分野、金融分野のそれぞれを担当する松本照吾氏、瀧澤与一氏、高野敦史氏に話を聞いた。

読者調査に見る「クラウドに対する不安」の正体

アマゾン ウェブ サービス ジャパン合同会社
セキュリティアシュアランス本部 本部長
松本照吾氏

──クラウドといえば、課題や懸念として常に挙がるのが「コスト」と「セキュリティ」です。＠IT編集部の読者調査でも10年前からこの傾向は変わっていません。皆さんはこうした状況をどう見ていらっしゃいますか。

松本氏　クラウドに対する不安の背景には「自分たちが何をどこまでやるのか分からない」ことにあると思います。従来は自分たちで管理したり、SI事業者等に任せたりと「顔が見えていた」のに、クラウドは管理者の顔が見えずブラックボックスのようになってしまう。そうした「見えにくさ」から来る不安感が根底にあるのではないでしょうか。

──なるほど。公共や金融など、高度な安定性、安全性が求められる業務／システムを持つ組織ほどそうした傾向が目立つ印象があります。特にセキュリティ面で顕著です。

瀧澤氏　ただ公共分野、中でも中央省庁においては「政府情報システムのためのセキュリティ評価制度（ISMAP）」が公表されるなど、「漠然としたセキュリティへの不安」を解消しようという取り組みが進んでいます。きちんと評価し、安心できるクラウドを使うことで安心と安全を明らかにしていく取り組みともいえます。日本だけではなく、諸外国でも同様の取り組みが進んでいます。「安心できる基準」を設けてきちんと評価すること。それが不安の払拭につながると考えます。

高野氏　金融庁やFISC（金融情報システムセンター）はクラウドの懸念について金融機関に対するアンケートを実施しているのですが、クラウドのセキュリティに対する懸念と回答される金融機関は多いですが、実際に金融機関にお話しを伺っていると「クラウドへの懸念」というよりも「自分たちのクラウド運用に対する懸念」と言われる方がいます。また、マネジメント層が考えるほどITの現場は懸念を抱いていないケースも目立ちます。立場や見方によって懸念の性質が異なることも考慮しなければなりません。

──セキュリティリスクが実際にあるというより、「顔」が見えず「自分たちのやるべきこと」も見えない中で漠然とした不安が広がっているわけですね。不安の中身を見極めるとともに、事業部門などステークホルダーの理解を進めることも不安解消につながりそうです。

高野氏　実際、アマゾン ウェブ サービス（AWS）のセミナーやイベントにはエンジニアだけではなく、経営層やビジネス部門など、幅広い方が参加されるのですが、AWS のセキュリティやコンプライアンスへの取り組みについて説明すると「そうだったんですね」と晴れやかな顔でお帰りになることが多いです。まずは「クラウドを正しく理解してもらう」ことが不安を取り除くポイントだと思います。

公共、金融分野でのクラウド利用　セキュリティの着目ポイントとは

アマゾン ウェブ サービス ジャパン合同会社
パブリックセクター技術統括本部 統括本部長／プリンシパルソリューションアーキテクト
瀧澤与一氏

──では少し具体的に、クラウドを利用する際、セキュリティでは何に注目すべきなのでしょうか。公共、金融の観点から教えてください。

瀧澤氏　公共分野については2つのポイントがあります。1つ目は長期利用を見据えてオンプレミスで構築したシステムよりも、クラウドの方が最新のセキュリティ機能を利用しやすいこと。AWSは200以上の機能やサービスを提供しており、2021年においては、3000以上の機能追加があります。例えば、現在は機械学習で攻撃の予兆を検知したり、大量のログデータを分析してインシデントを発見したりできます。常に新たな脅威が現れ、手法も巧妙化している今、これは大きなメリットになります。

　2つ目はガバナンスの考え方です。中央省庁や自治体では、「クラウド・バイ・デフォルト」戦略を受けて「既存システムを短期間でクラウドに移行したい」というニーズがありますが、要求される高いセキュリティ品質、運用基準で展開することが求められます。その際には、単に移行するだけではなく、「国民の生活を守るために」という視点を持つことも重要だと思います。AWSではテンプレートを使って標準的なセキュリティ機能を適用したり、セキュリティ運用を自動化したりできます。つまり、移行期間を抑えながら、クラウドのメリットである標準化、自動化を進めることが可能であり、セキュリティ運用の品質を確保することができるのです。

――新たな脅威が現れ続ける中、対策をアップデートし続けること、属人性を排除することなどは重要なカギとなりますが、自前のシステムではリソースの問題もあり難しいことが多い。クラウドならそこを解決できるわけですね。

瀧澤氏　はい。ただ、そうしたメリットを活かす上では、アップデートをキャッチアップして有効に活かせる人材を育成することも重要です。

高野氏　そうですね。金融ではFISCの安全対策基準（※正式名称は「金融機関等コンピュータシステムの安全対策基準・解説書」）への対応が求められるので、クラウドをどう適用すれば基準をクリアできるかを考える必要があります。そこでポイントになるのが「200以上ものサービスをどう選び、どう設定し、どう使うか」です。金融機関の方と話をしていると「AWSそのもののセキュリティは心配していない。問題はそれを社員が使いこなせるかどうかだ」とおっしゃる方もいらっしゃいます。この点で、やはりクラウドの機能を使い倒せる知識を持ったセキュリティ人材の育成がカギになると考えます。

　また、「顧客や取引先などから『クラウドには個人情報を載せられない』とよく言われる。そうした誤解をどう解けばいいか」という相談もきます。人材育成と併せて、システム利用の当事者ではない方々にもクラウドの理解を促すことが求められていると思います。

松本氏　AWSのイベントやセミナーで気を付けているのは、「組織、社員、顧客にどんな価値が提供できるのか」を知っていただくことです。「AWSをどう使いこなすか」というエンジニア向けの情報はもちろん、同業他社の活用事例や、経営層や監査担当の方に向けてクラウドの理解を促すコンテンツも用意しています。“さまざまな立場の方の不安”を払拭し、メリットを理解していただけるよう常に心掛けています。

改めて「クラウドならではのメリットと、オンプレミスとの違い」とは

アマゾン ウェブ サービス ジャパン合同会社
金融事業開発本部 コンプライアンス スペシャリスト
高野敦史氏

──ただ、読者調査の傾向が10年間変わらないように、「セキュリティが不安」という印象には根深いものがあります。今のままでよいと考える向きも多いです。改めて、クラウドならではのメリットを伝えるとしたらどんなことが言えますか。

松本氏　例えば、海外の企業に「なぜクラウドを使うのですか」と聞くと、「セキュリティが高度だから」と回答されることが多いです。つまり「AWSを使っていれば、米連邦政府やNASAと同レベルのインフラセキュリティを持っていることになる。自分たちでゼロから作り上げるより、AWSが投資して強固にし続けているセキュリティ機能を利用した方が効率的だ」というわけです。セキュリティは懸念点ではなく、クラウドを使うポジティブな理由なのです。

瀧澤氏　「オンプレミスとの違い」という観点からは、AWSならではのメリットは5つあります。

1. 優れた可視性と制御による安全な拡張
2. 深く統合されたサービスでリスクを自動化し、削減する
3. プライバシーとデータセキュリティを最高水準で構築
4. セキュリティパートナーとソリューションの最大のエコシステム
5. 最も包括的なセキュリティとコンプライアンス管理を継承

　クラウドの活用においては、自らの理解と、必要に応じて、AWSのセキュリティコンピテンシーを持つパートナーの支援を受けることも可能です。SI事業者等だけに一任することなく、自社で正しく理解して適切に評価すべきです。

高野氏　ビジネス視点からは、生産性の向上やビジネス展開のスピードアップの他、新たな取り組みをPoC（概念検証）ですぐに試せることもクラウドならではのメリットです。また、リソースを柔軟に調達できるため、膨大な夜間バッチ処理も時間内で確実に行えるなど、金融機関では拡張性も大きなポイントになります。

2023年3月10日に公共・金融向けイベントを開催　まずは不安の解消を

──今回のお話だけでもクラウドに対する“漠然とした不安“をかなり解消できるのではないでしょうか。コストも数値だけで単純比較するのではなく、得られる安全性やメリットとてんびんにかければ適切に評価できるように思います。また、まさに不安を解消できる場として、イベント「AWS Security and Risk Management Forum 〜公共・金融DXの大前提、AWSセキュリティの理解と実践〜」が2023年3月10日に開催されます。読者に向けてメッセージをいただけますか。

高野氏　金融分野においては、多くの企業・組織がクラウドを評価する、監査する、というフェーズに移ってきている状況です。そこで重要になるのが「リスクマネジメント」です。イベントでは、クラウドのセキュリティに加え、クラウドのリスクマネジメント、クラウドの監査についても金融機関の事例を中心に学んでいただけます。ITエンジニアやセキュリティ担当だけではなく、これからクラウドのリスクマネジメントや監査に取り組もうとされる、リスク管理や内部監査部門の方にもご参加いただければと思います。

瀧澤氏　すでに、日本を含む諸外国では、多くの公共施設・自治体がAWS上でシステムを稼働させています。国民の生活をより良いものにし、国力を向上させるためには、クラウドの活用はなくてはならないものだという認識が広がっているのです。イベントでは「公共分野においては安心・安全なシステムをどう作ればよいのか」、具体的な情報を豊富にお伝えします。最新事情を知ることで誤解や不安を解消するきっかけになるはずです。

──公共・金融はとりわけ高度な信頼性、安全性が求められる領域です。不安を抱えている他の業種業界の方にとっても有益な情報になるでしょうね。

松本氏　そうですね。とにかく不安解消の特効薬は「知ること」だと思います。エンジニア、監査担当者、経営者など、それぞれがそれぞれの立場・観点で不安を抱えていらっしゃると思います。ぜひ「AWS Security and Risk Management Forum 〜公共・金融DXの大前提、AWSセキュリティの理解と実践〜」で不安を解消するとともに、参加者同士で対話しながら、今後の展開に思いをはせていただければと思います。

●イベント「AWS Security and Risk Management Forum」開催

　「AWS Security and Risk Management Forum」は、組織がイノベーションを妨げることなくクラウドのリスクを明確にし、どういったセキュリティ対策、リスクマネジメントをすべきかにつき、有識者やゲストスピーカーを招いて議論します。また、事例講演を通してクラウドのセキュリティとリスクマネジメントの具体策を提示します。

　公共・金融については、個別トラックを設けて各分野に特化したセキュリティ対策を深掘りします。それ以外の組織も、ゼネラルセッションでリスク管理や監査を含めたセキュリティについての理解を深めることができます。その他、ハンズオンや質疑応答、AWSパートナーとの交流を通じ、クラウドのセキュリティやリスクマネジメントに関する学びの場を提供します。

• イベント名：AWS Security and Risk Management Forum 〜公共・金融DXの大前提、AWSセキュリティの理解と実践〜
• 開催日：2023年3月10日（金）

　　　　　　　 　　お申し込み・詳細はこちらから