社内運用か、クラウドサービスかの議論に欠落しがちな視点:単純化された考えは危険ですらある
社内運用か、クラウドサービスを使うかをめぐる議論は、いつでも極端な一般化につながる危険性があるから難しい。しかし、あまりにも単純化した議論ばかりしていても、クラウドサービス利用に慎重な人々と、企業ITにおいても未来はクラウドサービスにあると考える人々の間の溝は縮まらない。
企業の社内ITを、社内運用し続けるのか、それともクラウドサービスに任せるのか。この議論に関して、クラウドサービス信奉者と社内運用信奉者との間の溝はなかなか埋まらない。その横で、「ハイブリッドクラウド」を語る人がいるが、どう「ハイブリッド」化するのか、具体的な姿が描けないのなら、言葉遊びにしかならない。
筆者は、各ユーザー企業におけるこの議論を少しでも進めるため、「コントロール」という視点を提示したい。
「コントロールできない」社内運用なら、「コントロールできる」クラウドサービスのほうがいい。一方、「コントロールできない」クラウドサービスなら、「コントロールできる」社内運用のほうがいい。両者を併用する場合も、「コントロールできる」ようにすべきだ。
「コントロール」という言葉をあえて持ち出すのは、多くの企業において、社内の各種アプリケーションやデータに対するコントロールが効かなくなってきている現状があるからだ。過去20年近くにわたり、多くの企業で進行してきたITの分散化は、企業内のさまざまな部署における多様なITニーズを満たすのに好都合だった。だが、こうした多様なITニーズ、運用ニーズを満たすことを前提としながらも、重要なアプリケーションやデータについては企業としての、全社的な管理がなされなければならない。
これは、セキュリティガバナンスとも密接に関連する(「ガバナンス」という言葉は誤解されやすいため、本記事ではあえてコントロールという言葉を使っている)。@IT情報マネジメントで、現工学院大学教授の大木栄二郎氏は、組織の情報セキュリティについて次のように書いている。
「事故が起きることを前提として、被害を最小化、局限化するという方針を立てることになる。するとそれらの結果が顧客や取引先にどの程度の影響を与えることになるのか、対策のレベルが妥当であるのかなどを、顧客や取引先などの利害関係者に納得が得られる形で説明できなければならなくなる」(「情報セキュリティガバナンスを確立せよ(1) 情報セキュリティはCSRである」より)
セキュリティについて、何をどこまでやるべきかの判断は非常に難しい。しかし1つの目安として、利害関係者(ステークホルダー)に「納得が得られる形で」説明できることを目的に、対策を実行していくべきだ、というのが大木氏の論旨だ。
これに照らしてみると、多くの企業はステークホルダーに納得の得られる形で、業務上重要なアプリケーションやデータを管理できているかどうかという点で、大きな問題を抱えている。この問題への対応を主要な目的とすることなくして、社内かクラウドかの議論はあり得ない。
「だから社内運用のほうがいい」といっているのではない。筆者が「『AWSで、社内DCよりセキュリティを高められる』理由」という記事で着目したのは、クラウドサービスの機能を活用することで、逆に社内運用の場合よりもIT環境を適切にコントロールできる可能性だ。
一方、クラウドサービスを一度採用したからといって、事業者にすべてをまかせるのも間違いだ。常に使用しているサービスを監視し、状況に応じて必要なアクションをとれるように、選択肢を確保しておく必要もある。社内からクラウドへの移行は不可逆的だと思っている人が多いようだが、クラウドから社内へ戻す可能性も考慮すべきだ。
しつこいようだが、ステークホルダーに納得の得られる形で自社がコントロールしていることを説明できるかどうか、この視点が社内/クラウドをめぐる議論で欠落してしまうのは危険だ。
クラウドサービスが普及する時代における、きれいごとではない企業IT部門の役割について、IT INSIDERシリーズNo.3 「サーバ仮想化とプライベートクラウドの政治学」(PDF)にまとめていますので、ぜひご覧ください(本コンテンツのダウンロードには、TechTarget会員登録が必要です)。
Copyright © ITmedia, Inc. All Rights Reserved.