「重要でないからクラウドへ」なのか、「重要だからクラウドへ」なのか:社内ITとクラウドサービス
一般企業の社内アプリケーションやデータを、社外のクラウドサービスに置くべきか。「一部のデータやアプリケーションはクラウドサービスに移すとしても、重要なものは、そのまま社内に残す、あるいは残すべき」という意見もあれば、「重要なアプリケーションであってもクラウドサービスに移せる、あるいは移す」という組織も出てきている。
一般企業は社内アプリケーションやデータを、社外のクラウドサービスに置くべきか。「一部のデータやアプリケーションはクラウドサービスに移すとしても、重要なものは、そのまま社内に残す、あるいは残すべき」という意見もあれば、「重要なアプリケーションであってもクラウドサービスに移せる、あるいは移す」という組織も出てきている。
例えばAmazon Web Services(AWS)が2013年11月の同社イベントで紹介したように、企業の社内システムやデータを、AWSのサービスに移行する組織もまた、増えている。AWS上で、2次クラウドプロバイダ的なサービスを展開し、組織ITのクラウドサービス移行を支援している電通国際情報サービス(ISID)の技術本部 クラウドエバンジェリストである渥美俊英氏は、「重要なシステムこそクラウドサービスに移行する例が増えている」と話す。
渥美氏は、重要なシステムやデータの保護に関して、クラウドサービス事業者が受ける認証についての理解が国内で進んできたことを、その背景として挙げる。特定のクラウドサービスが業界ガイドラインや企業の自社調達基準を満たしているかどうかを確認しやすくなってきている。さらに、必要に応じてセキュリティ製品を導入したり、アーキテクチャや運用体制を強化するといった対策が行われている。
渥美氏の説明については、IT INSIDER No.24「続・クラウドサービスのセキュリティに関する誤解」をお読みいただきたい。
こうした状況を踏まえ、「企業が社内ITインフラ全体をクラウドサービス(IaaS)に移行することはセキュリティ面から考えて適切か」というテーマについては、企業のセキュリティについての考え方に応じて、下記の5つのアプローチがあるといえそうだ。
- IaaS事業者のセキュリティについては、事業者が適切な認証や監査を受けているなら十分な対策がとられていると考え、これを文字どおり社内ITインフラの延長ととらえて、アプリケーションやミドルウェアレベルのセキュリティ対策を特に施すことなく、社内ITインフラ全体を移行する
- IaaS事業者が適切な認証や監査を受けていても、極端にいえばアプリケーションやデータがインターネットに露出する可能性もあることを考え、社内向けのアプリケーション/データであっても、すべてについてインターネットサービスと同様のセキュリティ対策を施したうえで、社内ITインフラ全体を移行する
- 重要でない社内アプリケーション/データのみ、IaaS事業者のセキュリティを完全に信頼して、アプリケーションやミドルウェアレベルのセキュリティ対策を特に施すことなく移行する
- 重要かどうかにかかわらず、一部の社内アプリケーション/データのみ、IaaS事業者のセキュリティを信頼しながらも、アプリケーションやミドルウェアレベルのセキュリティ対策を施したうえで移行する
- IaaS事業者のセキュリティを信頼せず、社内のアプリケーション/データの移行はしない
現時点で、企業が自社にとってのセキュリティリスクとその他のメリットを考慮した結果として、上記のいずれの選択肢を選んだとしても不思議はない。ただし、最後の選択肢を選ぶ企業が、「IaaSを社内LANの一部ととらえてもセキュリティ上の問題はない」と納得できる根拠をIaaS事業者が提示できるようになったとき、IaaSを社内ITインフラの代替として利用する動きが本格的に広がると考えられる。
IT INSIDER No.24「続・クラウドサービスのセキュリティに関する誤解」では、「企業が社内ITインフラ全体をクラウドサービス(IaaS)に移行することはセキュリティ面から考えて適切か」というテーマを、ISIDの渥美俊英氏による解説とともに掘り下げています。IT INSIDER No.23「クラウドサービスのセキュリティに関する誤解」とあわせて、ぜひお読みください。
Copyright © ITmedia, Inc. All Rights Reserved.