自社でシステム構築をする必要がないクラウドサービスとは?
現状、クラウドサービスについては、必ずしも合意された定義がない状態です。
経済産業省はクラウド・コンピューティングについて「『ネットワークを通じて、情報処理
サービスを、必要に応じて提供/利用する』形の情報処理の仕組み(アーキテクチャー)」とし
ています(「『クラウド・コンピューティングと日本の競争力に関する研究会』報告書」2010
年8月16日、また、クラウドサービスには、laaS(InfrastructureasaService:ハードウェア
や通信回線などのシステムを構築・稼働させるための仮想マシンやネットワークなどのインフ
ラそのものを、インターネット経由でサービス提供するもの)、PaaS(PlatfOrmasaService:
ハードウェアや通信回線などの情報通信基盤に加えて、アプリケーションソフトが稼動するた
めのOSなどのプラットフオームをインターネット経由で提供するサービス)、
SaaS(SoftwareasaService:パッケージ製品としたソフトウェアをインターネット経由で提
供するもの)があります。
クラウドサービスを導入することによって、自社でシステム構築をする必要がありません。
そして、サービスを短期間で導入できるなどのメリットがありますが、
しかし、クラウドサービスベンダでのセキュリティ対策が重要なため、適切なクラウドサービ
スベンダを選定することが必要です。
クラウドサービスのリスクに対してのセキュリティ対策は?
クラウドサービスのセキユリテイ対策を検討する際には、経済産業省から公表された
「クラウドサービスレベルのチェックリスト」を参考にするとよいです。
それを使って自社が導入しようとするクラウドサービスをチェックしてみてはいかがでしょう
か。
クラウドサービスを利用するということは、いままでセキュリティ対策については自社で責任
はもっていたものがクラウドサービスベンダに大きく依存することになります。
クラウドサービスを利用したからと言って、監督責任はクラウドサービスを利用するクライア
ント企業自身にあるためクラウドサービスによって生じた問題がすべてクラウドサービスベン
ダの責任にはならないということに留意する必要してください。
というのは、様々な商品やサービスをあくまでも顧客に提供しているのは、自社の責任になる
ということです。
したがって、選定時には評価基準の検討、そして利用開始後にはそのサービス内容を確認およ
び定期的な監査などにより、リスクの状況をしたがって、クラウドサービスベンダを適切に選
定し、そのサービス内容を定期的にチェックすることが重要です。
ユーザ企業がクラウドサービスベンダを監査するという方法もありますが、コストや監査実務
の面からみれば、必ずそのような監査を適切に行なうことは難しいと思います。
そこで、第三者による監査サービスを使うという方法もあります。
また、FISC(金融情報システムセンター)が2016年に公表した「金融機関等のシステム監査指
針(改訂第3版追補)」を参照して、監査サービスを利用するのも一つの方法です。
まとめ
いかがでしたでしょうか。IaaSというと、聞き覚えがある方とない方がいるかと思いますが、
仮想サーバーのクラウドサービスの1つことです。
知らずに使用されているという方も、もしかしたらいらっしゃるかもしれません。
クラウドサービスを利用するにあたって感じる不安には、「システムやデータを事業者に預け
ること」「ITリソースを複数の企業で共有すること」の2つがあると言われています。
まず前者は、「どこに、どういった人がどんな方法でデータを管理しているかが見えないこ
と」に対する不安ではないでしょうか。
クラウドサービスの基盤となるデータセンターのセキュリティは一般企業よりも高い水準にあ
るといわれていますが、しかし、データセンターの情報は非公開のことが多く、使用している
機器や設定内容、パッチの適用状況、バックアップやサービス解約後のデータの扱いなどの運
用が不透明なこともあります。
従来のように自社で運用したり、事業者に委託するアウトソーシングなら場所も管理者も運用
体制も見えますが、クラウドだとこれらが見えないがために不安を感じるのは当然なのかもし
れません。