「規模の経済」で 安全を追求するには

クラウドの運用費は定量性で運用管理も簡便で、しかも導入は迅速に実現できます。しかし、そのセキュリティは依然として主な懸念とされており、クラウドに懐疑的な人々にその安全性を説得することは容易ではありません。

クラウドサービス事業者はいずれも顧客へアピールして顧客基盤を維持、質的な差があるにしてもセキュリティを重視する必要があります。クラウドのインフラを提供するOutscale社（仏、サン＝クルー）の北米担当バイス・プレジデントであるStephane Maarek氏は次のように述べています。「企業が単独で高度なセキュリティやハードウェア、ソフトウェアに投資する場合、コストは非常に高くなります。

「多数のお客様に投資メリットを享受していただけるため、コスト負担を正当化しやすいのです。」

STEPHANE MAAREK
OUTSCALE社、北米担当バイス・プレジデント

クラウドサービス事業者の場合、一社ではなく多数のお客様に投資を分担しながら質の高いサービスを提供するため、コスト負担を正当化しやすいのです。」

米国サンフランシスコを拠点とし、クラウドのID管理サービスを手掛けるOkta社のCEOであるTodd McKinnon氏も同 様 の 見 解で す。McKinnon氏は次のように述べています。「セキュリティは、クラウドかオンプレミスかに関わらず、最も重要な要件です。しかし私が主張したいのは、多くのクラウドサービス事業者が、自社サービスのセキュリティを確保するため、企業のIT部門が単独で実施できるレベルを上回るリソースを投入してます。

何千ものお客様に利用していただくサービスを提供するプロバイダーが成功するには、常に高い能力を保持する専門のセキュリティ対策チームを設置することが不可欠なのです。」

求められるデューディリジェンス

しかし、クラウドサービス事業者であればすべて同じ、というわけではありません。そこでデューディリジェンスを実施するよう企業に助言 する の は 米 国 ボ ストン を 拠 点とする451Research社のアナリストであるAlan Pelz-Sharpe氏です。

社内のデータセンターと同様、クラウドの場合もセキュリティと利便性のバランスが十分説明されることが求められるとPelz-Sharpe氏は言います。最適なバランスを得るための要件は、企業がクラウドサービス事業者と率直に意見交換を行うこと、さらにサービス・レベル契約（SLA）に記載される契約内容の信頼性です。

Pelz-Sharpe氏は次のように述べています。
「合法的な事業者が不正行為を行うことや、IPを盗むことはあまり考えられませんが、長期資金計画やビジネスプランに問題のある怪しいベンダーは多数存在します。また、サービス条件が疑わしい計画に実体がない、または皆無というケースも多く、そうした企業はいずれ買収されるか、倒産するかのどちらかです。」こうしたことは、事業者の信用調査やセキュリティ認証などの基本情報をチェックするといった下調べが企業にとって不可欠であることを意味しています。
 

規制および標準化

ヘルスケアや金融サービスをはじめとする規制の厳しい業界においても、クラウドサービス事業者のコンプライアンスが疑問視されることは多くみられます。
 
Okta氏は次のように述べています。「経済状況とクラウド・テクノロジーの進化によって、規制の厳しい業界のITのリーダーたちの間で、現状の課題を克服し、ビジネスの差別化を図ろうと新しいサービスに投資する機運が高まっています。事実、多くのクラウドサービス事業者が自社のSLAにおいて、医療プライバシーやテロの防止、その他の規制要件を満たすことを約束しています。」

Pelz-Sharpe氏は業界が発展するにつれて、セキュリティや統合、移行、そしてSLAに対する顧客企業の信頼感は向上すると述べ、次のように語ります。「クラウドの世界にも標準化が必要です。それにより多くの企業が抱える懸念が和らぐでしょう。」

さしあたり、企業は下調べを行うことが大切です。要件を満たすか、または要件を満たした競合他社に敗れるかは、クラウドサービス事業者次第なのです。 ◆

Watch Cloud computing and business security: http://www.youtube.com/watch?v=5QEEbPCVeKY