既に、IaaSは検討する段階から導入する段階に来ており、多くの企業が、IT投資効率化、競争力強化の必要性から、IaaS導入に踏み切っている。
IaaSを含むクラウドコンピューティングは企業ITを根底から変える可能性を秘めていることは間違いないが、安易に導入すると期待する効果が得られない場合も少なくない。そこで、今回は、実際にIaaS導入検討を行う際の一助となるよう、サプライヤーを選ぶ前の準備段階、サプライヤー選定時、サービス導入後の3つに分けて、IaaS導入に向けた具体的なチェックポイントを解説していこう。
サプライヤーを選ぶ前の準備段階のポイント
選定前の準備段階では、次の3点を整理しておくべきである。1点目は、IaaSの利用領域、2点目はIaaSを利用するためのルール、そして3点目は、IaaSを運用していくための体制である。
IaaSの利用領域を明確にする
まず、IaaSサービスをどんな業務、事業領域に活用するのか、どのシステムを移行するのか、利用範囲を明確にしておかなければならない。
IaaS活用はあくまで、システムを構築する上での1つの手段である。どのような領域に活用すれば期待効果が得られるのか、利用しなくてもよい/利用するべきではない領域はどこかを見極める必要がある。
そのためには、企業内の情報システムの「見える化」をすることも重要である。利用領域の見極めの切り口としては、コア/ノンコア業務、ミッションクリティカル/非ミッションクリティカル、情報系システム/基幹系システム、扱うデータのボリューム・機密性・重要度など、業務とシステムの特性を考慮して判断するのが有効である。
IaaSを利用するためのルールを整理する
次に整理が必要なのは、IaaSを利用するためのルールである。クラウドの本質を見極め適切に活用していくためには、従来のITに関するルールを見直し、必要に応じて新たなルール作りを行う必要がある。
ほとんどの企業では、顧客情報や営業情報などの重要データやシステムに対して、データ保護やセキュリティに関する規程を設けているが、重要データを外部に預けることは想定していない。少なくとも、
- IaaS利用を許可する/許可しないデータ
- IaaS利用する場合の暗号化などのセキュリティ対策
- 社内システムと連携する場合のルール、連携方式
- クラウドを使ったシステム運用のルール
- クラウド利用の承認手順
など、企業で守るべきルールや基準が策定されていると、利用判断がしやすくなる。
パブリック型IaaSなどのクラウド導入において、「セキュリティ不安」は今でも一番の阻害要因となっており、不安を払拭できずに導入を躊躇している企業は、企業内で統制を効かせる範囲を明確化し、IaaS利用のための社内基準を整備しておく必要がある。
IaaSを運用するための体制を整備する
ルールと合わせて整備しておきたいのは、IaaSを運用するための体制である。IaaSを使うからと言ってもサプライヤーにすべて任せられるわけではない。サプライヤー側が保証してくれない領域は、自社責任で運用する必要がある。
IaaSを使うからといってこれまでのシステム運用が不要となるわけではない。サプライヤー側と利用者側で責任範囲を明確化し、自社責任の範囲は自分達で責任をもって運用していく必要がある。
また、IaaS利用ルールを設けて、導入を開始しても基準枠を超えて利用する場合も出てくる。定期的に社内の利用状況を確認し、リスクの棚卸し、対応策の検討を行う管理体制も整備しておく必要がある。