|
必聴講座ご紹介 Cloud Days Tokyo 2012 エムオーテックス Cloud Days Tokyo 2012 ヴイエムウェア Cloud Days Osaka 2012 アマゾン データ サービス ジャパン |
|
 |
| 図1●オンデマンド型サービスを利用する前の主なチェック・ポイント 利用するサービスの種類によって確認すべきチェック項目は異なる。 |
サービスのチェックに関しては,参考になる例がある。前述のみずほプライベートウェルスマネジメントだ。みずほフィナンシャルグループには,システム利用に関してグループを通じた「ITスタンダード」というポリシーがある。このITスタンダードのうち,外部のサービスを利用する場合でも満たさなければならない項目を洗い出したところ,チェック項目は「データ・センターの電源や空調の信頼性」「バックアップ対策」「情報漏えいやデータの不正利用への対策」など300個に上った(図2)。同社のセールスフォース・ドットコムの導入を支援したみずほ情報総研は,データ・センターを視察するために米国へ飛び,これらの項目についての実態を逐一チェックした。
 |
| 図2●みずほ情報総研は,みずほグループが定めているセキュリティ・ガイドラインのチェック項目と,Salesforceのサービス内容を照らし合わせた結果,5項目が満たさなかった [画像のクリックで拡大表示] |
みずほプライベートウェルスほどではないにしても,SaaSを利用するに当たっては,安全策をとる意味で,最低限のチェックはしておきたい。ここでは,重要度が高いと考えられる10項目をポイントとして挙げた。ユーザーのシステム運用ポリシーや利用するアプリケーションの種類,既存のネットワーク環境やシステム環境などによって重視するポイントは違ってくるが,概ね,この10項目に含まれるはずだ。
ユーザーが一番気になるのは,何と言ってもセキュリティだろう。前述のように,本誌が実施したアンケート調査でも,7割弱の回答者が不安要素としてセキュリティを挙げた。業務データや個人のデータを社外に置くことから,情報漏えいや不正アクセスに不安を抱いているのである。
セキュリティに関連したチェック・ポイントは,ユーザー認証とアクセス制御,データの暗号化,そして物理的なセキュリティ強化策の3点である(図1の(1)〜(3))。自社のセキュリティ・ポリシーに照らし合わせて確認しておきたい。
例えばみずほプライベートウェルスマネジメントの場合は,セキュリティ関連では情報漏えいやシステムの不正利用,改ざんへの対策を講じているかどうかに加えて,パスワード・ポリシーやデータの暗号化ルールについても確認している。
一例がアクセス元の制限である。みずほグループが求める要件の中には,自宅など社外からの利用を禁止するという項目が含まれている。そこで,みずほプライベートウェルスはセールスフォース・ドットコムに,接続元のIPアドレスによってアクセスを制限できるかどうかを尋ねた。もし制限できるなら,会社のプロキシ・サーバーのIPアドレスを設定しておけば,社外からの利用を禁止できる。
結果はどうか。Salesforceではデータ・センター側で,接続できる端末のIPアドレスを制限することはできる。ただし,この機能を利用できるのは,EnterpriseとUnlimitedのユーザーに限定される。最も多くのユーザーが利用しているProfessionalでは使えない。
アクセス元の制限については,ユーザーによって意見が分かれるところ。どこからでも利用できる点をSaaSのメリットの一つと考えるユーザーもいるだろう。その場合でも,ユーザー認証にどのような手段を利用できるか,利用する時間帯によるアクセス制限はできるかなど,確認しておきたい点はある。
例えばみずほプライベートウェルスの場合,ITスタンダードの基準に合致しない項目があった。「パスワードの運用ルール」「暗号化の運用ルール」「アクセス・ログの保存期間」などである。ただ,基準を満たさないと言っても,ある程度の対策は講じられていた。「セールスフォースには改善の要求はしたが,短期間での対応は難しかったため,運用ルールなどでカバーすることにした」(竹内参事役)。
