厳格なセキュリティが求められる業界に向けたクラウドサービスを提供する動きが相次いでいる。一般向けのサービスを基に、セキュリティやデータ管理手法などを、対象の業界で定められた基準にまで引き上げるものだ。グーグルとマイクロソフトが米国政府向けサービスを発表。政府機関での実績拡大を図る。
政府、地方自治体、そして金融機関。最も高い水準のセキュリティや可用性が求められる業種にも、クラウド導入の流れが訪れつつある。
米グーグルは7月26日(米国時間)、政府機関向けのクラウドサービス「Google Apps for Government」の提供を開始したと発表した(図1)。同社のグループウエアサービスである「Google Apps」の政府専用版である。米マイクロソフトも、米国政府専用のグループウエアサービス「Business Productivity Online Suite(BPOS) Federal」を準備中。この8月にも、正式に提供を開始するとみられる。
日本ではNECが7月23日、金融機関向けのクラウドサービスを提供すると発表した。情報システム開発の基盤サービスで、スミセイ情報システムと共同で開発・提供する。住友生命保険が最初の利用企業として、同社の資産運用システムを稼働させる。2011年9月に利用を開始する予定だ。
業界のセキュリティ基準に準拠
各社のサービスは既存のクラウドサービスを基に、対象とする業界固有のセキュリティ基準に基づく強化を施したものだ。
グーグルのGoogle Apps for Governmentは、「FISMA(連邦情報セキュリティ管理法)」と呼ぶ法律に準拠している。FISMAはその名の通り、米国の連邦政府機関が構築・導入・運用する情報システムにおいて順守すべき、情報セキュリティ基準を定めた法律のことだ。
グーグルはFISMAの基準を満たすため、一般企業に提供しているGoogle Appsとは運用方法を変えた。具体的にはデータセンターの設置方法やデータ管理の方法だ。一般向けのデータセンターとは異なる、政府向けサービス専用のデ ータセンターを米国内に設置。一般向けサービスとは物理的に隔離した。まず電子メール「Gmail」とスケジュール管理の「Calendar」のデータを、同センターに格納し、順次、他のサービスも追加するとしている。グーグルはロサンゼルス市やオーランド市、ワシントンD.C.など、既存の地方政府系ユーザーからの意見を基に、Google Apps for Governmentを開発した(図2)。
ただし提供するサービスの種類は、一般向けと同じ。GmailとCalendarのほか、文書作成・共有の「Docs」、動画共有の「Video」などだ。料金も利用者1人当たり年額50ドルと、これも一般向けと同じである。
マイクロソフトのBPOS Federalも、FISMAに準拠する。さらに「ITAR(国際武器輸出規制)」に準拠した生体認証技術を使って、物理的なアクセスを厳しく制限している。施設内へ立ち入れる職員は、米国市民に限定。加えて経歴チェックや指紋の採取を義務付けるという念の入れようだ。
NECのサービスは、日本の金融情報システム向けセキュリティ基準を定めた「FISC安全対策基準」に準拠している。同基準は昨年6月に3年ぶりの改定を実施。無線LAN機器の不正アクセス対策や外部委託先の選定基準、暗号化方式など、25項目を追加した。
日本政府専用版が焦点
グーグルとマイクロソフトのサービスは、現在のところ米国内の政府機関に限定したものだ。日本向けに同様のサービスを提供する計画については、両社とも未定としている。
とはいえ、クラウド事業者にとって、政府機関への導入が決まれば一般顧客へのアピール効果は抜群。両社が日本の政府機関へ売り込む際には、日本政府が米国向けと同様なセキュリティ基準を要求する可能性は高い。
日本国内でデータセンターを来年にも稼働させると表明済みのセ ールスフォース・ドットコムは、政府機関を主要顧客として位置付けている。同社は米国でも日本でも政府専用をうたったサービスを発表していないが、国内データセンターの開設を弾みに、政府機関への売り込みを強化していく考えだ。
