日本情報経済社会推進協会(JIPDEC)は、個人情報を適切に取り扱う組織を認定する「プライバシーマーク制度」や、組織における情報資産保護に対する取り組みを評価する「ISMS適合性評価制度」(ISMSは情報セキュリティマネジメントシステムの略)など、ITおよびセキュリティ関連の様々な事業を手がけている組織(一般財団法人)である(写真1)。
そのJIPDECが2011年7月、それまで自前でサーバーを運用していたメールシステムを外部のクラウドベースのメールサービスに完全移行するという組織内メールシステムの大胆な刷新を敢行した。9月上旬現在、カットオーバー(運用開始)から約2カ月が経過したが、トラブルもなく順調に稼働しているという。
自前の運用に限界を感じて外部委託を決断
企業や組織にとって、電子メールは最も重要なネットワークサービスの一つであるが、最近では自社でメールシステムを運用するよりもコストが安く安定性も問題ないと判断して外部委託(アウトソーシング)するケースは珍しくない。Gmail(Google Apps)をはじめとするクラウドベースの企業向けメールサービスを積極的に利用し始めている企業も増えている。
ただ、JIPDECのようにセキュリティ関連事業を生業(なりわい)とする組織が、構築済みの社内メールシステムから外部のクラウド型メールサービスの利用に完全に切り替えるというケースはかなり珍しく、注目に値する。
JIPDECがメールシステムを刷新し、外部のメールサービスを利用することを検討し始めたのは、2009年半ばのことだという。それまでは、JIPDEC内にサーバー(アプライアンスを含む)を設置して、自前でメールシステムを構築・運用していた。職員数は総勢500~600人規模だが、「2重化構成にしていることもあり、全部で10台くらいのメールサーバーがあった」(JIPDEC)。
増え続けるメールトラフィックに伴うシステム増強に加え、迷惑メール(スパム)対策やマルウエア対策など、自前でメールシステムを運用管理するための手間やコストは年々増える一方だった。このため、「スパム対策だけで相当な労力を要するようになり、『もう社内でメンテナンスをするのはイヤだ。アウトソースできないか』という話になった」(JIPDEC)。既存システムでは、新機能の追加やモバイル端末での利用ニーズへの対応などが柔軟にできないことも決断を後押ししたという。
厳しい要求仕様を見て10社が早々と辞退
ただ、セキュリティ関連の監査業務などを手がけているJIPDECだけに、外部委託したことが原因でセキュリティが低下し、機密情報の漏洩などが発生するような事態だけは万が一にも避けなければならない。そこで、アウトソーシング先ベンダーおよびサービスの選定に当たっては、声をかけられたベンダーの過半が「非常に厳しい要求仕様」と感じるほど(後述)、セキュリティ要件を含めかなり高いハードルを設定したという。
例えばセキュリティ要件に関しては、JIPDECが要求した事項の一つに「多要素認証の導入」があった。「せっかく外部にサービスを委託するのだから、外出先などからWebメールでJIPDEC内と同様にメールをやりとりできるよう利便性を高めたいが、セキュリティは万全にしておきたい。そのためにはIDとパスワードによる保護だけでは足りないと判断し、多要素認証の導入を必須事項として要求した」(JIPDEC)。
これ以外にも、例えば「データセンターが国内にあってISMSの認定を受けていること」や、「99.9%の稼働率をSLA(Service Level Agreement)で保証すること」「他と独立したサーバーで運用すること」など様々な条件がベンダーに提示する要求仕様に盛り込まれた。実際に、この要求仕様を手にJIPDECが合計15社ほどのベンダーに声をかけたところ、そのうち10社が「とても対応できない」と早々と辞退してきたという。声をかけた15社は、いずれもメールサービスで実績のあるベンダーばかりだった。
