2009年5月26日,情報処理推進機構(IPA)主催のイベント「IPAX2009」でクラウド・コンピューティングのセキュリティに関するパネル・ディスカッションが実施された。クラウド事業者としてマイクロソフトとラクラス,ユーザーとしてJTB情報システム,ジャーナリストとして日経コンピュータ,セキュリティ・ベンダーとしてラックがパネリストとして登壇(写真1)。クラウド固有のセキュリティ要件について議論を交わした。
パネル・ディスカッションには,サービス提供者側としてマイクロソフト チーフセキュリティアドバイザーの高橋正和氏,および人事・給与のBPOサービスを事業の柱とするラクラスの北原佳郎社長,ユーザー代表としてJTB情報システムの北上真一取締役副社長,ジャーナリストとして日経コンピュータ編集の中田敦記者,セキュリティ専門家としてラック サイバーセキュリティサービス事業部の大野祐一事業部長が参加。コーディネータは暗号アルゴリズム/プロトコルや生体認証の研究者として知られる横浜国立大学大学院 環境情報研究院の松本勉教授が務めた。
冒頭にまず松本氏は,議論の前提となる「クラウド」を定義。カリフォルニア大学バークレー校の「SaaS+ユーティリティ・コンピューティング」,業界の共通理解として「インターネット」「オンデマンド利用で従量課金」「SaaS,PaaS,IaaSに大分類」「中身は雲の中」といった特徴を挙げたうえで,クラウド固有のセキュリティの懸念を整理した(写真2)。松本氏によると,「分散処理なので障害に強い」,「セキュリティ専門家を抱えているはずなのでセキュア」といったメリットは,裏を返せば「データの物理的な場所がユーザーから見えない」といったセキュリティ上の不安材料となる。「雲の中にあるものを裏付ける評価指標がないため,ユーザー側では端末や通信路,クラウド側ではSLAの項目が鍵になる」(松本氏)。
「雲の中」に対する不安を取り除く
松本氏の定義に続いて,各パネリストがそれぞれクラウドへの関わり方をひとしきり紹介した後,セキュリティに関するディスカッションに入った。
ラクラスの北原氏は,SaaS提供者がユーザーからの信頼を得るための方策として,「情報漏洩対策」と「長期の事業継続性」を挙げた。前者については「インターネットからの攻撃は技術的に対処できるが,社内からの攻撃は困難」という前提で,シン・クライアントを導入。後者は「ストック型ビジネス・モデルの最大の難所」とし,「顧客からの『会社は存続できるのか』『サービスは継続できるのか』という質問に答えられる体制を整備した」という。
JTB情報システムの北上氏は,Windows Azureで提供中の「トリポト」構築や自社でクラウド利用を検討する際に浮かび上がった要点として,日本にデータセンターがないなどのカントリー・リスク,ネットワーク・リスク,英語ベースの契約書を取り交わすSLAのリスクを挙げた。これらのリスクを回避する手段として自社でのデータセンター運用が考えられるが,「Googleなどのクラウド事業者に対して120~150%増の範囲で構築・運用コストを抑えられるかが分かれ道。余った施設を同業他社に貸すなどしなければコストに見合わない」(北上氏)とした。
ここまでの話を受け,日経コンピュータの中田記者は「いわゆるプライベート・クラウドでセキュリティ面の不安を解決,という結論に達するのではと危惧している」と発言。セキュリティ不安が「規模の経済」追求によるインフラ・コスト削減効果を打ち消しかねない風潮を憂慮して見せ,比較的レベルが高いセキュリティ要件を持つ金融セクタにおける「地方銀行のシステム共同化の進行」こそ見習うべきと指摘した。
