写真●NRIセキュアテクノロジーズ事業推進本部事業開発部主任コンサルタント 西田助宏氏
写真●NRIセキュアテクノロジーズ事業推進本部事業開発部主任コンサルタント 西田助宏氏
[画像のクリックで拡大表示]

 「『クラウドとは何か』の議論が巻き起こっている。クラウドを提供するプロバイダにとってはクラウドの定義は重要かもしれないが、利用者からすれば大切なのは定義ではない」。2010年10月19日、東京ビッグサイトで開催中の「ITpro EXPO 2010」で、「クラウド利用における情報セキュリティのポイントと対策」と題してNRIセキュアテクノロジーズ事業推進本部事業開発部主任コンサルタントの西田助宏氏が講演した。

 西田氏は7月に発売になった書籍「クラウド時代の情報セキュリティ(日経BP社刊)」の著者の一人である。書籍の内容を踏まえ、これからクラウドの利用を検討している企業に向けて、選定や利用時の注意点を訴えた。

 西田氏は「クラウドの定義が乱立しているなか、重要なのは定義ではなく認識を共有すること」と強調する。「何をもってクラウドと定義できるか」の議論よりも、「クラウドをどのようにとらえているか」を利用企業とクラウドのプロバイダが互いに確認して、認識を共有することが大切だとする。

 そのためには、クラウドの利用を検討する際に利用者はクラウドのプロバイダに対して「何をクラウドと呼んでいるのか」「他社との違いは何か」の二つを必ず質問すべきだと西田氏は指摘した。

 同時にクラウドを利用しようとする企業に対して、「クラウドを選択する理由を尋ねると価格が安いと回答するケースが多いが、本当に安いのか」と西田氏は疑問を投げかける。同氏は米国や日本のクラウドのメールサービスを比較して、「単純に容量を比較した場合、自分でNASを購入してメールシステムを構築したほうが安い場合がある」と説明。そのうえで、クラウドを利用する場合は、トランザクション量が増えることによる回線費用の増加や、既存システムとの連携、バックアップの用意といった「サービス以外の費用も考慮する必要がある」とした。

 実際にクラウドを導入する段階になると、利用企業がもっとも気にするのは「セキュリティだ」(西田氏)。クラウドを利用する際、情報セキュリティを検討する場合にはまず「利用企業とプロバイダの責任分担の範囲を明確にすること」(同氏)が重要になる。そのうえで、(1)リスク評価、(2)システム要件の洗い出し、(3)クラウドサービスの仕様・特性の明確化、という三つのポイントを押さえることを西田氏は勧める。

 (1)リスク評価について、西田氏は「クラウドを利用するということは、IT環境が変わるということ。クラウドを利用する際は新たにリスクを評価して、情報セキュリティポリシーを見直す必要がある」と説明する。

 (2)と(3)は「表裏一体の関係にある」と西田氏は話す。クラウドへの移行を検討しているシステムについて、まずITリソースへの負荷の増減や可用性などを検討する。その結果を基にクラウドを選択することになる。

 一口にクラウドといっても、価格が安い、セキュリティが強固、可用性が高いといったように、特性はサービスごとに異なる。「洗い出した要件を基にクラウドを選択し、要件を満たすクラウドがない場合は、オンプレミスでの運用も検討したほうがいい」と西田氏は指摘した。