写真:Getty Images
写真:Getty Images

最初の電子メールが登場して今年で50年目を迎える。社内外問わず、連絡手段の主役であり続けたメールが疲弊している。添付ファイルの仕組みを原因とする標的型攻撃による被害が急増しているのだ。メールに替わってファイルを安全にやり取りする手段として、注目を集めるのがクラウドストレージサービスだ。業務効率化とセキュリティ。企業が要求するこの2つの要件を満たし始めたクラウドストレージサービスの最前線を追う。

 2015年6月22日。早稲田大学構内は朝から騒然としていた。早稲田大学はマルウエア感染による個人情報流出事件を公表。事務用パソコン利用者2310人分の氏名や所属、教職員番号、さらには教職員、派遣社員の884名分のメールアドレス、学生60名分の氏名や学籍番号などの外部流出を発表した。

 大学は同日、職員向けに「標的型ウイルスメールに対する対応協力のお願い」と題した通知を発布した。そこには基本的な対策に加え、過去にはなかった対策が書かれていた。

 「重要なファイルは共有フォルダーやBoxなどに保存すること。機微な情報が含まれるファイルはパスワードをかけてからBoxに保管すること」。

 Boxは米ボックスが提供するクラウドストレージサービスだ。早稲田大学は2014年6月から同サービスの試験的な導入を開始。約1年間のテスト期間を経て、2015年5月から本格的な運用に移行したばかりだった。

 早稲田大学が導入しているウイルス対策ソフトは米ピクサーや米フォード、東芝なども採用している米ソフォス製品。だが、今回の標的型攻撃のウイルスメールは検知できなかった。依然として標的型攻撃の脅威にさらされたまま。加えて、早稲田大学はマルウエアに感染した全てのPCをいまだ特定できていない。

 取れる対策は一つしかない。それは、「ローカルにあるファイルをとにかくクラウド上に待避させる」(早稲田大学情報企画部)ことだ。早稲田大学には嘱託も含めると1300人弱の職員がいる。これらの職員が様々な種類のデータを一斉に待避させるとなると、膨大なディスク容量が必要になる。企業や団体向けに提供されるBoxのストレージ容量は無制限。1年前からBox導入を進めてきた早稲田大学だからこそ、取れる対策だった。

 「クラウドのほうが安全と言われ、時代の変遷を感じた」とある大学職員は漏らした。

 この職員だけではない。クラウドストレージサービスにデータを預けるのは危険。この“常識”が崩れつつある。

 ボックスの共同創業者兼CEO(最高経営責任者)であるアーロン・レヴィ氏は「米国でも2010年頃に特定業種でクラウドストレージサービスが危険という風潮があったが、今では聞かなくなった」と語る。

 理由は、企業のシステム部が求める要件をクラウドストレージサービス事業者が満たしてきたからだ。クラウドストレージサービスは、端末やOSに依存せずにどこからでも利用できる利便性に加え、共同作業しやすい環境を提供する。業務効率を高めるこうした利点は以前から一定の評価はあったものの、企業が定める高いセキュリティやコンプライアンス上、導入を見送る企業が多かった。

 だが、こうした不安を払拭する機能やサービスの拡張が相次いだことで、導入する企業や団体が少しずつ増えている。

運用面でのガイドラインを策定

 Boxを導入した早稲田大学情報企画部がクラウドストレージサービスを検討したのは、大学での教育や研究の質を高めようという目的があった(図1)。

図1 クラウドストレージサービス「Box」の導入を進めている早稲田大学
創立150周年に向け、対話型/問題発見・解決型教育への移行を進める
図1 クラウドストレージサービス「Box」の導入を進めている早稲田大学
[画像のクリックで拡大表示]

 2032年に創立150周年を迎える早稲田大学は2012年11月、中長期計画「Waseda Vision 150」を策定。この中で定めた13の戦略と69のプロジェクトを進行中だが、そこに「教育と学習内容の公開」と「対話型、問題発見・解決型教育への移行」という項目がある。

 学生であればグループで共同作業することもあるし、研究者であれば論文を共著で取り組みケースもある。こうした共同作業を支援する仕組みをクラウドストレージサービスで提供できないか検討していたわけだ。

 だが、一般の企業と同様、クラウドストレージ導入はセキュリティで不安が残る。誰がどのファイルにアクセスできるのか、誰がどのファイルにアクセスしたのか、システム管理者として野放しにはできない。

 USBメモリーやメールのファイル添付もセキュリティ上の観点からやめたかった早稲田大学が最終的にBoxの採用を決めたのは、利用者の管理機能が優れていることに加え、詳細なアクセスログが取得できるからだ。

 特に評価したのは100種類を超えるファイル形式をサポートしたオンラインプレビュー機能。「ローカルにデータを保存せず、クラウド上で様々なデータが閲覧・編集できる点はセキュリティの観点から非常に優れている」(早稲田大学情報企画部副部長の酒井哲也氏)と評価した。

 既存システムとの統合がしやすい点もBoxを採用した理由だ。早稲田大学は2007年に独自開発のLMS(学習管理システム)「CourseN@vi」を教職員、学生を対象に開始。これは教職員と学生が双方向で利用できるプラットフォームだ。Boxは数多くのAPIを企業向けに提供しており、既存システムとの連携が可能。早稲田大学は今後、このCourse N@viとBoxの統合を進めていく考えだという。

 だだし、どれだけ高い管理機能を備えていても、運用の仕方次第でリスクは大きく変わる。「特に学生は機密性や個人情報を認識していない可能性がある。ガイドラインを出すことが重要だと考えた」(酒井氏)。

 そこで、早稲田大学は学生や教員を対象としたガイドラインを策定し、データの種別を明確に分類()。Boxにアップロードしてよいデータとそうでないデータ、条件付きで上げてよいデータなどを規定することで、クラウドストレージサービスをより安全に活用していく体制を整えた。

表 早稲田大学が定義したデータごとのリスク分類
クラウドストレージに保管していいデータを明確に定義
表 早稲田大学が定義したデータごとのリスク分類
[画像のクリックで拡大表示]

 個人がローカルにファイルを置いておくよりも、信頼できるクラウドストレージで一括管理したほうが安全という早稲田大学の判断。「クラウドは危険」という漠然とした不安でクラウド移行に踏み切れない企業が多い中で、学生・教職員合わせて5万5000人の早稲田大学が本格的にBoxを導入したことは、一つの転機になる可能性がある。

個人利用を会社で正式導入に

 中小企業でクラウドストレージサービス導入に踏み切るケースも出てきている。

 スマートフォン向けゲーム開発会社であるエイリムは2014年7月、クラウドストレージサービス「Dropbox」の企業版「ビジネス向けDropbox」を導入し、現在、100アカウントを運用している(図2)。

図2 システム部による管理下で「Dropbox」を本格導入したエイリム
退職社員による情報漏洩も防げる
図2 システム部による管理下で「Dropbox」を本格導入したエイリム
[画像のクリックで拡大表示]

 ゲーム会社はデータ量の多いグラフィックスデータのやり取りが多い。そのため、社内に構築したファイルサーバーやDropboxの個人向けサービスを利用している社員が多かった。システム部門からすれば、外部のサービスを利用されるのはリスクが大きいが事実上、容認していた格好だった。

 個人利用の場合、Dropboxで最初に利用できるストレージ容量は2Gバイト。友人の紹介やソーシャルメディアとの連携など指定されたアクションで約23Gバイトまで無料で増量できる。徐々にエイリム内で広がっていたDropboxだが、ついに容量が足りない事態に陥った。利便性を考えれば止める選択肢はない。

 容量を増やすか別のクラウドストレージサービスへ切り替えるかの検討を迫られたエイリム開発部の関根雅文氏は「社員が使い方に慣れているDropboxをそのままビジネス版に切り替えた方が得策」と考え、ビジネス向けDropboxの導入を決めた。ビジネス向けDropboxのストレージ容量は導入当初は1Tバイトだが、申請すれば無料でストレージ容量を無制限で追加できる。

 ストレージ容量の問題からビジネス版の導入に踏み切ったエイリムだが、「もともと利用していた個人アカウントとの両立が懸念材料だったが、スムーズに統合されている」とエイリム代表取締役の高橋英士氏は満足げだ。また、「グラフィックデザイナーのラフデザインを外出先からでも確認できるため意思決定が速くなった」(高橋氏)という。

 開発部門にとっては、「著作権のあるイラストデータの流出を防げる」(関根氏)と、データの保護という点でメリットが大きいようだ。ゲーム会社は人の出入りが多い。退職者が利用していたDropboxのデータをローカルのPCから遠隔で削除できる点に満足しているという。

 エイリムが導入を決めたDropboxは2015年6月25日に全世界の登録者数が4億人を突破したばかり。圧倒的な個人からの支持を得つつ、エンタープライズ向け機能を急速に強化させつつある。「この1年で管理者向け機能やセキュリティの機能を急速に強化してきた」とDropbox Japanのカントリーマネージャー、河村浩明氏は胸を張る。

 同社の強みは個人向けサービスで有数の利用者がいることに加え、「個人向け有料サービス『Dropbox プロ』の7~8割が仕事で利用されている」(河村氏)こと。既に社員が利用しているため、システム部門が管理できる「ビジネス向けDropbox」にそのまま移行するエイリムのようなケースが多いようだ。

企業の要求に堪え得るサービスへ

 米プロクター・アンド・ギャンブル(P&G)や米ゼネラル・エレクトリック(GE)といった大手民間企業や米司法省などがBoxを導入し、米ハイアットホテルアンドリゾーツや米ニューズ・コーポレーションなどがDropboxを採用している。

図3 エンタープライズ向けクラウドストレージが備える主な機能
IT部門が管理しやすい機能を備える
図3 エンタープライズ向けクラウドストレージが備える主な機能
[画像のクリックで拡大表示]

 相次いで海外の企業や省庁がクラウドストレージサービスの採用を決めているのは、ファイル容量が無制限で他のサービスと連携しやすいといったメリットに加え、ファイルへのアクセス権限管理やアクセスログのリポート機能など、IT部門が管理しやすい機能を備えているからだ(図3)。

 2014年10月にBoxの導入を決めたグリーCTO(最高技術責任者)の藤本真樹氏は「なぜオンプレミスのほうが安全と考えるのかが理解できない」と語る。「ユーザー企業の数人のシステム部門と、何百人ものエンジニアが守っているクラウドストレージサービスと、どちらが安全かは明白」と藤本氏は指摘する。同氏は、「常にストレージ容量の残量を意識しつつ、毎年数千万円の追加ストレージを投資してきたことを考えると、IT部門の手間とコストの削減効果は大きい」という。

 だが、それでも日本ではクラウドに対する警戒感が強いままだ。そのため、ボックスは2015年6月16日、NTTコミュニケーションズと提携を発表し、年内をめどにVPN環境下で利用できるクラウドストレージサービス「Box over VPN」を開始すると発表した。これによって、安全な閉域網から利用できるようになる。また一つ、企業の不安に応えた格好である。

 クラウドストレージサービスの利用が業務効率を上げるのは確実。課題を一つひとつ解決するため、きめ細やかな機能拡張を続けている。企業がファイルをクラウドに置くという選択肢は現実的となった。真剣に導入を検討していいフェーズになってきた。

CONTENTS