私の会社では、法人のお客様の個人情報を取り扱っていますから、サーバー本体をデータセンターからクラウド上の仮想サーバーへ移行するという計画を提案すると、決まって次のような質問を受けることになります。

  • セキュリティは大丈夫ですか?
  • データの保管場所は?
  • どの業者を選ぶのですか?

 これらはいずれもクラウドへ移行する際に出てくる漠然とした不安からくるくるものなのです。これらの疑問に対して、具体的な対策内容やシステム構成を説明してもなかなかラチがあきません。

 なぜなら、そもそもがばく然とした不安なので、あれこれ詳しく説明されると、かえって「本当に大丈夫なのかな?」と不安が募るのです。従って、こういう場合には、一番有名な国内の会社名を出して、「だから大丈夫です」などと言えば分かってもらえることが多いのです。

 そこで、前編でも書いたような業者に見積もりを依頼して、念のため確認事項を質問したら、期待とは違った回答が帰ってきてしまい、がっかりしたのです。

 私の失敗の原因は、有名会社に対して、回線やサーバーが冗長構成になっていて、しかもデータセンターでISMSを取得していていることを、当たり前のように期待していたことでした。余談ですが、超有名な1社には資料請求として自宅の住所を書いて送ったのですが、そうしたら、翌日にアポ無しで自宅に営業マンが来たのにも驚きました。それはそれでとても不安になってしまいました。

 そこで、もう少し調査範囲を広げて、超有名ではないが、ある程度大きな会社というところで調べてみました。そうしたら、かえって、そういう事業者の方が差別化のために冗長構成やセキュリティに対して取り組んでいるようです。

 実際、先に調べた超有名な2社は、技術面や体制面の質問をすると、2~4日経ってから返事がきました。しかし、今回調べた数社の事業者は、当日もしくは翌日には返事がもらえました。

 データセンターでISMSを取得している事業者もあり、回線の冗長構成やハードウエアの冗長構成もしっかりしているところを見つけました。

 よく、ISMSを取っているからといって本当に安心できるわけではない、という話を聞きます。それは全くその通りです。しかし、ばく然と不安をいだいている法人顧客には、納得できる何かが必要なのです。

 本来であれば、ISMSを取得しているが、それはベースラインであり、さらに強固な独自の対策に取り組んでいる、というのがよいのですが、そこまで求めるのはハードルが高いでしょう。

 自分のデータを預けるだけなら、ISMSなどは参考程度にして、むしろ「ISMSを取得しているから万全です」とでも言おうものなら即不採用にするところですが、お客様のデータを扱う場合にはお墨付きが必要です。

 クラウドではクラウド事業者を信用するしか無いのですから、自らセキュリティ対策に取り組んでいる具体的な証明が必要でしょう。現在いくつかのクラウド事業者向けの認証制度などが動き出していますが、今はISMSが知名度も高く、みんながとりあえず納得できるレベルなのだと思います。

 業者の絞り込みができて来たので、今後、実際に見学させてもらって決めようと思っています。大手の場合には複数のデータセンターのどこに自分のサーバーが置かれるかは分からないので、参考程度になります。それでもおおむねねの管理体制は分かるでしょう。

 例えば、クラウドのサーバーは独立した部屋に置かれているか、ホスティングユーザーなど他の顧客が出入りすることは無いのか、監視カメラはラックの方に向いていて常時起動しているか、などは現地で質問や確認をしないと分からないものです。クラウドサービスであっても実態の確認は必要であると思います。