[Gartner’s Eye]

2010年2月8日(月)石橋 正彦

リスト

“雲の向こう側”にデータを預けるクラウド・コンピューティングは、とかくセキュリティは大丈夫なのか、という議論に陥りやすい。売り上げ情報や新商品の開発データなどの機密情報は、適切なセキュリティ要件を満たす場所で管理しなければならない。だがクラウドの場合、サーバーがどこにあるのか分からない、どのようにデータを安全に管理しているのか分からないなどの“目に見えないリスク”が存在する。ベンダーは、クラウドで用いるアーキテクチャや機能などの情報を開示したがらないこともあり、ユーザー企業のクラウドへの懐疑的な見方を払拭できずにいる。

その一方で、昨今の経済不況によりシステムをアウトソースする機運が高まっている。情報システム部門の人員削減などが進んだことで、クラウドのリスクよりも自社運用によるリスクの方が高いと判断する企業が存在するためである。しかし、クラウドが抱えるセキュリティ問題が曖昧なまま運用に踏み切っているのが現状で、非常に危険な状態が続いているといえる。

では、ユーザー企業は安全なシステム運用を担保するクラウドをどのように選べばよいのだろう。

情報収集と査定によりクラウドを評価

いかにクラウドといえども、ベンダーは具体的にどのようなセキュリティ対策をしているのか、データをどのように安全に保管しているのかなどの透明性を打ち出さなければならない。ユーザー企業はこれらの情報収集に努めることが大切だが、ベンダーからの情報を聞くだけでは公正にクラウドを評価できない。ユーザー企業はクラウドのリスクを自ら評価することを怠ってはならないのだ。万が一クラウド上に預けた情報が漏洩した場合、社外に対して責任を負うのは他の誰でもないユーザー企業自身となるからである。自社のセキュリティ要件と照らし、機密性やプライバシーの保護、有効性などの観点から適切にクラウドを見極めることが求められる。自社で十分な査定ができない場合、第三者機関を利用してもよい。コストはかかるが、専門的な査定による公平な評価を参考にできる点が強みだ。なお、米ガートナーが359の企業に確認したところ、86%の企業がセキュリティに関する何らかの調査を行っているという。