クラウドセキュリティの勘所は
「パートナー連携」「ハイブリッド構成」「API提供」
──ユーザーの立場からは、クラウドのセキュリティに関して、何に気をつけるべきでしょうか。
ニフティ クラウド事業部
事業部長代理 兼 クラウドインテグレーション部長
実宝康人氏
実宝氏:ニフティクラウドはIaaSを中心としたクラウドサービスです。オンプレミスと大きく異なるのは、役割と責任をクラウド事業者とユーザーが分担する点です。インフラの部分は我々が責任をもって対応しますが、OS以上の部分はユーザーさん自身が対応しなければなりません。
河野氏:ただ、中小規模のシステムをそういった「共有責任モデル」で運用しようとするのは大変です。専任担当者を置きにくい企業では、クラウドを利用しにくくなってしまいます。
実宝氏:はい。そこでニフティクラウドでは、インフラから上の部分については、パートナーさんの力を借りることにしています。パートナーさんのサービスやソリューションを使っていただくことで、ユーザーは管理の工数を減らして、クラウドをもっと上手に使っていただけるようになります。ニュートラルな立場からいろいろなサービスを提供できるようにしています。
河野氏:シンプルなIaaSサービスなので、さまざまなパートナーと組みやすいところもありますね。
実宝氏:はい。インフラ構築という意味では、セキュリティを考慮してオンプレミスとクラウドを組み合わせた構成を構築しやすいこともメリットの1つです。企業の情報基盤をいきなりパブリッククラウドに置くのはまだ抵抗があるという企業さんが多数いらっしゃいます。そこで、顧客情報などはオンプレミスにおき、フロントサイドはクラウドにおいて、セキュリティとスケーラビリティを両立するわけです。
河野氏:そうしたハイブリッドクラウド環境の構築でも、パートナーとの連携が生きてきますね。私も、企業のサービス開発をお手伝いする際に、まずSaaSを利用して、そこで集まってきたデータを活用するために、PaaSやIaaSと連携するという話はよくでます。一方で、自分がコントロールできない領域があることに対して懸念を抱く企業さんもいらっしゃるのではないですか。
実宝氏:そうですね。オンプレミスはすべて自社で管理できますが、クラウドは障害などが起こった際に事業者に対処を任せるしかなく、すぐに対応してくれないのではと心配される方もいらっしゃいます。しかし、クラウドの特長を活かせば万が一クラウドに障害が起こった際でも影響を受けないようなシステムを構築できると考えています。クラウドらしさを存分に活用していただくために、プログラムから柔軟にインフラを管理するためのAPIを積極的に公開しています。また、サービスの稼働状況や障害の対応状況をメールやウェブを使い速やかにお伝えする体制もとっています。
河野氏:クラウドのセキュリティについて、パートナーとの協業、柔軟なハイブリッド構成、APIの提供といった面からサポートしていると言えそうです。
「顔」が見えるクラウドサービスの魅力
──クラウドサービスの今後の展望についてご意見を伺いたいと思います。新しい機能の必要性やクラウド同士の連携、コスト、サポートといった点でどんな課題がありますか。
ディアイティ
クラウドセキュリティ研究所所長
河野省二氏
河野氏:たとえば、近年の課題の1つに、データ量の増大とともにバックアップやリストア対応が難しくなったことが挙げられます。オンプレミス側にダウンロードしてバックアップしてもいざリストアしようとすると時間とコストかかかりすぎる。そこで、バックアップシステムを、クラウドtoクラウドで構築しようという動きも進んでいます。そのなかでは、API公開やパートナー連携が容易なことがキーになってきます。
実宝氏:そうですね。バックアップやリストアについては、ニフティクラウドでは、DR サービスやバックアップソリューション、そしてセキュアなプライベート接続の組み合わせで課題を解決する方法をおすすめしています。ご指摘のように、クラウドサービス同士を連携させようとすると、管理が面倒になるという課題があります。そこで、インターフェースを共通化したり、APIで一元的に管理できるような仕組みの提供にも力をいれています。もともと、ニフティクラウドでは、モバイル向けにいわゆるmBaaSとしてサービスを提供してきていることもあり、そうした共通インターフェースやAPI提供のノウハウやナレッジも蓄積されてきています。こうしたノウハウやナレッジは、IoTのバックエンドサービスや、セキュリティas a Serviceなどにも応用していくことができるものです。また、クラウドサービス自体の管理や、お客様へのマネージドサービスの提供などにも活用できると考えています。
河野氏:新しい技術トレンドとしては、マイナンバーやソフトウエアデファインド、IoT、マイクロサービス化などがあり、それらにも対応していくことが求められるでしょう。とは言っても、これらすべてに対して、セキュリティ要件は何で、どう対応すればいいかを検討していくことは大変です。たとえば、セキュリティを要件としてクラウドを選択しようとしても、事業者ごとに違いを見つけるのは、実は難しいのです。
結局、そんなときに頼りになるのは、「顔が見えるサービスであるかどうか」ではないでしょうか。問い合わせに迅速に対応してくれるか、日本語で相談に乗ってくれるか、予算に見合った提案をしてくれるか。提供されるサービスに違いが見えにくかったら、そうした点を選定基準にしてもいいと思います。
実宝氏:それは、他社との差別化としてニフティクラウドも力を入れていることでもあります。24時間365日受付の電話窓口もご用意していますし、日本品質のサービスとしてユーザーに近い立場で柔軟なご提案が出来るようにパートナー企業の豊富なソリューションを取り揃えています。クラウドについても、何が課題になるのか、セキュリティはどうなのか、気になっていることは多いと思います。解決方法については、たくさんの導入実績によって蓄積された他社には無いノウハウがございますので、まずは相談していただければと思います。
