前回(メリットを共有する「業界クラウド」の可能性--IBMに聞くプライベートクラウドの価値)は、企業にとってのプライベートクラウドの価値について考えた。今回はクラウドを使いたいと考えている企業が不安を感じていると思われる「セキュリティ」について見ていくことにしよう。
NRIセキュアテクノロジーズ(NRIセキュア)が2009年11月に発表した「企業における情報セキュリティ実態調査 2009」によると、クラウドコンピューティングに対して期待していることの上位は、「システム構築コストや運用負荷の削減」や「保有リソースの削減」などであったという。逆に、不安に感じることの上位は、「問題発生時のクラウド事業者の対応」や「自社の事業継続性について」だった(下図参照)。
企業のクラウドサービスに対する期待と不安(出典:NRIセキュアテクノロジーズ、情報セキュリティレポート「企業における情報セキュリティ実態調査2009」)
また、「第三者に情報を見られてしまうのではないか」「事業者側でどのような情報セキュリティ対策が実施されているのか分からない」という不安を、4割近い企業が感じていると報告した。
企業のクラウドサービスへの理解はこれから
「企業がクラウドサービスをきちんと理解していれば、自社の基準に適合するかしないか、十分か不十分かの議論になるはず。例えば、SLAについてであれば、クラウドサービスのSLAに明記されていないから分からないのか、SLAを実際に見ていないのか、あるいは、まだ情報を集めておらず判断していないという可能性も高い」
そう指摘するのは、NRIセキュア、サイバーセキュリティラボの上級研究員である佐藤健氏だ。同社は、野村総合研究所の情報セキュリティスペシャリストで構成されたセキュリティ専門会社である。佐藤氏は、多くの企業は今、不安の段階から情報を集め判断し、コンセンサスを取っていく段階にあるのではないかと見る。
前出のレポートの中で意外に感じたのは、「公的ガイドラインへの準拠あるいは情報セキュリティ監査の観点から、クラウドの利用は容認されるか」という点で不安を感じている企業が少なかったことだ。クラウドサービスの利用に関する基準、評価指標等は確立されているのだろうか。
この点について、同社テクニカルコンサルティング部セキュリティコンサルタントである篠崎将和氏は「法律家や監査法人、データセンター事業者ならびにセキュリティ有識者等の間で議論されているところだが、仮に今、クラウドのガイドラインをつくったとしても、現行法やガイドラインとの兼ね合いにおいて、いろいろと問題が出てくるだろうと言われている」と説明する。
そもそも、ASP(Application Service Provider)というビジネス形態においても同様の問題は存在していた。ただ、クラウドはASPと比較して、技術的にもビジネスモデル的にも伸縮性があるため、世の中に与える影響度は大きい。篠崎氏は、ASPではそれほど顕在化してこなかった問題について、クラウドへの関心が高まる昨今、再度考えなければならない段階へきたと見ている。
クラウドサービス利用上の懸念点(経済産業省の資料を基に作成)
