#4:あなた「も」クラウドのセキュリティに責任がある
プロバイダーは、データやアプリケーション、インフラ、要員といったあらゆるレベルにおいて、最善のセキュリティプラクティスを用意しておくべきであるが、これによってあなたの責任が一切なくなるというわけではない。クラウドコンピューティングプロバイダーのセキュリティに関してPonemon Instituteが実施した意識調査「Security of Cloud Computing Providers」では、プロバイダーも顧客もクラウド上のデータセキュリティに対する責任を感じていないことが明らかにされている。実際のところ、プロバイダーの大多数(3分の2)は、顧客が格納しているデータの安全性に対する責任は顧客自身が負うべきだと確信している。こういった状況では、データ漏洩が発生した場合にお互いが非難し合うという憂慮すべき事態を引き起こしかねない。
データの保護という点では、あなたの責任範囲と、プロバイダーの責任範囲を押さえておくようにしてほしい。クラウドによるソリューションが、セキュリティのあらゆる側面を網羅できていると思い込んではいけない。あなたは依然として自社のデータを暗号化したり、ポリシーを策定したうえでそれを順守していく必要がある。IaaSやその他のインフラに関するクラウドの場合、あなたのクラウドインスタンスのセキュリティ(および信頼性の確保)は、すべてあなたの責任となる可能性が高いのである。
#5:誰が鍵を握っているのか
ここでの鍵とは、暗号化キーのことである。データを保護するための方法は大事であるものの、セキュリティやプライバシー全体を見渡したうえで暗号化に関する詳細が検討されることは滅多にない。まずは、データが使用されているかどうかに関係なく、そのデータが「常に」暗号化されていることを確認してほしい。次にプロバイダーが暗号化キーをどのように管理し、セキュリティを維持しているのかを調べてほしい。特に暗号化キーの管理に関するアクセス制限ルールやポリシーに着目する必要がある。これはあらゆる企業にとって死活問題であり、あなたがヘルスケア関係や金融関係といった規制の厳しい業界にいる場合は特に注意を要することだ。
#6:データ復旧に要する実際の時間
クラウドを利用したデータの保管やバックアップによって、データ保護に関する現実的な問題を解決できるようになる。とはいうものの、データ復旧の際に使用できないようなバックアップでは取得する意味がない。クラウド上に無事、データを格納できたのであれば、必要になった時点でそのデータを迅速に取得できるかどうか確認しておいてほしい。データの復旧については、ベンダーに質問を投げかけるだけではいけない。クラウドサービスの契約前に自らで検証しておく必要がある。また、ベンダーが現実に存在する事例でのパフォーマンスデータを持っているのであれば提供してもらおう。ただ、データの復旧に要する時間は、クラウドのソリューションやプロバイダーの能力だけでなく、あなたの会社のネットワーク帯域幅によっても左右される。なお、ISPが提供する公式の値をうのみにしてはいけない。自らでテストを行い、実際のアップロード時間とダウンロード時間に基づき、現実的な数値を把握しておくようにすべきである。こういった数値は、データの復旧時だけではなく、クラウドに最初にデータを移行する際にも重要となってくる。