現在市場は大量のクラウドサービスであふれているが、すべてのクラウドプロバイダーがそのITシステムに対する正式(かつ高価)な外部監査を実施しているわけではなく、独立した第三者の監査結果を顧客に提供できない可能性もある。そのため検査員は、そういったプロバイダーを利用している企業のITセキュリティが低いと評価する。こうした企業は必要以上に危険にさらされていると検査員が感じてしまうためだ。
このようなクラウドセキュリティやガバナンスに対する不安は、根拠がないわけではない。クラウドサービスを利用する企業の多くがコロケーションサービスを選択する大きな理由はそこにある。コロケーションサービスでは、自らクラウドベンダーの施設に立ち入り、冷却システムや電源、帯域、物理的なセキュリティなどを自社で担当。データセンターのコストを削減しつつ、自社のサーバやストレージを設置して、自社システムを直接管理することが可能となるためだ。
3. ベンダーとの直接的関係が薄れてしまう
クラウドベースのソフトウェアサービスを利用しているものの、サービスを提供するベンダーが自社データセンターを完全に保有していなかったり運用していなかったりした場合、どうなるのだろうか。クラウドプロバイダーのデータセンタープロバイダーに障害が発生しない限りは問題ない。ただし障害が起こった場合、そのデータセンタープロバイダーとは直接やり取りできないことになる。これは契約法で「当事者関係の欠如」とされる。つまり、自社で利用しているクラウドベースソフトウェアの基盤となるデータセンターベンダーとは直接契約を交わしていないため、一次ベンダーではなくデータセンターに障害の原因がある場合、契約を施行することができないのだ。
これにより、自社の責務負担が増し、ビジネス上の危険も増加することになる。
一方、自社ITシステムをクラウドベンダーのコロケーションサービスで運用し、クラウドデータセンターサービスと直接契約して自社ITシステムを管理するようにすれば、リスクが軽減される。クラウドソリューションを検討する際、多くの企業が候補に挙げたベンダーに対し、見積依頼書にベンダーが自社データセンターを保有し運用しているかどうか記載するよう求めるのもそのためだ。
4. 知的財産を保管したい
クラウドベンダーの多くは、ビジネスアプリケーションをマルチテナントコンピューティングモデルで運用しており、数百単位、時には数千単位の顧客が(ERPやCRM、売上などの)ビジネスアプリケーションを共有している。アプリケーションシステムは、顧客からベンダーに寄せられる機能拡張の要望に伴い、四半期ごとや年度ごとなど継続的にアップグレードされる。こうしたベンダーアプリケーションシステムの多くは企業側でカスタマイズできるようになっているが、注意したいのは新しいカスタムコード開発を他の顧客と共有しなくてはならない点だ。カスタムアプリケーションの開発を高度にプロプライエタリなものとしている企業や競争上の優位性に起因するようなものとしている企業にとって、このようなコンピューティングモデルは受け入れがたいだろう。こうした企業は、ミッションクリティカルなシステム(や自社の知的財産)を自社にとどめておくことを選ぶ。