では、従来のオンプレミスにおけるシステムはどうかといえば、当然のことながら全てが利用者側の責任範囲である。それならば、一部もしくは大部分のセキュリティ責任を提供会社に委ね、リスクを転嫁できるクラウド利用は、企業にとってメリットになるはずで、利活用が急速に進んでもおかしくない。そうならないのは何故か――。ここには、オンプレミスのシステムを考える上で日本に非常に馴染み深いマジックの一つ「丸投げ」があるのではないだろうか。
自分自身で全てを運転していかねばならないはずのシステムを丸抱えしてもらえるインテグレーターの存在は、ユーザー企業にとって頼もしい。「遅い、高い、不満足」を生んでしまっていたシステムインテグレーションの反省によってクラウドが生まれた背景や、今やビジネスモデルの変革を生む原動力になっている市場の動きの重要性を理解しつつも、自分自身で運転せねばならない責任から逃げられた「丸投げ」の温床から脱却できず、クラウドへ移行できていないのではないかと想像する。
利用者は、クラウド利用においてもオンプレミスの前例踏襲で、自分自身で運転する必要がある領域をインテグレーターに委ねようとすると考えられる。この時、クラウド提供会社が、利用者とインテグレーター間の検討の場に参加することはない。結果として、利用者責任の領域をインテグレーターに委ねるためには、クラウド利用に関わるスキルを利用者側もインテグレーター側も理解しきる必要がある。
ガートナーの調査結果には、70%以上がクラウドのスキル獲得は重要と認識しているものの、50%近い割合で「重要だが現場任せ」にしているという「クラウドのスキル獲得に対する投資の状況」というデータもでている。結果として「人ない、金ない、時間ない」によって、クラウドの本質的な価値や必要なスキルを習得できず、セキュリティ責任共有モデルによるクラウドの自己運転が進まない一つの要因となっていると考えられる。
クラウドファースト、クラウドリフト&シフトと謳われながらも、日本において「クラウドかオンプレミスか」という議論がまだ多く、ここから脱却できていないのは、こうした背景も影響していると考えられる。
今、世界では将来を見越した「ニューノーマル」が議論され、とくにコロナ禍によるデジタルワークプレイスの推進やデジタルトランスフォーメーション(DX)、人工知能(AI)などの新たなテクノロジーによるビジネスモデルやビジネススタイルの変革が加速している。クラウド利用はその原動力として位置付けられていることを改めて認識する必要があるだろう。
日本もこの変革の渦中にある。追従ではなく世界に先行していくためにも、日本としてのあり方を導き出す必要がある。クラウド利用一つをとってみても、インテグレーターに委ねることが日本のモデルなのであれば、前例踏襲が難しいという理由で留まるのでは無く、セキュリティ責任境界モデルを正しく理解し、クラウドの本質やスキルを保持したITのあり方や構築、運用の変革を適切にリードできるインテグレーターの輩出が重要になると考えられる。そういった新たなインテグレーションのモデルの創出も、クラウドコンピューティングが原動力になっていくはずである。
最終回となる次回は、過去4回の内容を総括しつつ、日本企業のセキュリティプラットフォームのあり方を考察する。
- 倉橋 孝典(くらはし たかのり)
- クニエ サイバーセキュリティ対策/CISOサポート担当
- ディレクター
- 大手サービスプロバイダーにてサイバーセキュリティ対策やITアーキテクトとしての実務経験を経て現職。ITインフラやセキュリティテクノロジーに精通し、情報システム部門や情報セキュリティ部門、ITサービス事業社のサイバーセキュリティ対策や設計支援、各種認定取得支援、セキュリティ規程整備などのプロジェクトをリードし、CISOをサポートする。また、QUNIEセキュリティラボを運営し、新たなクラウド環境やセキュリティ動向の研究とソリューション開発をリードする。
