トレンドマイクロが主催した、クラウド事業者とユーザー企業の交流会において、その問題点が徐々に見えてきた。
クラウドのセキュリティをどう考える?交流会で浮き彫りになった問題点
クラウドサービスの導入時に問題となるセキュリティだが、実際にユーザー企業の現場からは、どのような声が出ているのか?クラウドサービス事業者は、それに対しどのような認識を持っているのか?両者が実際に顔を合わせ、意見を直接交換する場が必要だ--。
こうした考えのもとトレンドマイクロが開催した交流会には、クラウド事業者側4名、ユーザー企業側4名の計8名が参加。バブリップクラウドを利用してウェブサービスを展開する、ユーザー企業でありサービス事業者である立場の参加者もいた。そして議論は、ユーザー側が抱える不安の正体を見極め、対応を考える展開となった。
2011年8月5日に開催された交流会
象徴的だったのは、利用者側から聞かれる「気になるポイント」は、具体的に何の機能が欠損しているという指摘ではなく、何となく不安であるという感覚や、社内に蔓延する不安の声を説得する方法がないといった、漠然とした訴えに終始したこと。そしてクラウド事業者側からは、このような現場の声に対し「それは"安心"を求めているのであって"安全"を求めているのではない」との反論が出たことだ。
「安全と安心は異なるもの。事業者として"安全"は提供しているが、そこに漠然とした安心感まで求められるから、論点がずれる」というのだ。
なお、一般のエンドユーザーまで加えた意識調査をZDNetが行ったところ、回答者の6割あまりがクラウドのセキュリティはクラウド事業者に責任があると返答した。こうした傾向があることはクラウド事業者も認識しているとみられる。実際、交流会の場でも事業者側から、「利用者の不安を解消する必要性は認識しており、様々な試行錯誤をしている」ということが語られた。
事業者か利用者か クラウドのセキュリティ、責任はどちらが負うかべきか
※クリックで拡大画像を表示ここでは全回答者157人の61.5%にあたる96人が「クラウド事業者」と答えている。回答者の内訳は、クラウドサービス利用者が129人(82.12%)、クラウドサービス事業者は28人(17.83%)。なおクラウド事業者自身も25人中の半数以上にあたる15人が責任はクラウド事業者にあると回答している。
実例に見る、不安解消にむけた具体的取り組み
クラウド事業者側にできる具体的取り組みとして、具体的にどのような事が可能だろうか。交流会の場において聞かれた要望としては、
「セキュリティ対策をあえてオプションとして提供し、対策の内容と効果、費用を明示することで、ユーザー側が適宜選択できる環境を作るべき」という提案があった。結果として、「事業者側でこのくらいはやっているだろう」という思い込みもなくせるというわけだ。
またクラウド事業者からも「セキュリティについてユーザーへの啓蒙も必要。費用がかけられないユーザーに対しても無料で出来るところまではやって、ユーザー環境より良いものを提供したい」との考えも出ていた。
こうした議論を踏まえ、以降は実際のクラウド事業者の取り組みを見ていきたい。各事例ではトレンドマイクロのセキュリティ製品を採用している。ここで注目したいのは、クラウドサービスの提供形態であるIaaS/PaaS(Infrastructure/Platform as a Service)、DaaS(Desktop as a Service)、SaaS(Software as a Service)の各ケースでそれぞれ、どのようにセキュリティをサービスに加味しているかだ。
