『漠然とした不安』
手元にある安心感
侵入、改ざん、
漏えい
127
セキュリティ対策レベルは、自社設備でもクラウドでも変わらず
予め一部対策済(自社が実施する分を一部肩代わり)
日々新しいリスクに対処される
ISO27001など国内外のセキュリティ基準の認証を得ている FISC安全対策基準など公的なガイドラインにも準拠
(自社で複数の認証取得と維持は非常に高負荷。一般企業では非現実的)
2-6. 考察とまとめ
自営対策は高負荷
任せられる安心感
パブリック クラウドなら
★大きな課題で挙げられていたセキュリティに関して解消されつつある。
★安心を実感するために、PoCを利用して事前検証を行う。セキュリティ限らず、
構築・移行・運用などTotal 的に実用に向けて見極める。
第三者認対策標準で 済証のお墨付き
128
ネットワーク+セキュリティの知見がどの分野でも要求される。アプリケーションに焦点をあて たアプローチが必要となり、各機能データ暗号化、多要素認証、マイクロセグメンテーション 化、パッチ適用などを考慮する必要がある。
新しい技術・スキルが変化するため、それらに追従し続ける人材が必要。
インフラ・アプリの垣根を超えたエンジニア化を目指。
人
最新のパブリッククラウド環境を利用することで、従来のプライベートクラウド環境でしか実 現できなかった基幹システム、機微情報の公開システムでも利用可能となる。
ネットワーク仮想化技術を取り入れて、プライベート環境とパブリッククラウド環境を接続す る。
技術
基本的にはどのようなデータもクラウド上で取扱は可能。サービス事業者との責任共有モデ ルを考慮し、データの機密性に応じた対策を講じることで対処可能。
データの機密性に応じて暗号化強度を高くするなどの対応が必要となり、暗号化キーの管 理など利用者側で検討する点が存在する。
データ
クラウドを利用するにあたり、まずは、利用用途、保存するデータの重要度、利用者の範囲 などの要件を利用者側から提示してもらい、適切なサービスを提供する必要がある。
クラウドベンダの取組みや外部認証などを勘案してセキュリティの評価が必要。
進め方
クラウドを本格的に活用するために4つの視点で提言する
2-6. 考察とまとめ
129クラウドチームメンバーが所属する会社で求めるセキュリティ対策について、システム形態別にアンケートを実施。
システム形態は以下のとおり。
<参考:サービス提供形態>
•
IaaS(Infrastructure as a Service)情報システムの稼働に必要な仮想サーバをはじめとした機材やネットワークなどのインフラを、インターネッ ト上のサービスとして提供する形態
【主な利用】
財務会計・管理会計・販売管理・仕入管理・在庫管理・人事労務管理・プロジェクト管理などの個別 管理及び一元管理システムの利用など
•
PaaS(Platform as a Service)アプリケーションソフトが稼働するためのハードウェアやOSなどのプラットフォーム一式を、インターネット上の サービスとして提供する形態
【主な利用】
SNSやグループウェアの利用、ホームページの制作管理サービスなど
•
SaaS(Sortware as a Service)これまでパッケージ製品として提供されていたソフトウェアを、インターネット経由でサービスとして提供・利 用する形態
【主な利用】
データの保存場所の構築・利用、仮想サーバやWEBサーバ、データベースサーバの利用など