クラウドの光と影

クラウドの光と影

～クラウド利用の進展と今後留意するべき課題～

Prowise Business Forum in KANSAI

株式会社 野村総合研究所 情報・通信コンサルティング部 主任コンサルタント

今日お話しすること



クラウド利用の進展とその背景



クラウドの利用が進むゆえに想定される今後の課題



いずれにおいても、セキュリティは重要なキーワード。

クラウドの利用は拡大路線にある。

2

出典： 総務省スマートクラウド研究会資料（2010年2月）

利用の進展は、コスト面はもとより、デリバリ面によるところが大きい。



ユーザ企業にしてみれば、クラウドサービスは「ちょっとお試し」が非常に容易。



「まさか、あそこの情シスが、ウチ以外のシステムを使うなんて…！」という事例も増加。

3 日本郵政（郵便局会社）のケースは ワールドワイドでも象徴的なケースとなっている。

「運用負荷」「初期コスト」「ITリソース保有」「構築費用」の低減に対する期待が大きい。

4 出典： 「企業における情報セキュリティ実態調査2009」

クラウドを利用する上での不安事項としては、セキュリティ関連の事項の割合が大きい。

特に、Availability （可用性） に関する不安事項が多く挙げられている。

5 出典： 「企業における情報セキュリティ実態調査2009」

「セキュリティ」は、依然としてクラウドサービス導入上の阻害要因・懸念事項ではあるが、

業界・行政・国際機関等による標準化等を通じて、着々と環境整備は進んでいる。



例えば、セキュリティに関して、以下に挙げるような事項については検討が進められているところであり、

クラウドがより安全に利活用される上での、留意事項と言える。

 ユーザ視点からのセキュリティ要求事項 ▪ クラウドサービス提供者を信用できるような方策の整備 （セキュリティ監査、セキュリティポリシー管理、など） ▪ データの紛失、漏洩に備えた、データ機密性機能を具備すること ▪ 適切なアカウント/IDの管理を実施すること  サービス提供者視点からのセキュリティ要求事項 ▪ クラウドサービスの不正利用から保護すること。

（DDoS, Service / Account Hijacking、など） ▪ 仮想化技術に係るセキュリティ評価 ▪ 内部犯行者などの不正を排除するためのセキュリティマネジメント。 ▪ データの紛失、漏洩に対する機密性確保の実施。 ▪ クラウドのための災害復旧や大規模障害の計画整備 ▪ データの拡散管理や国際プライバシ法に係る評価 6 参考： 「ITU-Tにおけるクラウドコンピューティング技術に関する研究動向」 （ITUジャーナル 2010年11月号） ほか

コストやデリバリが利用上の魅力である一方で、 「セキュリティ」は確かに不安要素。

しかし、極端な拒絶反応を示すことは、大きな損失に繋がりうる。

 確かに自社の中に、自社業務およびIT施策に関して高い専門性を持った人がいて、 その人にセキュリティ業務を任せていれば安心かも知れないけれども、 そんなエース級を「守り」に回しておける贅沢が本当にできるか？  クラウドとは「情報資産のマルチテナント化」。 一番重要なのは「優秀な専門家」をマルチテナント化できること、と言えないか？  セキュリティ関連はアウトソーシングとの親和性が高い。ファイアウォールの遠隔監視等。  「コレクティブインテリジェンス」の活用はサーバサイドならでは。 （他者環境における障害情報のフィードバック）  他社が被害を被ったとき、同じ轍を繰り返さぬようにするための施策を迅速に講ずることができるか？  結局、業務プロセスが変わることへの忌避感を「セキュリティ」と呼んでいるだけではないか？ 7

クラウドのコスト上の恩恵を受けつつ、

セキュリティを確保するための施策も登場しつつある。

8



秘密分散技術を用いて、重要情報を「意味の無い情

報」に変換し、複数のデータセンタ等に保存する。



クラウドサービスの長所を活かし、短所を補うことを、

より極端に実施することも可能と考えられる。



これは、「クラウドを使ってみたいけど、若干不安」とい

う現時点における懸念を前提としたサービスといえる。

出典： NRIセキュアテクノロジーズ

「Quality」に対する過剰なこだわりから、Cost / Delivery の重視に移行する。

（あるいは、「移行せざるを得ない」というケースも。）

 実施業務に求められる、機微性・事業継続性とバランスがとれている範囲においては、利用価値は極めて大きい。  クラウド利用によって浮いたお金と時間を、収益により近づくための投資に回すことができる。 9

Quality

Cost

Delivery

情報システム部門に対して「サーバを買ってくれ」と言わなくなったユーザ部門は怖い。

今後、「クラウドの野放図な利用」の増加が懸念される。



「クラウドを使う」中での、セキュリティ上の懸念こそが、今後本格的に検討するべき「影」と言える。



コスト・デリバリが改善することによる副作用として、

「野放図な利用」という問題が今後拡大しうるのではないか？

 資産購入申請をする必要がなく、  社内の固定IPアドレスを申請する必要もなく、  比較的少額な費用として計上することが可能であり、  セキュリティに関する留意の必要性すら感じることのない、 ユーザが勝手に契約することもありうる。



そのような野放図が成立する理由

 既存の稟議・承認体制の多くは、「情報システム投資≒設備投資・資産管理」を前提としているが、 そのような「保有」を前提とした承認体制の不備をつくケース。  一部の業種・事業者を除いては、個人情報以外の取り扱いに関する規定がなされているケースは少ない。  また、近年の大規模ユーザ企業の多くにおいて、事業部間の壁が高いこともこの問題の拡大を後押しする？ 10

野放図なクラウド利用と、ユーザ部門による勝手情報化は、

「内部統制の先祖返り」と「クラウド後のデータ活用機会の逸失」という悪影響に繋がる。



ユーザ部門が、比較的安価なクラウドを用いて進める、「勝手情報化」。



この野放図な利用は、なぜ怖いのか？

 実施業務に求められる、機微性・事業継続性とバランスを欠くような 極端に「安かろう、悪かろう」なサービスの利用。  この10年程度で構築してきた、情報システムの内部統制からの 大きな逸脱を促しかねない。  業種等によっては、法令順守違反となる可能性も。  データ構造のサイロ化が進んでしまうと、 クラウドの次のステップである「データ活用」において 大きな後れを取り、中長期的な競争力削減につながる恐れも。 11

内部統制の先祖返り

クラウド後の

データ活用機会の逸失

Q→CDの先に求められる事項として、

ガバナンスへの揺り戻しが想定される。



野放図な利用に対しては、それを防ぐためのガバナンス強化が求められる。

12

Quality

→ Cost

Delivery

野放図な

利用

ガバナンス強化の

必要性増大

ガバナンスを利かせるためには各レイヤでの施策が必要。

例えば、通信レイヤへのにらみも必要。



全社的なゲートウェイセキュリティのうち、アウトバウンド方向に関するセキュリティの強化が必要になる。

 既存のIDS/IPS やF/Wの多くは、ウイルス対策やDDoSなど、

外部からの攻撃を主眼に置いたセキュリティ（インバウンドセキュリティ）。

 DLP（Data Leak Protection）に近い発想をするゲートウェイセキュリティの必要性が向上する。



「野良通信」の取り扱いにも留意が必要。

 ワイヤレスブロードバンドサービスの普及は、クラウドの利便性を向上させるあまり、 セキュリティ上のトラブルにもつながりかねない。  例： ポータブルワイヤレスルータ等。  数年前に隆盛した「USBメモリのセキュリティ」よりも、より深刻な影響が想定しうる。 ⇒ USB端子の先は無尽蔵のストレージ＋「メディアを無くした」といった分かりやすい管理が行いにくい。 13

まとめ



クラウドサービスの利用は着々と進展しているところであるし、

そのコスト・デリバリ面の優位性から合理的なものといえる。



ただし利用に際しては、適用業務において求められる

機微性・事業継続性とバランスの検討が必要不可欠。



ユーザ部門等による野放図な利用は、

「内部統制の先祖返り」や「今後のデータ活用機会の逸失」に繋がりかねない。

14

15



本稿に関するお問い合わせ先

株式会社 野村総合研究所

情報・通信コンサルティング部

主任コンサルタント

鈴木良介 / [email protected]