クラウド導入のジレンマ〜見えにくいクラウドのセキュリティ問題
セキュリティに対する「線引き」
そもそも情報システムにおいて完璧なセキュリティを築くことは、クラウドでなくとも難しいと言わざるを得ない。情報漏洩やシステム停止のリスクは、ある程度ゼロに近づけることは可能であっても、限りなくゼロに近づけようとすると、かかるコストが飛躍的に増加していくためだ。そのため、現実的には各企業ともリスクとコストを秤にかけたうえで、現実的な割り切りのもとでシステムを構築・運用している。
たとえば、車には通常、パンクというリスクに対する備えとして予備のタイヤが一つ積まれている。予備のタイヤを二つ載せている人はほとんどいないだろう。しかし、同時に二つのタイヤがパンクする可能性はゼロではない。三つのタイヤが同時にパンクする可能性もあるし、予備として準備していたタイヤがパンクすることだってあるだろう。パンクに対するリスクをゼロにすることが難しいことはお分かりいただけると思うが、どこまでの事態を想定して対策するのかの各ドライバーによる線引きが必要となる。
では、クラウド利用時に検討するセキュリティ対策において、企業はどこに「線」を引けばよいのだろうか。その一つの解が企業の持つセキュリティポリシーであり、企業が従うべきルールである。クラウドの導入に際して、各企業のクラウド導入担当者には、今一度自社のセキュリティポリシーやルールを確認することを是非お勧めしたい。もし、企業が持つルールを参照してもクラウドを導入してよいかどうかの判断がつかない、ということであれば、企業のポリシーやルールが形骸化している、あるいは、クラウドに対応できていない、ということに他ならない。その際は、ポリシーやルールを見直す作業が必要となる。
クラウド事業者の多くは、比較的セキュリティ対策に熱心で新技術の取入れにも意欲的だ。だが、事業者が多くなるとどうしても玉石混交の感が出てきてしまう。
日本でも経済産業省を中心にガイドライン策定の動きが進みつつあり、将来的にはクラウドに対応した第三者機関による監査や認証制度が整備される可能性もあるが、現在の制度はまだそこまで熟していない。
クラウドを利用する各企業が、それぞれのセキュリティ基準を持ち、それにマッチするクラウド事業者を見つけることができればいいのだが、クラウドと称するサービスが次々と登場する中で、多くの企業は詳細を把握することができないまま戸惑いを抱えている状況なのではないだろうか。
いずれにせよクラウドは一過性のブームで終わるものではなく、IT業界のパラダイムシフトの一角を担うものだと当社では考えている。拙速に導入する必要はないだろうが、目配りだけは欠かさないでおきたい。