「クラウドサービスが社内インフラより安全」には条件があるセキュリティに関する誤解

IDCの調査によると、米国企業・組織の60%近くが、「クラウドサービス事業者は自社のIT組織よりも高いセキュリティを提供している」と考えているようだ。だが、現状のクラウドサービス事業者は、一般的な企業がセキュリティ面で安心できる十分な材料を提供していない。

» 2013年12月25日 13時50分 公開
[三木 泉,@IT]

 調査会社IDCは、2013年9月に発行したレポートで、米国企業・組織に対し意識調査を実施したところ、60%近くが、「クラウドサービス事業者は自社のIT組織よりも高いセキュリティを提供している」と答えたと報告しているようだ。

re:Invent 2013のセッション「AWS Security」で掲出されたIDC調査に関するスライド

 筆者はこれを、Amazon Web Services(AWS)が米国で開催した「re:Invent 2013」におけるあるセッションのスライドで見ただけであり、同レポートの内容は公開されていないため、どういった組織の、どのような役職の人々に聞いたのかなど詳細はまったく分からない。

 2012年のre:Inventでも、NASA ジェット推進研究所(JPL)が「クラウド(この場合AWSのサービスを意味している)ではさまざまな理由で、われわれの組織内のインフラよりもはるかに高いセキュリティを保てるようになる」と語っている

 こうした事象を「勢い」としか理解できない人々は、企業の社内インフラもクラウドサービスに移行するのが「流れ」だと主張する。あるいは「ハイブリッドクラウド」という言葉を、その具体的な意味も考えずに口にする。

 上記の2つの事象でクラウドサービスとの比較対象となっているのは、既存の組織内インフラだ。ある程度大きな組織では、ニーズに応じて多様な業務システムやデータ管理手法が多様なレベルで導入されてきたことから、セキュリティを含むガバナンスの観点からいって問題のあるケースが多い。統一的なITインフラをサービスとして提供するIaaSが、ばらばらで十分にコントロールできていない状況よりもセキュリティ面で優れているというのは納得しやすい。

IT INSIDER No.23では、教科書的なクラウドサービスとユーザー組織の責任分担論で不十分な理由を解説しています

 だが、企業にはプライベートクラウドを構築するという選択肢もある。「社内運用か、クラウドサービスかの議論に欠落しがちな視点」という記事や、IT INSIDER No.12「『クラウドファースト』を理解するための8つのヒント」で指摘したのは、ばらばらで十分にコントロールできていない社内ITを、プライベートクラウドでまとめるよりもクラウドサービスでまとめるほうがさまざまな理由で有利な場合に、クラウドサービスが選択肢になるという点だ。

 現在のところ、セキュリティの観点でいえば、現時点では技術力のある、あるいは第三者を使って十分な対策を講じられる一部の企業や組織だけが、セキュリティに関するツールを比較的多く提供しているクラウドサービスを使って社内インフラを移行し始めている状況だ。

 なぜなら現在のところ、ほとんどのクラウドサービス事業者(IaaS)はセキュリティに関して、一般企業を安心させるのに十分な材料を提供できていないからだ。教科書的なクラウドサービスとユーザー組織の責任分担論だけでは足りない。クラウドサービス事業者は、ユーザー組織の環境のセキュリティが確保されている証拠を提供できなければならない。

 セキュリティに関し、ほとんどのクラウドサービスが、現状では一般企業の信頼を十分に勝ち得られない理由について、IT INSIDER No.23「クラウドサービスのセキュリティに関する誤解」(PDF)にまとめていますので、ぜひご覧ください(本コンテンツのダウンロードには、TechTarget会員登録が必要です)。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。