連載
» 2010年07月13日 00時00分 公開

なぜクラウドは「不安」なのか(後編):クラウド利用時にクリアすべきリスクと課題 (3/3)

[篠崎将和,NRIセキュアテクノロジーズ株式会社]
前のページへ 1|2|3       

クラウドサービスを安心して利用するために

 前節ではパブリッククラウドを利用する際に発生するリスクや課題を紹介した。これらのリスク・課題は、実際に利用を開始したあとでは、対応を行うことが困難なケースも存在する。いま、クラウドサービスの利用を検討されている方へのメッセージとして、契約までの準備フェイズと、契約、そして運用フェイズが重要であるとお伝えしたい。

 利用者が求めるサービスレベルを実現するには、契約約款やSLA(サービスレベル契約)などの合意に至る準備段階が重要である。

 利用者の準備フェイズでは、クラウドサービスを利用する範囲の決定、預託する/しないデータの特定、セキュリティの実装方式、クラウド事業継続性(クラウド事業者の移行など)、運用方式を考慮し実現可能性の検証を行い、システム導入計画やシステム移行計画策定を行っていく必要がある。加えて、サービスの解約時にデータやアプリケーションの削除を証明する方法や、解約時の違約金の有無も確認するとよい。

 技術的なセキュリティが保証されない部分に関しては、契約約款やSLAの内容をクラウド事業者と詰めておく必要があるが、事業者によっては約款やSLAの変更に応じないケースもある。その場合は再度クラウドサービス導入の可否を判断する必要がある。以上のようなことを踏まえ契約関連で利用者が留意すべきことをまとめた。

留意事項 その理由
契約事項、サービスレベルの確認 ・利用者が求めるサービスレベルが、クラウド事業者が開示する契約事項やSLAとマッチしないことがある
・クラウド事業者が提供する契約事項や、SLAを利用者に応じてカスタマイズして締結することが困難な場合がある
トラブル発生時の対応レベル ・接続障害や情報漏えいなどのトラブルが発生した場合に原因追求が困難となる場合がある
・クラウドにおける分散環境などの構成の複雑さにより、調査時間の遅延や調査行為自体が実施できない場合がある
・トラブル原因が特定できないために責任追求が困難となる場合がある
・免責条項の制限が付されていることが多いが、利用者側で求めるレベルとマッチしないことがある
損害賠償規定 ・サービスの稼働保証が規定されていることが多いが、データ損失・流出が発生した場合の補償内容に関しては規定されていない場合がある
データ消失に対する損害賠償規定 ・データ消失時の補償の話などに関しては、契約時から検討する必要がある
・現状ではサービスダウン時間に対する補償が多く、データ損失の観点も契約に盛り込む必要がある
契約条項の順守状況の確認方法 ・クラウドはブラックボックス化しているため、事業者が契約条項を順守していることが利用者から確認しずらいことがある
海外事業者への訴訟提起 ・クラウド事業者の実体が海外にある場合、合意裁判管轄条項、準拠法の指定があるために、訴訟提起が費用倒れになるおそれがある
システム監査・情報セキュリティ監査 ・利用者からの監査要求が受け入れてもらえないことがある
・監査を実施する場合でも利用者が求めるレベルで監査を実施できないことがある
表4 契約時に留意する事項

 運用フェイズでは、契約順守状況の確認を行うこととインシデント発生時の対応、クラウド事業者の変更時などに注意してほしい。クラウドサービスのモニタリングを適切に実施できなければ利用者は金銭面で負担が増加する可能性がある。モニタリングや監査手法の確立などの取り決めをあらかじめ行っておかないと、クラウド事業者が提供するサービスレベルの妥当性を利用者が判断することが困難となる。このあたりも含め、契約時に確認を実施してほしい。

最新動向を注視し、メリットを見極めた利用を

 クラウドサービスのセキュリティをめぐっては、各種業法のセキュリティ基準などとの関係の見直しが実施されつつあるなど、まだ明確な回答が出ていないのが現状である。利用者はこれらの動向を注視しつつ、最適なサービスと利用範囲を見極める必要がある。

 利用に際しては社内で利用するOA環境の一部の機能からクラウドサービスを利用していくなど、段階的にクラウドサービスの利用範囲を広げていき、多くのメリットを享受してもらいたい。そうしてクラウドサービス利用者が増えていくことにより、さらにクラウドコンピューティングが発展し、数年先にはクラウドサービスを利用した方が、セキュリティ効果やコスト効果が高くなるようなIT基盤が提供されていくことにつながっていくであろう。

筆者紹介

NRIセキュアテクノロジーズ株式会社
セキュリティコンサルタント
事業開発部

篠崎 将和(しのざき まさかず)

前職では防衛関連の組込システム開発に従事する。エンタープライズ系システム構築に携わりたくなり、2006年株式会社野村総合研究所入社。

携帯電話を利用したユーザー認証ソリューションなどのシステム開発を手掛けるかたわら、CMMIによるプロセス改善をSEPGメンバとして推進してきた。

2009年よりNRIセキュアテクノロジーズ株式会社にて、セキュリティコンサルタントとして活動中。

現在はクラウドセキュリティに関するコンサルテーションと、クラウドセキュリティ事業の開発を行っている。


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。