• 会員限定
  • 2017/03/02 掲載

クラウドとオンプレミスを比較する意味は?セキュリティ投資でCIOが意識すべきこと

CIOのためのAWS解説(4)

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
自社システムをオンプレミスからクラウド(パブリッククラウド)に移行しようとする際、さまざまな側面から両者を比較検討する方は多いことでしょう。「セキュリティ」はその際の重要な要素のひとつです。2017年1月、三菱UFJフィナンシャル・グループが米アマゾンと契約を締結し、社内システムの一部をAmazon Web Services(AWS)に移行することが報じられました。厳格なセキュリティポリシーを有する金融機関、それもメガバンクがAWSを本格導入することを表明したわけです。もはやオンプレミスとクラウドのセキュリティを単純比較できる時代ではないことを示す出来事です。AWS連載の第4回目では、パブリッククラウドの導入を考えるCIOやCISOが持つべきセキュリティ投資の考え方について、アイレット(cloudpack)情報セキュリティ管理責任者 齊藤愼仁 氏が解説します。

アイレット(cloudpack)情報セキュリティ管理責任者 齊藤愼仁

アイレット(cloudpack)情報セキュリティ管理責任者 齊藤愼仁

アイレット株式会社 社内インフラのセクションリーダー。情報セキュリティ管理責任者、個人情報管理責任者、PCI DSS管理責任者を兼務する。 x86系プロセッサを中心としたサーバーの企画・設計やHPCハードウェアのプリセールスなどに参画した経験を持つ。

photo
クラウドのセキュリティに対する誤解を解く
(© Cybrain – Fotolia)



オンプレとクラウドのセキュリティ比較はナンセンス

 オンプレミス環境を持っている企業から、よく尋ねられることがあります。「自社のシステムをAWSのようなパブリッククラウドに移行しても、セキュリティは大丈夫でしょうか?」という質問です。

 私は、この問いに対して次のように答えるようにしています。

「そもそも、いま自社で使っているオンプレミスの環境が安全であるという保証はありません。オンプレミスとクラウドでセキュリティを比較した場合、オンプレミスがクラウドよりも脆弱だというケースが多く、むしろクラウドに移行した方が、セキュリティに関する心配は減る可能性が高いです」

 そう断言できるのは、パブリッククラウドサービス事業者であるアマゾン(AWS)、マイクロソフト(Microsoft Azure)、グーグル(Google Cloud Platform)といった企業のIT投資額を見れば明らかです。

 いずれの企業もグローバルで圧倒的なITリソースを持ち、オンプレミスでシステムを運用する企業以上にセキュリティに投資しています。通常では思いつかない高いレベルのセキュリティ対策を実施しているので、オンプレミスでシステムを運用する企業はまず太刀打ちできないでしょう。

 よくある勘違いに「自分がコントロールできるところにデータがあるから安全」というのがありますが、これは間違いなく幻想です。

 目の前にデータがあっても安全ではありません。データは仮想的なものですから、セキュリティの観点では「どこに置かれているのか」よりも「どのように保管されているのか」の方がはるかに重要です。

 AWSをはじめとするパブリッククラウド事業者が運営するデータセンターでは、保管されたデータの適切なコントロールをするために厳密な内部統制が取られていますし、責任を持つ第三者の外部監査機関によって、安全性も担保されています。

 CIOは、パブリッククラウドに対する正しい理解を深め、オンプレミスからの移行の際はリーダーシップを取りながら、不安に踊らされることなく、適切な投資が行える判断力を持つことが求められるでしょう。

「セキュリティ対策」の意味をあらためて考え直す必要性

関連記事
 必ずしも「パブリッククラウドを使うべきである」ということではありません。むしろこの機会に「セキュリティ対策」をする意味をあらためて考え直してみることをおススメします。

 というのは、セキュリティ対策とは「安心・安全を買って、ビジネスを継続させていくための投資行為」だからです。言いかえれば「セキュリティを気にし過ぎて自縄自縛に陥り、臨機応変なビジネスができない状態をつくってしまうのは本末転倒である」ということです。

 あらゆるセキュリティ対策を実施しようと考える必要はありません。自分たちのビジネスを加速させるための必要なセキュリティ投資とは何か? を考えていくことがポイントになります。

 たとえば自社がクレジットカード情報を扱っているのであれば、「PCI DSS」(Payment Card Industry Data Security Standard)の認証を取得することは、ビジネス上のアドバンテージになるでしょう。

 むしろ自社のビジネスを「何をすればイノベーションを起こせるのか?」あるいは「企業を成長させる原動力になるのか?」など事業の成長を最優先に考え、その遂行に柔軟さをもたらすパブリッククラウドの採用を検討するという順でいかがでしょうか。

クラウドよりもオンプレミスをあえて選ぶ「Box」の考え方

 グローバル企業では、今では新たな事業をスタートするにあたり「まず、どのパブリッククラウドを選ぶべきか?」という点から始まるのが常識です。

 米インテルでは、アマゾン、フェイスブック、グーグル、マイクロソフト、アリババ(阿里巴巴)、バイドゥ(百度)、テンセント(騰訊控股)を「スーパー7」と称しています。これらの企業は、みなクラウドファーストでIT投資をしています。

 その一方で、「あえて」オンプレミスを選んでいる企業もあります。たとえば、エンタープライズ向けクラウドストレージサービスを提供する『Box』は、あえてオンプレミスを選んでいる代表的な企業です。

photo
アーロン・レヴィCEO率いるBoxが、あえてオンプレミスを選択するワケ
(写真:Enterprise 2.0 Conference/flickr,CC BY-SA 2.0)


 Boxは言うまでもなく「クラウドサービス」を提供しているわけですが、そのサービスは米国内の自社データセンター3か所を専用線で冗長化しています。つまり、Boxユーザーのデータは、クラウドを通じて、Boxが自社で運用しているオンプレミスのストレージに保存されているのです。

 そんなBoxですが、2016年に「Box Zones」というサービスを発表しました。これは、データの保存先としてパブリッククラウドのAWSやIBMクラウドが選択できるようになり、データを特定の地域に保存できるようにするものです。

 ちなみに対照的な動きをしているのが、競合サービスのDropboxです。彼らはユーザーのデータの多くをAWSのストレージである「S3」に保存していたのですが、2016年にその9割以上を自社で構築したオンプレミスのストレージに移行しました。

 創業当時Boxは、ビジネスをスケールさせるためにオンプレミスを選んだのですが、時代の変化とともに、ユーザーはデータの保存先をパブリッククラウドに求めるようになりました。

 そこで、BoxはAWSやIBMといったパブリッククラウドを使い分けて採用し、米国以外のリージョンにあるストレージを選択できるようにしたわけです。

 AWSと連携する際にも、Boxは2年間もの時間をかけて徹底的にAWSの仕様を調査し、Boxのセキュリティ基準でもAWSが使えるかどうかを熟考しました。基準を満たさない場合には監査要望を出し、それらが改善された段階で、ようやく連携を発表するという徹底ぶりでした。

 Boxは将来、オンプレミスとパブリッククラウドの運用が逆転する瞬間が訪れたときには、おそらく後者を選ぶことになるでしょう。しかし、あくまで「現時点では」自分たちのビジネスを進めるうえで、まだまだオンプレミスのほうがベターという判断をしているわけです。

 Boxは、非常に厳格なセキュリティポリシーを運用していると言われています。同社のCISOは金融系出身で監査手順に精通しており、監査基準をクリアすることを意識して、オンプレミスで自らのサービスを作っています。

 Boxの事例からもわかるように、彼らはデータを安心して管理するために、オンプレミスでセキュリティへの莫大な投資を行うことによって、自社のインセンティブを高めています。

 裏を返せば、Boxレベルのリテラシーや能力がある企業でなければ「オンプレミスでもセキュリティを担保できます!」とは言いきれないということです。

【次ページ】CIOが持つべきセキュリティの意識を再考する

関連タグ

関連コンテンツ

オンライン

仮想化戦国時代再び

 パブリッククラウドやプライベートクラウド、仮想基盤、コンテナ基盤など、様々なサービスやツールが提供され利用可能となっている現在、それらをどのように組み合わせて利用するか、そして、その環境を如何に効率的に運用管理していくのか、IT管理者にとっての大きな課題です。  慎重に検討し最適と考えた環境を導入したが、パブリッククラウドのコスト高騰やベンダーの突然のポリシー変更によるプライベートクラウド環境の再検討など、外的要因も含め色々な問題が発生し、都度、対応が求められている。そんなお客様も多くいらっしゃるかと思います。このような様々な問題への対応が必要な今こそ、個々の問題への対策にとどまらず、新たなITの姿を考える良いチャンスではないでしょうか。  変化による影響を受けやすい現在のIT環境から脱却し、ITインフラに依存しない柔軟な運用環境を実現する。ITインフラを意識する事なくマネージメントできるニュートラルな運用環境へシフトする。サービスやツールの導入・変更にもスムーズに対応でき、求められるユーザーサービスをタイムリーに、そして安定的に提供できる、そのような変化に強く、かつ進化に対応する次世代運用プラットフォームの実現が、今、求められていると考えます。  本セミナーでは、次世代運用プラットフォームを実現する2つのキーソリューションをご紹介します。1つ目はMorpheus Cloud Management Platform。セルフポータルサービスに代表されるように、シンプルでありながらパワフルかつ柔軟な統合運用環境を実現します。もう1つはOpsRamp。AIOpsやオブザーバビリティなど個々の機能にとどまらず、多様な要素で構成され様々な要件が求められるハイブリッドクラウド環境にニュートラルに対応する。真にエンタープライズレベルの統合監視環境を実現するソリューションです。 HPEの考える次世代の運用環境をぜひご体験ください。

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます