クラウドの光と影

Size: px

Start display at page:

Download "クラウドの光と影"

ゆりかやすもと
5 years ago
Views:

1 Prowise Business Forum クラウドの光と影 ~ クラウド利用の進展と今後留意するべき課題 ~ 株式会社野村総合研究所情報通信コンサルティング部主任コンサルタント鈴木良介 / r2-suzuki@nri.co.jp

2 1 今日お話しすることクラウド利用の進展とその背景クラウドの利用が進むゆえに想定される今後の課題いずれにおいてもセキュリティは重要なキーワード

3 2 クラウドの利用は拡大路線にある出典 : 総務省スマートクラウド研究会資料 (2010 年 2 月 ) 注 : 政策的支援により創出される市場規模の推計については省略

4 3 利用の進展はコスト面はもとよりデリバリ面によるところが大きいユーザ企業にしてみればクラウドサービスはちょっとお試しが非常に容易まさかあそこの情シスがウチ以外のシステムを使うなんて! という事例も増加日本郵政 ( 郵便局会社 ) のケースはワールドワイドでも象徴的なケースとなっている

5 4 運用負荷初期コスト IT リソース保有構築費用の低減に対する期待が大きい出典 : 企業における情報セキュリティ実態調査 2009 NRI セキュアテクノロジーズ (2009 年 8 月実査 )

6 クラウドを利用する上での不安事項としてはセキュリティ関連の事項の割合が大きい特に Availability ( 可用性 ) に関する不安事項が多く挙げられている出典 : 企業における情報セキュリティ実態調査 2009 NRI セキュアテクノロジーズ (2009 年 8 月実査 ) 5

7 セキュリティは依然としてクラウドサービス導入上の阻害要因懸念事項ではあるが業界行政国際機関等による標準化等を通じて着々と環境整備は進んでいる例えばセキュリティに関して以下に挙げるような事項については検討が進められているところでありクラウドがより安全に利活用される上での留意事項と言えるユーザ視点からのセキュリティ要求事項クラウドサービス提供者を信用できるような方策の整備 ( セキュリティ監査セキュリティポリシー管理など ) データの紛失漏洩に備えたデータ機密性機能を具備すること適切なアカウント /IDの管理を実施することサービス提供者視点からのセキュリティ要求事項クラウドサービスの不正利用から保護すること (DDoS, Service / Account Hijacking など) 仮想化技術に係るセキュリティ評価内部犯行者などの不正を排除するためのセキュリティマネジメントデータの紛失漏洩に対する機密性確保の実施クラウドのための災害復旧や大規模障害の計画整備データの拡散管理や国際プライバシ法に係る評価参考 : ITU-T におけるクラウドコンピューティング技術に関する研究動向 (ITU ジャーナル 2010 年 11 月号 ) ほか 6

8 7 コストやデリバリが利用上の魅力である一方でセキュリティは確かに不安要素しかし極端な拒絶反応を示すことは大きな損失に繋がりうる確かに自社の中に自社業務および IT 施策に関して高い専門性を持った人がいてその人にセキュリティ業務を任せていれば安心かも知れないけれどもそんなエース級を守りに回しておける贅沢が本当にできるか? クラウドとは情報資産のマルチテナント化一番重要なのは優秀な専門家をマルチテナント化できることと言えないか? セキュリティ関連はアウトソーシングとの親和性が高いファイアウォールの遠隔監視等コレクティブインテリジェンスの活用はサーバサイドならでは ( 他者環境における障害情報のフィードバック ) 他社が被害を被ったとき同じ轍を繰り返さぬようにするための施策を迅速に講ずることができるか? 結局業務プロセスが変わることへの忌避感をセキュリティと呼んでいるだけではないか?

9 クラウドのコスト上の恩恵を受けつつセキュリティを確保するための施策も登場しつつある秘密分散技術を用いて重要情報を意味の無い情報に変換し複数のデータセンタ等に保存するクラウドサービスの長所を活かし短所を補うことをより極端に実施することも可能と考えられるこれはクラウドを使ってみたいけど若干不安という現時点における懸念を前提としたサービスといえる出典 : NRI セキュアテクノロジーズ 8

10 9 Quality に対する過剰なこだわりから Cost / Delivery の重視に移行する ( あるいは移行せざるを得ないというケースも ) 実施業務に求められる機微性事業継続性とバランスがとれている範囲においては利用価値は極めて大きいクラウド利用によって浮いたお金と時間を収益により近づくための投資に回すことができる Quality Cost Delivery

11 10 情報システム部門に対してサーバを買ってくれと言わなくなったユーザ部門は怖い今後クラウドの野放図な利用の増加が懸念されるクラウドを使う中でのセキュリティ上の懸念こそが今後本格的に検討するべき影と言えるコストデリバリが改善することによる副作用として野放図な利用という問題が今後拡大しうるのではないか? 資産購入申請をする必要がなく社内の固定 IPアドレスを申請する必要もなく比較的少額な費用として計上することが可能でありセキュリティに関する留意の必要性すら感じることのないユーザが勝手に契約することもありうるそのような野放図が成立する理由既存の稟議承認体制の多くは情報システム投資設備投資資産管理を前提としているがそのような保有を前提とした承認体制の不備をつくケース一部の業種事業者を除いては個人情報以外の取り扱いに関する規定がなされているケースは少ないまた近年の大規模ユーザ企業の多くにおいて事業部間の壁が高いこともこの問題の拡大を後押しする?

12 11 野放図なクラウド利用とユーザ部門による勝手情報化は内部統制の先祖返りとクラウド後のデータ活用機会の逸失という悪影響に繋がるユーザ部門が比較的安価なクラウドを用いて進める勝手情報化この野放図な利用はなぜ怖いのか? 実施業務に求められる機微性事業継続性とバランスを欠くような極端に安かろう悪かろうなサービスの利用この10 年程度で構築してきた情報システムの内部統制からの大きな逸脱を促しかねない業種等によっては法令順守違反となる可能性も内部統制の先祖返りデータ構造のサイロ化が進んでしまうとクラウドの次のステップであるデータ活用において大きな後れを取り中長期的な競争力削減につながる恐れもクラウド後のデータ活用機会の逸失

13 12 Q CD の先に求められる事項としてガバナンスへの揺り戻しが想定される野放図な利用に対してはそれを防ぐためのガバナンス強化が求められる Quality Cost Delivery 野放図な利用ガバナンス強化の必要性増大

14 13 ガバナンスを利かせるためには各レイヤでの施策が必要例えば通信レイヤへのにらみも必要全社的なゲートウェイセキュリティのうちアウトバウンド方向に関するセキュリティの強化が必要になる既存のIDS/IPS やF/Wの多くはウイルス対策やDDoSなど外部からの攻撃を主眼に置いたセキュリティ ( インバウンドセキュリティ ) DLP(Data Leak Protection) に近い発想をするゲートウェイセキュリティの必要性が向上する野良通信の取り扱いにも留意が必要ワイヤレスブロードバンドサービスの普及はクラウドの利便性を向上させるあまりセキュリティ上のトラブルにもつながりかねない例 : ポータブルワイヤレスルータ等数年前に隆盛した USBメモリのセキュリティよりもより深刻な影響が想定しうる USB 端子の先は無尽蔵のストレージ+ メディアを無くしたといった分かりやすい管理が行いにくい

15 14 まとめクラウドサービスの利用は着々と進展しているところであるしそのコストデリバリ面の優位性から合理的なものといえるただし利用に際しては適用業務において求められる機微性事業継続性とバランスの検討が必要不可欠ユーザ部門等による野放図な利用は内部統制の先祖返りや今後のデータ活用機会の逸失に繋がりかねない

16 15 本稿に関するお問い合わせ先株式会社野村総合研究所情報通信コンサルティング部主任コンサルタント鈴木良介 / r2-suzuki@nri.co.jp

クラウドの光と影

クラウドの光と影 Prowise Business Forum in KANSAI クラウドの光と影 ~クラウド利用の進展と今後留意するべき課題 ~ 株式会社野村総合研究所情報通信コンサルティング部主任コンサルタント鈴木良介 / r2-suzuki@nri.co.jp 1 今日お話しすることクラウド利用の進展とその背