実運用が本格化したクラウドの導入と活用の勘所 2014/07/29 株式会社日立製作所情報通信システム社情報営業統括本部サービス営業推進本部クラウドサービス営業部吉岡大輔 Hitachi, Ltd All rights reserved.

Size: px

Start display at page:

きよあつちゅうか
5 years ago
Views:

1 実運用が本格化したクラウドの導入と活用の勘所 2014/07/29 株式会社日立製作所情報通信システム社情報営業統括本部サービス営業推進本部クラウドサービス営業部吉岡大輔

2 1. 日立のクラウドへの関わり 2. クラウド導入と活用の勘所 3. まとめ 1

3 1. 日立のクラウドへの関わり 2

4 1-1. クラウドの歴史 # サービス名称提供社展開時期 1 Salesforce CRM Salesforce 1999 年 ~ 2 Office365 Microsoft 2011 年 ~ 3 Microsoft Azure Microsoft 2010 年 ~ 4 Amazon Web Services TM Amazon 2006 年 ~ 5 Harmonious Cloud 日立 2009 年 ~ 3

5 1-2. クラウドの言葉の定義 1 # サービス名称提供機能 H/W 1 を意識 OS/ ミドルを意識 E/U 2 機能を意識 1 Salesforce CRM CRM SFA 機能を提供ーー 2 Office365 OA 機能を提供ーー 3 Microsoft Azure OS ミドルウェア機能を提供ー 4 Amazon Web Services TM OS ミドルウェア機能を提供ー 5 Harmonious Cloud ( フラットフォームリソース提供サーヒス ) OS ミドルウェア機能を提供ー 1H/W 2E/U ハードウェアエンドユーザ 4

6 1-3. クラウドの言葉の定義 2 # サービス名称提供機能 H/W 1 を意識 OS/ ミドルを意識 E/U 2 機能を意識 1 Salesforce CRM 2 Office365 CRM SFA 機能を提供 OA 機能を提供ーーお客さまは意識しない = ベンダーが運用しているーー 3 Microsoft Azure OS ミドルウェア機能を提供ー 4 Amazon Web Services TM OS ミドルウェア機能を提供ー 5 Harmonious Cloud ( フラットフォームリソース提供サーヒス ) OS ミドルウェア機能を提供ー 1H/W 2E/U ハードウェアエンドユーザクラウドはベンダーがシステムの一部の運用の代行をすることでお客さまは下位部分のシステム運用から開放される 5

7 1-4. 日立のクラウド事業への取り組み # サービス名称提供社年代 1 Salesforce CRM Salesforce 1999 年 ~ 2 Office365 Microsoft 2011 年 ~ 3 Microsoft Azure Microsoft 2010 年 ~ 4 Amazon Web Services TM Amazon 2006 年 ~ 5 Harmonious Cloud 日立 2009 年 ~ 日立は国内の有数クラウドベンダー 6

1-5. クラウドの利用状況平成 24 年平成 23 年平成 22 年全社的に利用している一部の事業所又は部門で利用している利用していないが利用する予定がある利用していないし今後も利用する予定もないクラウドサービスについて良く分からない 0 20 40 60 80 100 クラウドの利用は益々活発に

8 1-5. クラウドの利用状況平成 24 年平成 23 年平成 22 年全社的に利用している一部の事業所又は部門で利用している利用していないが利用する予定がある利用していないし今後も利用する予定もないクラウドサービスについて良く分からないクラウドの利用は益々活発に日立のクラウドの販売で私がお客さまと会話してきた話しを基にクラウド利用の勘所について話をさせていただきます出典 : 総務省情報通信白書 ( 平成 24 年度版平成 25 年度版 ) 7

9 2. クラウド導入と活用の勘所 8

10 2-1. 情報システムに必要な観点経営観点情報システム観点利用者観点 9

11 2-2. 部門ごとのクラウドへの期待と不安 # 観点関連部門期待不安 1 経営観点情報セキュリティ部門 2 財務経理部門ー資産を持たなくて良いことへの期待情報が漏えいすることに対する不安ー 3 情報システム観点システム部門常にシステム障害を気にしていることから開放されるどこまでやってくれるか分からない不安 4 利用者観点業務部門早期に必要システムを導入できるー不安さえ払拭できれば利用価値はある 10

12 2-3. 部門ごとのクラウドへの期待と不安 # 観点関連部門期待不安 1 経営観点情報セキュリティ部門 2 財務経理部門ー資産を持たなくて良いことへの期待情報が漏えいすることに対する不安ー 3 情報システム観点システム部門常にシステム障害を気にしていることから開放されるどこまでやってくれるか分からない不安 4 利用者観点業務部門早期に必要システムを導入できるー 11

13 2-4. 資産を持たなくて良いことへの期待総資産利益率を良くしたい総資産利益率 (%)= 利益総資産 100 総資産利益率は総資産に対する利益の割合を示すものです少ない資産で多くの利益を出すことが効率的に経営ができているかという判断基準となっています日立の場合項目 2011 年 2012 年 2013 年 2014 年総資産当期純利益率 (ROA) 2.6% 3.7% 1.8% 2.4% 日本での全業種平均は 3% 程度製造業で 4% 非製造業で 2.6% 程 12

14 2-5. クラウドはなぜ資産にならないのか資産計上するかどうかは各社の会計士の基準によります一般的にどう判断されそうかについて示します一般的にクラウドと言っていても資産計上する必要がある場合もあります資産化する必要があるかどうかは 2 つのポイントが鍵となりますポイント 1 他社との資産の共有状況ポイント 2 利用期間の拘束期間 13

15 2-6. ポイント 1 資産の共用度一般的にパブリッククラウドでは物理システムリソースを共有しています特定社で資産をもつことにはならないため資産ではなく経費として捉えられることが一般的です A 社 B 社 C 社 14

16 2-7. ポイント 1 資産の共用度一般的にプライベートクラウドでは物理システムリソースを占有していますクラウドと言っていても 1 社で占有して利用するタイプのクラウドではリースと同様の判断となる可能性があります C 社 15

17 2-8. ポイント 2 拘束期間クラウドでの拘束期間の設定状況によっては共有されているクラウドでも資産化すると判断したり占有型でも資産化しないと判断することが有ります企業会計基準第 16 号リース取引に関する会計基準の適用指針ファイナンスリース取引判定基準に適合するかを考えるのが一般的です (1) 現在価値基準購入金額購入金額 90% 解約不可合計金額解約不可合計金額経費 50% 60% 70% 80% 90% 100% 資産 (2) 経済的耐用年数基準経済耐用年数は対象物を基に各社で策定経済耐用年数経済耐用年数 75% 解約不可期間解約不可期間経費資産 50% 60% 70% 80% 90% 100% 16

リース取引判定基準に適合するかを考えるのが一般的です (1) 現在価値基準購入金額購入金額 90% 解約不可合計金額解約不可合計金額経費 50% 60%

18 2-9. ポイント 2 拘束期間クラウドでの拘束期間の設定状況によっては共有されているクラウドでも資産化すると判断したり占有型でも資産化しないと判断することが有ります企業会計基準第 16 号リース取引に関する会計基準の適用指針ファイナンスリース取引判定基準に適合するかを考えるのが一般的です (1) 現在価値基準購入金額購入金額 90% 解約不可合計金額解約不可合計金額経費 50% 60% 70% 80% 90% 100% 資産 (2) 経済的耐用年数基準経済耐用年数経済耐用年数 75% 解約不可期間解約不可期間経済耐用年数は対象物を基に各社で策定経費資産 50% 60% 70% 80% 90% 100% 17

19 2-10. 部門ごとのクラウドへの期待と不安 # 観点関連部門期待不安 1 経営観点情報セキュリティ部門 2 財務経理部門ー資産を持たなくて良いことへの期待情報が漏えいすることに対する不安ー 3 情報システム観点システム部門常にシステム障害を気にしていることから開放されるどこまでやってくれるか分からない不安 4 利用者観点業務部門早期に必要システムを導入できるー 18

20 2-11. 常にシステム障害を気にしていることからの開放事業中断障害は 0.06 件 / 保守運用費 1 億円 / 年 1 ヒヤリハットの法則重大事故の陰に 29 倍の軽度事故と 300 倍のニアミスが存在する重大事故 0.06 件軽度事故 1.74 件ニアミス 18 件保守運用費内訳 1 ハードウェア費 : ハードウェア機器 ( 周辺機器を含む ) 購入レンタルリース料保守費 2 償却費 3 ソフトウェア費 : ソフトウェア購入費レンタル料償却費 4 ソフトウェア保守費 : ソフトウェアの保守費用 5 処理サービス費 :SaaS 2 等のサービス使用料 6 通信回線費 : 通信回線使用料ネットワーク加入使用料携帯電話加入使用料 7 外部委託費 : 保守運用コンサルティングなどのアウトソーシング費用 8 その他 : 上記以外 ( 含む社員人件費運転管理費 ) 重大事故のほとんどがハードウェアネットワーク機器障害 1 出典 : 社団法人日本情報システムユーザー協会企業 IT 動向調査 SaaS:Service as a Service 19

サーバーが 1 台 200 万円だと仮定 5 年で入れ替えをしていると仮定 2,000 万円 /200 万円 =10 台 10 台 5 年 =50 台サーバが 500 台の企業 500 台 /50 台

21 2-12. 企業規模による事故発生リスク保守運用費が 1 億円となる企業規模についてハードウェア費用を元に試算すると 50 台規模の企業と想定されます 500 台のサーバを所持している企業では月 1 回は軽度事故が発生するリスクがあります 1 億円保守運用費の内訳 1 ハードウェア費 20% ソフトウェア費 20% 外部委託費 30% その他 30% ハードウェア費用 2,000 万円の規模サーバーが 1 台 200 万円だと仮定 5 年で入れ替えをしていると仮定 2,000 万円 /200 万円 =10 台 10 台 5 年 =50 台サーバが 500 台の企業 500 台 /50 台 /1 億円 =10 億円重度事故 : 0.6 件 / 年軽度事故 : 17.4 件 / 年ニアミス : 180 件 / 年 1 出典 : 社団法人日本情報システムユーザー協会企業 IT 動向調査

22 2-13. クラウドの利用メリットクラウドで定義されているすべての階層でハードウェアネットワークは提供されます重大事故のほとんどがハードウェアネットワーク機器で発生しているためクラウドを利用することで情報システム部門の負荷が軽減できます 1 PaaS : Platform as a Service 2 IaaS : Infrastructure as a Service 21

23 2-14. 部門ごとのクラウドへの期待と不安 # 観点関連部門期待不安 1 経営観点情報セキュリティ部門 2 財務経理部門ー資産を持たなくて良いことへの期待情報が漏えいすることに対する不安ー 3 情報システム観点システム部門常にシステム障害を気にしていることから開放されるどこまでやってくれるか分からない不安 4 利用者観点業務部門早期に必要システムを導入できるー 22

24 2-15. 早期にシステムを要望される利用部門では業務直結のシステムを必要としており早期に対応できることが求められています ipad の利用を決定したため利用できる範囲を拡大したい現行システム化されていない業務をシステム化し業務効率を上げたい取引先が増えたため早期に品質情報の共有を実現したい現行実施していない業務をシステムを使って実現したい短納期のシステム開発があり開発環境をすぐに準備したい現在存在しない業務をすぐに開始したい 23

25 2-16. 早期に必要システムを導入できるユーザー部門からの要望により情報システム部門は早期にシステム展開を実現するため SaaS サービスを利用された実績です 1 ヵ月目 2 ヵ月目 3 ヵ月目お客さま回線準備運用テスト日立要件定義 AP 開発 SaaS 環境準備システムテスト 24

26 2-17. 早期に必要システムを導入できるユーザー部門からの要望により情報システム部門は早期にシステム展開を実現するため SaaS サービスを利用された実績です 1 ヵ月目 4 ヵ月目 5 ヵ月目 6 ヵ月目お客さま回線準備運用テスト日立要件定義 AP 開発 SaaS 環境準備システムテスト 2 ヵ月目 3 ヵ月目 4 ヵ月目購入する場合だったらサイジングパラメータ設計サーバー調達環境構築 25

27 2-18. 部門ごとのクラウドへの期待と不安 # 観点関連部門期待不安 1 経営観点情報セキュリティ部門 2 財務経理部門ー資産を持たなくて良いことへの期待情報が漏えいすることに対する不安ー 3 情報システム観点システム部門常にシステム障害を気にしていることから開放されるどこまでやってくれるか分からない不安 4 利用者観点業務部門早期に必要システムを導入できるー 26

28 2-19. セキュリティに対する懸念 1 各社の考え方会社の業態や規模文化によって考え方や判断がさまざま 2 セキュリティ基準が厳しい会社情報セキュリティ統括部門があるような会社では利用基準を作って利用可能範囲を定義し利用を進めるしかない状況 3 どうやって進めるかガイドラインをどうやって作るか? 27

29 住民基本台帳カード業界ごとのセキュリティ基準業界ごとに設けられたセキュリティ基準が有りますこれらを基にしてセキュリティ基準を検討するのが良いと考えます ( 米 ) 公共 ( 米 ) 金融 ( 米 ) 医療 FedRAMP FIPS セキュリティ規格は業界ごとに異なる ( 米 ) 小売業 BITS PCI DSS ISO HIPAA FISC ( 日 ) 金融 FedRAMP: Federal Risk and Authorization Management Program FIPS: Federal Information Processing Standard BITS: Banking Industry Technology Secretariat HIPAA: U.S. Health Insurance Portability and Accountability Act PCI DSS: Payment Card Industry Data Security Standard SOC: Service Organization Controls FISC: Center for Financial Industry Information Systems CSA: Cloud Security Alliance STAR: Security, Trust & Assurance Registry 個別対応コストを抑えるためクラウドセキュリティ規格が整理されつつある ISO/IEC 27017, CSA/STAR 認証制度 28

2-21.ISO/IEC 27017 クラウドセキュリティ国際標準規格クラウドセキュリティの国際標準の規格化は 2015 年 10 月に向けて進められています用語要求事項一般指針分野別指針 ISO/IEC 27000ファミリーの体系 27000: 2014 Overview and vocabulary 27001: 2013 ISMS requirements 27002: 2013

30 2-21.ISO/IEC クラウドセキュリティ国際標準規格クラウドセキュリティの国際標準の規格化は 2015 年 10 月に向けて進められています用語要求事項一般指針分野別指針 ISO/IEC 27000ファミリーの体系 27000: 2014 Overview and vocabulary 27001: 2013 ISMS requirements 27002: 2013 Code of practice 27017( 策定中 ) Cloud Service 14 箇条 35 カテゴリ 114 管理策 Cloud Service customer 14/4 時点で 1st CD, 15/10 に IS 予定標準化の流れ :NP WD CD DIS FDIS IS 情報セキュリティのための方針群情報セキュリティのための組織人的資源のセキュリティ資産の管理アクセス制御暗号物理的および環境的セキュリティ運用のセキュリティ通信のセキュリティシステムの取得開発および保守供給者関係情報セキュリティインシデント管理事業継続マネジメントにおける情報セキュリティの側面順守の構成 : 管理策ごとにペアの指針を提示 Cloud Service provider ( 利用者向けの指針 ) ( 事業者向けの指針 ) JTC: Joint Technical Committee SC: Subcommittee NP: New work item Proposal WD: Working Draft CD: Committee Draft DIS: Draft International Standard FDIS: Final Draft International Standard IS: International Standard 29

31 2-22.CSA/STAR 認証 CSA はクラウド事業者を中心に 150 社以上が参加する団体コントロールマトリクスのレベルで各種の規格の対応を整理考え方要求事項評価項目 CSA ドキュメント体系 CSA ガイダンスコントロールマトリクス (CCM) 質問表 (CAIQ) 最新版ガイダンス V3.0 CCM V3.0 CAIQ v1.1 CSA: Cloud Security Alliance STAR: Security, Trust & Assurance Registry CCM: Cloud Controls Matrix CAIQ: Consensus Assessments Initiative Questionnaire 各種セキュリティ規格との対応ありコントロールと規格の紐付けが容易に 16 ドメイン 136 コントロール対象業界金融公共医療小売制御一般情報システム欧州 BITS 規格名 NIST SP FedRAMP NZISM HIPAA PCI DSS NERC CIP ISO/IEC COBIT AICPA GAPP ENISA Jericho Forum 規格の略号の説明は省略国内規格 (FISC 政府機関統一基準など) との対応はなし 30

32 2-23.PaaS 利用のセキュリティ基準例社内業務システムをクラウド化インターネット 1 自社で設定した F/W を必ず入れる事 5 インターネットからの接続は出来ない事 F/W VM 4 データ領域は暗号化する事お客さま 1 F/W: Fire Wall 2 ネットワークは必ず専用線を引く事クラウド 3OS へのログイン権限はベンダーは一切持たない事 31

33 2-24. 部門ごとのクラウドへの期待と不安 # 観点関連部門期待不安 1 経営観点情報セキュリティ部門 2 財務経理部門ー資産を持たなくて良いことへの期待情報が漏えいすることに対する不安ー 3 情報システム観点システム部門常にシステム障害を気にしていることから開放されるどこまでやってくれるか分からない不安 4 利用者観点業務部門早期に必要システムを導入できるー 32

34 2-25. どこまでやってくれるか分からない不安クラウドでは提供機能に対して制限事項を設けています通常の製品だと提供される機能がクラウドの場合では使えないことがありえます何ができて何が出来ないか見極めたり利用開始後に制限が発覚して実運用に課題が出ることがありえますある製品がクラウドで提供されるようになった場合製品が持つ機能 100% クラウドが提供する機能 <100% クラウドで提供するに当たり安定稼働への対応やセキュリティ確保のため提供機能を絞り込む 33

35 2-26. 具体的な事例についてたとえば利用可能な権限の認識 IaaSサービスで仮想 VMを利用しているが自由にリソース変更をする機能はユーザーに対して提供されない SaaSサービスでOSレベルでコマンドを実行したかったが実行できない特定製品の利用制限認識 Windows Server 2012が利用できると思っていたが利用できない利用 OSの言語に制限があることを認識できていなかったサービスで利用する製品と競合が有り使う上では制約があったサービスメニューの認識自動的にバックアップが取得されると考えていたがバックアップは取得されていないサービス提供社もしくは複数クラウドを取り扱っているSIerと十分相談しながら仕様をつめていく必要があります 34

36 3. まとめ 35

37 害3-1. まとめ経営観点利害利害利情報システム観点利用者観点 36

38 3-2. まとめ経営観点情報システム観点利用者観点 37

39 他社商品名商標などの引用に関する表示 Amazon Web Services および Amazon Web Services ロゴは Amazon.com,Inc. またはその関連会社の商標です Microsoft Office365 Microsoft Azure Windows は米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です Salesforce AppExchange および関連する全てのロゴは salesforce.com,inc. の商標です VMware は米国およびその他の地域における VMware, Inc. の登録商標または商標ですその他の製品名称などの固有名詞は各社の登録商標商標あるいは商品名称です 38

CCM (Cloud Control Matrix) の役割と使い方

CCM (Cloud Control Matrix) の役割と使い方 CCM (Cloud Control Matrix) 役割と使い方一般社団法人日本クラウドセキュリティアライアンス CCM ワーキンググループこのセッションの内容 CCM(Cloud Control Matrix) とは何かを理解する CCM の位置づけと既存の規格標準との関係 CCM と CSA Cloud Security Guidance の関係 CCM の構造を理解するコントロールドメインの構成

実運用が本格化したクラウドの導入と活用の勘所 2014/07/29 株式会社日立製作所情報 通信システム社情報営業統括本部サービス営業推進本部クラウドサービス営業部 吉岡大輔 Hitachi, Ltd All rights reserved.

実運用が本格化したクラウドの導入と活用の勘所 2014/07/29 株式会社日立製作所情報通信システム社情報営業統括本部サービス営業推進本部クラウドサービス営業部吉岡大輔 Hitachi, Ltd All rights reserved.