改めて振り返るクラウドのメリット 第一回 〜セキュリティ〜

弊社ソリューションウェアは、CRMを始めとして、クラウドを利用したシステム構築サービスをお客様にご提供させていただいておりますが、 所感として様々なクラウドサービスが生まれ、そして利用され、クラウドは日本国内においても単なる流行り言葉ではなく、もはや情報インフラとして無くてはならない存在となっています。

クラウドサービスを利用する理由、しない理由

総務省が７月に発表した、平成28年版情報通信白書（http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h28/pdf/index.html）によりますと、クラウドを利用している企業は全体の44.5％となっており、一昨年前から5.8％増加しています。 また、クラウドサービスを利用する理由も挙げられています。その中から上位５位までを挙げてみますと、

1. 資産、保守体制を社内に持つ必要がないから（42.3％）
2. どこでもサービスを利用できるから（33.4％）
3. 初期導入コストが安価だったから（31.9％）
4. 安定運用、可用性が高くなるから（アベイラビリティ）（30.8％）
5. 情報漏えい等に対するセキュリティが高くなるから（23.7％）

となっています。 さまざまなサイトで挙げられているメリットがそのまま調査結果にも反映されているようです。 一方、クラウドサービスを利用しない理由として、上位５位までを挙げてみますと、

1. 必要がない（42.9％）
2. 情報漏洩などセキュリティに不安がある（38.8％）
3. メリットが分からない、判断できない（22.5％）
4. クラウドの導入に伴う既存システムの改修コストが大きい（20.7％）
5. ネットワークの安定性に対する不安がある（11.5％）

となっています。 さて、お気付きの通り、クラウドを利用する理由、利用しない理由の両方で出現しているものがあります。

• 情報漏洩などのセキュリティ

です。

自社か他社かその両方か

クラウドは自社データセンターのように所在が明らかなものとは異なり（クラウドベンダーには詳細な所在を明らかにしていない企業もあります）、 「一体、クラウド上の情報はどこでだれがどのように管理しているのか？定期的な監査を受け、セキュリティを万全なものとしているのか、そもそもされているのか？」 とご不安を抱かれるかもしれません。自社内の閉じたネットワークではなく、社外ネットワークとつながることでのご不安も当然あることでしょう。とあるお客様から、はっきりした理由はないが、なんとなく不安、と伺ったこともあります。 にもかかわらず、クラウドを利用している理由として、なぜセキュリティ向上が挙げられたのでしょうか。

「保管場所」という視点

お話を進める前に、「クラウド」かどうかではなく、改めてデータの「保管場所」という視点で考えてみます。 保管場所としては、大きく以下の２つに分けられます。

• 自社のデータセンターを使用
• 他社のデータセンターを使用

（話を単純化するために、ここではデータセンターには社内サーバーなどの意味合いも含めます） その上で、セキュリティ視点で上記２点について考えてみたいと思います。

自社でデータを持つこと自体のセキュリティリスク

例えば自社でサーバーを用意して、そのサーバーで営業データを管理することにしたとします。 自社でセキュリティーポリシーをより厳格に適用したり、好きなように管理できます。 しかしその反面、メンテナンスや障害対応が必要になります。 規模が小さければ自社の社員に任せる、大きくなるに従い、情報システム部、SIerなどに任せることとなるでしょう。 いずれにせよ、その際に問題になるのが、担当者のセキュリティに対するスキルおよび意識です。 不正侵入があった場合を想定して、どのような対応策を講じるのか？その対応策のメンテナンスは？ サーバー管理担当者からの情報漏えいリスクはゼロと言えるか？など、考えなければならないことは数多くあります。 また、サーバーは管理し続けなくてはならないものですし、クラッキング(＊)技術もイタチごっこで向上し続けていますので、管理する人間のレベルも維持・向上し続けなければなりません。担当者が変われば次の担当者のことにも神経を使わなければなりません。当然、担当者がいない、という空白期間は避けたいところです。 (＊)クラッキング：ネットワーク上のシステムに不正に侵入し、システムを乗っ取り、改ざん・破壊などをすることを指します

セキュリティをサービスの最優先事項とする、クラウドベンダーの存在

例えばAWS（Amazon Web Service）では、セキュリティ方針として「セキュリティはAWSの最優先事項」とされており、最高情報セキュリティ責任者 (CISO) を筆頭に情報セキュリティ組織が設置され、運営されています。 AWS発信での詳細なセキュリティの説明は、以下のサイト https://aws.amazon.com/jp/security/ にありますが、セキュリティプラットフォームとしての側面からは以下のサービスを提供しています。

• プライベートアクセス環境の実現
• DDoS攻撃に対する耐障害性の実現
• DBを始めとしたデータの暗号化
• セキュリティ評価、接続可能IPなどのインベントリや設定管理などのツール
• 可視性の高いモニタリング・ロギング
• アカウントおよびアクセスポリシーの適用・管理
• 侵入テスト

また、以下のサイト https://aws.amazon.com/jp/compliance/pci-data-privacy-protection-hipaa-soc-fedramp-faqs/ で提示されているとおり、ISO27001、ISO27018、SOCレポートといった、国際的なセキュリティに関する認証・証明は当然のこと、マイナンバー法、FISMA、PCIDSSといった法律・規制・フレームワークをサポートするための保証プログラムが提供されています（もちろんAWSはこれらの認証を取得済みです）。 若干古いですが、以下の資料も参考になります。 http://www.slideshare.net/horiyasu/aws-33963790 AWSの採用サイトでは、セキュリティ専門のエンジニア求人も掲載されており、高度なセキュリティを維持するために継続的・積極的に投資を行っていることが分かります。AWSの今年度の売上は１００億ドルを超える（２０１５年度は７８．８億ドル（営業利益は１８．６億ドル）だそうです）と言われていますから、セキュリティへの投資額も自ずと莫大なのではないでしょうか。 現在では特にセキュリティ要求の高い銀行・証券など金融系も含めて、あらゆる業種のシステムがAWS上で稼働していますし、大企業の中でもERPをオンプレミスからAWSに載せ替えるケースも出始めています。米連邦政府もAWSを利用しているようです。 以上のことから、他社のデータセンターといっても必ずしも自社のものより不安、とは言えないかもしれません。 むしろ、自社の設備に中途半端に予算をかけるくらいなら、AWSやMicrosoft Azure、Google Cloud Platformなど、様々な業種の顧客をもち、セキュリティ要求に答えているクラウドを選択する、というのも手です。 特に予算を多く取れない中小企業の場合でも、上記のクラウドであれば大企業並みのセキュリティを実現できます。 必ずしも問題が起きるとは限らない、しかし、もしもの場合に備えなければならないセキュリティ問題。御社はこの投資対効果が不明瞭な部分に、どのくらいコストを掛けていますか？

最終的にはシステムベンダー次第？

自社でデータセンターを運営するにせよ、他社のデータセンターを利用するにせよ、最終的にはその上で動くシステムがセキュリティを考慮した作りになっていなければ元も子もありません。

• 簡単に推測できてしまうようなパスワード（１文字だけ、ログインIDと同じものなど）を登録できてしまう
• A営業部の末端社員が他の営業部の情報を見れてしまうなどユーザーごとの参照・更新権限の制御が甘い
• ログアウトしたのにログイン中でしか見れないはずの情報が見れてしまう
• 画面の入力欄に特殊な記述を行うことにより、データベース上からデータを改変したり削除できてしまう
• SSLによる暗号化通信ができていない
• アクセスログ、オペレーションログが残されない

など、欠陥のある状態でシステムが稼働してしまい、セキュリティリスクを増大させてしまうケースです。 どこにお金をかけるべきか、よくよく検討してシステム運用を行っていきたいところです。

ソリューションウェアについて

ソリューションウェアはクラウドアプリケーション構築のエキスパートとしてお客様に最大限のメリットをご提供する基盤を持っています。

• 幅広い開発実績（エンタープライズからコンシューマアプリまで）
• 経営・マネジメント、エンドユーザ両方のメリットを意識したITコンサルティング実績
• 大規模パッケージ開発経験者から構成される開発部隊による、抜けや漏れのないシステム実装の実現

【サービス一覧】

• 業務コンサルティングサービス（業務改革、業務改善）
• ITコンサルティングサービス（要求分析、要件定義、プロジェクトマネジメント）
• クラウドSIサービス（AWS、Heroku、SFDCなど）
• クラウド型業務システムの企画・開発

お問合わせ・ご相談
ソリューションウェアホームページ