クラウドに対する“過剰な”セキュリティ不安を払拭しよう/index/rss|クラウド・コンピューティング|トピックス|Computerworld

　クラウド・コンピューティング環境のセキュリティについて、多くの人は「心配しすぎ」なのではないか――。これは、2月18日の「IDC Cloud Computing Forum」で聞かれたスピーカー達の意見だ。

　この意見には反論もあるだろう。実際、米国IDCの調査結果によれば、クラウドの導入を検討する際にITマネージャーが最も懸念する点は、パフォーマンス、可用性、クラウド・サービスと既存ITシステムとの統合などではなく、セキュリティである。

　もちろんデータの安全性を確保することは最重要事項なのだが、企業は自社内で確保できているセキュリティ・レベルと「Amazon Web Services」や「Salesforce.com」といったクラウド・プロバイダに求めるそれとを比較し、現実的に検討すべきだと講演者は述べている。

　米国Accentureのクラウド・コンピューティング担当ディレクター、ヨセフ・トボルスキー（Joseph Tobolski）氏は、「クラウドのセキュリティに関する否定的な意見の大半は、心理的、あるいは情緒的なものにすぎないのではないか」と問いかけている。「中には自社のデータセンターにすら実装していない要件まで、クラウドのセキュリティ要件リストに加える人たちも見受けられる」（同氏）。

クラウドの利用によって
セキュリティ・レベルを高める

　病院に緊急治療室の管理サービスを提供するSchumacher GroupのCIO（最高情報責任者）、ダグ・メネフィー（Doug Menefee）氏の経験がこれに当てはまる。同社は現在、アプリケーションの大部分を、ホスティング会社が提供するクラウド・ベースのサービスに移行するプロジェクトのまっただ中にある。

　メネフィー氏は同フォーラムにおいて、次のように述べている。「我が社のIT部門が、わたしのもとに100項目ものセキュリティ要件が記載されたリストを持ってきたのだが、そこでふと気づいたんだ。ちょっと待てよ、そもそも我々自身のデータセンターはこれらの要件のほとんどを満たしていないじゃないかと」（同氏）。

　Schumacher Groupとしてもセキュリティを重んじてはいるが、フルタイムでセキュリティに携わるITスタッフは3名しかいない。そんな中堅企業よりは、大手のクラウド・プロバイダの方が信頼がおける、とメネフィー氏は考えている。「我々がSalesforce.comに依頼した場合、他の大手企業と同等レベルのセキュリティ・サービスが受けられる。つまり、Salesforce.comの持つスケール・メリットが活用できるわけだ」（同氏）。

　Schumacher Groupでは、米国のHIPPA（医療保険の相互運用性と説明責任に関する法律、患者のプライバシー保護とデータ・セキュリティの確保についても定めている）法を順守しているプロバイダにのみ機密データの保存を委託している、とメネフィー氏は説明する。彼は最近、Googleのオンライン生産性ツールを導入するプロジェクトを開始したが、GoogleはHIPPAの認定を受けていないので「そこに患者データを保存することはない」と同氏は言う。

　メネフィー氏は、Schumacher Groupは上場企業ではなく、法的なセキュリティ要件はそうした企業に比べるとさほど複雑なものではないと説明する。IDCのリサーチ担当バイス・プレジデント、ジーン・ボズマン（Jean Bozman）氏も、「大企業、特に金融業界の方がセキュリティ要件は厳しいだろう」と述べている。

　聴講者の1人は、こうした（自社データセンターよりもクラウド環境の方がセキュアであるという）考えは「直観に反している」と認めつつも、現実にはセキュリティに対する懸念が企業をクラウドへ向わせるだろうと発言している。

　この聴講者は、「昨今、企業のセキュリティに関するコストや複雑さは急激に増加しており、常に万全な状態に保つことはほとんど不可能になりつつある。RSAの（セキュリティ）カンファレンスに行くと、著名ベンダーたちは毎年のように『今日抱えているセキュリティ課題は、次期新製品で全部解決しますよ』と言うが、そんなことはしょせん無理だ」と述べている。