［米国］
アウトソーシングでサービスの安全性を担保するSaaSベンダー

事例に見るデータセンター・アウトソーシングのセキュリティ効果

（2007年10月09日）

　米国の新興SaaSベンダー、インクリングは最近まで大きな問題に直面していた。企業業績の予測サービスを提供している同社には、データセンターを運用するのに必要な情報セキュリティ対策の態勢も専門知識もなく、顧客に安心感を与えることができなかったのだ。

　インクリングの共同設立者でCTOのネート・コントニー氏は、「われわれはシステム管理者ではないし、サーバを導入して安全に運用できるオフィスも持たない。しかし、何者かがオフィスに入り込み、顧客のデータを盗み出すような事態は避けなければならない」と語る。

　同社は、こうした問題を解決するため、データセンター業務をロジックワークスにアウトソーシングした。ロジックワークスは、マネージド・ホスティングとサービスを提供するプロバイダーで、米国公認会計士協会（AICPA）の監査標準「SAS 70 Type II」（社外監査が必須）に適合する安全なデータ・ストレージ環境の提供を実現している。

　インクリングは、ロジックワークスと契約を結ぶ前に3社のホスティング・プロバイダーを使ってみたが、いずれも同社の長期的なニーズを満たすことはできなかった。コントニー氏によると、ロジックワークスを使い始めてから30社以上の顧客を獲得することに成功し、その中には、「大手セキュリティ企業」も含まれているという。このセキュリティ企業は、データの完璧な安全性を保証しないかぎり、業務を発注しないという方針を持っていた。

　コントニー氏はアウトソーシングのメリットについて、「顧客は、当社が信頼性や安全性が確保された環境でホスティング業務を行っているという保証を求めていた。ロジックワークスが用意したセキュリティ文書を顧客に提示することにより、顧客はデータセンターが安全で、信頼できると確信を持つことができる」と説明する。

　コンサルティング会社シンクストラテジーズの幹部でアナリストのジェフリー・カプラン氏によると、米国企業では近年、ホスティング・ソフトウェアの役割が大きくなっており、SaaSベンダー自身も、自分たちだけで効果的に遂行することができない業務のアウトソーシングを考えるようになっているという。

　「SaaS企業がデータセンターの運営に必要な業務をアウトソーシングするという手法も広く受け入れられるようになっている。この動きがさらに広がる兆しもいくつか見られる。SaaS企業、とりわけ今後価格競争の激化が予想される市場の企業にとって、アウトソーシングは、より経済的なやり方で業務管理を行うための手段と言える」（カプラン氏）

　また、前述のSAS 70や「Payment Card Industry Data Security Standard（PCI DSS）」などの厳格な標準への適合に向け、ホスティング・プロバイダー各社がいっそう努力を求められているという事情もあるという。

　インクリングは、顧客の依頼を受け、ビジネスの潜在的なリスク、将来の販売や売上高などさまざまなタイプのトレンドを予測するためのサービスを提供している。同社の顧客リストには、シンガポール政府、オライリー・メディア、ゲーム・ソフトウェア会社、大手銀行、ABCサンフランシスコ支局、Chicago Sun-Times、LinuxWorldなどが名を連ねている。

　インクリングは、2005年から2006年にかけて3社のデータセンター・プロバイダーと相次いで契約した。最初の2社は、共有ホスティング・プロバイダーで、自社のデータがほかの数10社のデータと同じマシン上でホスティングされており、その後に契約したプロバイダーは、Xenハイパーバイザーを使って顧客ごとに分割したストレージを提供する仮想専用サーバを導入していたという。

　インクリングがロジックワークスに切り替えたのは、およそ1年前のことだ。それまで利用していたサービス・プロバイダーのシステムは何度も障害が発生したうえ、サポートも信頼に足るものではなかったからだ。

　ロジックワークスのサービスは、専用のストレージ・スペースを割り当てるようになっており、ほかの顧客とスペースを共有することはない。インクリングは現在、ロードバランシングやフェールオーバ機能の実現を含むストレージ環境の強化に向けロジックワークスと協議に入っている。これにより、新規顧客の獲得で増大が予想されるトラフィックにも対応することができる。

　コントニー氏は、「複数のWebアプリケーション・サーバのロード・バランシングを行い、新規顧客による利用増にも対応できる態勢を整えつつある」と語っている。

　ロジックワークスのサービスの多くは、月額5,000ドルから1万ドル程度だが、データセットのサイズやアプリケーションの利用量、法令順守とセキュリティの要求条件などによって、数10万ドルに膨れ上がる場合もあるという。

(ジョン・ブロウドケン／Network World 米国版)