クラウドコンピューティングにおけるセキュリティ(その2)
こんにちは。野村です。
先日、このコラムを読んでくれたわたしの知り合いから、「なんだか、ちょっと硬いなあ」とコメントをもらいました。
たしかに、読み返してみて、わたしが当初想定していた「肩ひじはらずに」というコンセプト(?)に照らすと、少々マジメすぎたかな、と思いました。そもそも、マジメすぎて読みにくいですしね……。
当コラムは、格調高い論文というよりは、日々の思いをざっくばらんにつづるようにしたいと考えています。
ですので、少々理論が跳んだり、言葉足らずになったりするかもしれませんが、「肩ひじはらずに」のコンセプトということでご容赦くださいませ。
さて、今回は前回に続き、コラム「クラウドコンピューティングにおけるセキュリティ」の第2回です。
■ プロパー信仰の終焉が意味するもの
前回のコラムで、いわゆる1つの「プロパー信仰」の終焉、「プロパー信仰」が成り立たなくなる事例があったことをお伝えしました。
もちろん、一事が万事という理屈もどうかとは思いますので、前回ご紹介した元部長代理さんの事例だけで、すべてのプロパー社員を疑うのはどうかとは思います。
とはいえ、プロパーだから安心という理屈もちょっと違うと思うわけです。そもそも、会社としてはプロパーに任せたつもりだけど、実際のシステム運用は外部業者が実施しているということが多いのが現実ですよね。
自社データが保存されている本番環境へのアクセスはプロパー社員だけ! という会社は、ほとんどないのが現実ではないでしょうか。
そう考えると、クラウドゆえ、SaaSゆえ外部業者にお任せになる、だから困る、嫌だ、という理屈は本当に成り立つのか? とわたしは疑問に思います。皆さんはどうお考えですか?
■ SaaSのシステム運用環境
翻って、SaaSベンダのシステム運用環境について考えましょう。
皆さんご存じのとおり、たいてい、SaaSベンダのHW/パッケージSWを運用するセンターは非常に堅牢です。salesforce.comしかり、Oracle CRM On Demandしかり、NetSuiteしかり。これらSaaSベンダが持つHW/SW運用システム全体を自社で持つのは大変なことです。
HWのコストもさることながら、可用性といいますか、高い稼働率(99.9%以上、とか)を維持するために必要な運用業務を定義し、HWの耐障害性も確保するということを考えると、長い年月をかけて組織をつくり、人材をつくり、業務として確立する必要があるわけです。
ITを生業としていない企業の情報システム部門が、現状SaaSベンダが実現しているレベルのHW/SW運用システムを作り上げるのは、かなり難しいのではないでしょうか。
また、現行システムの運用であっても、ホスティング業者に自社HWをホスティングしている企業は多いと思います。ホスティングするということは、外部業者を使っているということですよね。
上記のようなことを冷静に考えれば、「SaaSだから外部業者に任せられない!」というのは、いかがなものでしょうか。
現状でも外部業者に任せている箇所もある。また、SaaSベンダのHW/SW運用システムで実現されている堅牢性と比較して、自社現行システムの方が良いとはいいきれない。こう考えるべきではないかとわたしは思います。
■ 「でも、納得できない!」という方
わたしの経験上、たいていの場合、わたしが上記のようにご説明すると、納得してくださる方が多いです。
「ま、そりゃあそうだ。セキュリティに完璧はないもんな!」
「そうか、現行システムでも外部委託しているし……」
「そろそろ自社でHW運用するのもコスト高いし、手間かかるし……」
特に、「そろそろ自社でHW運用するのもコスト高いし、手間かかるし……」という感触をお持ちの方は、正しい時代感覚だと思いますよ、正直。
自社システムの可用性・運用性を確保するために、やれクラスタリングだ、Raid 0+1だ、瞬時にバックアップだと、いろいろな製品を導入すればコストは非常に高くなります。HWもさることながら、馬鹿に高い導入費用も取られるわけです。
一方、クラウドコンピューティング、SaaSであれば、自社でHWを持つ必要なくなります。
しかし、残念ながら、少なからぬ方がSaaSシステムのセキュリティについて、上記のような説明をしても難色を示されます。
「やっぱり、外部業者に任せると信頼性が落ちる」
「外部業者に頼む箇所が少なければ少ないほどセキュリティが確保されるのだから、わざわざ外部業者であるSaaSベンダにシステムをお任せするのはセキュリティ上、問題だ」
なんだか、分かったような、分からないような理論です。
どうも、こういう理論を堅持される方は、プロパー信仰から抜けきれず、過去の自分の経験の枠の中で考えようとされているのでは、と思います。
■ もっと大切なものをアウトソースしていませんか?
じゃあ、過去の経験の枠の中で、もっと大切なものを外部業者に任せていることに気付いていませんか? とわたしはいいたいのです。
データよりも大事なもので、外部業者に委託しているもの。それは何でしょうか?
答えは、「お金」です。
お金を銀行に預けていない企業はないですよね。銀行は外部業者ですよね。
銀行に預けたお金が持ち逃げされるリスクを考えてみましょう。相当、やばいですよね。
でも、世にある企業のすべてが銀行にお金を預けているわけです。
■ SaaS業者にデータを預けるということ
ここで、いま一度、冷静に考えましょう。
前述のとおり、プロパー社員に任せてもセキュリティ事故はおきます。事例はあるわけですから。
現行システム運用の実態は、細かい作業レベルは外部業者にお任せの会社は多いです。
そして、よくよく考えると、データよりも大事といえるお金を外部業者である銀行に預けていますよね。
であれば、堅牢なセンターを持つSaaS業者にデータを預けることは問題なのでしょうか? 現行システムの運用よりもセキュリティリスクが高まるのでしょうか?
通常の会社であれば、リスクが高まることはないのでは? と思っています。
わたしの意図をご理解いただければ、ありがたいです。
それでは、また次回、お会いしましょう。