『クラウドサービス安全利用のすすめ』のすゝめ

2015.07.07

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんばんは、城内です。 7月7日は七夕ですね。皆さんは短冊にどんな願いを込めたのでしょうか。大きな夢を思い描く気持ちは、大人になっても忘れたくないものですね。

ということで、今回は初心者に帰ってクラウドサービスの利用について書いてみたいと思います。

『クラウドサービス安全利用のすすめ』

皆さんは、独立行政法人 情報処理推進機構(IPA)が発行している『クラウドサービス安全利用のすすめ』というドキュメントをご存知でしょうか? こちらのドキュメントは、中小企業向けにSaaSを中心としたクラウドサービスの利用を推進する内容が書かれています。

AWSのようなIaaSに関する記述は少ないですが、これからクラウドサービスを利用してみようと思う方や、クラウドファーストの波に乗ってクラウドを利用し始めたものの、いまいちうまく活用できていないなと思っている方には、ぜひ一度目を通してもらえるといいかなと思います。

今回の記事は『クラウドサービス安全利用のすすめ』を簡単にまとめた内容になりますので、しっかり内容を把握したい場合は直接ドキュメントを参照してください。また、ドキュメントの前提条件がSaaSメインになっていますので、AWS(IaaS/PaaS)の利用においては、検討すべき項目等はさらに増えます。その点にはご注意ください。

クラウドコンピューティングとは

クラウドコンピューティングとは、大規模データセンターにおいて仮想化等の技術を用いてコンピュータの機能を用意し、それをインターネット経由で自由に柔軟に利用する仕組みの総称です。企業や個人が個別にコンピュータやアプリケーションを所有して利用するのに比べて、ITに関する開発や調達や運用・保守の負担が軽減され、コスト削減にもなる技術、サービスとして注目されています。

引用元:『中小企業のためのクラウドサービス安全利用の手引き』独立行政法人 情報処理推進機構(IPA)

サービス形態には以下のようなものがあります。

SaaS(Software as a Service)
クラウド上に用意されたソフトウェアをサービスとして提供するものであり、例えば業務を遂行するためのアプリケーション(給与計算とか人事管理、販売管理、在庫管理等)がインターネットを通じて利用できるサービス形態である。例えるなら、アプリケーションおよびアプリケーションの動作環境のレンタルをするようなものです。
IaaS(Infrastructure as a Service)
クラウド上に用意された仮想のコンピュータをユーザが直接利用するクラウドのサービス形態。ユーザからは、一定の機能スペックのハードウェアの上に OS が設定された形で見える。コンピュータの上で自らアプリケーションを開発したり、インストールしたりして使用するレベルのユーザが利用するのに適している。
PaaS(Platform as a Service)
クラウド上に用意された仮想のコンピュータに加えて、開発環境やデータ処理のためのミドルウェアやユーザインターフェイスモジュール等、コンピュータを使いこなすための道具類もセットにして提供するサービス。IaaS 同様、コンピュータの上で自らアプリケーションを開発したり、インストールしたりして使用するレベルのユーザや、Web アプリケーションを構築して情報発信をするようなユーザのに適している。

引用元:『クラウド安全利用のすすめ』独立行政法人 情報処理推進機構(IPA)

中小企業にとってのクラウドサービス活用の利点

『クラウド安全利用のすすめ』では、「「持つ IT」から「利用する IT」に転換できる」という表現をした上で、以下の4つを利点として挙げています。

  • ITの調達に関わる負担からの解放または負担の軽減
  • ITの運用・保守の負荷からの解放または負荷の軽減
  • IT資源利用の柔軟性・拡張性の獲得
  • セキュリティ対策の負担と負荷からの解放または負担軽減

AWSの場合、2点目と4点目については利用するユーザ側で補う必要があります。

クラウドの問題あるいは越えなければならないハードル

『クラウド安全利用のすすめ』では、以下の2つのハードルを定義しています。

  • 会社の大事な情報(資産)、他人に預けて大丈夫?
  • 事業継続計画(BCP)は大丈夫?

後者に関しては、企業ごとに検討内容が違うと思いますので、ここでは割愛します。前者については、ごもっともと思える例えを交えて、以下のように説明しています。

考えてみてください。大事な情報と同じくらい大事なお金は銀行や郵便局に預けていませんか?銀行や郵便局は他人ではないのでしょうか。クラウドサービスでも同じです。クラウドサービスを提供するクラウド事業者(サービスプロバイダと呼ばれる場合もあります)が信頼できるのであれば、問題はないと考えるべきです。大事な情報(資産)は、会社内で管理していてもトラブルに遭う可能性もありますし、自前のIT 環境のセキュリティ対策が不十分であれば情報漏洩や情報消滅の事故が起きる可能性もあります。「餅は餅屋」ということわざもあるように、IT 環境の専門家であるクラウド事業者に任せるのも、安全・安心を維持する一つの方法と言えます。

引用元:『クラウド安全利用のすすめ』独立行政法人 情報処理推進機構(IPA)

ここでは、銀行や郵便局を例えとして挙げていますが、郵便局の例えは面白いと思います。確かに、個人情報が記載された書類でも郵送はしますよね。自社の仕組みで送り先まで届ける企業はほぼないと思います。クラウド業者に郵便局と同等の信頼あれば、クラウドサービスを利用することは郵送というサービスを利用するのと同じであるという、良い例えではないでしょうか。 (クラウド業者と郵便局の信頼度を、開示されている情報を基に比較してみるというのも面白いかもしれません)

クラウドサービス利用上留意すべき事項

留意すべき事項としては、以下を挙げています。

  • (ア) コンピュータシステムを自ら管理しないことによる制約
    • メンテナンス時期の選択
    • 障害時の復旧のコントロール
    • 機能の選択肢の限定 等
  • (イ) データを自らの管理範囲外に置く、あるいは社外に預ける不安や制約
    • 万一の障害時のデータの完全性・可用性の確保がコントロール困難
    • 委託先管理要求に対応したコントロール実現が困難 等
  • (ウ) 利用量・処理量の異常な増加や意図せぬ増大に伴う使用料の急増のリスク
  • (エ) 利用できるアプリケーションのカスタマイズの制約
  • (オ) アプリケーション間のデータ連携実現への制約やコスト増の可能性

引用元:『クラウド安全利用のすすめ』独立行政法人 情報処理推進機構(IPA)

この辺りは、AWSにおいても同じことが言えるかと思います。

こんな期待や課題はありませんか?

以下のような期待や課題がある場合は、ぜひクラウドサービスを検討してみてください。

  • <業務効率について>
    • IT で行う業務の効率を上げて間接コストを圧縮したい
    • 社内でバラバラに保有されている情報を集約して有効活用したい
    • 管理業務や間接業務の IT 化率を上げて業務効率を改善したい
    • 社外からでも、電子メールやスケジューラーなどを使いたい
  • <IT の負担について>
    • IT の運用や維持管理のコスト(人手や手間)を削減したい
    • 自社で運用しているサーバの運用負担を軽くしたい
    • 専門要員を雇わずに最新の IT を活用したい
    • 手間をかけずに情報セキュリティを維持・向上したい
    • 最新の機能を持つソフトウェアを使いたいが、更新するのが面倒だ
    • バックアップの作業負担やコストを軽減したい
  • <IT を活用したビジネスについて>
    • IT を活かした新規サービスビジネスを迅速かつ安価に開始したい
    • IT をベースに今展開している事業を、少ない投資で充実・拡大したい
    • 経営管理や業務処理を IT 化したい
    • 受発注処理、顧客管理、商談管理等に IT を導入したい
    • 連携する企業間で情報共有を図り、新しい付加価値やサービスを開拓したい

引用元:『クラウド安全利用のすすめ』独立行政法人 情報処理推進機構(IPA)

クラウドサービス導入時の事前チェック

『クラウド安全利用のすすめ』では、クラウドを効果的に利用できるよう、事前チェック項目として3領域14項目のチェック項目を定義しています。ここでは、詳細はドキュメントを参照して頂くとして、AWSではどこの情報を参照すれば確認できるのかを補足してみたいと思います。

チェック項目はSaaS前提ですので、AWSを利用する上での網羅性はありません。また、AWS情報も必ずしもフィットする内容という訳ではありませんので、参考程度にご覧ください。

No 項目 内容 AWS情報
[A]クラウドサービスの利用範囲についての確認項目
(1) 利用範囲の明確化 クラウドサービスでどの業務、どの情報を扱うかを検討し、業務の切り分けや運用ルールの設定を行いましたか?
(2) サービスの種類とコスト 業務に合うクラウドサービスを選定し、コストについて確認しましたか?
(3) 扱う情報の重要度 クラウドサービスで取扱う情報の管理レベルについて確認しましたか?
(4) ポリシーやルールとの整合性 セキュリティ上のルールとクラウドサービスの活用の間に矛盾や不一致が生じませんか?
[B]クラウドサービスの利用準備についての確認項目
(5) 利用管理担当者 クラウドサービスの特性を理解した利用管理担当者を社内に確保しましたか?
(6) ユーザ管理 クラウドサービスのユーザについて適切に管理できますか?
(7) パスワード パスワードの適切な設定・管理は実施できますか?
(8) データの複製 サービス停止等に備えて、重要情報を手元に確保して必要なときに使えるための備えはありますか?
[C]クラウドサービスの提供条件についての確認項目
(9) 事業者の信頼性 クラウドサービスを提供する事業者は信頼できる事業者ですか?
(10) サービスの信頼性 サービスの稼働率、障害発生頻度、障害時の回復目標時間などのサービスレベルは示されていますか?
(11) セキュリティ対策 クラウドサービスにおけるセキュリティ対策が具体的に公開されていますか?
(12) 利用者サポート サービスの使い方がわからないときの支援(ヘルプデスクや FAQ)は提供されていますか?
(13) 利用終了時のデータの確保 サービスの利用が終了したときの、データの取扱い条件について確認しましょう。
(14) 契約条件の確認 一般的契約条件の各項目について確認しましょう。

まとめ

クラウドサービスはビジネスにおいてとても有用なものです。ただし、クラウドというだけあって、ブラックボックスになっている部分に不安を感じるかもしれませんが、事前チェックをしっかり行えば、安全に、かつ、効果的に利用できます。 今回は、AWSに関しても少し絡ませてみましたので、ぜひ参考にして、利用の検討、または利用の見直しを行ってみてください。 また、一部内容を割愛している部分もありますので、ぜひ直接ドキュメントを参照してみてください。

出典