システム構築の新標準：プライベートクラウド構築で考えるべきセキュリティ対策 (1/2)

　システムリソースを異種混合の企業同士が共有する「パブリッククラウド」は、コストメリットなどが評価される反面、セキュリティ上のリスクを危惧する意見が多い。このため、自社内にクラウド環境を構築する「プライベートクラウド」が注目されている。

石橋氏

　プライベートクラウド構築で考慮すべきセキュリティ対策のポイントについて、ガートナー ジャパンのセキュリティ担当リサーチディレクターの石橋正彦氏に聞いた。

日本文化に適したプライベートクラウド

　パブリッククラウドに対するセキュリティ上の懸念は、主に「実データの所在」「セキュリティポリシー」という2つが挙げられることが多い。パブリッククラウドでは、ユーザー企業が預けた実データがデータセンター内のどの部分に保管されているかが分からない。また、セキュリティポリシーは基本的にサービス事業者に委ねるところが大きく、自社のセキュリティポリシーを適用させるのが難しい。

　企業が自社内にクラウド型システムを構築するプライベートクラウドについて、石橋氏は、こうしたセキュリティ上の懸念を解消するのに適したシステムになると分析する。

　「国内では、従来から親会社の情報システムの運用管理をグループ内のシステム子会社が担当している場合が多い。プライベートクラウドの概念は、まさに日本のシステム運用の文化に適した形態になる」（同氏）

　データの所在管理に対する懸念では、システムリソースを自社グループの中に抱えることで場所を特定するのが容易になる。セキュリティポリシーについても、グループ内で基本的な内容を統一している場合が多く、クラウドシステムにおいてもポリシーの内容を共通化しやすい。

　このほかにも石橋氏は、「ユーザー企業が運用会社に日本語でセキュリティ対策を相談できる。運用会社が決算の連結対象であれば財務状況を把握しやすい」と話す。パブリッククラウドでは、サービス事業者が万が一倒産した場合、ユーザー企業のデータが確実に保証されるとは限らない。プライベートクラウドであれば、運用企業の財務的なリスク要因にグループ全体で対処するといったことも可能になる。

　財務上のもう1つのメリットは、J-SOXなどが求めるIT統制への対応に伴うコストの削減である。連結対象会社ごとにデータセンターが散在していれば、監査対象となる拠点数に応じて人的なコストや作業コストが増えていくが、プライベートクラウドによってデータセンターを集約すれば、監査に伴うこれらのコストを削減できる。

　「“プライベートクラウド”という言葉自体は目新しいが、堅牢なメインフレームをグループ企業同士で共有していた昔のイメージで考えると理解しやすい。しかし、当時とは異なる要素も多く、現代に即したセキュリティ対策を考慮すべき」と石橋氏は話す。