ガバナンスを高めようとすれば、必然的にサービス導入時のチェックは厳しくなる。これまでは、サービスインの際に運用の確認をすれば問題なかったが、運用設計の確認やサービス自体の確認など、確認のタイミングがどんどん開発工程の上流へと移っているそうだ。
同社では、サービスを新規委託する際に、企業の信頼性や性能、問題管理といった237項目にも及ぶチェックを実施しているという。そのうち約6割(143項目)はセキュリティに関するものだ。同様にサービス運用時にも、月例で182項目の確認を実施している。そのうち63項目は脆弱性に関する確認など、セキュリティに関するものだという。
ここまで厳しい確認をするのも、他社のサービス上で情報漏えいが起きた際に、最終的にはユーザー企業の責任になってしまうために他ならない。それ故に、オンプレミスと同等のセキュリティ要件が求められる。とはいえ、間接的なガバナンスであるため、連絡などのタスクは増えてしまう。
「東京海上日動では、ブロックチェーンなどFintechに関連した実証実験を数十件ほど行っていますが、それらは全てAWSを中心とするクラウド上で実施しています。セキュリティ面での不安があるため、ゲートウェイやAPIなどを独自に開発しています」(角田氏)
こうした課題に対し、東京海上日動システムズでは、運用時のチェック体制を自動化(RPA化)したり、グローバル化も見据えて、SaaS型のサービスマネジメントソリューション「ServiceNow」を導入したりしているという。同時にサイバー攻撃に対応できるセキュリティ人材も増員する考えだ。中途採用が難しいため、社内での育成が中心になるという。
今後は、マルチクラウドを統合的に管理するシステムとして、「CASB(Cloud Access Security Broker)」の導入や、ITILを補完するものとして、アウトソースしたサービスに向くフレームワーク「SIAM(Service Integration and Management)」の導入を検討しているとのことだ。
「CASBについては2年ほど前から研究しており、当面の対策としては有効だと考えています。ITILはよくできているとは思いますが、クラウドを中心とするアウトソースしたサービスについては、現在の状況に追い付いていません。そのため、SIAMを勉強してもらうためのメンバーも準備しています」(角田氏)
ITサービスマネジメントの観点で考えると、今後、クラウドはセキュリティが強固であることや、マルチクラウド管理に向くことが差別化のポイントとなるのではないかと角田氏は予想する。
「アプリケーションレイヤーがコンテナ化されていることが前提ですが、クラウド間の移動が容易になれば、エンタープライズ向けのクラウドは、セキュリティ特化やマルチクラウドの管理に特化するといった、今とは別の方向に進化していくのではないかと考えています」(角田氏)
Copyright © ITmedia, Inc. All Rights Reserved.