クラウド化により企業システムには従来と異なる視点のセキュリティ施策が求められる。情報漏えい対策に大きな穴があった米Equifaxはどのように対策したのだろうか。
ラスベガスで開催中の米IBMの年次カンファレンスPulse 2012も2日目のゼネラルセッションを迎えた。初日の内容は、司会役を務めたスコット・ヘブナー氏の弁によると「戦略的なアプローチ」であったが、今日のテーマは「ユーザーのサクセスストーリー」とされ、パネルディスカッションが予定されている。だが冒頭のスピーチを行うのはやはりこの男――同社のカンファレンスではすっかりおなじみのスティーブ・ミルズ シニアバイスプレジデントだ。
「ITはより複雑で、コストが掛かる構造になっている」とミルズ氏は話す。デジタルデータは爆発的に増え、ビジネスは国境を超え、デバイスの多様化も増すばかりだからだ。「だがIT予算の成長は、わずか0.8%以下にすぎない」
「しかも」とミルズ氏は続ける。「総IT予算に占めるオペレーションコストは年々増大している」というのが同氏の指摘だ。「テクノロジーに費やすコストとは、実質的にIT資産を管理するためのコストになってしまっている」(ミルズ氏)
過去のIBMも、同様の問題を抱えていたという。IT資産を管理し、単にインフラのフットプリントを維持するだけで、年に10億ドルというコストを掛けていた。「これはビジネスに戦略的な結果をもたらすことのない投資だった」(ミルズ氏)
だが「IBM自身も努力してきた」とミルズ氏話す。共有インフラへの移行――すなわちクラウド化――によって、非戦略的なITコストを「シンプルかつスマートに減らせた」という。ハードウェアの統合だけでなく、およそ1万5000種類も使用していた業務アプリケーションを、現在は約4500にまで削減できたとする。「これは劇的なTCO削減と、新しいイノベーションへの再投資を可能にした」(ミルズ氏)
苦労もあったようだ。「例えば幼稚園児というものは、自分の持ち物を他人とシェアすることをいやがるものだ(苦笑)」とミルズ氏は振り返る。「だが、ビジネスを効率化するにはシェアリングが必要だ。つまりクラウドこそが、システムのプロビジョニングを改善し、インプリメントやデプロイを迅速化する手段となる」
パネルディスカッションの進行を務めたIBMのボブ・ピチアーノ氏が最初に投げかけた問いは刺激的なものだ。「確かにここ数年、クラウドは流行してきた。だが万能薬ではないのでは?」――答えたのはカナダ最多の携帯電話加入者数を持つ大手通信企業、Rogers Communicationsのピーター・ビューズ氏である。「確かにその通りだ。ワークロードを物理から仮想に移しただけではクラウドは機能しない。アプリケーションの移行や、クラウドに適したセキュリティ施策が必要だ」と話す。
「ただし、研究開発部門によるデリバリーのスピードアップや、DR(災害復旧)環境の標準化によるコスト削減といったメリットは確実にある」(ビューズ氏)という。同社の基盤をクラウド化するに当たっては、物理的に手元にあるIT資産を手放す理解を得るために苦労もあったようだが、「カナダ人は何事にも協力的だから最終的には成功した」と笑う。同氏は「何年も先を見据えてITを調達する必要がなくなり、ビジネスに大きなプラスとして貢献できた」と自社の取り組みを評価する。
ビューズ氏がクラウドの課題と指摘したセキュリティについて、米国の大手信用調査会社EquifaxでCSO(最高セキュリティ責任者)の地位にあるトニー・スピネリ氏は「2005年に自分が入社した当時のセキュリティ施策は、発見したセキュリティホールに対応するというリスクベースアプローチにとどまっていた」と振り返る。同氏が自社のセキュリティ状況を調査したところ、「情報漏えいの60%は1年たたないと判明しない・同じく86%は外部の指摘により判明している・同じく(実に)100%が情報漏えい後の検証ができていない」という実態があったという。
PulseでIBMが繰り返し述べているITシステムのあるべき姿に当てはめると、管理(Control)や自動化(Automation)以前に、可視化(Visibility)すらできていなかったということになる。CEOにセキュリティレポートを提出するだけでも労力が掛かる状態だったという。
このような状況を打破するために利用したのが「IBM Security Service(ISS)だ」とスピネリ氏は話す。「2012年以降もセキュリティは重要なテーマとなる。単にセキュリティホールや法規制に対応するだけはなく、リアルタイムで可視化し、プロアクティブに対策できる“セキュリティインテリジェンス”を確立していく」(スピネリ氏)
Copyright © ITmedia, Inc. All Rights Reserved.