「クラウドなんか使って大丈夫か？」と言われたら：ITソリューション塾（1/2 ページ）

「クラウドなんか使って大丈夫なのか？」――。経営層が、パブリッククラウドへの移行を検討する情報システム部門にこんな疑問を投げかけてきたら、どう答えればいいのでしょうか。

[斎藤昌義（ネットコマース株式会社），ITmedia]

　「クラウドなんか使って大丈夫なのか？」――パブリッククラウドへの移行を検討するある情報システム部長に、経営者がこんな疑問をぶつけました。さて、どう答えればいいのでしょうか。よくある3つの具体的な疑問を挙げ、それぞれに対する回答を考えてみます。

1.クラウド利用の安全性、情報漏えいや改ざんなどの問題はないのか

　クラウドだからセキュリティリスクが高いということはありません。

　しかし、クラウドでは、専任のエンジニアが24時間365日体制でセキュリティ上の「脆弱性」を排　セキュリティ対策は、「脅威」と「脆弱性」に対処する取り組みです。「脅威」とは、不正侵入やコンピュータウイルスなどの外部からの攻撃と、社員によるデータの持ち出しや破壊行為などの内部からの攻撃です。一方「脆弱性」は、システムの弱点であり、脅威はこの脆弱性に対する攻撃なのです。

　誰がやっているかも分からない外部からの攻撃は、「しないでくれ」といっても止めてくれるものではありませんし、社員を教育しても悪いことをする人間を完全になくすことはできません。従って「脅威」をなくすことはできません。一方、「脆弱性」は、ウイルス対策ソフトを導入して常に最新の状態にしておく、外部から攻撃ができないようなシステム構成にしておく、攻撃されてもすぐに分かるような仕組みを組み込んでおくなどによって、自分たちの責任で対策できることです。

　セキュリティをこの「脅威」と「脆弱性」という観点で見ると、クラウドも、自社で所有するシステムも、「脅威」は同じといえます。両者とも、基本的にはネットワークにつながっているコンピュータであり、使っている機材やOSなどの基本的な構成は変わらないためです。

　しかしクラウドでは、専任のエンジニアが24時間365日体制でセキュリティ上の「脆弱性」を排除するための取り組みをしています。また、「脅威」を検知したら直ちに対策を施せる運用体制を取っています。また、人工知能などの高度なテクノロジーを駆使して、ネットワークにアクセスしてくる不審な振る舞いを検知する仕組みを取り入れているサービスもあります。このような対策を一企業が行うことは膨大なコストが掛かるだけでなく、高度な専門スキルが必要なことから、簡単にはできるものではありません。一方クラウド事業者は、それができなければ誰も使ってくれませんから、そのための投資や人材を惜しみません。

　もちろん全てのクラウドでそれができるわけではありませんが、企業の基幹業務の“受け皿”を掲げるサービスにとっては前提条件といえるでしょう。

　ただし、どれほど対策が徹底しているサービスでも、それを使いこなすことができなければ、セキュリティ対策がうまくできているとはいえません。つまり、クラウドであっても、自社で所有する場合であっても、適切なセキュリティ対策をしなければ、セキュリティリスクは変わらないということです。

　それでもなお、しっかりとした対策をしたいと考えるなら、それに対応できる体制や仕組みがそろっているクラウドを使うことが賢明だと考えます。これを自社で整えようとすると、とてつもない費用が掛かり、人材も採用しなければなりません。言い換えれば、クラウドサービスを使うことで、こういうセキュリティ対策を、自社でやるのではなく、クラウド事業者にアウトソーシングすることができるのです。

【追記】調査会社アイ・ティ・アール株式会社（ITR）のリポートが参考になるとアドバイスをいただきましたので追記いたします。