第7回 クラウドのメリット・デメリット、経営者目線での注意点:会社を強くする経営者のためのセキュリティ講座(2/2 ページ)
事業を支えるITのシステムがセキュリティ上の危険に晒されると、どのような影響があるのでしょうか。今回ははやり言葉である「クラウド」をテーマに、経営者が知っておくべき注意点をセキュリティ専門家の萩原栄幸氏が解説します。
経営者目線で考えたいクラウドの注意点
この先数年は、明らかにクラウドが増加していくだろうとみています。しかし、「それは間違いないのか」というユーザーのは問いに、私は必ずこう答えます。
「それはあり得ません。御社がどのような環境やシステムを導入、もしくはリニューアルしようとしても、その内容によっては導入してはいけないケースが多々あります」
ここではクラウドやシステム技術には“素人”の経営者の視点で注意すべき点を紹介します。
同じベンダーでも従来の案件とクラウド案件は相反する
ほとんどの大手ベンダーはサーバなどを自社製品として販売していますし、クラウドも販売しています。従来型の営業はサーバを売っては幾ら利益を上げるかという世界です。クラウドはそのサーバを販売する営業を真っ向から否定しかねないものであり、クラウドのビジネスについて社内でうまく切り分けができていないベンダーがあります。顧客企業としてはそのようなベンダーの内部状況に振り回されることなく、純粋に自社においてクラウドが費用対効果の観点で導入すべきかどうかを冷静に検討すればよいでしょう。ただ、その時には次の問題点について検討しなければなりません。
法令もしくはポリシーの観点からクラウドの導入可否を検討する
例えば、金融機関における基幹システムの顧客情報や総勘定元帳が海外にあるのは絶対に避けるべきとされています。しかし、金融機関が保有するシステムの恐らく8割以上はこのような制約から外れるでしょう。内部規定で決められた情報以外であれば、クラウドの仕組みで利用することを検討しても良いかもしれません。外資系クラウドではデータが海外のどこにあるか不明な場合でも、オプション契約で固定のデータセンター内にデータを保存できる業者もいます。金融機関でも検討できる状況になりつつあります。
セキュリティの問題をきちんと整理する
クラウドに対するユーザーの意識調査では必ず「セキュリティが心配」だという意見がクローズアップされます。しかし、中小企業や零細企業ではこのように心配する必要がまったくない企業もたくさん存在します。現状のセキュリティ対策があまりに脆弱であり、むしろクラウドを選択する方がセキュリティの強化につながるケースが相当数見られます。
システムの運用コスト削減だけでも魅力的である
クラウドを利用するといってもその会社固有の業務までもインターネット上のリソースを使って誰かが開発してくれるわけではありません。しかし、物理的な本番環境やテスト環境、災害対策のための予備環境について考慮すると、自前でデータセンターやネットワーク、人材を保有するよりも、これらをインターネットの向こう側で誰かが代行してくれることは大きなコストの低減になります。
クラウド化=事業者にすべてを委ねるということ
経営的な視点で見ると、事業者は国内か国外か、また、どこまでをクラウドに委ねるのか、そして業者自体の信頼性(倒産の危険や従業員による内部不正リスクなど)を詳細にコンサルタント会社などと相談し、リスクを最小限にする工夫が必要です。海外事業者の場合はリーガルチェックも忘れてはいけません。
最後のポイント
幾つかのセキュリティ会社によると、例えばパスワード解析に必要な処理能力を数十ドル程度で犯罪組織に提供している悪質な事業者もいるようです。クラウド業者と呼ばれる企業が急増している今、業者選定は慎重に行わなければなりません。しかし、経営環境がドラスティックに変革している今の時代を乗り越えるためには、迅速な決断も求められます。クラウドの検討では経営者としての手腕が非常に試されることになるのです。
萩原栄幸
一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。
情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント(システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名)として活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
過去の連載記事一覧はこちらから
関連記事
- 第6回 経営者が注意すべき「パスワードクラッキング」
- 第5回 社内のセキュリティ状況を把握する(環境チェック編)
- 第4回 社内のセキュリティ状況を把握する(機器編)
- 第3回 ファイルを削除しても「消えない」データ
- 第2回 メールの適正利用をチェックできますか?
- 第1回 社内のコンピュータが加害者に――ウイルスやボットのリスク
- セキュリティ投資は無駄金? 競争優位に変える身近な方法
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.