企業がクラウドに抱く不安
現在、企業のセキュリティ担当役員の間で最も話題に上るバズワードと言えばクラウド・コンピューティングだ。彼らは、クラウドの劇的なコスト削減効果や、その他のさまざまなメリットに魅力を感じながらも、長所/短所を冷静に分析している。大企業がクラウドの導入に今一つ踏みきれずにいるのは、セキュリティとコンプライアンスが大きな不安材料となっているからだ。
現場から挙がる疑問で特に多いのは、「高いコンプライアンスを求められるアプリケーションやデータの運用にクラウドを採用してよいものか」、「そもそも、クラウド環境でコンプライアンスを保てるのか」、「コンプライアンス関連の失敗を避けるための標準規格はすでにあるのか」といったものだ。
これらの疑問に対する答えは、「ケース・バイ・ケース」としか言いようがない。正確に答えるには、それぞれの状況を細かく特定する必要がある。例えば、プライベート・クラウドとパブリック・クラウドとでは、おのずと話が違ってくる。また、コンプライアンスを保てるかどうかを知るには、その企業が具体的にどの法令を順守するのかを明確にしなければならない。
さらに、1つの企業内に異なるタイプのクラウド・サービスやクラウド基盤を導入することも可能なため、コンプライアンスとクラウドをまとめて考えるのはますます難しくなっている。そうしたこともあり、米国標準技術研究所(NIST:National Institute of Standards and Technology)が先ごろ発表した論文では、クラウド・サービスがIaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、SaaS(Software as a Service)の3モデルに分類されている。
また、NISTはクラウドの展開モデルについても、プライベート・クラウド、コミュニティ・クラウド(複数の組織で共有するクラウド)、パブリック・クラウド、そしてハイブリッド・クラウド(プライベート・クラウドとパブリック、またはコミュニティ・クラウドの混在型)の4種類に分類している。
これらのサービス・モデルと展開モデルをどのように組み合わせるかにより、企業がコントロールできる度合いが変わり、またユーザー企業側とサービス・プロバイダー側に課されるセキュリティとコンプライアンスの義務も異なってくる。
例えば、プライベート・クラウドを構築する企業は、必要に応じてそのシステムを自由にコントロールできる。それに対し、パブリック/コミュニティ/ハイブリッド・クラウドの場合、ユーザー企業がそこまで自由にコントロールすることはできない。一方、IaaSサービスのユーザーに与えられる自由度は、一般にSaaSサービスと比べてかなり高い。だが、自由度が高いということは、セキュリティとコンプライアンスに関するユーザー側の責任も、その分重くなるということだ。
1
