クラウドを導入する際に起こる可能性のあるリスク
企業がクラウドを導入する際にリスクの一つとして挙げるのが、技術的部分やセキュリティについてです。これらに対してどのようなリスクを想定して対策を立てるべきなのか、クラウド導入時のリスクマネジメントについてみていきましょう。
1.企業でクラウドを導入する際に考慮すべきリスク
クラウド導入時に伴う可能性のあるリスクには、大きく技術的リスクとセキュリティリスクの2つがあります。
・技術的リスク:既存オンプレミス環境からクラウド環境に変更されることで、稼働していた業務システムに制限が付くことや、管理のリソースが不足または過剰になるといったことが該当します。
・セキュリティリスク:情報漏えいや、データ消失など近年特にIT管理者が最も懸念する問題が該当します。
技術的リスク
大きな問題となりやすいのは、既存のオンプレミス環境では容易にできていた業務がクラウド導入後、同じようには実現できなくなってしまうケースです。使える機能やカスタマイズの範囲は利用するクラウドサービスによるところが大きく、それによって操作性や利便性も大きく異なります。
特に大規模なオンプレミス環境をクラウド化する際は、リスク分析などをして事前に問題点を洗い出し、回避するための対策を立ててからクラウドへの移行計画を立てなければなりません。
また、ときには既存システムの属人化や、システム同士が過度に密結合するスパゲッティ化といった問題が起きており、クラウドへの移行を妨げる要素となっていることも考えられます。そのような場合でも、オンプレミス環境とクラウド環境を共存させるハイブリッドクラウドを採用する、あるいは多種多様なデータを高度なレベルで連携する「データ統合プラットフォーム」サービスを利用するといった形で解決を図ることが可能です。自社のニーズに適したソリューションを持つITベンダーを探しましょう。
セキュリティリスク
情報漏えいや情報搾取が起きるのではないかという点もまた、クラウドを導入する際の不安要素としてよく挙げられます。
実際に想定されるリスクとしては、ネットワーク通信中の傍受、送信者や受信者になりすました第三者による中間者攻撃、データセンターへの侵入、サイバー攻撃、さらには内部に悪意ある者がいた場合の不正ログインなどがあります。
こうしたセキュリティリスクに対して最も大きな責任を持つのはITベンダー側です。優良なベンダーであれば、セキュア通信、通信とファイルの暗号化、ファイル移動に関わる作業と状況をモニタリング・フィルタリングする管理システムなどさまざまなセキュリティ対策を用意しています。インターネットを介さず閉域網経由でクラウドを利用するような方法もあります。
ベンダーがセキュリティ対策に投じるコストは年間数億円の規模に達することもあり、これもそうした信頼できるベンダーを探すことが解決策となるはずです。
もうひとつ、セキュリティリスクとして無視できないのが、データの消失や破損の問題です。ストレージやデータセンターでファイルが消失するケース、復旧はできたものの他社のデータと混在した形でデータが復元されたために情報漏えいが起きてしまうというケースもあります。これもバックアップシステムなどベンダーによる対策が必要です。
さらに地震などの大規模災害やテロ攻撃を想定し、電力供給や耐震性などの対策がなされていること、企業のBCPを保持するためのマニュアルが策定されていることなども求められます。
2.企業がクラウドサービスを導入する際に確認したいポイント
企業は上記を認識した上で、自社の現状やニーズに適合したサービスであるかどうかを見極める必要があります。そのためには次のポイントについて事前に確認しておきましょう。
◆拡張性が高いサービスかどうか
限定されたことしかできないサービスでは後々何かを付け足したい、変更したいといったときに対応ができず、小回りも効きません。拡張性やカスタマイズ性が高く、既存のシステムに合わせて柔軟な機能が利用できるようなサービスを選ぶことが第一に重要です。
ベンダーに多様な企業・環境への導入実績があること、導入前にケースに応じてどのような形でクラウドを活用するのがベストなのかを示すような提案力があることも選定ポイントとなるでしょう。
◆現状のシステムをクラウド化できるかどうか
既存のオンプレミス環境はどの程度クラウド化できるのかという点も十分な確認が必要です。使い勝手がどう変わるのか、運用負荷は増えるのか減るのかについてもシミュレーションして導入の検討材料にしましょう。
また、現状のシステムをすべてクラウドに移行することだけが唯一の方法ではありません。オンプレミス環境を残しつつ、必要に応じてクラウドサービスを利用するハイブリッドクラウドという手法は一般化しています。
その場合は、異なるシステムを連携させ、シームレスに管理できるようなツールやプラットフォームが用意されていることも確認してください。現状に適した形でクラウド化を進めつつ、一方で一元管理が可能で運用難易度が低いというサービスが理想です。
◆データセンターはどこに設置されているのか
データセンターはどのような場所にあり、バックアップ機能などによる冗長性がどう確保されていて、万一のときにはどんな形でデータが復元されるのかといった点も確認ポイントです。
細かく言えば、地震などが起きて電力供給が絶たれる危険があるときに何箇所の変電所と何本の電力線でつながっているか、自家発電で何時間電力を供給できるか、建物の耐震・制震構造がどうなっているかなどもチェック項目として挙げられます。
◆セキュアな通信が可能かどうか
高度なセキュア通信が確立されていることも必須事項です。ほかにも情報漏えいを防ぐための複数のセキュリティ対策がなされていること、第三者機関による認証を取得していることなどを把握しておきましょう。また、セキュリティ対策によって操作性が犠牲になっていないかという点も要確認です。
クラウド導入時には、まず前提として上記のようなリスクがあることを理解し、その上でリスクを最小化する方法を考えていかなければなりません。また自社に最適化されたリスクマネジメントを行うためには、社内のガバナンスなどの体制を整えると同時に、信頼できるクラウドベンダーとの対話や折衝が必要不可欠です。これらを参考に導入前の準備を慎重に進めてください。
