「クラウド・バイ・デフォルト」という言葉を聞いたことがあるでしょうか?これは2018年6月に政府から発表された「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の中で言及されたもので、政府情報システムの構築・整備に関しては、クラウドサービスの利用を「第1候補(デフォルト)」として考えるという方針を示したものです。世の中で急速にクラウド化が進み、クラウドを取り入れている民間企業も多数に上ります。「クラウド・バイ・デフォルト」は政府機関でも本格化し、2020年秋にはクラウドサービスの安全性評価制度が始まります。これによって民間企業でも指針に則したクラウド・バイ・デフォルト時代の情報セキュリティ対策の実施が必要になるという見方がされていますが、今回は「クラウド・バイ・デフォルト原則」についての解説を中心にお届けしたいと思います。
クラウド・バイ・デフォルトの5つのメリット
経済産業省 CIO補佐官 満塩尚史氏は、政府情報システムがクラウドサービスの利用を第一とすることのメリットとして「生産性の向上」「セキュリティ水準の向上」「技術革新対応力の向上」「柔軟性の向上」「可用性の向上」の5つをあげています。
生産性の向上
クラウドサービスはインターネット環境があればどこでも利用することができるため、利便性に優れています。 外出先でもノートパソコンやスマートフォンから社内メールやスケジュールの確認、資料の共有などが可能です。連絡を取るだけではなく、いつでもどこでも情報のやり取りもできるため、業務効率が高くなります。平成29年6月8日に総務省が発表した「平成28年通信利用動向調査」の結果でも、クラウドサービスを導入している企業の85.6%が「効果があった」と回答しています。
また費用の面でもクラウドサービスはたくさんの利用者でリソースをシェアするので、利用者ごとの費用はオンプレミスでシステムを購入するよりも安価に構築できます。クラウドには多くの基本的な機能があらかじめ備わっているので導入時間も短くてすむなど、生産性や効率面からみてもメリットがあります。
セキュリティ水準の向上
通常クラウドサービスを利用するには、インターネットを介してパソコンやスマートフォンなどのデバイスからアクセスします。そのため不正アクセス・不正ログイン対策は欠かせません。またインターネット上にシステムがあるクラウドではデータ保全の課題といったセキュリティリスクも生じます。しかし適切に利用すればシステム全体のセキュリティ水準の向上に極めて効果的であると、満塩CIO補佐官は言及しています。
2020年秋に政府のクラウドサービスの安全性評価制度がスタートし、民間企業でも指針に則したクラウド・バイ・デフォルト時代の情報セキュリティ対策の実施が必要になると推測されていますが、クラウド事業者に対しては「政府のクラウド安全性評価の管理基準に沿った管理策が実装されているか」が監査されるようになるでしょう。また利用者側の企業も「クラウド事業者の監査報告書を読み込める知識を持つ人材を育成しているか」といった準備が必要になります。
技術革新対応力の向上
インターネットによる技術革新が、あらゆる産業や社会の仕組みそのものを変えようとしています。インターネットイニシアティブ(IIJ)の鈴木幸一会長兼最高経営責任者(CEO)はこのようにコメントしています。
「インターネットが広く普及し、その発展形であるクラウドコンピューティングの利用が広がってきた中で、IoT(Internet of Things)によるビッグデータの活用などによって、これまで見えなかったことが見える時代、さらには、できなかったことができる時代になってきた。これはまさしくインターネットがもたらした技術革新だ。この技術革新は、今やあらゆる産業や社会の仕組みそのものを変えようとしている。この現象は、新たな産業革命ともいえる大きなインパクトをもたらすものになる」
クラウドはITにおける非常に大きなトレンドであり、日々新しい機能やテクノロジーが追加されています。そうした最新の技術をすぐに取り入れる事ができます。
柔軟性の向上
クラウドは、企業にとって必要な部分だけを利用できる柔軟性も併せ持ちます。リソースの追加や変更も簡単で、一時的にスペックを上げたり不要な場合は解約したり自由に利用することが可能です。ニーズに合わせてサービスの拡張、アプリケーションのカスタマイズが可能で、インターネット接続により、どこからでもクラウドサービスにアクセスできます。
一方オンプレミスの場合、リソースを追加したい場合、その分のハードウェアへの追加投資が必要となるため、気軽にリソースの増減が行えません。瞬間的なアクセス増などに対応しようとすると、事前に余裕を持ったハードウェアを用意し、備えておく必要がありますが、過剰投資となってしまう可能性もあります。クラウドなら負荷のピークが過ぎた後にサーバーを減らすことで過剰投資を防ぐといった「サイジングの最適化」が可能です。
可用性の向上
一般的にオンプレミスで高い可用性を実現するためには、大きなコストが発生します。意図しないサーバーの停止やネットワークのダウンを防ぐためには、ハードウェアを冗長化する必要がありますが、単純計算でハードウェアを調達する分量は2倍以上になってしまいます。また、障害時のフェイルオーバーや切り戻しといった仕組みもユーザー自身で実装する必要があります。
クラウドであれば最低限のコストで可用性を向上させることができます。障害時のフェイルオーバーについても、サーバーが稼働しているハードウェアが故障した場合に自動的に別のハードウェア上に移動して再起動する「自動フェイルオーバー機能(HA機能)」を提供するベンダーもあります。大規模な災害が発生した時もクラウドなら事業継続が可能です。
政府によるクラウドサービスの安全性評価
現在、経済産業省と総務省はクラウドの安全性担保に向けた各種の取り組みを進めています。政府が安全評価を制定する背景には、適切なセキュリティ管理への懸念等から、政府におけるクラウドサービスの導入が円滑に進んでいないこと、民間においても、セキュリティをどのように確認をすればよいかわからず、導入に躊躇する場合がある事を懸念してのことです。そのため米国のFedRAMP(フェドランプ)などを参考に策定を進めています。以下はクラウドサービスの安全性評価に関する検討会で、総務省、経済産業省によってまとめられた「クラウド安全性評価のフロー」や「管理基準項目のイメージ」です。
引用:
こうした政府主導の安全評価は、今年の秋に全政府機関等での制度活用開始を目指しています。
さいごに
セキュリティ課題の解決にもクラウドが有用であると言われています。近年、高度化するサイバー攻撃にウイルス対策ソフトなど旧来のセキュリティツールだけでなく、システムの特性に応じて、EDRといった最新のセキュリティツールが必要となってきます。高度なサイバー攻撃に対し、自社で対策を講じ続けるのは難しい時代になってきています。クラウドなら必要な基準を満たしたシステムを、初期投資を抑え、効率的に導入することも可能です。クラウドの利用可否について事実に基づく客観的な評価を行い、利用すべきクラウドについては公的機関の認証や稼働実績、継続的投資の有無を確認し、選定することが重要になってきます。
