クラウドの有効性が広く認められるようになってから久しく、今ではクラウド移行に際し抵抗を示さない企業が増えています。しかしそれも、「クラウドについてよく知る人材が社内にいる」、「普段からクラウドサービスを利用している」企業に限った話です。
「これから始めてクラウドを導入する」という企業に関しては、クラウドの効果も安全性も未知数ではないかと思います。そうした方達に対して「クラウドは安全性が高いので、どのサービスも安心して利用できますよ」と言えないのが現状です。
従来よりもセキュリティ面が強化されたのは確かですが、サービスを起因としてトラブルが発生することもあります。そこで本稿では、クラウドの安全性を確かめるために必要なチェックポイントを解説します。複数の観点から解説していきますので、クラウド検討時の参考にしていただければ幸いです。
「サービス運用」のチェックポイント9
計画停止
クラウドはサービスにより、保守運用を目的として計画停止を実施することがあります。大切なのは計画停止を実施するか否かではなく、実施する際の連絡通知や内容についてサービス規約に記載されているかどうかです。
サービス提供終了
クラウドもビジネスの1つなので、ベンダー都合によってサービス提供が終了することもあります。その際に、どれくらい前から終了について連絡通知されるかどうかを確認しましょう。連絡通知からサービス提供終了までの期間が短すぎると、システム刷新やデータ移行が間に合わない可能性があります。
サービス稼働率
サービスがどれくらい安定して稼働しているかをサービス稼働時間と呼びます。一般的には「(計画サービス時間÷停止時間)÷計画さービス時間」で求められ、99.9%以上を基準にする企業が多いでしょう。
アップグレード方針
クラウドはベンダーが自動的にアップグレードを実施するという点が大きなメリットではありますが、その反面システム仕様が急に変更されるというデメリットもあります。そのため、アップグレードをどれくらいの周期で実施するのか?事前通知の方法は?ユーザーの負担はどれくらいか?などを確認しておく必要があります。
MTTR(平均復旧時間)
システム障害が発生して復旧するまでの平均時間です。これが短いほどシステム障害が発生しても、ビジネスに与える影響が少なくなります。
RTO(目標復旧時間)
システム障害が発生して復旧するまでの目標時間です。あくまでベンダーが設定している目標なので、この通りに復旧するとは限りません。
障害発生件数
サービス提供開始から今までや、過去1年間に発生した障害件数などを確認しましょう。当然ながら障害発生件数が少ないほどシステムの可用性が保たれていると言えます。この情報について公開されていない場合、慎重に検討することをおすすめします。
カスタマイズ
一部のクラウドではカスタマイズに対応しており、柔軟性を確保できます。ただし、サービスによってどの範囲で、どれくらいカスタマイズできるかは異なりますので、事前に細かく確認しましょう。
外部インターフェース
クラウド最大のメリットは一元管理が可能なことです。複数のサービスを利用する場合は、各種の外部インターフェースを重視して連携が取りやすい環境を構築していきましょう。
「サポート」のチェックポイント2
一般問い合わせの対応時間
サービスに関する一般的な問い合わせを行った際の対応時間を確認しましょう。平日の対応、休日の対応、祝日の対応、年末の対応など時期によって対応方法が異なるケースが多いので注意してください。
障害発生時に対応時間
障害発生時に問い合わせを行った際の対応時間を確認しましょう。平常時とは異なるのが大半なので、事前に確認しておくことをおすすめします。
[RELATED_POSTS]
「データ管理」のチェックポイント5
バックアップ方法
一般的なクラウドではデータのバックアップを行っていますが、その方法はサービスによって違います。自社のセキュリティ要件と照らし合わせながら、バックアップ方法を確認しましょう。
バックアップデータの取得タイミング
バックアップデータを取得するタイミングによって、障害発生時に復旧する範囲が異なるので事前に確認しておきましょう。
バックアップデータの保存期間
どのバックアップデータをどれくらい保存するかはサービスによって異なります。対象業務の重要性を考慮しつつ、保存期間を確認してください。
データ消去の要件
サービスを解約すると、ベンダーにとって不要になったデータは削除されます。ただし、サービスによって即時削除されるのか、あるいは猶予が設けられるのかは異なりますので、これも確認しておくのがよいでしょう。
対応リージョン
クラウド、とりわけIaaSやPaaS(インフラや開発プラットフォームなどを提供)と呼ばれるサービスに関しては、対応リージョンが設けられています。対応リージョンとはデータセンターの住所のようなものであり、ユーザーはサービスの範囲内で自由に対応リージョンを選択できますので、対応リージョンを確認しておきましょう。
[SMART_CONTENT]
「セキュリティ」のチェックポイント6
セキュリティ認証の要件
ISO認証規格やプライバシーマークなど、セキュリティ認証を取得しているサービスほどセキュリティ面で安心できると言えます。どのサービスがどのセキュリティ認証を設けているかを確認しましょう。
第三者によるセキュリティ評価
サービスへの不正アクセスや不正操作、データ搾取などへの対策に関して、第三者によるセキュリティ評価を受けているかどうかを確認してください。ただし、受けていないからといってセキュリティ面が弱いとは一概に言えないので、幅広くチェックすることをおすすめします。
情報取扱者の限定
ベンダー側でデータの取り扱いが適切に行われているかどうかを確認します。一般的には情報取扱者を限定し、指紋認証システムなどを導入しています。
ウイルススキャンの実施
ウイルススキャンは基本的なセキュリティ対策であり、これを実施しているのか否かではセキュリティ面に大きな差が出ます。どういったウイルススキャンを実施しているかどうかを確認しましょう。
ログ追跡の有無
セキュリティインシデントが発生した際に、ユーザーごとのログが追跡できると原因を素早く特定し、対策を講じることができます。
データセンターの対策
ベンダー側にてデータセンターで実施している物理的なセキュリティ対策も重要な要件の1つです。物理セキュリティ対策の実施を確認してください。
チェックリストを作ってサービスごとに比較してみよう!
クラウド導入を検討し、サービスを選定する際は以上のチェックポイントを押さえつつ、独自のポイントを加えてチェックリストを作成しましょう。そうした上で比較を行うと、サービスごとの違いが明確になり、思わぬトラブルを防ぐことができます。クラウドの安全性が高まっているとはいえ、すべてのサービスを信頼しきるのは危険なので、必ずチェックリストを用いて安全性を確認していきましょう。
