第84号コラム:丸山 満彦 監事(公認会計士)
題:「クラウドコンピューティングがもたらす光と影」

クラウドコンピューティングが、IT専門雑誌やIT系メディアのみならず、一般新聞紙やメディアでも取り上げられるようになってきています。そこで、今回はクラウドコンピューティングがもたらす光と影ということで、そのメリットとリスクというものを少し考えてみたいと思います。

クラウドコンピューティングと一言でいっても、その内容は様々で、いろいろな側面を有していると思います。クラウドコンピューティングの特徴としては、サービスを受ける側からみればハードウェアをそろえることなく、あたかも水道管をひねるように、電気のスイッチを入れるように必要な時に必要なサービスを直ちに受けることができるということがあると思います。このような状況は情報処理サービスの社会インフラ化ということにもつながってきているともいます。このようなサービスを提供するために、サービス提供側を安価かつ安定的に行うことができるようになってきた背景には、ネットワーク回線が社会インフラとして整ってきたということと、情報処理がハードウェアの低価格化のみならず仮想化技術等により安価に提供できるようになってきたこともあると思われます。

クラウドコンピューティングを理解する上で、パブリッククラウドとプライベートクラウドに分類するというのは有益だと思います。パブリッククラウドは、ひとつのクラウドコンピューティングサービスの上に不特定多数の利用者がいわゆる「相乗り」することにより、リソースを有効活用し、全体のコストを低下させる方法といえます。一方、プライベートクラウドは、特定の利用者向けがその利用者向けの占有サービスを利用することとなります。占有サービスは一般的にはインフラやハードに係わるサービスといえます。

パブリッククラウドの場合は,不特定多数の利用者を想定しますので、あらかじめ定められたサービスの範囲で利用者が利用することになり、契約内容も利用者毎にカスタマイズすることなく、定められた契約書の内容を受け入れるか受け入れないかということになります。このことは、リスクマネジメントの観点からは、その利用するサービスに係るリスクを利用者が理解し、リスクを受け入れるか受け入れないかを判断する必要があります。このことから、パブリッククラウドの利用者としてはパブリックサービス提供者から提供される、つまり開示される情報とその情報の正確性が重要となります。利用するサービスが企業に与える影響が大きいほど、その重要性は高まることになります。例えば、情報セキュリティに関するリスクであれば、情報の機密性、情報やサービスの完全性、サービスの継続性の観点からリスクを考える必要があるでしょう。

典型的なリスクとして考えられるのは、サーバー等が米国等の国外のみに存在する場合です。その場合、サーバー設置国の行政、司法当局によりサーバーの差し押さえがあり、サーバーが利用できなくなり、サービスが停止するということもリスクとしては存在します。また、係争事件等がある場合の裁判所や適用される法律がサービス提供者の存在する国の場合も考えられます。この場合は、係争するためのコストが国内企業の場合よりも高くつく可能性もあります。これは、クラウドサービス固有の問題とは言えませんが、現状のクラウドサービス事業者が国外企業の場合が多いこともあり検討を要する事項といえます。

また、技術的な側面で考えるとクラウドサービスに仮想化技術は必須ではないものの、仮想化技術を利用することが想定されるため、それに伴うリスクも検討する必要があります。想定されるリスクの例としては、犯罪等の不正調査のためのフォレンジックの局面でデータ保全が困難になるということでしょう。現在は一般的にサーバーやハードディスクを物理的に押収し、その内容を物理的にコピーした上で不正調査等を行うことが多いわけですが、データが複数のサーバー上に分散して保存される可能性がある場合、サーバーやハードディスクの物理的な保全が困難となります。

クラウドコンピューティングはコスト削減やサービスの立ち上げを早くできるというメリットはあるものの、様々なリスクもあります。したがって、ある意味賢くクラウドコンピューティングと付き合うことが重要となります。クラウドコンピューティングを何も考えることなく全く利用しないというのもまたよくないことです。リスクを正しく把握して適切な対処を行い、クラウドコンピューティングがもたらすサービスを利用することが重要でしょう。そのためには、利用者がリスク判断を行う上で必要とされる情報をサービス提供者が適切に開示すること、その情報の正確性を担保する仕組みが必要と思います。また、提供するサービスの重要性に応じては法制度の整備も必要かもしれません。例えば、電気を提供する事業者、通信を提供する事業者にはそれぞれの業法が存在するのと同じことです。

このような仕組みが整わなければ、クラウドサービス事業というのは社会の真のインフラにはならないのではないかと思います。

【著作権は、丸山氏に属します。】