第39号コラム:山本 貴志 幹事(株式会社NTTデータ)
題:「身近に感じる情報セキュリティ」
最近とみにSaaS(Software as a Service)やクラウド・コンピューティングという言葉を耳にする機会が多くなりました。従来からの情報システムを「保有する」という考え方から、その機能をサービスとして「利用する」という方向へシフトしてきていると感じます。
一例に過ぎませんが、グーグルの「Google Apps」、アマゾンの「EC2」、セールスフォースドットコムの「Force.com」などのサービスを、既に国内外の大手企業が基幹システムやインフラに活用するといったケースも、多く報じられるようになり、国内外の様々な事業者もトレンドに乗り遅れるなとばかりに類似、関連サービスを提供しています。
確かに、SaaSやクラウドのメリットは大きいかもしれません。サービス事業者が提供するコンピューティング・リソースやプラットフォーム、アプリケーションサービスを、「使いたい時に」「必要な分だけを」「低コストで」利用可能となるからです。これまで、情報システムに膨大な経営資源を投下し続けてきた企業にとって、コストパフォーマンスを飛躍的に高める有効な選択肢となります。利用者の視点でも、業務環境・要求の変化に迅速に対応したサービスが期待できます。
当社のシステム管理者から聞いた話ですが、自社システムの運用や維持・メンテナンスの手間やコストには随分と悩まされているようです。例えば、OSのアップデートやソフトウェアのバージョンアップ、ウィルス定義ファイルの更新、バックアップデータの取得など、定常的な作業だけでもかなりのボリュームですが、これらに加えて、組織的な要求で部門ネットワークやサーバの移行、統廃合などの作業が発生する場合もあります。そのような場合、大抵はシステム管理者が本来業務の傍ら何とか時間と労力を割き対応していっているのが実情であり、大きな負担を強いていると感じます。
SaaSやクラウドは、このような状況の打開策としても非常に期待感が高いと考えられますが、逆に”情報セキュリティ”としての問題もいくつか抱えていると思います。
1点目は『自社の機微な情報資産を第三者に預ける抵抗感が根強い』ことです。このことが最大の不安要素であると見る向きもあり、統計的にもサービス利用に踏み切れない理由の常に上位に挙げられているようです。
自社に「残すべきモノ」と「外部に預けてもよいモノ」の適切な分別、そのためのポリシーやガイドライン・基準類等の配備が重要なポイントになるでしょう。また、自社中で情報資産を集中管理・運用するよりも、サービス事業者の堅牢で高セキュリティなデータセンタ内で分散管理した方が、ディザスタリカバリや事業継続管理の点で、より安全であると割り切る決断も必要と思われます。
2点目は『システムの自由度が増す分、より一層の統制が必要になる』ことです。冒頭の通り、情報システムを「保有」から「利用」へとシフトしていくと、ユーザ自らが適宜欲しいサービスを選択し組み合わせて情報システムを構成する事も可能になります。システムの自由度や柔軟性は今後、飛躍的に増すことが期待されますが、その分、全体として自社の情報セキュリティ統制をしっかり確立・運用することが、これまで以上に必要になってくると思います。
自社の全体的な情報セキュリティを俯瞰して、充分にコントロールができるだけのガバナンス能力を持ち合わせる事がより強く求められています。
情報システムを取り巻く環境は日進月歩で変化し続けていますが、大切なのは様々な変化に惑わされることなく、自分達に必要な情報セキュリティの在り方について、その本質をしっかりと見据えて、常に「己を知る」姿勢を忘れない事が必要だと感じています。