DX時代、クラウドとオンプレミス、どちらが安心？

2020/12/28

昨今、企業のICT戦略においてクラウドを利用することは、もはや当たり前になりました。しかし、クラウドの導入が進んでいるとはいっても、海外の企業に比べ、日本の企業では、まだそれほど普及が進んでおらず、「クラウド抵抗国（米国より7年以上遅れている国々）」と位置付けられているのが現状です。その理由は、日本の企業のICTシステムはオンプレミスを中核として、「自社内でデータをもつ」ことが情報セキュリティ上の安心感につながっているからです。しかし、本当にオンプレミスはクラウドよりもセキュリティ面で優れているのでしょうか。クラウドとオンプレミスにおけるセキュリティについて見てみましょう。

　セキュリティ視点でのクラウドとオンプレミス

　　クラウドのセキュリティ

　　オンプレミスのセキュリティ

　時代の流れはクラウド、そのセキュリティのポイント

　　オンプレミスの価値を重視する日本企業

　　クラウドの特性、活用のメリット

　　背に腹はかえられず、やはりクラウドファーストの時流

　　クラウドセキュリティのポイント

　　最新のセキュリティ対策

　時代の今、セキュリティを重視しつつスピード感をもった選択を

セキュリティ視点でのクラウドとオンプレミス

まずは大きく分けて、クラウドとオンプレミスのセキュリティの違いについて見てみましょう。

クラウドのセキュリティ

クラウドは、サービスとして提供される外部のリソースを借りて利用します。その形態は、次のように区分できます。

SaaS型：アプリケーションソフトウェアまでをクラウド上で借りることができるサービス。
PaaS型：ソフトウェアの構築や稼働のためのプラットフォームをクラウド上で借りることができるービス。
IaaS型：システムのインフラをクラウド上で借りることができるサービス。

クラウド型サービスのセキュリティは、サービスとして提供している範囲までを提供事業者が担保します。つまり、SaaS型でアプリケーションソフトウェアまで借りていれば、その稼働などの保証や日々の運用管理、セキュリティ対策までを提供事業者が行うため、利用者は自社のデータやコンテンツのみを管理し、アプリケーションの管理運営については深く関わらずにすむことになります。また東京に情報の中枢がある企業が、地方や海外のクラウドサービス事業者のITリソースを利用することもでき、分散して使うなどで地域災害に強くなり、BCP（事業継続計画）対策にもつながることになります。

オンプレミスのセキュリティ

オンプレミスだと、自社内で構築した独自のシステムとなるので、外部との接触ポイントを自社で制限、管理することができるため、理論的には安全性は高いことになります。しかし、どの企業も電子メールの交換や日常業務でのインターネット利用、顧客窓口のオンライン対応などで外部との接続は避けられません。そこから攻撃を受けるリスクが残されている限りは、オンプレミスとはいえ絶対の安心はありえないことになります。

オンプレミスでのセキュリティは、ファイアウォール、ウイルス対策ソフトなどこれまでの手法でのセキュリティ対策が中心になります。オンプレミスの自社システムが業務の拡大に合わせて広がっていけば、その都度、従来の手法によるセキュリティ対策を施していく必要があります。BCP対策についても同様で、自前でデータベースを複数もたなければならないわけです。そして、システムを止めないために可用性の方法についても自社で考えていかなければなりません。

しかし自社でどれだけ注意しても、地震や台風、大規模な火災などの地域災害に対しては、システムを守り切れないこともあるかもしれません。つまり、オンプレミスなら絶対に安心とは限らないのです。

時代の流れはクラウド、そのセキュリティのポイント

DX（デジタルトランスフォーメーション）の時代、オンプレミスだけでビジネス環境の変化に対応できるかという問題も考えなければなりません。

オンプレミスの価値を重視する日本企業

システムとデータの大部分が自社の管理下に置かれるオンプレミスはセキュリティ上の安心感があり、日本の企業の多くは、過去から構築し続けてきたオンプレミスのシステムを重視してきました。業務効率化でクラウド環境に移行しても、安全性を維持するために異なるデバイスや拠点間のデータ交換などを自社で構築するプライベートクラウドが大手企業を中心に使われています。自前主義は、これまで積み上げてきた資産に固執するあまり、古いままで更新が十分ではない、時代遅れのシステムを使用し続けてしまうことになりかねません。DXが求められる時代、ビジネスの変化に合わせてシステムも変えていかなければなりませんが、セキュアさを求めるあまり過剰になったオンプレミス主義は、その足かせとなることもあります。

クラウドの特性、活用のメリット

オンプレミスと比較して、クラウドは必要とされるシステムの構築期間の短縮や構築費の削減、運用に必要な管理コストを下げることができるというメリットが挙げられます。また、オンプレミスをベースにシステムを変更するよりも、臨機応変に現状のビジネスに即したシステムに短期間で変更できるクラウドのほうが、メリットがあるといえます。クラウドはすでに存在しているシステムであり、複数の企業で利用実績があるものが中心となるため、運用や機能のノウハウの蓄積、必要に応じた改変やバージョンアップがすでに十分に行われています。そういったシステムを利用したほうが、一から自社で試行錯誤しながら完成させるよりも、早期に導入効果が得やすいことにもなります。そしてビジネス環境の変化、事業の撤退などにより、システムが不要になったり、縮小して使用するようになったときにも、クラウドならば利用を中止したり、機能や規模を縮小したりといった契約変更だけですむため、投資に対する回収不足のようなリスクがなくなります。

背に腹はかえられず、やはりクラウドファーストの時流

クラウドのコスト効果も魅力的ですが、やはりシステム構築までのスピード感が、最大の価値といえます。必要なときにテスト導入からはじめられるためフットワークも軽快になり、ビジネスの活動への好影響も期待できます。そしてDXではクラウドの利用は避けて通れないものになりました。例えば、これまで卸売業者を通して販売を行っていたメーカーが、ネット時代に対応して自社で通販サイトを立ち上げる際、すでに存在するクラウドのネット通販システムを利用すれば短期間での立ち上げが可能です。自社で「企画」「設計」「構築」「導入」「修正」という手順を踏まないということは、その間の営業機会の損失は失わず、またライバルに後れをとる可能性を減らすことにも繋がります。

クラウドセキュリティのポイント

さて、オンプレミスに比べてセキュリティの課題が多いとされるクラウドですが、そのセキュリティのポイントについて考えてみましょう。その最初の注意すべきポイントは、信頼できるクラウドサービスの会社を選択することです。サービス歴や導入実績が高いサービス会社は、セキュリティ対策でも信頼できるだけでなく、いざというときのための可用性も複数の方法で対策が施されているでしょう。そしてそのサービス業者が複数のリソースを分散してもっていれば、それらをデータの分散保有による地域災害などへの対策に生かせますし、サービス業者を選定する際のチェックポイントにもなります。なお、主にセキュリティ関連の最新ソリューションを提供する米国のノートンライフロック社は、次の5つをクラウドセキュリティのポイントとしています。

SSLサーバ証明書やSSHにより、通信データを暗号化する。
ワンタイムパスワードや強固なユーザ認証により、厳格なアクセス制御を実施する。
セキュアなアプリケーション/OSを構築する。
データの保管場所を明確にし、暗号化やバックアップの対策を行う。
適切なクラウド事業者を選定する。

DX時代の今、セキュリティを重視しつつスピード感をもった選択を

オンプレミスはサーバを自社でもつことが多くなるためコストは高くつきますが、システムそのものをネットに接続しないスタンドアロンで構築することができ、セキュリティリスクを物理的に極力減らすことができるという点がメリットです。セキュリティ面での安心感からオンプレミスを選択する企業はまだ多いのが実情ですが、ビジネスのスピード感を重視するなら、クラウドの活用を推進したいところです。可用性対策、リソースの分散化対策のほか、セキュリティリスクについてはUTMを中心に考えていくことで、安全面でより向上したクラウド環境を活用することができます。

参考：