オンプレとクラウドのセキュリティ比較はナンセンス

　オンプレミス環境を持っている企業から、よく尋ねられることがあります。「自社のシステムをAWSのようなパブリッククラウドに移行しても、セキュリティは大丈夫でしょうか？」という質問です。

　私は、この問いに対して次のように答えるようにしています。

「そもそも、いま自社で使っているオンプレミスの環境が安全であるという保証はありません。オンプレミスとクラウドでセキュリティを比較した場合、オンプレミスがクラウドよりも脆弱だというケースが多く、むしろクラウドに移行した方が、セキュリティに関する心配は減る可能性が高いです」

　そう断言できるのは、パブリッククラウドサービス事業者であるアマゾン（AWS）、マイクロソフト（Microsoft Azure）、グーグル（Google Cloud Platform）といった企業のIT投資額を見れば明らかです。

　いずれの企業もグローバルで圧倒的なITリソースを持ち、オンプレミスでシステムを運用する企業以上にセキュリティに投資しています。通常では思いつかない高いレベルのセキュリティ対策を実施しているので、オンプレミスでシステムを運用する企業はまず太刀打ちできないでしょう。

　よくある勘違いに「自分がコントロールできるところにデータがあるから安全」というのがありますが、これは間違いなく幻想です。

　目の前にデータがあっても安全ではありません。データは仮想的なものですから、セキュリティの観点では「どこに置かれているのか」よりも「どのように保管されているのか」の方がはるかに重要です。

　AWSをはじめとするパブリッククラウド事業者が運営するデータセンターでは、保管されたデータの適切なコントロールをするために厳密な内部統制が取られていますし、責任を持つ第三者の外部監査機関によって、安全性も担保されています。

　CIOは、パブリッククラウドに対する正しい理解を深め、オンプレミスからの移行の際はリーダーシップを取りながら、不安に踊らされることなく、適切な投資が行える判断力を持つことが求められるでしょう。

「セキュリティ対策」の意味をあらためて考え直す必要性

　必ずしも「パブリッククラウドを使うべきである」ということではありません。むしろこの機会に「セキュリティ対策」をする意味をあらためて考え直してみることをおススメします。

　というのは、セキュリティ対策とは「安心・安全を買って、ビジネスを継続させていくための投資行為」だからです。言いかえれば「セキュリティを気にし過ぎて自縄自縛に陥り、臨機応変なビジネスができない状態をつくってしまうのは本末転倒である」ということです。

　あらゆるセキュリティ対策を実施しようと考える必要はありません。自分たちのビジネスを加速させるための必要なセキュリティ投資とは何か？　を考えていくことがポイントになります。

　たとえば自社がクレジットカード情報を扱っているのであれば、「PCI DSS」（Payment Card Industry Data Security Standard）の認証を取得することは、ビジネス上のアドバンテージになるでしょう。

　むしろ自社のビジネスを「何をすればイノベーションを起こせるのか？」あるいは「企業を成長させる原動力になるのか？」など事業の成長を最優先に考え、その遂行に柔軟さをもたらすパブリッククラウドの採用を検討するという順でいかがでしょうか。

クラウドよりもオンプレミスをあえて選ぶ「Box」の考え方

　グローバル企業では、今では新たな事業をスタートするにあたり「まず、どのパブリッククラウドを選ぶべきか？」という点から始まるのが常識です。

　米インテルでは、アマゾン、フェイスブック、グーグル、マイクロソフト、アリババ（阿里巴巴）、バイドゥ（百度）、テンセント（騰訊控股）を「スーパー7」と称しています。これらの企業は、みなクラウドファーストでIT投資をしています。

　その一方で、「あえて」オンプレミスを選んでいる企業もあります。たとえば、エンタープライズ向けクラウドストレージサービスを提供する『Box』は、あえてオンプレミスを選んでいる代表的な企業です。


　Boxは言うまでもなく「クラウドサービス」を提供しているわけですが、そのサービスは米国内の自社データセンター3か所を専用線で冗長化しています。つまり、Boxユーザーのデータは、クラウドを通じて、Boxが自社で運用しているオンプレミスのストレージに保存されているのです。

　そんなBoxですが、2016年に「Box Zones」というサービスを発表しました。これは、データの保存先としてパブリッククラウドのAWSやIBMクラウドが選択できるようになり、データを特定の地域に保存できるようにするものです。

　ちなみに対照的な動きをしているのが、競合サービスのDropboxです。彼らはユーザーのデータの多くをAWSのストレージである「S3」に保存していたのですが、2016年にその9割以上を自社で構築したオンプレミスのストレージに移行しました。

　創業当時Boxは、ビジネスをスケールさせるためにオンプレミスを選んだのですが、時代の変化とともに、ユーザーはデータの保存先をパブリッククラウドに求めるようになりました。

　そこで、BoxはAWSやIBMといったパブリッククラウドを使い分けて採用し、米国以外のリージョンにあるストレージを選択できるようにしたわけです。

　AWSと連携する際にも、Boxは2年間もの時間をかけて徹底的にAWSの仕様を調査し、Boxのセキュリティ基準でもAWSが使えるかどうかを熟考しました。基準を満たさない場合には監査要望を出し、それらが改善された段階で、ようやく連携を発表するという徹底ぶりでした。

　Boxは将来、オンプレミスとパブリッククラウドの運用が逆転する瞬間が訪れたときには、おそらく後者を選ぶことになるでしょう。しかし、あくまで「現時点では」自分たちのビジネスを進めるうえで、まだまだオンプレミスのほうがベターという判断をしているわけです。

　Boxは、非常に厳格なセキュリティポリシーを運用していると言われています。同社のCISOは金融系出身で監査手順に精通しており、監査基準をクリアすることを意識して、オンプレミスで自らのサービスを作っています。

　Boxの事例からもわかるように、彼らはデータを安心して管理するために、オンプレミスでセキュリティへの莫大な投資を行うことによって、自社のインセンティブを高めています。

　裏を返せば、Boxレベルのリテラシーや能力がある企業でなければ「オンプレミスでもセキュリティを担保できます！」とは言いきれないということです。

【次ページ】CIOが持つべきセキュリティの意識を再考する