盲点となる責任分界点、課題となるシャドーIT
――「マルチクラウド」と「リスクマネジメント」という2つのキーワードが本書のテーマです。この二つのキーワードでクラウドを捉えた場合、企業においてどんな利点や課題があるのでしょうか。
宮脇:まずマルチクラウドについてお話します。「攻めの面」を挙げると、サービスの「いいとこ取り」ができることが挙げられます。SaaSやPaaSであれば、当然そのクラウド特有の良さ、製品・サービスの良さというところが如実に現れますので、当然一つに絞る話ではありません。
IaaSに関しても、もちろんスケールメリットを得るために1つに絞るという考え方もありますが、クラウドサービスごとに管理機能面など細かい違いがたくさんあります。我々の顧客でも、1社に絞っている企業もあれば、適材適所に使い分けている企業もあります。複数のクラウドサービスを使い分けることによって、いいとこ取りができるというところは利点としてあるでしょう。
例えば、研究用の開発基盤を作る場合には「クラウドサービスAにはそれ向けのサービスツールがたくさんあるので当該基盤の上に乗せよう」、本番アプリケーション基盤を作る場合には「コンソル―ル上での運用管理が行いやすいので、クラウドサービスBを使おう」といった、いいとこ取りの選択ができる。そういった面でマルチクラウドというところは、非常に魅力的な選択肢だと思います。
一方、「守りの面」で言うと、やはりロックインに対応できることは大きいです。要は1つに絞ると、その分、そのサービスに依存してしまいます。パブリッククラウドの傾向として、どうしても撤退、サービス終了、サービス減退のような懸念は出てきます。
やはり1つに絞るリスクは無視できません。複数を使っていれば、急に値上げ交渉されても、じゃあこっちのクラウドを使うよというようなこともできます。やはり選択肢を持っておいて、ロックインされないというところは、大きなポイントではないかと考えます。
そして「リスクマネジメント」。これらは上述したマルチクラウドのメリットやデメリットをコントロールすることに寄与します。リスクとは不確実性のことですが、これを把握し、対応策を前広に講じることで、メリットはより大きく、デメリットはより小さくすることができると考えます。
――実際に多くの企業からご相談を受けている立場ですが、利用者側が見落としがちな盲点などあれば教えてください。
宮脇:クラウドを外部委託の枠組みにはめて、外部委託先管理として何をやるのかということに意識を奪われている企業が未だに多いように感じます。ただ、実際はそんな単純な話ではありません。ベンダー側がやるべきことだけではなく、むしろ、自社側がやるべきことが多くあります。SaaSであれば、自社側がやることは少ないですが、PaaS、IaaSというふうに、ユーザーが関わる範囲が広がれば広がるほど、自分たちが責任を持ってやらなければいけません。
――いわゆる責任分界点ですね。
宮脇:はい。実際に、クラウドサービスベンダーに対してRFPをしっかり書いて、多くの要望を出しているような企業でも意外と自社側のことには触れておらず、クラウド導入の際に活用するチェックリストにも、そういった項目がないことが多々あります。あくまでベンダーをチェックする、外部委託先をチェックするというような目線がまだまだ強いですね。自社側で、クラウドサービスを利用する際に自分達の責任を明確にしたうえで、やるべきことの整理をしっかりする。それをきちんとやらないと、いざ何か問題が発生した時に、当然ベンダーは自分たちの責任じゃありませんという話をしてきます。規制が少ない業界における企業の場合、そういうことをあまり考えずに、どんどん使っていますので、いざ何か問題が起きた時に想定外の対応に追われることになりがちです。
――IT部門がしっかりチェックしていても、いわゆるシャドーIT的に事業部門がクラウドを勝手に使ってしまうこともありそうです。
宮脇:はい、そこも大きな課題ですね。シャドーITの問題は、新興だろうが、大企業だろうが関係なく課題視されています。そしてこれはクラウドだけの問題でもなく、AI、RPA、ブロックチェーンなども同様ですが、やはりユーザー部門主導でスピーディーにシステム実装していくという世の中の流れが根底に間違いなくあります。
――CASB(Cloud Access Security Broker)のようなクラウド利用を可視化するツールが最近注目されていますが、こういった課題からのニーズが大きいのでしょうか。
宮脇:そうです。CASBはまさに、シャドーITによって見えなくなっているシステムの利用状況を「見える化」「可視化」していくものです。特にクラウドの場合、今までであればSaaSをアプリケーションで使うというだけだったものが、基盤を作って、そこにどんどんアプリケーションを乗せる動きをユーザー部門主導で進めることも多々あります。
サイバーセキュリティの観点からも、セキュリティホールが1か所でもあると、全体に影響してしまうことは自明です。以前からシャドーITはキーワードになっていましたが、クラウドの登場によって、より危機感をもって向き合う企業が増えてきているのだと思います。その中の1つの大きなソリューションが、さきほどのCASBということです。
――ITガバナンスもIT部門のミッションとして、ますます重要になってくるということでしょうか。
宮脇:そうなると思います。従来からEUCについてはIT部門にとって悩みの種であり、多少、今まで目を逸らしていたところがあると思いますが、いよいよもって逸らせなくなってきています。おそらくIT部門の皆さんも困惑されると思います。今まで自分たちが面倒を見てきたものが、ユーザー部門主導というコンセプトのもと「突然もうこっちは面倒見なくていいから、自分たちのほうでやるから」というように言われることになり、そしておそらくまた急に「シャドーIT対策でやはり引き取ってほしい」というふうに言われてですね…、正直、面倒見切れないというのが本音ではないでしょうか。
ただ、そうはいっても対応する必要はありますので、シャドーIT対策として、IT部門が中心となり、クラウド推進とCASBツールの導入を両輪で進めているというような状況だと思います。
