日本では「セキュリティのリスク」と「ビジネスのリスク」を分けて考えがち
藤田 今回はクラウド時代のセキュリティ課題や、企業におけるセキュリティ人材のあり方などをテーマにお話しいただければと思います。
二木 クラウドへの流れについての私の認識から振り返らせてください。もともと企業のシステムはオーダーメイドで、その後にASPやSaaSへと進んできました。ただし途中で揺り戻しもありました。サービスだと機能や使い方に制限があるからです。やはり現場のことを考えると、ある程度カスタマイズの余地がないといけません。
実態に目を向けると、100%クラウドではなく組み合わせて使うところも見られます。例えばSalesforceを使いながら、様々なデータや処理をオンプレミスや他のクラウドサービスと連携させるようなやりかたです。日本だと海外に比べて組み合わせて使うという発想が少ない気がします。クラウドのみ、あるいは作り込んだもののみで二極化する傾向があります。
クラウド利用の賢いポイントはここにあります。がっちりと固めて使わなくてはいけない部分と、柔軟に使う部分をうまく使い分けるということです。大事なのは自社が必要とする機能や使い方を自分たちで考えること、見極める目ではないかと思います。
日本の顧客の多くがITをベンダーやSIerに丸投げしています。しかし本来SIerはコーディネーターです。顧客側のビジョンや目的が明確でないと、踏み込んだ提案もできません。結果、無難な提案になってしまいがちです。これでは日本のクラウド利用は進まないのではと思います。
藤田 顧客側の敷居が高いのかもしれませんね。「自分たちの使い方にぴったり合うクラウドサービスが出てきたら使ってもいい」というスタンスと言いますか。欧米だとスペックを見て契約するかどうか決められますが、日本はまだ営業を通じてでないと導入が決められないところも少なくありません。世界的にはクラウドサービスに営業はいないことが多いのですが(苦笑)。
二木 その話はセキュリティとも共通しています。ベンダー・SIerとユーザーの責任分界点というのがあります。欧米では顧客が全体像を把握して責任を持つというスタンスがはっきりしています。しかし日本は「そこ(全体把握と責任)をやりたくないから任せているんだよ」というユーザーもたまに見られます。ベンダー側にも「私たちがなんとかします」と言わないと仕事がとれないという背景もあるのですが、結局、契約上の文言も含めてみると、ベンダーとユーザーの間に責任のボールがいっぱい落ちているというのが現状だろうと思います。
一方でクラウドというのは、究極のアウトソーシングとも言えます。ベンダーは必要以上の責任を一切とりません。利用者はそれを理解した上で、自らの責任範囲について、きちんと考え、対応していく必要があります。そういう意味では、クラウドの普及が皮肉にもITアウトソーシングの実情や課題、グレーゾーンのようなものをあぶり出しているのかもしれないと感じています。
藤田 企業のセキュリティには「境界」があります。「大切なものは内側に。外側には見せない」と。ITアウトソーシングではアウトソーサを信用して、境界を見直すことはありませんでした。クラウドだと境界が曖昧になります。責任も曖昧になってきてしまいます。
二木 セキュリティをずっとやっていて思うのは、日本ではセキュリティのリスクとビジネスのリスクを分けて考えがちです。例えば「ノートPCの社外持ち出し禁止」といえばセキュリティのリスクを低める効果がありますが、一方でビジネスの自由度を狭め、生産性の低下というリスクを高めることにもなります。セキュリティ対策導入の判断においては、両方ともバランス良く考慮する必要があります。
企業がクラウドを利用する効果は技術やビジネス環境の動きの速さに対応できるところにあります。かつてのように5年ごとにシステムを作り直すのでは新しい技術や環境の変化についていけません。クラウドはビジネス環境に合わせて柔軟にシステムを改良したり、最新の技術をいち早く使えるようにしたりする土台となるわけです。経営層もIT部門も「ビジネスを推進するためにクラウドを使うのだ」と意識する必要があります。それが、自らが責任を持つという意識の醸成につながります。
その上でどのようなセキュリティリスクがあるのか?という疑問をセキュリティの専門家を通じて把握し、できる限りリスクを下げる使い方や対策導入をしようとするのが健全なあり方かと思います。
クラウドに関わる全ての人へ!CSA認定「クラウドセキュリティ研修」
クラウドサービスが普及しつつある中で、セキュリティの問題を認識しつつも何をしたら良いかわからない方が多いのではないでしょうか?
日本HPでは、このような方々のためにクラウドユーザーが理解しておかなければならないリスクや課題を基礎から学ぶトレーニングを開始しました。クラウド&ビッグデータ時代に企業で求められる必須のセキュリティトレーニングです。
※本コースは、Cloud Security Alliance(CSA)のクラウドコンピューティングのためのセキュリティガイダンスに基づいています。
★CSA認定「クラウドセキュリティ基礎(1日間)」の詳細はこちらから!
★CSA認定「クラウドセキュリティプラス(2日間)」※の詳細はこちらから!
※クラウドセキュリティプラスはAWSを利用した演習を含みます。
基礎からガバナンスまでクラウドセキュリティが学べる!
HPの「セキュリティ研修」
HPの「セキュリティ研修」では、クラウドセキュリティのトレーニング以外にも、情報セキュリティの基礎を始めとして、リスク分析やBCP(継続性計画)の作成、組織全体のガバナンスまで、幅広いセキュリティ分野を体系立てて提供しています。
★HP「セキュリティ研修」の詳細はこちらから!
