近年拡大を続けるクラウドサービス。前回はその適用範囲やメリットについて振り返りました。手軽に利用開始でき、利便性が注目される一方、あとで契約内容にトラブルが発生しないよう、導入・検討には細心の注意が必要になります。信頼性やセキュリティ、サポートなど、クラウドサービスを選定する際に気をつけたいポイントを見ていきます。
全2回 進展するクラウドサービス、その導入の注意点は
《第1回》業務系基幹システムのクラウド化が進む理由
ポリシーの設定、信頼性を確認した上での導入を
クラウドサービスを導入する際には、注意しなければならない点があります。
まず行うべきなのが、クラウドサービスの利用範囲やルールを明確にすることです。クラウドサービスをどの業務・事業部門で利用するのか、どの情報を扱うのかを関連部署とともに検討し、業務の切り分けや運用ルールを設定します。また、機密情報の不用意な流出を防止するため、クラウドサービスで取り扱う情報の管理レベル、必要なセキュリティ対策と取り扱いルールについてのポリシーを設定します。これらを確実に実施しないと、事業部門が会社の許可を得ずに勝手にクラウドサービスを導入してしまう「シャドーIT」が広まってしまうおそれがあります。
利用範囲やルールを明確にしてポリシーを設定したら、次に業務に適合するクラウドサービスの候補を挙げ、サービスの内容やコストを比較検討します。特に着目すべきなのは、クラウドサービスを提供する事業者、およびサービスの信頼性です。サービスの稼働率や万一の障害発生時における回復目標時間といったサービスレベルがSLA(Service Level Agreement)によって保証されているか、過去に大規模や障害発生やデータ消失事故を発生させていないかといった部分については、慎重に見定めておく必要があります。
コストについては、契約条件をよく確認します。利用料金の体系や適用条件、契約の満了・解除や更新に関する規定、損害賠償に関する規定については、確認を怠ってはいけません。契約条件をきちんと確認しないと、例えばクラウドサービス事業者の都合によって一方的に契約が解除されてしまったり、利用者側が契約解除する際にペナルティを負ったり、事業者側の原因によってデータが消失しても保障されなかったりといった不利益を被ることも考えられます。
セキュリティの範囲についても調べておく
クラウドサービスでは、ほかにも大きな注意点があります。それは、セキュリティ対策です。
クラウドサービスで利用するOSやアプリケーションのアップデート、セキュリティ修正パッチの適用、サーバーやストレージの冗長化などサービスの可用性・信頼性を確保するための準備といったシステムのセキュリティ対策はもちろん、データが暗号化されて保存されているか、データを自動バックアップまたは多重化して保存し、障害発生時の復旧方法を明示されているかといったデータに関するセキュリティ対策も確認します。
ただし、こうしたセキュリティ対策は、クラウドサービスが提供する種類によっても異なることを知っておかなければなりません。SaaSとして提供されるアプリケーションのクラウドサービスの場合はデータ管理に関する保証がありますが、IaaSとして提供される仮想サーバーの場合はOSやミドルウェア、アプリケーション、データのセキュリティ対策はすべて利用者側の責任になることが一般的です。したがって、IaaSを利用する場合には、利用者自身がセキュリティ対策を講じる必要があり、マルウェア感染や不正アクセスなどの被害が発生してもクラウドサービス事業者に責任を問うことはできません。
エンドユーザーへのサポートも把握しておきたい
もう1つ、クラウドサービスを実際に利用するエンドユーザーを支援するためのサポート体制が用意されているかどうかも注意すべきポイントです。多くのクラウドサービスでは、よくある質問と回答を用意したFAQサイトを用意したり、動画などを取り入れた操作マニュアルを提供したりしています。しかし、使い方に関する質問を電話やメールなどで直接受け付けるヘルプデスク(問い合わせ窓口)を用意していない事業者、サポート対応が別料金となる事業者も存在します。後々になって運用管理負荷やコスト増大につながるおそれもあるため、このサポート体制についても注意すべき点と言えるでしょう。
もちろん、クラウドサービスの使いやすさ、操作性を比較することも重要なポイントになります。多機能であっても使いにくいサービスであれば、利用が定着せずに投資が無駄になってしまうことも考えられます。事業部門のエンドユーザーからも意見を聞きながら、選定することが重要となるでしょう。