1. ホーム
  2. Success Frontier
  3. 業種 / 業務・部門
  4. 大学における有効なクラウド導入とは?【連載記事】
  5. 第02回 クラウドは、ホントに安全なのか?ほんとに安いのか?

大学における有効なクラウド導入とは?

第02回 クラウドは、
ホントに安全なのか?
ほんとに安いのか?

2023年04月28日 更新

- 目次 -

【1】 クラウドは安全なのか?

1.クラウドは安全?

前回第1回で、クラウドのメリットをいくつか説明しましたが、その中の一つとして「安全性の向上」がありました。クラウドはデータセンター(以下DC)に搭載されており、その堅牢性・好立地条件・高レベル設備・冗長化・高度な設計によって安全性が一定程度向上します。
だからといってクラウドを使えば必ず安全?・・・実態としては必ずしもそうとは言えないのです。

(1) DCには大きく差がある

DCは国内だけで約600もあり、それぞれが建設された年代や、設備の冗長度、立地の安全性には天と地ほど差があります。もちろん、非常に堅牢で安全なものもありますが、逆にあまり好ましくないものもあります。例をあげると・・・

  • ① 立地について
    • 大きな川の中州に立地
    • 海岸から至近距離でかつ海面よりも低い用地に立地
    • 古い雑居ビルの一室に構築され、安全とは言えないビル
    • 活断層の至近距離にある用地に立地
  • ② 安全性を守るための設備について
    • 電源供給ルートの二重化がなく、一つのルートの停電で電源喪失となるリスクがある。
    • 発電機もあるが、燃料備蓄が十分ではなく、短時間しかもたない。
    • 落雷対応設計が十分ではなく、雷と静電気の防御が十分でないリスクがある。

というようなDCが意外と多くあり、そこに構築されているクラウド基盤は、安全とは言えないのです。しかもその「安全とはいえないDC」には、意外と有名なものも含まれています。

(2) DCの立地と安全性の情報開示

前回の第1回で、クラウドにはSaaS・パブリック・プライベートのモデルがあることを解説しました。それぞれ下記のような状況になっていますので、認識すべきです。

  • ① SaaSにおいては、一部を除いて、DCの立地や安全性の情報開示は少ない。
  • ② パブリッククラウドでは、同様に情報開示をするものと、しないものに分かれる。
  • ③ プライベートクラウドは、開示される例が多い。

筆者は政府の最初のDC情報開示に関するガイドラインの策定・執筆・編纂にかかわったことから、業界ではその項目や用語が一定の共有がされていると考えて良いと思いますので、ベンダーはDCの情報開示をすることは不可能ではありません。
しかしベンダー事情から、実態は上記のとおりですので、特に重要システム重要データの場合は、利用者からDCの立地と安全性の開示を要請し、それによってクラウドを選定することが必要です。そうすればクラウドの「安全」というメリットは確実に獲得できることとなります。
ここで市場で良く聞く、注意するべきベンダートークがあります。「DCは亡国のミサイル攻撃やテロを避けるため、情報を開示できない」という怪しいトークです。賢明な読者の皆様は気がついたと思いますが、「立地と安全性の開示」は「住所の開示」ではありません。

(3) もう一つのクラウドの安全性

クラウド基盤には「オートリカバリー」という安全性を向上させる機能があります。最初は一部のベンダーだけでしたが、現在はほとんどのクラウド基盤に装備されています。
これはクラウドならではの安全機能で、「サーバ群全体を監視して、トラブルが発生しそうなパラメータを検知した際には、別のサーバにホットスワッピングさせる」という機能です。
ただし、この機能にも、ベンダーによって性能の差があります。よって、ベンダー選定の際にオートリカバリーの性能をわかりやすく提案・説明するように要請してください。自信のあるベンダーは、きちんとプレゼンするはずです。

2.クラウドは高いセキュリティ?

上記1の「安全性」は物理的安全性が中心です。システムとデータの安全性となると、情報セキュリティも重要です。
当然ながらクラウドはオンプレミスと比較して、この情報セキュリティについても、様々な手法によって高いレベルにありますが、クラウドベンダーごとに対応力が異なります。ISOやFISKやISMAPを取得しているクラウドならみんな同じかというと、それは最低限のことであり、重要システム重要データの場合はそれだけでは十分ではありません。
そのため、利用者はクラウド基盤ベンダーに情報セキュリティの対応力を提案・説明してもらい、比較してより高いレベルのものを選定するべきです。もちろん、要請してもきちんと提案・説明しないクラウドは、重要システム重要データでは選定するべきではありません。例として「世界的なレベルですから・・・」という抽象的説明だけしかしないものは、それなりの事情と背景があると考えるべきであり、採用するべきではありません。
説明を要請するべきポイントは

  • (1)
    アクセス認証をどのようにやっているか?(2段階認証を装備しているか?)
  • (2)
    SOC(セキュリティオペレーションセンター)はどのような状況になっているか?
  • (3)
    マルウエア対策をどのようにやっているか?
  • (4)
    死活監視・性能監視をどのようにやっているか?
  • (5)
    ネットワーク監視はどのようにやっているか?
  • (6)
    その他、DDOS攻撃やその他のサイバー攻撃対応はどのように対応するのか?

などです。要請すれば、それぞれのクラウドサービスベンダーが基盤ベンダーの情報を得て説明すると思いますが、(説明できないことも含めて)差があるはずです。
以上のように、重要システム重要データを含むものに、安全性とセキュリティは極めて重要です。もちろんそれほど安全性とセキュリティを求めないような、「占い」とか「趣味のコンテンツサイト」なら、安いものを選べばいいと考えることもあると思います。
ただし、それも本当に安いかどうか、市場では勘違いしている例があるので、後述します。

【2】 クラウドは、通信が遮断されると動かない?

1.通信って安全なの?

クラウドは通信を介して利用するため、通信が遮断され、レスポンスが極端に遅くなると、クラウド環境全体としては安全とは言えません。先日も有名な通信キャリアでトラブルが発生したというニュースがありましたが、通信にはリスクがあり、それはクラウドのリスクでもあるのです。
ということは、オンプレミスと比較してクラウドは安全とは言えないのかという疑問もわきますが、実態はそうではありません。逆に通信のリスクをカバーしておけば、DCの安全性と、クラウド基盤自体の安全性装備からオンプレミスよりもはるかに安全になります。

2.通信の安全性って何?

通信の安全性は、下記の2つについて理解するとわかりやすいと思います。

(1) 通信そのものの安全性

通信はつながること(=遮断しないこと)と、性能(速度と遅延)の2つが安全性に関連します。
まず遮断については、特に日本の通信環境ではどれが良くてどれが悪いというような差はあまりないと考えられます。それよりも、クラウドとして二重化、できるだけ異キャリア異ルートでの二重化をしているかどうかで通信遮断に関する安全性が決まると考えるべきでしょう。
また、単純に二重化すると当然ながら高コストになりますが、一つの手としてサブ回線を低容量で低コストな回線を選択し、メイン回線が遮断され、サブ回線を使用する際の性能には一定の割り切り(我慢する)をするという方法があります。
次に速度と遅延の性能維持については、選択する通信業者と選択するメニューで差があると考えて良いと思います。通信業者選択は個々のプロジェクト提案による判断に任せるとして、ここでは一般的に企業や団体組織が契約する回線メニューについて、3つの種類があることを解説します。

  • 専用線
    当初の性能が維持され、多くの場合、それが保証されるが、価格が非常に高く、特別な用途で使われると考えて良く、一般的ではない。
  • 通常インターネットVPN契約
    通常のネットワーク契約だが暗号化している。時折、アクセスが混み合ったり、誰かが大きな容量を使ったりすると、速度が劣化し、遅延も大きくなる。重要システムを対象とする際には対象システムごとに吟味が必要。
  • キャリア網内IPVPN
    基本的には上記の「通常インターネットVPN契約」と同様だが、キャリア網の外に出ない構成となっており、キャリアが性能を監視して適切な対応をするため、比較的大きな能劣化が少ない。コストも専用線ほど高くはないため、重要システムで利用する場合は好ましい

大学でクラウドを利用する際には、「キャリア網内IPVPN」を検討してみてください。

(2) サイバーアタック

通信を使ってクラウド利用するということは、サイバーアタックのリスクがあり、それらへの防御は通常でも実際されています。しかし、それでもあの手この手でセキュリティを突破してくる事例もあり、どの程度の防御能力を持つかは課題です。
サイバーアタックは、クラウドを利用すると運命的に背負う課題であり、長年の悩みの種でした。しかし、それらへの新しい対応方法が創出され、世界中で注目されています。政府デジタル庁も一定の見解を示し、利活用を始めています。
それは「ゼロトラスト」と言われる手法で、これを説明するには今回のコラムではスペースが足りないので、重要ポイントだけをシンプルに解説します。(それでも十分に理解が期待できます。)

  • ゼロトラストってなに?
    割り切って(厳密には正しくはないですが)、簡単にいうと、「サイバーアタック対応を優秀なセキュリティ能力を持った中継クラウドに任せ、そこを通信の中継基地として、全てのアクセスをそのクラウドを経由して、事務所からもモバイルからも対象のシステム(別のクラウドに搭載)にアクセスする方法」と考えて大きくは間違っていないと思います。つまりアクセスのすべてを信用せず、中継基地となるクラウドが高いレベルで監視し、怪しいものは制御するわけです。
  • なぜゼロトラスト?
    ではどうしてゼロトラストが注目されてきたのでしょう?
    現在のサイバーアタック対応は、境界内部を守る方式、すなわち「利用者の事務所内部」=「ファイアウォールを境界としたその内側」を守り、そこは安全と考え、外部から不正なアクセスを遮断する努力」をしてきました。しかし昨今、下記の背景から、それでは運用できない状況が発生しているのです。
    • そもそもクラウド活用が多くなり、事務所内部にシステムが存在しない場合が多くなっていること。
    • モバイル利用やコロナによる在宅業務が増えており、システムの利用者がそもそも事務所にいない例が多くなっていること。
    • 侵入方法が巧妙になっており、たとえば標的型メール添付ウイルスだと、現在のファイアウォールでは検出が難しく、メール添付ファイルをうっかりクリックして内部にウイルスが感染する例外多発しており、それが自動的に不正な内部アクセスを発生させて、情報漏洩や情報消失を発生させる例が具体的に発生しつつあること。

今後のクラウド時代は、このゼロトラスト活用が広がる可能性があります。ぜひクラウドベンダー・ディーラに提案・説明を求めることをお勧めします。なお、2023年5月の広島サミットに向けて、4月から広島県24県市町村が共同利用でゼロトラストを導入するため、にわかに現実化してきています。首相の地元でもあり、大きなインパクトが出るものと考えられます。

【3】 クラウドって安いの?高いの?

前回の第1回での解説で、クラウドのメリットとしてオンプレミスよりコストが低減するということを説明しました。それは本当なのでしょうか?

1.クラウドは安いの?

前回の第1回で、クラウドは、原理的に安くなることを解説しました。背景はたくさんあり、今回のコラムのスペースでは語りつくすことはできませんが、代表的なものとして下記の3つをあげてあります。

  • (1)
    割り勘効果による利用者側のコスト低減
  • (2)
    初期投資の低減(厳密にはコストは金利だけ)
  • (3)
    オンデマンド性によるSE工数低減=見積価格低減と早期立ち上げ

これ以外にも多くのコスト低減要因やコスト以外のメリットがありますので、ベンダーに提案してもらってください。
一方で、コストが高くなる要素があります。

  • DCの利用料金
  • 通信料金

このDCと通信料金の合計よりも、上記3つ以外を含めたコスト低減金額とのトレードオフで、多くの場合クラウドの方が原理的には安くなる例が多いのが実情です。
逆に言うと、このことをきちんと提案できるベンダー(もしくはディーラ)を選定することが重要となります。(まだ市場では、うまく提案できない営業・SEもいるのが実情です。)

2.実態としてのクラウドベンダーの料金

上記のとおり、素直にクラウド基盤を構成すると原理的には安くなる例が多いのですが、実際のベンダーサービスには個別料金があり、利用者コストはクラウド基盤ベンダーによって大きく異なります。
クラウド利用者は、ベンダーからの見積もりを入手する際にわかりやすい説明を求めて、それらをきちんと比較することが重要です。その際に留意すべき点を2つ挙げておきます。

  • (1)
    見積もりに出てこない料金
    本当に見積もりに出ている料金だけなのかについて質問することが重要です。あとから見積もり外の料金を請求される例が実際に発生していますので、注意してください。すでにネット上に有名クラウドベンダーの例で、多額の追加料金について書き込みがあります。検索キーワードとしては「クラウド破産」というキーワードで見かけることがあります。
    しかし安心してほしいのは、このような「見積もりにない追加料金」は請求しない(まじめな)クラウド基盤ベンダーが存在するので、利用者のクラウド選択によって問題は回避できます。質問しないと、最初にきちんと説明しない営業さんや、そのことを知らない営業さんもいるので留意してください。
  • (2)
    重要システムで必要な可用性を条件とした見積もり
    クラウド基盤サービスはそれぞれ可用性が異なり、一般に99.9%のものと99.99%のものに分かれます。実情として、重要システム重要データ(一般の業務システム)では99.99%の可用性が要求されるので、99.9%のクラウド基盤を採用する場合は、そのままでは利用に堪えません。そこで、仮想サーバを二重化することが必須となりますが、必然的に利用者コストは料金とその二重化をするための工数コストを含めて高額になりますので、留意が必要です。

さて、前回の第1回と今回の第2回でクラウドについてのご理解は得られたでしょうか?
次回第3回では、

  • 大学におけるクラウド導入を有効に実現するためには、何をどうすればいいのだろうか?

について、解説します。

著者プロフィール

工学博士
NCRI株式会社代表取締役
NCP株式会社代表取締役
ネットコンピューティングアライアンス代表
寒冷地グリーンエナジーデータセンター推進フォーラム会長
モバイルクラウドフォーラム会長
津田 邦和 氏

青木 哲士 氏

北海道札幌市出身、電気通信大学大学院博士課程修了。

1980年代より動的HTMLによるASP技術研究、リモート会議環境研究開発・特許取得、クラウド環境での電子黒板開発、光センサータッチパネル研究開発・特許取得、デジタル通信プロトコル国際標準化WGメンバー。

1996年米国に呼応した国内ASP・クラウドの提唱と推進団体設立。25年に渡り財務省・総務省・北海道・沖縄県等の委員会委員・顧問・研究調査受託、ガイドライン/実証実験を主導。20年に渡り、東京理科大学/東海大学/北見工業大学等の6つの大学・専門学校の特別講師・非常勤講師を務める。

現在はデータセンター設計/大手ITベンダー事業戦略コンサル/SIerの事業見直しコンサル/クラウド社員研修、大学講師を実施。クラウド時代対応のための民間トップ研修・営業・SE研修は15,000名を超える。

人気記事ランキング

  1. 物流業界におけるSDGsの重要性と取り組み事例
  2. レガシーシステム刷新を成功に導くPointについて
  3. ウィズコロナ、アフターコロナに向けた病院のニューノーマル戦略
  4. 在庫管理の必要性
  5. なぜ、いまキャッシュレス?
ページの先頭へ