第02回 クラウドは、
ホントに安全なのか？
ほんとに安いのか？

【１】 クラウドは安全なのか？

１．病院にとってのシステムとデータの安全性について

前回第１回で、クラウドのメリットをいくつか説明しましたが、その中の一つとして「安全性の向上」がありました。
特に病院のデータは、電子カルテや投薬履歴等、人間の健康と命に係わる重要データであり、安全性が非常に重要であることは周知のとおりです。
ここで、安全性には２つの面があります。
１つ目は、2011年の東日本大震災では筆者も支援活動を実施した経験の中で、病院のシステムとカルテの消失によって様々なリスクを負った方たちの話を聞きました。つまり、システムとデータの物理的安全性という面です。
２つ目は、つい最近のことですが大阪と徳島をはじめとした、多くの病院でサイバー攻撃を受け、電子カルテも含んだ病院のオンプレシステムの機能不全が発生したことも記憶に新しいところです。つまり、情報セキュリティという面です。
そこで、クラウドがこの2つの安全性を向上させることについて、以下に解説します。

２．クラウドの物理的安全性について

クラウドはデータセンター（以下DC）に搭載されており、その堅牢性・好立地条件・高レベル設備・冗長化・高度な設計によって安全性が一定程度向上します。
だからといってクラウドを使えば必ず安全？・・・実態はそうとも言えないのです。

(１) DCには大きく差がある

DCは国内だけで約600もあり、それぞれが建設された年代や、設備の冗長度、立地の安全性には天と地ほど差があります。もちろん、非常に堅牢で安全なものもありますが、逆にあまり好ましくないものをあげると・・・

• ① 立地について
  • 大きな川の中州に立地
  • 海岸から至近距離でかつ海面よりも低い用地に立地
  • 古い雑居ビルの一室に構築され、安全とは言えないビル
  • 活断層の至近距離にある用地に立地
• ② 安全性を守るための設備について
  • 電源供給ルートの二重化がなく、一つのルートの停電で電源喪失となるリスクがある。
  • 発電機もあるが、燃料備蓄が十分ではなく、短時間しかもたない。
  • 落雷対応設計が十分ではなく、雷と静電気の防御が十分でないリスクがある。
  • そもそも普通の雑居ビルに設備を入れて、DCと称しているものもある。

というようなDCが意外と多くあり、そこに構築されているクラウド基盤は、安全とは言えないのです。しかもその「安全とはいえないDC」は、意外と有名なものもあり、数も多いのが現実です。もしそのようなDCに設置されたクラウド基盤に病院関連のシステムとデータを搭載していたらどうでしょう？病院分野では、DCの立地と安全性の情報開示が必須であることは異論のないところだと思います。

(２) DCの立地と安全性の情報開示

前回の第１回で、クラウドにはSaaS・パブリック・プライベートのモデルがあることを解説しました。それぞれDCの立地と安全性の情報開示は、下記のような状況になっています。

• ①
  SaaSにおいては、厳しい価格競争が影響し、一部を除いて、DCの立地や安全性は開示される例は少ない。
• ②
  パブリッククラウドでは、実力の差や自前で運用できる体制問題等から、それらを開示できているベンダーと開示していないベンダーに別れる。
• ③
  プライベートクラウドは、ほとんどの場合、それらが開示される。また開示しないと売りにくい状況がある。
• ④
  ハイブリッドクラウド（②と③の良いところをうまく融合）は、プライベート部分はそれらを開示、パブリックはベンダーによる。

筆者は政府の最初のDC情報開示に関するガイドラインの策定・執筆・編纂にかかわったことから、業界ではその項目や用語が一定の共有がされていると考えて良いと思いますので、ベンダーはDCの情報開示をすることは不可能ではありません。
しかし「ベンダー事情」から、実態は上記のとおりですので、特に病院のような「重要システム重要データ」の場合は、利用者からDCの立地と安全性の開示を要請し、それによってクラウドを選定することが必要です。そうすればクラウドの「安全」というメリットは確実に獲得できることとなります。
ここで注意するべきベンダートークが市場でよく聞かれます。「DCは亡国のミサイル攻撃やテロを避けるため、情報を開示できない」という怪しいトークで、かつ立地と安全性の説明がありません。賢明な読者の皆様は、気がついたと思いますが、「立地と安全性の開示」は「住所の開示」ではありません。つまりどうも立地と安全性にかかわる情報開示について、なにか都合が悪いのかどうか・・・さだかではありません。

(３) もう一つのクラウドの安全性

クラウド基盤には「オートリカバリー」という安全性を向上させる機能があります。最初は一部のベンダーだけでしたが、現在はほとんどのクラウド基盤に装備されています。
これはクラウドならではの安全機能で、「サーバ群全体を監視して、トラブルが発生しそうなパラメータを検知した際には、別のサーバにホットスワッピングさせる」という機能です。
ただし、この機能にも、ベンダーによって性能の差があります。よって、ベンダー選定の際にオートリカバリーの性能をわかりやすく提案・説明するように要請してください。自信のあるベンダーは、きちんとプレゼンするはずです。

３．クラウドは本当に高いセキュリティなのか？

上記１の「安全性」は物理的安全性が中心です。システムとデータの安全性となると、情報セキュリティも重要です。
情報セキュリティは、高度で特別なノウハウが必要であり、オンプレミスと比較して、人材と装備を集積できるクラウドの方が圧倒的に有利であり、よほど大規模な組織でないと個別のオンプレミスでは難しい要素が多いのが実情です。
ただし、現実にはクラウドベンダーごとに対応力が異なります。ISOやFISKやISMAPを取得しているクラウドならみんな同じかというと、それは最低限のことであり、重要システム重要データの場合はそれだけでは十分ではありません。
そのため、利用者はクラウド基盤ベンダーに情報セキュリティの対応力を提案・説明してもらい、比較してより高いレベルのものを選定するべきです。もちろん、要請してもきちんと提案・説明しないクラウドは、重要システム重要データでは選定するべきではありません。例として「世界的なレベルですから・・・」という抽象的説明だけしかしないものは、それなりの事情と背景があると考えるべきであり、採用するべきではありません。
説明を要請するべきポイントは

• (１)
  アクセス認証をどのようにやっているか？（2段階認証を装備しているか？）
• (２)
  SOC（セキュリティオペレーションセンター）はどのような状況になっているか？
• (３)
  DDOS攻撃対策はどのようにやっているか？
• (４)
  マルウエア対策をどのようにやっているか？
• (５)
  死活監視・性能監視をどのようにやっているか？
• (６)
  ネットワーク監視はどのようにやっているか？
• (７)
  サイバー攻撃対応をどのようにやっているか？

などです。要請すれば、それぞれのクラウドサービスベンダーが基盤ベンダーの情報を得て説明すると思いますが、（説明できないことも含めて）差があるはずです。徳島と大阪でのセキュリティインシデントからみて、今後はこのようなセキュリティ対応の実態確認は必須と考えるべきでしょう。
以上のように、重要システム重要データを含む病院関連システムとデータは、安全性とセキュリティは極めて重要です。もちろんそれほど安全性とセキュリティを求めないような、「占い」とか「趣味のコンテンツサイト」なら、安いものを選べば良いと考えることもあると思います。
ただし、本当に安いかどうか、市場では勘違いしている例があるので、後述します。

結論として、クラウドは安全なのかということについては

• クラウドの選定を適切に実施すれば、オンプレミスと比較して各段に安全である。
• 逆に、適切な選定をしないと、安全とは言えない場合もあり得る。

と考えるべきでしょう。

【２】 クラウドの利用で必須の通信は大丈夫なの？

１．通信って安全なの？

クラウドは通信を介して利用するため、通信が遮断され、レスポンスが極端に遅くなると、クラウド環境全体としては安全とは言えません。先日も有名な通信キャリアでトラブルが発生したというニュースがありましたが、通信にはリスクがあり、それはクラウドのリスクでもあるのです。
ということは、オンプレミスと比較してクラウドは安全とは言えないのかという疑問も湧きますが、実態はそうではありません。逆に通信のリスクをカバーしておけば、DCの安全性と、クラウド基盤自体の安全性装備からオンプレミスよりもはるかに安全になります。

２．通信の安全性って何？

通信の安全性は、下記の2つについて理解するとわかりやすいと思います。

(１) 通信そのものの安全性

通信はつながること（＝遮断しないこと）と、性能（速度と遅延）の2つが安全性に関連します。
まず遮断については、特に日本の通信環境ではどれが良くてどれが悪いというような差はあまりないと考えられます。それよりも通信を二重化、できるだけ異キャリア異ルートでの二重化をしているかどうかで通信遮断に関する安全性が決まると考えるべきでしょう。
また、それらはクラウド側（DC側）と通信網接続と、利用者側と通信網接続の2つの二重化が必要です。
まず、クラウド側は調達の際にそれが搭載されているDC側の二重化について質問することが重要です。利用者側は、二重化すると当然2倍のコストになりますが、一つの手としてサブ回線は容量を割り切って低コストな回線とし、メイン回線が遮断した際には、サブ回線の性能は一定の割り切り（我慢する）をするという方法があります。
次に速度と遅延の性能維持については、選択する通信業者と選択するメニューで差があると考えて良いと思います。通信業者選択は、個々のプロジェクト提案による判断に任せるとして、ここでは一般的に企業や団体組織が契約する回線メニューについて、3つの種類があることを解説します。

• 専用線
  当初の性能が維持され、多くの場合、それが保証されるが、価格が非常に高く、特別な用途で使われると考えて良く、一般的ではない。
• 通常インターネットVPN契約
  通常のネットワーク契約だが暗号化している。時折、アクセスが混み合い、誰かが大きな容量を使うと、速度が劣化し、遅延も大きくなる。重要システムには向かない。
• キャリア網内IPVPN
  基本的には上記と同様だが、キヤリア網の外にでないことと、キャリアが性能を監視して、適切な対応をするため、比較的大きな性能劣化が少ない。コストも専用線ほど高くはないため、重要システムで利用する場合は好ましい。

病院でクラウドを利用する際には、「キャリア網内IPVPN」を検討してみてください。

(２) サイバー攻撃対応の実態とゼロトラスト

サイバー攻撃への対応はどのクラウド基盤でも実施されていますが、それでもあの手この手でセキュリティを突破してくる事例もあります。
さらに近年実態として病院のオンプレミスシステムへのサイバー攻撃事例が目立ちます。

【近年の病院へのサイバー攻撃例】
福島医大病院（福島県）、新潟大学医歯学総合病院（新潟県）、宇陀市立病院（奈良県）、多摩北部医療センター（東京都）、市立東大阪医療センター（大阪府）、つるぎ町立半田病院（徳島県）、春日井リハビリテーション病院（愛知県）、日本歯科大学付属病院（東京都）、青山病院（大阪府）、鳴門山上病院（徳島県）
（Arcserve Japan Blogより https://insights-jp.arcserve.com/ransomware-hospital）

その後の調査では、これらの中に、セキュリティの運用の現実が理屈通りにいかないという実態があるそうです。VPNのハードソフトの脆弱性が判明していて、政府当局が警告し、ベンダーも対策を展開しているにも関わらず、現場の実態は顧客も顧客接点ディーラも対応していない状況がある・・・というようなレポートも出ているようです。
このことから筆者が感じるのは、セキュリティ問題は細かくかつ専門的なものであり、忙しくコアコンピタンスに従事している普通の利用者や、情報システム担当では、なかなか完璧な状況を維持することは困難と考えるべきで、よほど大きな企業や団体でないとセキュリティに特化した専門家を常設することは難しいということなのではないでしょうか。このことは、クラウドの普及においても長年の悩みの種の一つでした。
しかし、それらへの新しい対応方法が創出され、世界中で注目されています。政府デジタル庁や一部の自治体でも一定の見解を示し、利活用を表明しつつあります。
それは、「ゼロトラスト」と呼ばれる手法で、これを説明するには、今回のコラムではスペースが足りないので、重要ポイントだけをシンプルに解説します。

• ゼロトラストってなに？
  厳密には正しくはないかもしれませんが、割り切って簡単に説明すると、（ゼロトラストの専門家のみなさんには先に謝っておきます）
  「すべてのネットワークアクセスが安全で正当なものとは限らないという考え方にもとづき、サイバー攻撃対応を非常に高レベルなセキュリティ能力を持った中継クラウドに任せ、全てのアクセスをそのクラウドを経由して、事務所からもモバイル・自宅からも対象のシステム（別のクラウドに搭載）にアクセスする方法」
  と考えて大きくは間違っていないと思います。これにより、顧客と顧客接点ディーラがつまりアクセスのすべてを信用せず、中継基地となるクラウドが高いレベルで監視し、怪しいものは制御するわけです。システムとデータが搭載されているクラウドへのアクセスは、特定のセキュリティ専門のクラウドからのみとなるので守りやすくなります。
  言い換えると「本体のクラウド」を「高レベルなセキュリティ専門のクラウド」で守るということですね。
• なぜゼロトラスト？
  ではどうしてゼロトラストが注目されてきたのでしょう？
  現在のサイバーアタック対応は、境界内部を守る方式、すなわち「利用者の事務所内部」＝「ファイアウォールを境界としたその内側」を守り、そこは安全と考え、外部から不正なアクセスを遮断する努力」をしてきました。しかし昨今、下記の背景から、それでは運用できない状況が発生しているのです。
  • ①
    上記の通りよほど大きな組織がない限りセキュリティ対応の専門家を常設できないため、普通のIＴ利用者は、頻繁でかつ刻々と変化するサーバ攻撃にきめ細かい対応が難しい。
  • ②
    2つの状況から、事務所内部にシステムとデータが存在しない場合が多くなっており、従来のファイアウォール・プロキシ等の内部を守る「境界型防御」では対応が難しい。
    ・そもそもクラウド活用が多くなり、事務所にシステムもデータも存在しない例が増加している。
    ・モバイル利用やコロナによる在宅業務が増えており、システムの利用者がそもそも事務所にいない例が多くなっている。
  • ③
    侵入方法が巧妙になっており、たとえば標的型メール添付ウイルスだと、現在のファイアウォールでは検出が難しく、メール添付ファイルをうっかりクリックして内部にウイルスが感染する例が多発しており、それが自動的に不正な内部アクセスを発生させて、情報漏洩や情報消失を発生させる例が具体的に発生しつつある。

今後のクラウド時代は、このゼトロラスト活用が広がるかもしれないと注目されています。ぜひ利用者のみなさんは、クラウドベンダー・ディーラに提案・説明を求めることをお勧めします。

なお、2023年5月の広島サミットに向けて、広島県24県市町村が4月からゼロトラスト導入というニュースもあり、にわかに現実化してきています。最近サイバー攻撃を受けた徳島・大阪・その他の病院も適切なゼロトラストを装備していれば、インシデントが防げたのかどうか、今後の検討を期待しています。さらに、特に広島地域の病院は、早めに広島地域24の自治体のゼロトラスト導入をケーススタディすることをお勧めします。
他の地域の病院でも同様ですが、それにはクラウドとセキュリティの専門家の支援が必要と考えられますので、地域の医療関連団体の皆さんが協力して、「地域ヘルスケアクラウド＆ゼロトラスト」をプロジェクト化することも有効なのかもしれません。（このことについては今回のコラムに続く第3回でさらに解説します）

クラウドは極めて多くのエレメントで構成され「業際的な基盤」と言われています。このサイバー攻撃対応のための「ゼロトラスト」も重要なエレメントとして位置付けられることでしょう。

【３】 クラウドって安いの？高いの？

前回の第１回での解説で、クラウドのメリットとしてオンプレミスよりコストが低減するということを説明しました。それは本当なのでしょうか？

１．クラウドは安いの？

前回の第１回で、オンプレミスよりもクラウドのコストが下がる要因や構造について解説しました。背景はたくさんあり、今回のコラムのスペースでは語りつくすことはできませんが、代表的なものとして下記の3つをあげてあります。

• (１)
  割り勘効果による利用者側のコスト低減
• (２)
  初期投資の低減（厳密にはコストは金利だけ）
• (３)
  オンデマンド性によるSE工数低減＝見積価格低減と早期立ち上げ

なお、これ以外にも多くのコスト低減要因や、コスト以外のメリットがありますので、ベンダーに提案してもらってください。
一方で、コストが高くなる要素があります。

• DCの利用料金
• 通信料金

このDCと通信料金の合計よりも、上記の3つ以外を含めたコスト低減金額とのトレードオフで、多くの場合クラウドの方が実態としては安くなる例が多いのが実情です。
逆に言うと、このことをきちんと提案できるベンダー（もしくはディーラ）を選定することが重要となります。（まだ市場では、うまく提案できない営業・SEもいるのが実情です）

２．実態としてのクラウドベンダーの料金

上記のとおり、素直にクラウド基盤を構成すると原理的には安くなる例が多いのですが、実際のベンダーサービスには個別料金があり、利用者コストはクラウド基盤ベンダーによって大きく異なります。もちろんそうではないベンダーもあり、利用者は注意して選定する必要があります。
クラウド利用者は、ベンダーからの見積を入手する際に、わかりやすい説明を求めて、それらをきちんと比較することが重要です。その際に留意すべき点を２つ挙げておきます。

• (１)
  見積もりに出てこない料金
  いくつかの有名ベンダーで、見積にない料金をあとから請求される例が、数多く出ているそうですので、本当に見積にでている料金だけなのかについて質問することが重要で、ベンダー選定の際に注意してください。すでにネット上に有名クラウドベンダーの例で、追加料金に関する情報（利用者側にとっての困りごと・リスクとしての情報）が出ているようですのでぜひご覧ください。検索キーワードとしては「クラウド破産」というキーワードで見かけることがあります。この追加料金は、高額な例もあるようです。
  しかし安心してほしいのは、このような「見積にない高額な追加料金」を請求していない（まじめなもしくは常識的な）クラウド基盤ベンダーが存在するので、利用者のクラウド選択（といっても簡単に判明します）によって、問題は回避できます。なお市場の実態としては、質問しないと都合の悪いことは言わないという事例もありますので留意が必要です。
  重要システム・重要データを含むものでは、そのようなクラウド基盤を選択することはお勧めできません。
• (２)
  重要システムで必要な可用性を条件とした見積
  クラウド基盤サービスはそれぞれ可用性が異なり、一般に99.9％の可用性と99.99％の2種類の可用性のクラウドサービスがあります。実情として、重要システム重要データ（一般の業務システム）では99.99％の可用性が要求されるので、99.9％のクラウド基盤を採用する場合は、そのままでは利用に堪えません。そこで、仮想サーバを二重化することが必須となりますが、必然的に利用者コストは大幅に高くなりますので、留意が必要です。市場の事例でもディーラが導入後にクレームになることを嫌って、二重化を勧めることが多いようです。
  ここで市場の実態としては、2つの問題があります。
  第一に、「このクラウドは可用性が99.9%ですが、今回の対象システムは重要システム重要データだから二重化が必要で、費用が高額となります」ということを“最初から”説明していればいいのですが、最初の説明では二重化をしない費用で会話しておいて、あとから二重化の話を出すという営業戦術があるようですので、利用者は留意が必要です。
  第二に、システムを二重化して本当に99.9%のクラウドが99.99％となるかどうかです。システムの二重化は通常ディーラ（CIer）が実施するため、当然ディーラ扱いのものとなり、ディーラ責任となります。重要なことは、二重化で可用性は良くなるとしても、ディーラはそれらの可用性数値、つまり本当に99.99％になることを保証するかどうかです。また、クラウドベンダー側も、ディーラが実施している二重化で可用性が99.99％ことを保証するかどうかです。いずれも筆者としては、99.9％の基盤を二重化することで99.99％となるかどうかを誰が保証するかは明確な情報がありません。
  すなわち利用者は二重化して99.99%になることを誰が保証してくれるのか確認が必要であり、現在の実情では、「保証」ではなく「比較的良くなります」という程度なのかもしれません。
  特に病院のような重要システム重要データの分野では、「可用性」は問題が発生すると致命的こととなるため、最初から基盤ベンダーが「可用性99.99％を表明しているクラウド基盤」を選定するのが確実なのです。
  わざわざリスクの不安のあるものを選ぶことは、「責任分担」とも言われているように選んだ人の責任です。

さて、前回の第１回と今回の第２回でクラウドについてのご理解は得られたでしょうか？
次回第３回では、

• 病院におけるクラウド導入を有効に実現するためには、何をどうすればいいのだろうか？

について、解説します。

• 第03回 病院における有効なクラウド導入の方法