クラウドって安全ですよ?(de:code 2019 SP03より)
2019-06-07
azblob://2022/11/11/eyecatch/2019-06-07-cloud-is-safe-000.jpg

「クラウド」という言葉が出始めてから既に10年以上経っており、広く使われるようになってきましたが、まだまだ「クラウドってインターネットを経由してるんだからセキュリティ面で問題があるんじゃないの?」といった心配をされている方もいらっしゃると思います。
「いやいや、そうじゃないんですよ!!」ということを伝えたいのが今回のテーマです。

クラウド・バイ・デフォルト原則

表題の言葉をご存知でしょうか?
政府CIOポータルの標準ガイドライン群( https://cio.go.jp/guides )に掲載の、 政府情報システムにおけるクラウドサービスの利用に係る基本方針 に記載されています。
概要にこんな記述があります。

政府情報システムのシステム方式について、コスト削減や柔軟なリソース の増減等の観点から、クラウドサービスの採用をデフォルト(第一候補)と し、府省CIO補佐官の関与の下、事実に基づく客観的な比較を行いその利 用を判断するための考え方等を示した標準ガイドライン附属文書。

https://cio.go.jp/sites/default/files/uploads/documents/cloud_%20policy.pdf

つまり、政府は今後、クラウドサービスの採用を第一候補として検討するんです!

もちろんクラウドなら何でもよし!というわけではなく、認証制度を取っているクラウドを推奨する記述があります。
具体的には下記の認証制度です。

  • ISO/IEC 27017
  • JASA
  • FedRAMP

Azureは上記の認証制度をクリアしています。安心ですね!

ただ、ご認識のされているとは思いますが、「クラウドを使えばセキュリティは万全だ!」では無いです。適切なクラウドサービスを組み合わせたアーキテクチャを構築し、脅威への対策を施したアプリケーションを開発することが必要です。

まとめ

金融機関で活用が進んでいて政府も情報システムの第一候補と考えるクラウドを、セキュリティを理由に使わないのは違和感がありませんか?
クラウドを活用することでセキュリティだけでなく、インフラ調達や管理等の業務の本質ではない部分にかかる時間を削減して、より価値の高いものを作ることに時間をかけられるようになります。
もちろん「クラウドが絶対だ!」というわけではなく、オンプレミスで組んだ方が良いシステムもあると思います。ただ、今後は「クラウド・バイ・デフォルト原則」を採用しても良いのではないでしょうか?