クラウド導入の前に!
知っておくべき7つのポイント
企業としてクラウドサービスを利用する場合には、個人で使う無料サービスとは違う注意点があります。法人向けのクラウドサービスで提供される内容は多岐にわたりますが、法人が取り扱うデータは、顧客情報や売上など個人が取り扱うデータとは価値が違いますし、ファイルの共有や転送などのサービスが停止したときの影響も大きくなります。
クラウドサービスは初期投資が少なくて済むことからリスクが少なく、導入までの時間が短くて効果も実感しやすいことから多くの企業に採用されています。しかしながら、これまで自社内で安全に保管していた企業の大切な資産となるデータを、外部に預けることへの不安の声はなくなりません。
数多くのサービスがあるため、どのような視点でチェックすれば安心してデータを預けられるのか、悩んでいる方も多いと思います。そこで、「企業情報・資産を預ける」という視点で、クラウド導入で知っておくべき7つのポイントをご紹介します。
1
クラウド事業者の信頼性
クラウドサービスを利用すると、自社の持つ重要なデータをその事業者に預けることになります。このとき、提供事業者が「信頼できる法人であるか」はもっとも重要なポイントです。
まず、経営状況をチェックします。利益を上げることができなければ、事業者がサービスの提供を中止し、突然サービスが無くなってしまう可能性もあります。一方、利益が上がっていれば、次々と登場する新しい技術にも対応でき、便利な機能として反映されることが期待できます。
あわせて、ISMSやプライバシーマークなど、経営・事業に関する第三者認証の取得状況もチェックしましょう。運営状況の把握には「クラウドサービス安全・信頼性に係る情報開示認定制度」を活用する方法もあります。それでも不安な場合は、利用者自身によるサービスの監査が可能か確認してみましょう。
2
契約条件・SLA(サービス品質保証)の有無
クラウドサービスの多くは、「基本契約書等の締結」ではなく、「サービスの利用申込」により利用を開始します。
ここで重要なのはサービスの利用規約や提供規定です。契約条件や費用の支払い、月額の考え方、事業者の免責事項、賠償方法、サービスを終了する場合の規定などが書かれています。
盲点となりがちなのは、利用者側が登録するデータや情報を事業者がどう扱うかという点です。事業者に中身を閲覧される、登録したメールアドレスが目的外に利用される、という可能性も否定できません。こういった規定が定められていないサービスもあり、注意が必要です。また、万が一のために、係争時の準拠法は日本法かどうかも確認しておいた方が良いでしょう。
システムの安定性の観点では、事業者が公表しているSLA(サービス品質保証:そのサービスの品質を事業者がどの程度保証するかを明示した合意書)によりサービス稼働率を数値(例. 99.9%)で確認しましょう。計画停止を実施する際の通知手順が定められている場合、その通知手順(ウェブページへの掲載※可能ならばURLを明記、電子メール、契約時に書面で交付など)を確認しましょう。
3
データの管理体制
データの所有権・利用権が事業者側に生じないことが契約書や約款等に明記されているかチェックします。利用者の都合により契約を終了したときも、事業者によってデータが適切に削除され、再利用されることがないか確認しましょう。
企業で利用する場合、自社システムで実施しているような運用体制を、クラウドを利用する場合でも同じように実現したいところです。情報漏洩の抑止にID管理やログの確認・集計を行い、内部統制を強化する体制を構築します。データのバックアップやログの取得方法、保存期限についても確認しましょう。 クラウドサービスが増えすぎたことにより、IDとパスワードの管理に対する利用者の不満も高まっています。シングルサインオン(SSO)などを利用できるサービスであれば、管理者側も利用者管理やセキュリティポリシーを一元化できて便利です。
4
トライアルの有無
実際に導入した結果、想定していたイメージやカタログに記載されている内容と違った!という状況にならないために、クラウドサービスの導入にあたり、問題なく運用できるか事前に確認しなければなりません。無償でトライアルを利用できるサービスであれば安心です。
クラウドサービスの中には無料で実際に運用し、試せるサービスがあります。お試し利用の際は、実際に業務に関わる従業員に使ってもらい、その評価をしてもらいましょう。
多くの機能が実装されているクラウドサービスでは、すべての機能を使いきれるとは限りませんが、欲しい機能をスムーズに利用できるか確認するために、トライアル利用には2~3週間見ておいた方が良いでしょう。
5
サービスのサポート体制
利用者からの問い合わせに事業者側で対応してもらえると助かります。情報システム部門や総務部門などの導入部門だけでサービスの細かいところまで正しく把握するのは大変です。導入部門では、「利用者からの分からない」に対応する工数も織り込んでおかなければなりません。特に問題なのが、システムにつきもののトラブル。自分で設計・開発していないクラウドサービスのトラブル対応は難しいのが現実です。
利用者からの問い合わせ対応や、トラブル対応も含めて事業者に依頼できる方が望ましいでしょう。またそもそも、「利用者の分からない」が少ない、いわゆる使いやすさやシステムの安定性も考慮したサービスを選ぶのも大切です。
6
動作環境とスケーラビリティ
忘れてはならないのが、動作環境の確認です。特定のOSや特定のブラウザだけにしか対応していないサービスであれば、その環境を用意する必要があるかもしれません。また外部企業との情報共有をする必要がある業務では、相手先の利用環境も考慮する必要があります。
クラウドサービスは多くの企業が利用しているため、比較的さまざまなブラウザに対応しているのが一般的ですが、念のため確認しましょう。
インターネット環境における注意点として、ネットワーク経由での快適さも気になります。応答速度の確認だけでなく、データの送受信時に通信が遮断した場合の動作は使いやすさに影響します。自動的にリトライし、再接続されると続きからデータを送受信できるレジューム機能やデータの破損をチェックしてくれるサービスもあります。
7
データセンターとセキュリティ
データセンターについては物理的な安全性もよく話題になります。耐震性や二重電源の確保に加え、防犯装置や防災対策といった一般的なチェックだけでなく、データが保管されている国や地域の治安も確認した方が良いでしょう。問題が発生したら、その国の法律が適用される場合もあります。
また、インターネット上にはさまざまな脅威があります。通信の暗号化、データの保存時の暗号化だけでなく、第三者による脆弱性診断などの実施、IPアドレス制限などは必須の要件になります。不正攻撃に対する検知・遮断ができるIPS装置などの有無も確認しておきたいところです。
自社のセキュリティポリシー(パスワードのルールなど)に合わせて運用できるかも確認ポイントとなります。また、上司や第三者による承認チェックや管理者による監査など、より高度なセキュリティが実現できていると理想的です。
