オンプレミスからクラウドへ移行する際のセキュリティ要件の決め方を徹底解説
- Cloud
- オンプレミス
- クラウド移行
昨今、クラウドが爆発的に普及しており、多くの企業がクラウドを活用して自社の業務効率化や生産性向上を実現しています。もはや、クラウド活用は企業成長の鍵を握っていると言っても過言ではないでしょう。
クラウドを導入することで、企業は様々なメリットを享受できますが、従来のオンプレミス運用を継続している会社も一定数存在します。これらの企業においては、クラウド移行後のセキュリティ要件を問題視しているケースが多く、そのためにクラウド移行に踏み切れないのです。
そこで本記事では、オンプレミスからクラウドへ移行する際のセキュリティ要件の決め方について、基礎的な内容を盛り込みながら詳しくご説明します。
目次
オンプレミスとクラウドの違い
オンプレミスとは?
もともとプレミス( Premises )とは、「構内」や「建物」という意味を持ちます。プレミスという言葉から派生したオンプレミス( On-Premses )は、「自社運用」を意味する言葉となっています。
オンプレミスとは、システム構築に必要なサーバーや回線、ソフトウェアなどを自社内またはデータセンター内に設置し、システムの構築から運用までを自社で行う形態を指します。ちなみに、オンプレミスは「オンプレ」の略称で呼ばれることも多いです。
オンプレミスは柔軟にカスタマイズできる点が大きなメリットとして挙げられますが、その一方で、初期費用が高かったり、購入後の資産管理が大変になったりする点がデメリットになります。
クラウドとは?
オンプレミスと比較対象にされることが多いクラウドは、 IT システムに必要な IT 機器を自社で保有しない運用形態です。データセンターを自社で設置し管理する必要がないため、スムーズな導入が可能です。
具体的なクラウドサービスを挙げると、「 Gmail 」や「 Google スプレッドシート」、「 Google カレンダー」のような、インターネットを経由するアプリケーションに利用されています。
クラウドは初期費用が不要で簡単に導入でき、拡張性が高い点がメリットとして挙げられます。その一方で、クラウドは他社の設備を利用するサービス形態であるため、カスタマイズ性はオンプレミスと比較して低くなります。
両者の違い
以下、オンプレミスとクラウドの違いを表にまとめます。
オンプレミス | クラウド | |
---|---|---|
初期費用 | 高額 | 低額 |
月額費用 | 固定費 | 変動費 |
導入までの期間 | 長い | 短い |
カスタマイズ | 自由 | 制限される場合がある |
自社システムとの連携 | 容易 | 制限される場合がある |
災害時の復旧 | 困難 | 容易 |
このように、オンプレミスとクラウドは様々な点で違いがあります。大切なポイントは、単にクラウドとオンプレミスを比較するのではなく、両者のメリット・デメリットを理解し、自社に適した運用方法をさまざまな観点から検討することです。
最近では、クラウドとオンプレミスを組み合わせた「ハイブリッドクラウド」も存在します。例えば、「データはクラウドで保存して、システムはオンプレミスで運用」のように、両者のメリットを活かしたクラウドの運用形態です。
ハイブリッドクラウドに関して詳しく知りたい方におすすめの記事は以下です。
ハイブリッドクラウドとマルチクラウドの違いとは?メリット・デメリットについても徹底解説
オンプレミスからクラウドへ移行するメリットと注意点
オンプレミスとクラウドでは、それぞれの特徴が異なります。そのため自社に合ったサービスを利用することが大切です。
ここからは、「社内システムをオンプレミスからクラウドへ移行したい」と検討されている方向けに、移行のメリットや注意点について解説をします。移行を検討されていない方でも、オンプレミスとクラウドの違いをより詳しく知ることができるので、ぜひ参考にしてください。
移行のメリット
こちらは、オンプレミスからクラウドへ移行するメリットです。
- システムの管理費を大幅に削減できる
- 障害時におけるトラブルの対応が不要になる
- 災害時でも、影響を最小限に留めることができる
- サーバーの追加や管理はWeb上で簡単に行える
クラウドでは、システム管理を全て販売者が行うため、専門知識を必要とする管理面の負担を軽減することができます。また、オンプレミスのようにサーバーを自社運用している場合は、地震や火災などの災害時にサービズ停止のリスクが高まりますが、クラウドはデータセンターに内に設置されているケースが多いことから、万が一の事態でも影響を最小限に抑えることが可能です。
移行の注意点
移行のメリットは様々ありますが、同時に課題もあります。移行の注意点は、既存システムの要件がクラウドに適しているかどうかの確認が必要であることです。既存システムをそのままクラウド化した場合、データ連携などでミスマッチが起きる可能性があります。
そのため、移行前には、システム要件の洗い出しが重要となります。オンプレミスで稼働していた基幹システムやセキュリティの要件、運用マネジメントなどの連携が可能かどうかを予め確認しておきましょう。
そして、特に注意が必要なのがセキュリティ要件です。オンプレミスとクラウドではセキュリティに対する考え方が異なるため、クラウドにおけるセキュリティの考え方を理解して、適正なセキュリティ要件を定める必要があります。この点については、次章以降で詳しくご説明します。
また、多くのクラウドサービスには「責任共有モデル」という考え方が採用されています。
これはクラウドサービスの管理・運用において「クラウド事業者が責任を持つ範囲」と「ユーザーが責任を持つ範囲」に明確な線引きをするものです。責任分界点は利用するクラウドサービスごとに異なるため、事前にサービス仕様やユーザーの責任範囲をチェックしておくことが大切なポイントになります。
なお、この責任共有モデルはクラウドの提供形態によっても大きく異なります。
クラウドは大きく分けて、
- SaaS
- PaaS
- IaaS
の 3 つに分類できます。
それぞれの提供形態は、クラウド事業者がどのレイヤーまで提供するのかによって分類されています。クラウド事業者の責任範囲が少なくなるほどユーザーの管理部分が増え、その分カスタマイズ性が高くなります。つまり「運用管理や構築の負荷」と「構成の柔軟性」がトレードオフの関係となります。
そのため、クラウドを利用する際には自身がクラウドを利用する目的に合わせてどの提供形態が最適であるかを考慮し、選択する必要があります。
クラウドの提供形態に関心のある方は以下の記事が参考になります。
図解でわかる!SaaS、PaaS、IaaSの違いとクラウドサービスとの関係性について
クラウド移行時のセキュリティ要件の決め方
オンプレミスからクラウドへ移行する際、セキュリティ要件の決め方が大切なポイントになります。それでは、具体的にどのような点を注意すれば良いのでしょうか?
企業における情報セキュリティを検討する際は、次の項目が重要な要素であるとされています。
- 機密性
- 完全性
- 可用性
- 真正性
- 信頼性
- 責任追跡性
- 否認防止
それぞれの項目について詳しく見ていきましょう。
機密性
機密性とは、情報のアクセス権限を高いレベルで保護・管理することです。クラウドは他社サーバーに貴重なデータを保存するため、特定の人だけが情報にアクセスできるように制限をかけることが大切です。これにより、情報搾取や情報漏洩などを防ぎ、自社のデータを守ることができます。
完全性
完全性とは、データが完璧な状態で保管されていることを意味する言葉です。クラウド利用においては、第三者の改ざんなどを防ぎ、データの完全性を担保して情報の品質を保つことが重要になります。
可用性
可用性とは、障害や災害などが発生した場合でも、システムが停止せずに稼働し続けることです。自社でインフラをコントロールできないクラウド環境だからこそ、高い可用性を実現することはセキュリティ観点上とても重要なポイントです。
真正性
真正性とは、人やデータなどが本物であると証明することです。多くのクラウドサービスは ID やパスワードでログインして利用するため、本人以外がデータにアクセスできないような仕組みが重要です。代表的な例としては、二段階認証や多要素認証などが挙げられます。
信頼性
クラウドの信頼性も重要なポイントです。信頼性が高ければ、障害やトラブルの発生リスクを低減することができます。そのため、信頼性の高いクラウドサービスを選択することが大切です。
責任追跡性
責任追跡性とは、個人または組織の動きを追跡することで、有事の際に原因特定を容易にできる状態を意味する言葉です。これにより、万が一の場合でも慌てずに対処することができ、落ち着いて対応を進めることが可能になります。
否認防止
否認防止とは、特定のデータや実施した内容について正しく証明し、以降否定されないように防止することです。これにより、適正なクラウド利用を推進することができます。代表的な対策としては、デジタル署名やログイン履歴の取得などが挙げられます。
このように、オンプレミスからクラウドへ移行する際には、あらゆる観点からセキュリティ要件を定める必要があります。自社の状況に応じて、優先順位を付けながらセキュリティ要件を決めていきましょう。
オンプレミスから移行先のクラウドを選定する際にチェックすべきセキュリティ
前章では、クラウド移行時のセキュリティ要件の決め方についてご説明しましたが、移行先となるクラウド自体のセキュリティも見逃すことのできない大切なポイントです。
万が一、セキュリティレベルの低いクラウドサービスを選んだ場合、自社のデータを安全に管理することはできず、最悪の場合は情報漏洩などのインシデントに繋がるリスクがあります。
意識すべきポイントとしては、
- データセンターの安全対策
- ハードウェア機器のバグ対策
- 障害やトラブル発生時の対策
- ソフトウェアや OS 、アプリケーションなどの脆弱性対策
- 保管データのバックアップ体制
- 安全なアクセス制御
- 通信データの暗号化
などが挙げられます。
データセンターの安全対策はとても重要なため、建物の強度や立地、防犯対策など、あらゆる観点からセキュリティをチェックしてください。また、ハードウェアに不具合が出ないようにするバグ対策や障害・トラブル発生時の対策など、有事の際に被害を最小限に抑えることができるのか?という点も大切なポイントになります。
さらに、ソフトウェアの脆弱性も見逃せません。昨今、マルウェアや不正アクセスなど Web における脅威は多様化しています。自社のデータを安全に守るためには、これらのサイバー攻撃を防ぐための対策が講じられているのか?という視点が必要です。加えて、ソフトウェアだけではなく OS やアプリケーションの脆弱性もチェックしておけば万全だと言えます。
その他、保管されているデータのバックアップや安全なアクセス制御、通信データの暗号化など、安全なクラウド利用を実現するための工夫は多岐にわたります。自社のセキュリティ要件とこれらのチェックポイントを意識して、安心して利用できるクラウドサービスを選択してください。
まとめ
本記事では、オンプレミスからクラウドへ移行する際のセキュリティ要件の決め方について、基礎的な内容を盛り込みながら詳しくご説明しました。
クラウドへ移行することで、企業は様々なメリットを享受できます。働き方や消費者ニーズの多様化が進む現代において、クラウド活用の重要性は益々高まっていると言えるでしょう。
しかし、クラウド移行を実現するためには、セキュリティ要件を決めるだけでは不十分だと言えます。ネットワーク構成やサーバーの監視・運用、ユーザーの認証・管理、バックアップなど、あらゆる目線から要件を考える必要があります。
そして、クラウド移行は自社のビジネスを成長させるための第一歩に過ぎません。クラウド移行を成し遂げた後、クラウド環境に膨大なデータを蓄積し、それらを分析・活用することでデータドリブンな経営を実現することができます。
弊社トップゲートでは、これまで多種多様な業界業種のクラウド移行のサポートをしてきました。そのため、多角的な観点でのアドバイスや陥りがちなポイントなどをお伝えできたり、ただの移行で終わらないその先のクラウド活用を見据えたサポートを提供できます。
クラウド移行を検討されているのであれば、ぜひお気軽にトップゲートへお問い合わせください。
弊社トップゲートでは、Google Cloud (GCP) 利用料3%OFFや支払代行手数料無料、請求書払い可能などGoogle Cloud (GCP)をお得に便利に利用できます。さらに専門的な知見を活かし、幅広くあなたのビジネスを加速させるためにサポートをワンストップで対応することが可能です。
Google Workspace(旧G Suite)に関しても、実績に裏付けられた技術力やさまざまな導入支援実績があります。あなたの状況に最適な利用方法の提案から運用のサポートまでのあなたに寄り添ったサポートを実現します!
Google Cloud (GCP)、またはGoogle Workspace(旧G Suite)の導入をご検討をされている方はお気軽にお問い合わせください。
メール登録者数3万件!TOPGATE MAGAZINE大好評配信中!
Google Cloud(GCP)、Google Workspace(旧G Suite) 、TOPGATEの最新情報が満載!