クラウド・プロバイダーと契約するときに確認したい“5つのポイント”
導入企業が教えるパブリック・クラウド・サービスの選び方
http://www.computerworld.jp/topics/cloud/150449-1.html
2009年06月15日 Beth Schultz/Network World米国版 の記事。
<以下、私個人が勝手に解説している内容です。間違っているなら気軽にツッコミしてね。>
ザックリ書きますと、クラウド・プロバイダーとの契約時に確認すべき事をまとめた記事です。そのままです。(笑)
なので、以下、ポイントを列挙します。
(1)現在利用しているアプリケーションは使えるか?
(2)データの“地理的な”保管場所はどこか?
(3)データ保護のための対策は?
(4)どんなサポート・メニューを用意しているか?
(5)サービスを解約した後はどうなる?
の5つになります。
(1)についてですが、先進IT専門のコンサルティング企業HyperStratusのCEO、バーナード・ゴールデン(Bernard Golden)氏によると以下の注意点があるとあります。
「アプリケーションのアーキテクチャによっては、利用できるクラウド・サービスが制限されるケースもある」
まぁ、当然と言えば、当然ですが、これは、導入時の確認事項でまず、サービス利用者もサービス提供側の内容を確認しなさいと言うことを指しています。
ビジネスを行っていく上では、重要な事ではありますので、無闇にやっても想定していたアプリケーションが使えないとなるのは、目も当てられないと言うことになります。
「Alphaアーキテクチャのコンピュータ上で稼働するアプリケーションを使いたいとしても、Alphaバイナリのアプリケーションを実行できるクラウドはきっと見つからないだろう」(ゴールデン氏)。
と言うように、アーキテクチャ上の問題点も指摘している。
この辺は、正直、クラウド・コンピューティングを導入する以前の問題でもあるビジネスの基本中の基本でもあるので、確認しないのが悪い気がしますが……
さらに、パワーズ氏は、IaaS(Infrastructure as a Service)についての注意点としてもう一つ、上げていることがあります。
「IaaS(Infrastructure as a Service)を利用する場合は、“マシン”がダウンする可能性を考慮してアプリケーションを設計する必要がある」(パワーズ氏)
これも十分に設計上で考慮されるべき事であるのは、確かでしょう。
IaaSの仕様によって、どのようなタイミングで”マシン”がダウンするのか知っておく必要があると言うことにもなります。
ダウン後の対策を聞く上でも知っておくべき事柄なので、確認をすべきこととなります。
また、開発者側に「実装プロセスをひと通り確認すべきだ」とアドバイスもあります。
ハイテク・コンサル企業CIMIのCEO、トム・ノレ(Tom Nolle)氏曰く、以下の通りです。
「全体像を理解するには、簡単なフローチャートを作成するのがよいだろう。クラウドに乗せるためのアプリケーションの要件確認、要件を満たすデータ・ソース、そしてデータの流れや動作などをチャートに書き出してみると、全体的なデータの流れが見渡せるようになり、ネットワーク上での脆弱性を把握して対応策を立てることができる」(ノレ氏)。
要は、クラウド・プロバイダーに対して、全体像を理解する為の簡単なフローチャートを要求しておいて、アプリケーションの要件確認やデータ・ソースの認識あわせ、データの流れなどを把握する工程を説明をしっかりと受けなさいと述べています。
これも至極ごもっともな意見です。
逆に言うと、この様な提示を言われる前にやれるクラウド・プロバイダー(この場合は、クラウドサービス業者でもいいでしょう)は、一つの難関を突破できる事を指しています。
普通にビジネスを考えていけば、相手を安心させる資料として提示するべきものですから作って、当然のものでしょうが、意外にこれが出来ないところが多いのが、現在のIT業界ではないでしょうか?
(2)についてですが、Adaptivityのビショップ氏は以下のように提言しています。
「プロバイダーは、正確なデータセンターの所在地やシステム/ネットワークの詳細な構成情報を提供したがらないだろう。だがユーザーには、少なくともシステム間通信に必要な情報、仲介のメカニズムについては正確に教えてもらう権利がある」
当然と言えば、これも当然の権利であるのですが、記事にもあるように明らかにしないクラウド・プロバイダーも多いといいます。
実際、日本のASP提供会社には、データの保存場所を教えないところもあると聞きます。
これは、ちょっと論外のように私には、感じています。
クラウド・プロバイダーは、サービス利用者に対して、データの保管場所は明確に提示するべきである。と個人的見解では、思っています。
これは、会計監査上も重要なことですから、これらの問題は、この先なくなっていくことだと思ってはいるのですが、少なくともその様な、非協力的クラウド・プロバイダーに対しては、サービス利用者は導入を見合わせることお勧めいたします。
このデータの保管場所は、記事にあるように、論理的ではなく、地理的に明確に提示するべき事柄と思うので、クラウド・プロバイダーを選ぶ際の大きな目安になると考えると良いのではないかと思います。
因みに、「Amazonのクラウド・サービスでは、データの地理的な保管場所をユーザー自身が指定できる。ヨーロッパあるいはアメリカの複数のエリアから選択することが可能」との事で、導入企業側からするとデータの現状を把握しうる良いサービスともいえます。
(3)については、(2)と被る部分も多いが、Eli Lillyのパワーズ氏は、「コンプライアンスに関する問題」でも地理的要素は以下の点で十分注意が必要だった旨を述べている。
「法規制によってデータの保管が認められない地域が定められているため、当社ではデータの地理的な所在を把握しておかねばならない」
これは、地域によって、その法制度が違うので、十分に把握する為にも導入企業は、データの保管場所は把握しておく必要は重要と述べている。
要は、日本企業の場合、もしクラウドサービスを利用するならそのデータは何処に保全されているのか知って置き、且つ、その際の法的対策を考慮しておきなさいと言うことになる。
別の側面から見ると日本のクラウド・プロバイダーにとっては、地理的優位性がある事を指している。
コンプライアンス要件の次に考慮すべきが、セキュリティ要件となるが、
「…クラウドへのサービス実装を検討するうえでは大きな懸念事項になる。事実、我々もいまだにクラウド上に保管できるデータとそうでないデータの区分け作業を続けており、希望するデータをすべてクラウド上に移動できているわけではない」(パワーズ氏)
と述べているように、何でもかんでもクラウド上に載せるのもどうかと思うとの考えで、ある程度のデータの仕分けを行う必要はあるとも述べている。
この点は、いきなり全部重要項目も載せるには、やはり問題があると思われるので、十分にデータを精査して、社外秘データは何なのかを選別しておく必要は、あるでしょう。
他にも、以下についての注意点があげられている。
「クラウド環境においてセキュリティ要件を満たすためには、データの転送や保管の際にセキュア・プロトコルを用いた暗号化を適用したり、クラウド・プロバイダの提供するアクセス制御機構を入念にチェックしたりすべき」
セキュリティの適用には、十分な考慮は欠かせないとの専門家の意見があるとの事です。
以下は、データ保護対策については、記事を読んでいただきたく思うが、結局は、ビジネス上の契約事項であり、確認すべき内容であると思う。
そもそもこれらの抜けがあること自体が、問題なのだが、クラウド・コンピューティングの開発となるとより一層のセキュリティへの注意が必要になることは確かでしょう。
(4)については、クラウド・プロバイダーのサポート体制についての確認なのだが、この部分もビジネス上の契約前で確認すべき点で、クラウド・コンピューティングだからと言うイメージはない気がするが、注目すべき点があるので、以下に抜粋すると…
「プロバイダのサービスを精査したうえで、次のような質問をしてみればいい。『貴社が主張しているサービス・レベルをどのように証明してくれるのか?』、『我々の要求の本質を理解しているか?』、『どんな種類のレポートが、どんなレポート・ツール経由で提供されるのか?』、『違約金については規約で定められているか?』。こうした質問の大半は、かつてアウトソーシング契約に明記されていたものだ」(ビショップ氏)
要は、「SLA」であり、それがしっかりとしている契約として明記がされる必要があると述べている。
根本的な話ではあるが、この様な極当然の契約も米国では、まだまだ浸透していないのかと疑いたくなるが、逆に、日本のクラウド参入企業が提示出来るのか?といわれると何処まで可能なのかも疑わしくも思う。
ただ、言えるのは、これらはクラウド・コンピューティングだからではなく、通常のビジネス契約でも当然、確認するべき事で敢えて、クラウドだからですと言うことでもない気もしないではない。
そもそも、要件を提示できない企業と契約など結んではいけないのだ。
(5)については、意外に重要な点ではあると思う。
要は、解約規約は、どうなっているか?である。
コンサルティング会社Thinkstrategiesの取締役、ジェフ・キャプラン(Jeff Kaplan)氏は、「アプリケーションのポータビリティ(移植性)も考慮すべき」と言っているが。。。う~んとそこは思う。
それよりの以下のコメントの方が重要である。
「データをクラウドに置く場合、それを“取り戻す”方法についてもあらかじめ検討しておく必要がある。そのプロバイダ専用の開発言語で書かれたアプリケーションの場合はなおさらだ。これは、自分を窮地に追い込まないための自衛策だ」(キャプラン氏)。
要は、解約時にデータソースなどは、入手できるようにしっかりと契約で確認しておくようにと言うことである。
この至極当然なビジネス契約がクラウド故に曖昧模糊の状態ならば、即刻、改善すべきだが、クラウド・コンピューティング故にと言うより、これはビジネスをやる上での重要な確認事項に入るものであり、法的な遵守するならば、十分に考慮されて当然のものだと思う。
これは、導入側も当然考慮するべきことだが、それよりも目線を変えて言うならば、IT業界の者は上記(1)~(5)は、最低でも直ぐに提示出来るようにしておくべきことなのではないかと思う。
もし、今現在、そこまで考慮できていないクラウド参入企業があるならば、即刻、対策を練るべきだと思う。でないと、大きなダメージを逆に受けることになるからである。
導入企業が教えるパブリック・クラウド・サービスの選び方
http://www.computerworld.jp/topics/cloud/150449-1.html
2009年06月15日 Beth Schultz/Network World米国版 の記事。
<以下、私個人が勝手に解説している内容です。間違っているなら気軽にツッコミしてね。>
ザックリ書きますと、クラウド・プロバイダーとの契約時に確認すべき事をまとめた記事です。そのままです。(笑)
なので、以下、ポイントを列挙します。
(1)現在利用しているアプリケーションは使えるか?
(2)データの“地理的な”保管場所はどこか?
(3)データ保護のための対策は?
(4)どんなサポート・メニューを用意しているか?
(5)サービスを解約した後はどうなる?
の5つになります。
(1)についてですが、先進IT専門のコンサルティング企業HyperStratusのCEO、バーナード・ゴールデン(Bernard Golden)氏によると以下の注意点があるとあります。
「アプリケーションのアーキテクチャによっては、利用できるクラウド・サービスが制限されるケースもある」
まぁ、当然と言えば、当然ですが、これは、導入時の確認事項でまず、サービス利用者もサービス提供側の内容を確認しなさいと言うことを指しています。
ビジネスを行っていく上では、重要な事ではありますので、無闇にやっても想定していたアプリケーションが使えないとなるのは、目も当てられないと言うことになります。
「Alphaアーキテクチャのコンピュータ上で稼働するアプリケーションを使いたいとしても、Alphaバイナリのアプリケーションを実行できるクラウドはきっと見つからないだろう」(ゴールデン氏)。
と言うように、アーキテクチャ上の問題点も指摘している。
この辺は、正直、クラウド・コンピューティングを導入する以前の問題でもあるビジネスの基本中の基本でもあるので、確認しないのが悪い気がしますが……
さらに、パワーズ氏は、IaaS(Infrastructure as a Service)についての注意点としてもう一つ、上げていることがあります。
「IaaS(Infrastructure as a Service)を利用する場合は、“マシン”がダウンする可能性を考慮してアプリケーションを設計する必要がある」(パワーズ氏)
これも十分に設計上で考慮されるべき事であるのは、確かでしょう。
IaaSの仕様によって、どのようなタイミングで”マシン”がダウンするのか知っておく必要があると言うことにもなります。
ダウン後の対策を聞く上でも知っておくべき事柄なので、確認をすべきこととなります。
また、開発者側に「実装プロセスをひと通り確認すべきだ」とアドバイスもあります。
ハイテク・コンサル企業CIMIのCEO、トム・ノレ(Tom Nolle)氏曰く、以下の通りです。
「全体像を理解するには、簡単なフローチャートを作成するのがよいだろう。クラウドに乗せるためのアプリケーションの要件確認、要件を満たすデータ・ソース、そしてデータの流れや動作などをチャートに書き出してみると、全体的なデータの流れが見渡せるようになり、ネットワーク上での脆弱性を把握して対応策を立てることができる」(ノレ氏)。
要は、クラウド・プロバイダーに対して、全体像を理解する為の簡単なフローチャートを要求しておいて、アプリケーションの要件確認やデータ・ソースの認識あわせ、データの流れなどを把握する工程を説明をしっかりと受けなさいと述べています。
これも至極ごもっともな意見です。
逆に言うと、この様な提示を言われる前にやれるクラウド・プロバイダー(この場合は、クラウドサービス業者でもいいでしょう)は、一つの難関を突破できる事を指しています。
普通にビジネスを考えていけば、相手を安心させる資料として提示するべきものですから作って、当然のものでしょうが、意外にこれが出来ないところが多いのが、現在のIT業界ではないでしょうか?
(2)についてですが、Adaptivityのビショップ氏は以下のように提言しています。
「プロバイダーは、正確なデータセンターの所在地やシステム/ネットワークの詳細な構成情報を提供したがらないだろう。だがユーザーには、少なくともシステム間通信に必要な情報、仲介のメカニズムについては正確に教えてもらう権利がある」
当然と言えば、これも当然の権利であるのですが、記事にもあるように明らかにしないクラウド・プロバイダーも多いといいます。
実際、日本のASP提供会社には、データの保存場所を教えないところもあると聞きます。
これは、ちょっと論外のように私には、感じています。
クラウド・プロバイダーは、サービス利用者に対して、データの保管場所は明確に提示するべきである。と個人的見解では、思っています。
これは、会計監査上も重要なことですから、これらの問題は、この先なくなっていくことだと思ってはいるのですが、少なくともその様な、非協力的クラウド・プロバイダーに対しては、サービス利用者は導入を見合わせることお勧めいたします。
このデータの保管場所は、記事にあるように、論理的ではなく、地理的に明確に提示するべき事柄と思うので、クラウド・プロバイダーを選ぶ際の大きな目安になると考えると良いのではないかと思います。
因みに、「Amazonのクラウド・サービスでは、データの地理的な保管場所をユーザー自身が指定できる。ヨーロッパあるいはアメリカの複数のエリアから選択することが可能」との事で、導入企業側からするとデータの現状を把握しうる良いサービスともいえます。
(3)については、(2)と被る部分も多いが、Eli Lillyのパワーズ氏は、「コンプライアンスに関する問題」でも地理的要素は以下の点で十分注意が必要だった旨を述べている。
「法規制によってデータの保管が認められない地域が定められているため、当社ではデータの地理的な所在を把握しておかねばならない」
これは、地域によって、その法制度が違うので、十分に把握する為にも導入企業は、データの保管場所は把握しておく必要は重要と述べている。
要は、日本企業の場合、もしクラウドサービスを利用するならそのデータは何処に保全されているのか知って置き、且つ、その際の法的対策を考慮しておきなさいと言うことになる。
別の側面から見ると日本のクラウド・プロバイダーにとっては、地理的優位性がある事を指している。
コンプライアンス要件の次に考慮すべきが、セキュリティ要件となるが、
「…クラウドへのサービス実装を検討するうえでは大きな懸念事項になる。事実、我々もいまだにクラウド上に保管できるデータとそうでないデータの区分け作業を続けており、希望するデータをすべてクラウド上に移動できているわけではない」(パワーズ氏)
と述べているように、何でもかんでもクラウド上に載せるのもどうかと思うとの考えで、ある程度のデータの仕分けを行う必要はあるとも述べている。
この点は、いきなり全部重要項目も載せるには、やはり問題があると思われるので、十分にデータを精査して、社外秘データは何なのかを選別しておく必要は、あるでしょう。
他にも、以下についての注意点があげられている。
「クラウド環境においてセキュリティ要件を満たすためには、データの転送や保管の際にセキュア・プロトコルを用いた暗号化を適用したり、クラウド・プロバイダの提供するアクセス制御機構を入念にチェックしたりすべき」
セキュリティの適用には、十分な考慮は欠かせないとの専門家の意見があるとの事です。
以下は、データ保護対策については、記事を読んでいただきたく思うが、結局は、ビジネス上の契約事項であり、確認すべき内容であると思う。
そもそもこれらの抜けがあること自体が、問題なのだが、クラウド・コンピューティングの開発となるとより一層のセキュリティへの注意が必要になることは確かでしょう。
(4)については、クラウド・プロバイダーのサポート体制についての確認なのだが、この部分もビジネス上の契約前で確認すべき点で、クラウド・コンピューティングだからと言うイメージはない気がするが、注目すべき点があるので、以下に抜粋すると…
「プロバイダのサービスを精査したうえで、次のような質問をしてみればいい。『貴社が主張しているサービス・レベルをどのように証明してくれるのか?』、『我々の要求の本質を理解しているか?』、『どんな種類のレポートが、どんなレポート・ツール経由で提供されるのか?』、『違約金については規約で定められているか?』。こうした質問の大半は、かつてアウトソーシング契約に明記されていたものだ」(ビショップ氏)
要は、「SLA」であり、それがしっかりとしている契約として明記がされる必要があると述べている。
根本的な話ではあるが、この様な極当然の契約も米国では、まだまだ浸透していないのかと疑いたくなるが、逆に、日本のクラウド参入企業が提示出来るのか?といわれると何処まで可能なのかも疑わしくも思う。
ただ、言えるのは、これらはクラウド・コンピューティングだからではなく、通常のビジネス契約でも当然、確認するべき事で敢えて、クラウドだからですと言うことでもない気もしないではない。
そもそも、要件を提示できない企業と契約など結んではいけないのだ。
(5)については、意外に重要な点ではあると思う。
要は、解約規約は、どうなっているか?である。
コンサルティング会社Thinkstrategiesの取締役、ジェフ・キャプラン(Jeff Kaplan)氏は、「アプリケーションのポータビリティ(移植性)も考慮すべき」と言っているが。。。う~んとそこは思う。
それよりの以下のコメントの方が重要である。
「データをクラウドに置く場合、それを“取り戻す”方法についてもあらかじめ検討しておく必要がある。そのプロバイダ専用の開発言語で書かれたアプリケーションの場合はなおさらだ。これは、自分を窮地に追い込まないための自衛策だ」(キャプラン氏)。
要は、解約時にデータソースなどは、入手できるようにしっかりと契約で確認しておくようにと言うことである。
この至極当然なビジネス契約がクラウド故に曖昧模糊の状態ならば、即刻、改善すべきだが、クラウド・コンピューティング故にと言うより、これはビジネスをやる上での重要な確認事項に入るものであり、法的な遵守するならば、十分に考慮されて当然のものだと思う。
これは、導入側も当然考慮するべきことだが、それよりも目線を変えて言うならば、IT業界の者は上記(1)~(5)は、最低でも直ぐに提示出来るようにしておくべきことなのではないかと思う。
もし、今現在、そこまで考慮できていないクラウド参入企業があるならば、即刻、対策を練るべきだと思う。でないと、大きなダメージを逆に受けることになるからである。