オンプレミス (社内運用) で稼働しているシステムをクラウドへ移行する企業が急増している。ビジネスの機動性を高めつつ、TCO (総所有コスト) も劇的に軽減できるからだ。クラウドへの移行を検討している企業の多くが懸念材料として掲げるのがセキュリティ対策だろう。そこで、ここでは既存システムを「Microsoft Azure」へ移行中のベネッセコーポレーションの事例を基に、セキュリティ対策の勘所を探ってみたい。

統制をきかせるためにクラウド基盤を統合

教育ビジネスを中核に事業を展開するベネッセコーポレーション。同社では、この数年でコンテンツをデジタル化して顧客に提供するサービスを相次いで立ち上げている。こうしたサービスの中には、事業部門や関連会社が外部のクラウド サービスを利用しているケースも含まれる。

同社で IT インフラの企画・開発・運用を担う増井 一隆氏は、そうした状況に危惧を抱いていたという。様々なクラウド基盤が混在している上に、どのようなアプリケーションでどういったデータが活用されているかを IT 部門が把握しきれないからだ。

「お客様の大切な情報を扱っているので、全社統一で堅牢なセキュリティ対策を講じるとともにガバナンス (統制) をきかせることが必要だと判断しました。そこで、クラウド基盤を統合することを決断。『コスト』『セキュリティ』『サービス・機能』『サポート体制』『将来性』『提案資料』の 6 つの観点でクラウド事業者を総合的に評価した結果、Microsoft Azure を選定しました」(増井氏)

2017 年度から新体制の下でオンプレミスのシステムや既存のクラウド サービスを対象に Microsoft Azure への移行を推進している。現在、社内で利用しているシステムのうち、95% がオンプレミスで稼働しているが、増井氏は「3 年後にはクラウドのシステムの割合を 50% に高めたい」と語る。

アプリケーションを類型化して対策を提示

新体制では、クラウド上のシステムでもオンプレミスと同等のセキュリティ レベル実現を目指している。これを実現するために、同社では ① クラウド サービスを自前のデータセンターと同様の扱いにしてガバナンスをきかせる、② クラウドを利用する際のガイドラインを整備する、③ あらかじめセキュリティ レベルを考慮して設計・構築を行う、④ その上でオンプレミスと同等以上のセキュリティ対策を講じる —— という 4 ステップで高度なセキュリティ レベルを確保している。

これらの取り組みの中でも、セキュリティ レベルの確保に大きく寄与しているのが、②のステップである。ここでは、アプリケーションの特性によってシステムの構築方法を 5 種類にパターン化。パターンごとに、セキュリティ対策のフレームワーク (枠組み) を決めて、構築・運用の負担を下げているのだ。パターンごとの対策を提示することによって、全てのアプリケーションに対して、漏れなく十分なセキュリティ レベルを確保できる。

アプリケーションがどのパターンに該当するのかを簡単に判断するマニュアルも用意している。システム基盤としてクラウドを適用するか否か (クラウド適用条件)、データベース (DB) が稼働する階層に PaaS (Platform asa Service) を適用するか否か (DB 層 PaaS 適用条件)、アプリケーション (AP) が稼働する階層に PaaS を適用するか否か (AP 層 PaaS 適用条件) —— という 3 つの条件を明文化し、どのパターンに当てはまるのかを容易に判断できるようにした。

このパターン分けの大きな特徴は、できるだけクラウド サービスを活用するように導いている点だ。自社で構築・運用する部分を少なくすることで、セキュリティ対策の負担を軽減している。

クラウド サービスにおけるセキュリティ レベルは自社でコントロールできないが、「事前の評価の結果、Microsoft Azure が講じているセキュリティ対策であれば、オンプレミスと同等のレベルを確保できると判断しました」(増井氏)。

ベネッセコーポレーションにおけるシステムの将来像 - インターネット ⇄ データセンター (自社データセンター [オンプレミス] (50% システム: セキュリティ データ、ファイルサーバー、基幹システム) + Microsoft Azure [パブリック クラウド] (50% システム: リスク低データ、Web システム)) ⇄ イントラネット (IT 要員)。

コンプライアンスを評価する顧客も

これを受け、日本マイクロソフトでセキュリティ アーキテクトを務める蔵本 雄一は「セキュリティ対策だけでなく、コンプライアンスやプライバシーの保護対策を評価して、Microsoft Azure を選定するお客様も少なくありません」と語る。実際、米国企業を対象にしたある調査によると、オンプレミスからクラウドへ移行した理由において、約半数の企業が「セキュリティの改善やコンプライアンス体制の整備しやすさ」をトップに掲げている。

日本マイクロソフトの政策渉外・法務本部に在籍する中島 麻里も「私たちは、クラウド サービスではコンプライアンスやプライバシーの保護も重要な要件だと考えて、法的な要件や業界ごとのガイドラインにも対応しています」と説明する。Microsoft Azure は様々な国際的コンプライアンス基準 (ISO 27001、HIPAA、FedRAMP、SOC 1/2 など) に加えて、各国に特有な基準 (Australia CCSL、UK G-Cloud、Singapore MTCS など) にも適合している。

プライバシーの保護にも強固なルールを定めている。Microsoft Azure では、「お客様が保存しているデータに対しては、お客様が全ての権利を持つ」と規定しており、マイクロソフトは一切の権利を有さない。マイクロソフトが広告またはデータ マイニングを目的として、顧客のデータを利用することはない。個人情報保護に関する国際認証 (ISO/IEC 27018: 2014) も取得済みだ。

第三者から情報開示の要請があった場合でも、これが法的に裏付けられた強制力を持っていなければ受け入れることはない。政府機関の要請も例外ではないという。

さらに、Microsoft Azure は日本におけるセキュリティやプライバシー、コンプライアンスの保護基準にも準拠。金融情報システム センター (FISC) の「金融機関等コンピュータシステムの安全対策基準」をはじめとして、医療業界で「3 省 4 ガイドライン」と呼ばれている基準、総務省が示した自治体に対するガイドラインなどに準拠している。

こうしたセキュリティやプライバシーの保護に対する取り組みは第三者からも評価されている。クラウド サービスにおける情報セキュリティの監査制度を創設した「クラウド セキュリティ推進協議会 (JASA)」が、Microsoft Azure と Office 365 を最上位の「CS ゴールド マーク」に認定。ゴールド マークを取得しているのは、日本マイクロソフトを含めた合計 2 社の 4 種類のクラウド サービスだけだ。

今後もクラウドへの移行は進んでいくはずだ。こうした中、どのようなクラウドを選ぶかがセキュリティ対策やコンプライアンスに向けた重要なポイントとなっていくだろう。

※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。