クラウド サービスへの移行時にクラウド ベンダーを精査するための専門家のヒント

今日では多くの企業にとってクラウド コンピューティングが当たり前になっていますが、コア ビジネスのどのコンポーネントをクラウドに移行する必要があるのか​​、またどのアプリケーションやサービスを採用すべきなのかを理解するのに苦労している企業もあります。逆に、すでにインフラストラクチャの大部分をクラウドに移行している組織もありますが、コンプライアンスやパフォーマンスの問題により、それを後悔し始めています。多くの場合、上記の問題は企業のクラウド移行とは関係なく、単にビジネスニーズや目標を満たしていないことが原因です。

[[209260]]

たとえば、一部の法律事務所、金融機関、製造会社は、クラウド コンピューティングのハイブリッド モデルを検討しており、Microsoft Office 365 などのクラウドベースのアプリケーションや、KeepItSafe などの災害復旧およびオンライン バックアップ サービスを使用してオフィスを近代化する機会を模索しています。

この記事では、ビジネスに適したクラウド移行プランをスムーズかつ安全に、コスト効率よく選択して実装する方法、よくある落とし穴を回避する方法、ビジネスの潜在的なクラウド サービス プロバイダーを審査する際にどのような質問をすればよいかを理解するための実用的なガイダンスについて説明します。

法律業界の雑誌 Inside Counsel に 2016 年に掲載された「調査: 企業は今やクラウドへの移行に賛成」という記事のタイトルは、データの保存方法や転送方法について慎重になっている業界におけるビジネス プロセスと考え方の大きな変化をうまく要約しています。記事によると、数年前はわずか 68% だった法律事務所が、現在では 84% が業務とデータをクラウド サービスに移行することに非常に満足しているとのことです。さらに、法律事務所の 3 分の 2 以上が電子請求にクラウド コンピューティング ツールを使用していると回答し、半数以上が案件管理にクラウド サービスを使用していると回答しました。

記事では、クラウド サービスを採用する企業が増えている理由について、ある回答者の言葉を引用し、「コスト面での優位性と、保存場所に関係なくデータにアクセスできる利便性から、クラウド サービスの魅力が高まっている」と説明している。別の回答者は、ビジネス ニーズに基づいたクラウド移行ツールについて次のように説明しました。「企業には社内に専任の法務アプリケーション チームがないため、関連データを管理したい場合はクラウドに移行する必要があります。」

テクノロジーの進歩により、参入障壁は低下し続けており、ほぼすべての業界の企業からの競争圧力が高まっています。これにより、企業組織はコストを削減し、競争上の優位性を生み出すために、簡素化された運用を積極的に模索する必要に迫られます。社内のテクノロジーと業務運営を適切なクラウド サービス プロバイダーに移行することは、これらすべての目標を達成するための実証済みかつ信頼性の高い方法です。

しかし、ビジネス上重要な機能をクラウドに移行することのメリットとデメリット、ビジネスの全体的な目標、代替となる可能性のあるクラウド サービス プロバイダーについて十分な調査を実施せずに、クラウド移行プロジェクトに急いで取り組むと、多くの企業が新しいクラウドベースの環境への移行で問題や課題に直面することになる可能性があります。

法律業界の企業が気づいているように、主要なビジネス プロセス、あるいは企業のネットワーク インフラストラクチャ全体をクラウド サービスにアウトソーシングすると、大きなビジネス上のメリットが生まれます。ただし、このような移行を行う前に、企業顧客はまず、クラウド移行中によくあるリスクを回避する方法と、潜在的なクラウド サービス プロバイダーが提供しなければならない対応する保証について学習する必要があります。

選択肢がたくさんある中で、今日の企業顧客はクラウド コンピューティングをどのように活用しているのでしょうか?

今日の企業は、クラウド サービス プロバイダーにアウトソースするサービスやプロセスの種類、およびそれらのプロセスの管理における制御レベルに関して、非常に柔軟性を持っています。ビジネスで利用可能な選択肢と、それぞれの長所と短所を理解することは、チームが適切なクラウド移行の決定を下すために不可欠です。

たとえば、SaaS (Software as a Service) アプリケーションは、インターネット経由でアクセスできるサードパーティのソフトウェア ツール (Office 365 など) です。アプリケーション自体、および企業がソフトウェア ツールで維持するデータは、通常、ベンダーのクラウドに保存されます。従業員は Web インターフェースを通じてデータにアクセスするだけです。これらのシステムでは通常、チームによるメンテナンスやダウンロードは必要ありません (ただし、プラグインが必要な場合もあります) が、ユーザーによるカスタマイズや制御の余地はほとんどありません。

SaaS プロバイダーは通常、クラウド内のデータを保護する責任を負わないことに留意することが重要です。

クラウド サービス プロバイダーはクラウドに保存されている会社のデータのセキュリティについては責任を負わないことが契約条件に明記されているため、法人のお客様には契約条件を慎重に確認することをお勧めします。さらに、クラウド セキュリティ企業 Skyhigh Networks の最近のレポートによると、クラウド プロバイダーのうち、自社の環境に保存されている顧客データを暗号化しているのはわずか 9.4% です。

PaaS (Platform as a Service) モデルを使用すると、組織はアプリケーションとプロセスをより強力に制御 (および責任) できるようになります。 PaaS プロバイダー (Microsoft Azure など) は、オペレーティング システム、データベース、プログラミング環境を含むプラットフォームを企業に提供します。つまり、チームはビジネス向けにカスタマイズされたアプリケーションを開発でき、IT チームはストレージとネットワーク管理の多くをクラウド プロバイダーに任せることができます。

最後に、最も柔軟なクラウド コンピューティング モデルは IaaS (Infrastructure as a Service) です。 IaaS (例: Rackspace や HP Cloud など) を使用すると、組織は単一のサーバーからクラウド サービスを完全に制御できます。チームはオペレーティング システム、データ、ミドルウェア、アプリケーションを管理し、IaaS プロバイダーは仮想化、サーバー、ハード ドライブ、ネットワークを処理します。本質的には、IaaS 環境を実行することは、物理的なハードウェアを自分で購入したり保守したりすることなく、独自のデータ センターを管理することに似ています。

明らかに、今日の企業顧客にはクラウドへの移行方法に関するさまざまな選択肢があります。どのアプリケーションと機能をアウトソーシングするか。プロセスの一環としてチームが維持する必要があるカスタム プログラムの数。また、あなた（またはあなたの業界を管轄する規制当局）がクラウド プロバイダーに委託するデータのレベルも考慮する必要があります。

すでにどの「サービスとしての」オプションが自社のクラウド移行に適しているかを判断している場合でも、クラウドに移行する際に避けるべき主な間違いと、潜在的なクラウド パートナーに何を求めるべきかを知っておく必要があります。

クラウド移行で避けるべきよくある落とし穴

ビジネスに不可欠なデータのほとんどをクラウド ストレージ プロバイダーに移行したところ、そのプロバイダーが倒産したと知ったらどうなるか想像してみてください。

これは、1,000 社を超える企業顧客が、クラウド サービス企業 Nirvanix にテラバイト、さらにはペタバイト単位のデータを保管した後に発生しました。そして、移行前のデューデリジェンスの欠如は、多くの企業顧客が犯すクラウド移行の最大のミスの 1 つにすぎません。

CIO Magazine の「クラウドの恐怖物語」という記事では、クラウド移行でよくある落とし穴について次のようにまとめられています。

1. クラウドプロバイダーが倒産する

Nirvanix が 2013 年に閉鎖を発表したとき、同社は顧客に対し、Nirvanix クラウドからすべてのデータを移行するのにわずか 2 週間しか与えませんでしたが、帯域幅の制約を考えると、多くの顧客は時間が足りないと感じました。市場調査会社フォレスター社のリサーチアナリスト、ヘンリー・バルタザール氏は、このような短い期間を「ばかげている」と評した。

2. クラウドプロバイダーに災害復旧計画がない

開発者がクラウドサーバー上でコードをホストできるようにするCode Spaceは、2014年にハッキングされた。攻撃者は同社のAmazon Web Servicesアカウントに侵入し、すべてのユーザーのデータを削除した。その後、かつては警告だったものが本当に恐ろしい現実となった。同社は、データを回復することはできず、同社自身が生産中止の準備をしていることをユーザーに警告するメッセージを掲載したのだ。

災害復旧 (DR) 計画は、単なる優れたバックアップ システムではありません。優れた DR 計画には、データの復旧、アプリケーションやサーバーへのアクセスの確保なども含まれる必要があります。そのため、別のクラウド サービスである DRaaS (Disaster Recovery as a Service) が企業顧客の間で非常に人気があります。

3. クラウドサービスプロバイダーのプロセスが許容されるセキュリティおよびコンプライアンス基準を満たしていない

2015年は、医療業界だけで1億1,200万人以上の個人情報が侵害されたデータ侵害事件があったため、ハッキングの年と呼ばれました。

組織のクラウド インフラストラクチャは、オンサイトのデータおよびコンピューティング サービスの拡張機能です。つまり、機密データをクラウドベンダーに委託する前に、そのベンダーを徹底的に調査する必要があるということです。

潜在的なクラウドベンダーに尋ねる適切な質問

経験、実績、安定性の点では、何千もの企業顧客にサービスを提供してきた数十年の経験を持つ専門家から、企業がデータを預けることは決してないような信頼性の低いプロバイダーまで、クラウド プロバイダーは多岐にわたります。

では、適切なクラウド プロバイダーを選択したかどうかをどのように確認すればよいのでしょうか?プロバイダーに適切な質問をすることで、より自信を持って選択できるようになります。潜在的なクラウドベンダーに尋ねることができる 9 つの質問を以下に示します。

1. 貴社はこの業界にどれくらい携わっていますか?

インターネットによってさまざまな業界への参入障壁が下がったため、クラウド サービス プロバイダーを含む小規模ビジネスの立ち上げがこれまでになく容易になりました。

だからといって、クラウド ストレージ分野への新規参入者が、あなたのビジネスにとって有望なベンダーになれないということではありません。しかし、会社の事業歴が長ければ長いほど、経験も豊富になり、実績を検証するための証拠も増えることは明らかです。

2. 貴社の財務状況はどうなっていますか?誰があなたをサポートしてくれていますか？

クラウドプロバイダーの Nirvanix に重要なビジネスデータを保存していた 1,000 社以上の企業顧客のうち、手遅れになるまで同社の破産が迫っていることに気付いていた人はいなかっただろう。

クラウド サービス プロバイダーの財務が安定し、資金が豊富であればあるほど、Nirvanix の顧客が経験したようなひどい経験を企業が経験する可能性は低くなります。

3. 企業顧客がクラウドに保存するデータのセキュリティと整合性について、貴社はどの程度の責任を負いますか?

クラウド セキュリティ企業 Skyhigh Networks の調査によると、標準的な方法に従って顧客データを暗号化しているクラウド サービス プロバイダーは 10 社中 1 社未満です。多くのクラウド サービスの利用規約では、プロバイダーはユーザーのデータを保護する責任を負わないことが明記されています。

Cloud Security Alliance のレポートによると、一般的な企業の従業員は約 500 個のクラウド アプリケーションに企業データを保存しているため、企業データのセキュリティを確保することが非常に重要です。従業員がクラウド プロバイダーのサービスに企業データを保存できるようにする前に、クラウド プロバイダーがどの程度の責任を負っているかを理解するためのポリシーを実装する必要があります。

4. 貴社の境界侵入防御は、侵入の試みが検出された場合にのみアラートを生成しますか、それともそのような侵入を積極的に防止しますか?

クラウド プロバイダーの境界保護システムは、進化するサイバー攻撃や、顧客のデータベースやアプリケーションへのアクセス試行を軽量かつ動的に把握できる必要があります。

このレベルの保護だけでは不十分です。たとえば、セキュリティ システムを導入する前にリポジトリに悪意のあるファイルを仕掛けると、その環境がすでに危険にさらされている可能性があります。このようなファイルは、適切なトリガーによってアクティブ化されるまで何年も検出されないままになることがあります。これらのリスクを確実に検出して排除するには、クラウド プロバイダーがこれらの脅威をどのようにスキャンして対処するかについても確認する必要があります。

現在、休眠中のマルウェアを見つけて削除するために使用されている高度なツール (「多層防御」アプリケーション ツールと呼ばれることが多い) も、クラウド プロバイダーのサービスの一部になる必要があります。したがって、企業顧客にとって、潜在的なクラウド ベンダーがこれらのツールを標準プロセスの一部として使用し、バックアップおよびリカバリ アプリケーションに統合しているかどうかを確認することが重要です。これを行わないサプライヤーは、あなたの会社の候補リストに載せるべきではありません。

5. 貴社では、データ センターまたはホスティング施設を保護するために、どの程度のレベルの物理的セキュリティを採用していますか?

これまでは、暗号化などの技術的なセキュリティ対策や、サプライヤーが負うべきデータ保護責任のレベルなどの条件に焦点を当ててきました。

ただし、真に信頼でき安全なベンダーであれば、ビジネス データが保存される場所に広範かつ冗長な物理的なセキュリティ対策を講じているはずです。信頼できるプロバイダーと小規模なプロバイダーを分けるのは、物理的なオンサイト セキュリティに必要な投資とインフラストラクチャです。これは、ほとんどのクラウド サービス プロバイダーが備えていないものです。

あなたが探しているベンダーは、施設の物理的なセキュリティを確保するために、理想的には 24 時間 365 日、データ センターにオンサイトのセキュリティ担当者を配置するなどの対策を講じている必要があります。また、アクセスを確認するための認証手段（バッジなど）や、指紋や網膜スキャンなどの生体認証リーダーも用意する必要があります。また、関係する機器を 24 時間 365 日ビデオ監視することも必要です。

最後に、ストレージの冗長性が必要になります。理想的には、データが 2 つの異なる地理的な場所に配置され、1 つのデータ センターで停止やその他の災害が発生した場合にフェイルオーバー機能が利用できるようになります。

ほとんどのベンダーでは、データに対してこのレベルの物理的なセキュリティを提供する余裕がないことがわかります。ただし、このレベルのセキュリティを提供できるサービス プロバイダーを選択する価値はあるかもしれません。

6. 貴社はどのような安全性およびコンプライアンス認証を取得していますか?

これは、ビジネスに潜在的なクラウドベンダーに事前に尋ねるべき重要な質問です。ベンダーがクレジットカード処理データをオフサイトのデータセンターに保存している場合は、ベンダーが SSAE-16 タイプ 2 監査に合格しているかどうか (データの可用性、セキュリティ、機密性に対処するための適切な対策が講じられていることを示す)、および強力な SOC 制御レポートを備えているかどうかを必ず確認してください。また、貴社は特定の規制要件（例：データは米国に出入りできない）を遵守していますか？

ベンダーは PCI-DSS 認定を受けており、ペイメント カード業界の要件に従って適切なデータ暗号化とセキュリティ プロセスを遵守していますか?ベストプラクティスは、情報セキュリティ管理に関する国際標準化機構の実践規範である ISO-27002:2013 に照らしてレビューおよびテストされていますか?

最後に、規制の厳しい業界に属している場合、またはお客様の個人情報 (PII) や保護対象医療情報 (ePHI) を取り扱う企業の場合は、そのデータの保存を担当する可能性のあるクラウド ベンダーに、そのプロセスが HIPAA、GLBA、SOX などの規制に準拠しているかどうかを必ず確認してください。

7. 貴社ではデータの送信にどのような暗号化プロトコルを使用しますか?

あなたのビジネスでは、現在使用されている最も高度な暗号化標準であるトランスポート層セキュリティ (TLS) 以上のものを要求する必要があります。一部のクラウド プロバイダーは、データを送信するために、特に中間者攻撃に対して脆弱であると考えられている、古い Secure Sockets Layer (SSL) プロトコルを依然として使用している可能性があります。

他のプロバイダーの中には、転送中のデータを暗号化するためのプロトコルをまったく使用しないところもあります。

最も高度な暗号化技術を使用していないベンダーにデータを渡すことは、リスクがあるだけでなく、会社が悪意のある人物の手に渡り、規制当局の規則に違反する可能性もあります。 HIPAA、SOX、GLBA などのデータ プライバシー規制では、転送中の機密データを保護するために「合理的な対策」が必要であることに留意してください。このデータを暗号化しないと（または現在では不適切であると広く考えられているプロトコルを使用して暗号化すると）、組織がこれらの規制に準拠しなくなる可能性があります。

8. 貴社のクラウド サービスにはどのようなレベルの技術サポートが含まれていますか?サポートエンジニアはどのようにトレーニングされていますか?

これは、あなたのビジネスが真の専門家と、経験の浅く、安定性の低いベンダーを区別するのに役立つもう 1 つの質問です。

企業顧客にとって信頼できるクラウド サービス プロバイダーには、電話、電子メール、インスタント チャットでいつでもアクセスできる、十分に訓練されたサポート プロフェッショナルが 24 時間 365 日待機しています。ビジネス顧客がデータ災害や、ビジネスの継続的な運営に不可欠な機能停止や機能停止を経験した場合、クラウド サービス プロバイダーにサポートを求めて連絡したときに聞きたくない最後のメッセージはボイスメールです。

9. エンタープライズ顧客のクラウド サービス アカウントのアクティビティはどのように監視および記録されますか?

記録保持と規制上の目的のため、エンタープライズ顧客向けのクラウド サービス プロバイダーがアカウント内のすべてのアクティビティを追跡し、完全な監査証跡を常に提供できるようにすることが重要です。

さらに良いことに、企業のお客様は、管理者ポータルがプラットフォームに含まれており、お客様とそのチームがいつでもオンラインで包括的な監査証跡にアクセスし、ポータルから直接使用状況レポートを生成できる、信頼できるクラウド サービス プロバイダーを探す必要があります。