エンタープライズ(企業)の社内システムをパブリック・クラウドへ移行するときに、どのクラウドを選ぶかについて、個人的に少し整理してみたいと思います。
関係部署から合意してもらえるかに関係そうな、セキュリティや請求についても比較してみたいと思います。
(まだ、自分自身調査中のところもあり、勘違いのご指摘や、ご意見いただけると嬉しいです)
1.セキュリティ
クラウド利用を始めるにあたって、まず高いハードルとなるのは、セキュリティが担保されるのかという懸念だと思います。
今までの方法は、ネットワークを分離し(社外と社内/通常系と開発系など)、その境界でアクセス制限や検疫、攻撃防御することで、セキュリティが担保してきました。経営陣や上層部も、「分離されているからこそ安全」というイメージを強く持っていると思います。
そこへ、インターネットと接続しているパブリック・クラウドへ社内システムを移行するというのですから、とても安全とは感じてもらえないかも知れません。
(自社サーバー室での運用よりも安全ですよとは言えませんので)、色々な工夫をして説明をしていくことになるでしょう。
技術的な側面でいうと、以下のメリットが分かり易いのではないでしょうか
- セキュリティ対策に専任チームを置いており、DDoS攻撃などのネットワーク経由の攻撃や、ソフトウェアの脆弱性に対応が迅速にうけられる。つまり、自社で維持管理しているインターネット接続と比べても、セキュリティ強化になり得るということ
- 高い耐震性の建物やラック
- 電源供給系統の二重化
- 地理的に離れた複数センター体制
- 複数キャリアとの接続による安定的なネットワーク環境
ただし技術的な側面で説明しても、「わが社のセキュリティ対策はどこまで高度に実装すれば、十分なのか(安全なのか)」よいかという、質問が返ってきそうではあります。
対策が十分であるかは、『情報資産の価値 x 潜在的なリスク(脆弱性) x 攻撃をうける可能性(頻度)』で判断するのが正攻法でしょう。
でも実際には、システム毎に求められるレベルには差異があり、まじめに評価したところで、評価基準が定量化の難しものが多いので、「労多くして益少なし」ではないでしょうか
いつまでたってもクラウド導入のGoサインが出なくてイライラするだけだと思うので、ここは手っ取り早く、役に立ちそうな別の材料で攻めてみるのが、よいかと思います。
- 第三者機関の認証取得
- 先行企業の採用事例
(同業種での事例が望ましい)
認証
規格 | ISO27001 | ISO27017 | ISO27018 | SOC2 |
概要 | 情報セキュリティのマネージメントが実践のための規範 | パブリック・クラウド事業者向けの追加規範 | パブリック・クラウドでの個人情報保護の規範 | 財務諸表に関わるシステムの場合は、IT統制に適合する証明として必要 |
AWS | 有 | 有 | 有 | 有 |
Azure | 有 | 有 | 有 | 有 |
GCP | 有 | 有 | 有 | 有 |
IDCF | 有 | 無 | 無 | 無 |
さくら | 有 | 無 | 無 | 無 |
Conohaクラウド | 無 | 無 | 無 | 無 |
各社のセキュリティの取組み、認証取得状況
AWS | https://aws.amazon.com/jp/compliance/iso-27001-faqs/ |
Azure | https://www.microsoft.com/en-us/TrustCenter/Compliance/ISO-IEC-27001 |
GCP | https://cloud.google.com/security/compliance |
IDCF クラウド | https://www.idcf.jp/company/certification_compliance.html |
さくら クラウド | https://www.sakura.ad.jp/privacy/ |
Conoha クラウド | https://www.gmo.jp/privacy/ |
認証に関する参考情報
2.場所
バックアップを含めたデータの保存場所や、サービス提供を行うサーバーが設置されたデーターセンターがどこにあるか。
データセンターが存在する国の法律に従って、そのデータが取り扱われることになる可能性がありまず。つまり、法的機関の強制執行で、サーバーの差押えや、データの提示を求められるリスクに成り得ます。
そのため、以下の観点で確認をしておくことが必要と考えます
- ユーザーが指定した場所へ、データを格納できるか
- バックアップ等で、事業者が第一のデータ保存場所以外に、データコピーをすることがあるか
- バックアップデータを含めて、どの国の法律によって取扱いを受けるのか(準拠法)
AWS | 世界12リージョン ※ |
Azure | 世界24リージョン ※ |
GCP | 世界5リージョン ※ 東京は2016年下期開設予定 内部的なzone数が多い |
IDCF | 東北(白河)、東京、関西、九州 ※ |
さくらクラウド | 石狩、東京、大阪 ※ |
Conohaクラウド | 日本、シンガポール、US西海岸 ※ |
3.ニーズへ適合性
社内システムのクラウド化にあたって、機能や課金など気になるところは多いと思います。
- オンプレミスシステムを残しつつ、バックアップサイトして利用できるか
- 全国に広がる営業所から、クラウドへのネットワーク接続する手段に何を選べるのか
- 使用料は何に対して課金されるのか。また課金対象の計量はどのようなタイミングで、何を基準にされるのか(たとえば、月間ストレージ使用量とは、どの日のどの量を基準にするのかなど)
その中でも、特に気になりそうな「VMイメージのインポート・エクスポート」、「SaaSとの連携」、「課金」について比較してみます。
IaaSにおける、仮想マシンの可搬性
VMイメージのインポート | VMイメージのエクスポート | |
AWS | 〇 可能
|
△ オンプレから持ち込んだイメージ以外は、エクスポートできない |
Azure | 〇 可能
VHD形式の仮想マシンをインポート可能(Hyper-Vベースでの互換性あり) |
〇 可能
|
GCP | 〇 可能 | 〇 可能 |
IDCF | △ ISOイメージの持ち込み可能
(仮想マシンイメージの持ち込みは不可) |
サーバーのテンプレート・イメージのエクスポート可能 (ユーザー・ローカルに保存可能)※Windowsは不可等の制限あり |
さくらクラウド | △ ISOイメージの持ち込み可能
(仮想マシンイメージの持ち込みは不可) |
△ アーカイブ機能を使うことで、さくらクラウド内での再利用のみできる |
Conohaクラウド | △ ISOイメージの持ち込み可能
(仮想マシンイメージの持ち込みは不可) |
× 不可 |
SaaSとの連携、課金の変動幅
ビジネス向けSaaS提供との連携 | 課金変動幅 | |
概要 | 同事業者が、IaaS以外に、SaaSサービスを展開しているか。 また、それらとの統合的な管理や連携が容易か |
ネットワーク 転送料金による、変動が大きいので、ここに着目 |
AWS | × いまいち普及していない状況 オフィススイート WorkDocs、WorkMail仮想デスクトップ WorkSpaces |
あり |
Azure | ◎普及は、トップを独走状態 オフィススイート Office365 (データ移行など、Azure連携機能あり) 仮想デスクトップ RemoteApps |
あり |
GCP |
△ 価格面で強く、先行していたが、日本国内市場での存在感はいまいち。 |
従量課金 |
IDCF | 無 | 従量性/定額制 を選択可 |
さくらクラウド | 無 | 従量課金 (複数のプランから柔軟に選択) |
Conohaクラウド | 無 | なし |
4.支払方法
請求書払いができると、経理担当者との調整がスムーズかと思います。この点では、企業向けビジネスを長く継続している事業者を選ぶことが、有利だと思います。
請求書払い | 請求書払い (代行請求) |
クレジットカード払い | |
AWS | 不可 | サーバーワークス CloudPack 等 |
可 |
Azure | 可能 (EA契約など) |
- | 可 |
GCP | ? | ? | 可 |
IDCF | 可能 | - | 可 |
さくらクラウド | 応相談 (審査あり) |
- | 可 |
Conohaクラウド | 不可 | 不可 | クレジット カード払い or チャージ (事前入金)払い |
5.将来のサービス内容充実と、継続的なサービス提供
各社スタート時点では、仮想マシンやオブジェクトストレージ、Webアプリケーションサーバーなど、基本的なサービス提供から始まっていますが、今となっては毎月のようにサービス拡充が図られ、多くのフルマネージドなサービス追加、既存サービス間の連携強化などが図れています。
クラウド事業への投資額や、マーケット・シェアを見ながら、将来性を占うことになると思います。ここでは個別に比較するのが大変なので、ガートナーのマジッククアドランドをPublicKeyさんの中で分析されているのが分かり易かったご参考まで。