セキュリティ重視なら「クラウド」より「オンプレミス」が正解なのか？

企業のシステム担当者は、今後「オンプレミス」と「クラウド」のどちらで中・長期的に運用すべきかなのか？

という議論がされているのではないのでしょうか？昨今はクラウドの流れが進んでおり、あらゆるサービスがクラウド化されておりますが、独自開発が行えるオンプレミスにはクラウドに比べて大きく２つのメリットがあると言われています。

メリット①自社基準で極めて高いセキュリティレベルを追及できる
メリット②要件や仕様を完全に自社オリジナルにすることができる

金融業界や高いセキュリティ要件が必要な業界においては、クラウドサービスが提供するセキュリティ基準より高いレベルが求められることがあり、そういった場合やカスタマイズの柔軟性を求める場合はオンプレミスを選択せざるを得ないケースがあります。

しかし、クラウドサービスにおいて弱点とされてきた、カスタマイズや高いセキュリティ要件を満たすサービスが誕生してきております。本日はebisumartでマーケティングを担当している筆者が、オンプレミスとクラウドサービスについて詳しく解説してまいります。

進むクラウドサービス！2020年には2015年の約4倍もクラウドサービスが普及する！

米シスコシステム社の調査によると、クラウドサービスの普及は2021年には2015年の約4倍も、クラウドのトラフィックが増えるというデータがあります。

◆世界の年間クラウドトラフィック予想

データ・グラフ引用先：米シスコシステムズレポート：「Cisco Global Cloud Index（2015-2020）」

このような潮流の中で、オンプレミスを選択する優位性は少なくなってきておりますが、大企業の一部においては、クラウドサービスのセキュリティ基準や、カスタマイズができないことを理由に、せっかくクラウドサービスに移行したのに、もう一度オンプレミスに戻る企業も存在するのです。

それでは、オンプレミスとクラウドには、それぞれどのような特徴があるのでしょうか？

オンプレミスとクラウドの比較表

まずは、下記の比較表をご覧ください。

一見すると〇以上が多いのはクラウドサービスになりますが、クラウドサービスがオンプレミスより絶対的に優れているということではありません。業界や会社によって「オンプレミス」か「クラウド」を選ぶべきであり、場合によってはクラウドよりオンプレミスが適している場合があるのです。

オンプレミスを選択する時の２つのポイントとは？

ポイント①業界標準以上の高いセキュリティ基準が必要な場合はオンプレミス

クラウドサービスがセキュリティが低いという風潮がありますが、どの企業にとってもセキュリティは命題であるため、セキュリティの低いクラウドサービスなどありません。一定水準以上のクラウドサービスをどのクラウドベンダーも提供しています。

ただし、業界を代表するような大手企業や金融業界においては、高いセキュリティ基準を達成する必要があり、そのような企業では、クラウドサービスが提供するサービス以上のセキュリティに対応しなくてはなりませんから、自社開発することにより、高いレベルのセキュリティを自社で達成し保つことができます。

ポイント②ブラックボックスのない完全な自社仕様のカスタマイズが可能

クラウドサービスは一般的にソースコードを開示しておらず、プログラムはブラックボックスになっていることがほとんどです。また多くのクラウドサービスではカスタマイズができないか、カスタマイズの幅に制限があります。

一方、オンプレミスであれば、自社に技術力の高いリソースを抱えることで、カスタマイズの幅は無限です。あらゆるシステムと連携したり、自社システムを完全にシステム統合することさえ可能です。

オンプレミスが向いている企業とは？

ですから、オンプレミスのメリットが「高いセキュリティ」と「自由なカスタマイズ」とした場合、下記の３つの与件がある企業に限られます。

・業界・自社において高いセキュリティ基準が必要
・自社開発可能なコストやインフラが負担できること
・技術力が高いリソースがあること

しかし、現実的にこれらを満たす企業は一握りの大手企業に限られます。ほとんどの企業はクラウドサービスを検討することになります。また資金がある企業であっても、自社で開発要員を集めるのは、技術者が不足する日本では大変苦労しますし、システム会社に依頼したり、海外にアウトソースするにしても容易なことではありません。

また、ベンダー企業に依頼して、自社サーバー・システム資産内でオンプレミスを実現することは可能ですが、システムをパートナー会社に完全に握られてしまうことで、実質システムのブラックボックスを抱えてしまっては、オンプレミスの意味がありません。

では、昨今のクラウドサービスのセキュリティーやカスタマイズ性はどうなのでしょうか？

セキュリティレベルが高まるクラウドサービス

セキュリティ要素が、クラウドサービスにおいて課題だったのは過去の話です。下記の記事の引用をご覧ください。

セキュリティはもはやクラウド黎明期にあった障害物ではなくなっている。クラウドおよびクラウド上で利用可能なサービスが何年もかけて成熟していく過程で、それらには多くのセキュリティ機能が組み込まれ、各ベンダーからさまざまなツールが入手可能となった。クラウド関連のコンプライアンスは遅れを取り戻しているのだ。

引用先　ZDNet Japan：2018年のクラウドコンピューティング予測5つ–A10

2010年から普及しはじめたクラウドサービスは、多くの企業にサービスを提供してきた結果、多くのセキュリティ要件を満たす必要があるため、多くのセキュリティ機能実装を重ねてきた歴史があります。

例えばセキュリティ基準の高いA社の要求を満たせば、同じクラウドサービスを利用している全顧客が、その高いセキュリティ要件を満たせるメリットがクラウドサービスにはあるのです。

また、各業界において高いセキュリティ要件を求められており、例えばEC事業者においては、経済産業省が主導したクレジット取引セキュリティ対策協議会より「クレジットカード取引におけるセキュリティ対策の強化に向けて」という実行計画が発表されました。

これにより、EC事業者は2018年までに「①カード情報の非保持化」あるいは「②PCI-DSSに準拠」を求めらます。弊社クラウドのECプラットフォームebisumartではPCI-DSSにシステムを準拠オプションサービスの発表しました。

国内初、クレジットカード業界における国際セキュリティ「PCI DSS」準拠オプションの提供を発表した安心なECプラットフォーム。

このようにクラウドサービスは、事業者や業界が求めるセキュリティ要件を実装が進んでおり、クラウドサービスがオンプレミスに比べて、セキュリティに弱いというのは必ずしも当てはまらなくなってきました。

APIを利用し、自社でカスタマイズ可能なクラウドサービスも！

クラウドサービスが全くカスタマイズができないというのは過去の話です。昨今はカスタマイズ領域を用意したクラウドサービスも普及しております。例えば、弊社のebisumartはクラウドのECプラットフォームですが、ECサイトのフルカスタマイズが可能ですし、APIを使って、クライアント自身でカスタマイズすることさえ可能です。

カンタンに説明するとAPIとは、クラウドサービスのプログラム側でデータベースなどを操作する窓口を用意しておき、事業者はその用意されたAPIを利用することで、他システムの連携などのカスタマイズを実現することが可能なのです。

こういったAPIはあらゆるクラウドサービスで提供しはじめられており、クラウドがカスタマイズができないというのは過去の話になりつつあります。