私はお客様に会うといつも「クラウドに移行することの主な目的は何ですか?」と尋ねます。その大半は、「コスト削減のため」と答えます。私は、そのような考えを非難することはできません。Googleで「クラウド導入」などと検索すれば、「クラウドへの移行でいかにコスト削減できるか」というような話ばかりがあがってきます。一般的に、このような記事は、クラウドコンサルタントやプラットフォームプロバイダーなど、クラウドの経済的利点をアピールすることで利益を得る人たちによって書かれたものです。
クラウドを導入すると、時間の経過とともに費用対効果が高くなるものです。しかし、導入当初は予想していない費用が発生する可能性があります。問題の一部は、実際の取り組みに関係するものですが、クラウドコンピューティングを企業文化に応じてどのように実用的に用いるか、またそれがクラウド展開の成功にどのように反映されるかを考慮することも大切です。
クラウドの設備投資と運用上の支出の影響
設備投資について言えば、サービスとしてのプラットフォーム(PaaSまたはクラウドOS)の展開およびサポートに関連するコストは相当なものです。特に、経験豊富な認定クラウド技術者をユーザー企業がタイムリーに見つけられないことが多く、その結果、その機能を外注するために予定外の費用が発生する傾向にあります。
アソシエートエディターのAlex Hickey氏は、CIO Todayに次のように投稿しています。
『インフラストラクチャー、セキュリティ、アーキテクチャー、エンジニアリングを含むクラウドコンピューティング関連の職務に対する雇用者の需要は、過去3年間で約33%増加しました。Indeedの求人データの分析によれば、これらの職に対する求職者の関心は、同期間に約108%上昇しているものの、依然として需要を満たすまでには至っていません。』
さらに、ユーザー企業のチームは、PaaSを運用するためのトレーニングを受ける必要があり、そのための費用が支出に加わります。
運用上の支出に関しては、クラウドコンピューティングでは長期的にはスケールメリットが得られる反面、PaaSプロバイダーに支払う費用がかかるうえに、既存のセキュリティスタックをPaaSプロバイダー向けにマイグレーションすることになる点に留意しなければなりません。また、一部のセキュリティスタックは、技術的な問題により、クラウドへのマイグレーションがシームレスに行えない場合もあります。
さらに、セキュリティ・アサーション・マークアップ言語(SAML)およびクラウド・アクセス・セキュリティ・ブローカー(CASB)を実装するには、追加のコストがかかります。シニアエディターのTara Seals氏は、InfoSecurity Magazineで次のように説明しています。
『「従来のセキュリティツールの機能でクラウド全体のセキュリティを十分管理できる」と回答した組織はわずか16%です。この数字は、2017年から6%低下しています。84%の組織は、「従来のセキュリティソリューションがクラウド環境でまったく機能しない、あるいは機能が限定的である」と答えています。』
クラウドコンピューティングは、企業が「従来のソフトウェアライセンスへの依存を積極的かつ自主的に減らし、クラウドの運用を通じて自動化を増やし、スタッフを減らしていく」という前提のもとで販売されています。これらすべてのことが包括的に達成されると、タイムリーなコスト削減が実現されます。
しかし実際には、企業はこれらのことをほとんど、あるいはまったく実行しないため、短期的なコスト削減も達成できていません。 Druvaの研究員は、これに関する調査を進め、ZDNetで次のように発表しました。
企業は無駄のないデータ管理を目指した取り組みを行っているのにもかかわらず、依然として大量の重複データの存在に手を焼いています。そして、クラウドが提供するデータの柔軟性、スケーラビリティ、およびモビリティを求めていますが、必要なものに対してのみ、金を支払いたいと考えています。
これは、徐々に解消されるべき企業文化の問題です。なぜならば、ユーザーはそのうち、クラウドの機能をよく理解するようになり、使いやすくなっていくからです。
このような問題のために、必然的に、クラウド導入のための投資を回収できるまでには時間がかかることになります。企業は、これらのことに留意して、クラウド導入に対する実用的かつ柔軟な投資対効果検討書を作成しなければなりません。
クラウド導入の投資対効果検討書の作成を支援する
それでは、クラウド導入の投資対効果の検討をどのように進めていけばよいのでしょうか。
- 目標を意識して開始する - 短期的にクラウドから得られるもの(アップタイムの増加、共同作業や仮想化の実現など)に焦点を当てた短期目標、ならびに投資収益率に関する長期目標を設定する。
- クラウドへのアプローチが、オンプレミスへのアプローチと一致または非常に近いベンダーと連携するようにして、クラウドを可能な限りシームレスに展開できるようにする。
- 企業の行動要因を投資対効果検討書に組み込み、現実的かつ実用的な予測を行う。
- IT部門とセキュリティ部門のスタッフからなるクラウド委員会を設置して、クラウド展開の進捗状況を定期的に監視・レビューするようにする。
これらすべてを行っても、まだ欠けているものがあります。Deloitte Consulting社のチーフクラウド戦略オフィサーであるDavid Linthicumは、InfoWorldに次のように寄稿しています。
『注意すべきは、支出ではなく、提供される価値です。クラウドコンピューティングの世界における隠された事実は、運用コストの節約によって価値はもたらされないということです。むしろ、その価値は、弾力性と俊敏性を考慮して開発されたクラウドベースのアプリケーションが実現する運用の俊敏性にあります。』
クラウドの導入とは、「短期的には効率とスケールメリットを提供し、時間の経過とともにROIとコストの削減が実現する戦略的プロジェクト」であると捉えるべきです。しかし、クラウドの導入・展開は、企業がそれらを保護するための適切な保護手段を講じなければ全面的に失敗します。
まずは、「クラウドのセキュリティの概念はオンプレミスのセキュリティのそれとは異なる」ということをしっかりと理解することから始めましょう。つまり、オンプレミスで機能するセキュリティソリューションが必ずしもクラウドでも有効であるとは言えないという意味です。次に、理解した内容をクラウド移行プロセスに活用して、クラウドセキュリティを速やかに開始できるようにします。
最後に、クラウドベースの資産を今後も保護し続けることができるように、クラウドに最良のセキュリティコントロールを適用する方法について理解する必要があります。
Tripwire製品を使用して、組織がどのようにクラウドセキュリティの基盤を築き、それを向上させることができるかについて、是非ご一読ください。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
