基幹系システムのクラウド移行は進むのか？ 日本のIaaS、PaaS事情：すご腕アナリスト市場予測（3/4 ページ）

企業のクラウド活用は一般的となったが、IaaSやPaaSの活用領域は想像以上に狭い。その理由と領域拡大のために必要なものとは？

[安井 望，デロイト トーマツ コンサルティング]

国内企業が本格的にクラウドを活用する契機となるのは何か？

　国内企業の基幹系システムのクラウド移行が進まない理由を3点挙げたが、移行に関わるコストと労力という表面的な障壁の他、保守的な情報システム部門やCIOの意識の問題、その背後にあるガバナンスの問題などの根深い障壁があるというわけだ。これらを簡単に改善することは難しく、時間もかかると思われるが、クラウド移行が進む兆しは幾つか見えてきている。

　1つは「外圧」である。米国では連邦情報セキュリティマネジメント法（FISMA）により、情報セキュリティ対策の実施が連邦政府機関やその業務委託先（民間）に義務付けられ、実施すべきセキュリティ対策は、NIST（アメリカ国立標準技術研究所）が策定する規格やガイドラインで文書化されている。規格やガイドラインは多数あり、全体でリクスマネジメントのフレームワークを構成している。つまり、このフレームワークに準拠していない企業は、政府機関との取引ができないということを法的に定めているのだ。

　同様の目的のセキュリティフレームワークは欧州にもある。それらフレームワークはただ政府との取引にのみ使われるのではなく、民間企業同士の取引の場合にも、最低限備えるべきセキュリティを示すものとして利用されている。

図2 NISTのサイバーアプローチ（出典：デロイト トーマツ コンサルティング）

　日本ではISMS（情報セキュリティマネジメントシステム）がセキュリティへの取り組みを示す認証制度として取得されることが多くなったものの、法制度としてセキュリティ標準への準拠について整備されているわけではない。しかし輸出入に関わる企業や現地で事業を展開する企業にとって相手国の制度は重要だ。

　取引相手から法制度への準拠＝グローバル標準への準拠を求められれば、そのレベルのセキュリティを担保しなければならない。しかし現在のところ、NISTのフレームワークが求めるレベルに達している日本企業はほとんどないのが実情で、その状況を改善するためにも、日本もグローバル標準になるべく、法制度をきちんと行っていく必要がある。またNISTのフレームワークも米国においては最低限の取り組みであり、さらに高度なセキュリティを求められることもあるだろう。欧州においても同様だ。

　これはグローバルな事業展開を図る企業の大きな課題になっているが、グローバルなクラウドサービスはNISTのフレームワークなどへの適合を済ましている場合がある。少なくとも海外においてはそのようなクラウドサービスを利用することでセキュリティ要件をクリアできる可能性が高い。これがクラウド導入の1つの契機となると考えられる。実際にIaaS、PaaSの利用を海外事業の立ち上げから始めている企業が多い。

　ちなみに、海外進出している日本のグローバル企業においては、海外売上比率が8割を占めているような企業であっても、日本国内のIT投資が全体の8割を占める例もあり、国内へのIT投資が突出して多いのが1つの特徴になっている。そのアンバランスの解消への取り組みが、国内でのクラウド活用に結び付く可能性もありそうだ。