デビッド・ギーア氏のレポートではクラウドコンピューティング7つの大罪のタイトルだが内容的には最近フィーバーから見て取った失敗事例のようだ。
http://www.ciojp.com/technology/t/27/13848
- 入り口で身元確認をしない:
クラウドサービスだけで本人認証を完結するシステム事例が多いが企業内システムと連携させる場合は本人認証の仕組みを社内システムのそれと連携させなければいけないが、カスタマイズの手間を押えるためか、簡易型の認証システムを利用する例が多いらしい。簡易型の認証で社内システムに入り込むリスクを抱え込むことになる。もともと社内の認証システムも中途半端なものだったからベンダーが用意するものを採用したのだろうが本末転倒になっている。 - APIキーの保護を考えない:
クラウドサービスのメリットを最大限発揮させるためにAPIを公開することがあるが、脆弱性のポイントになりかねない。キーは時間による変更、公開先による変更などの手当てのほか、アクセスエラーのトレースによる不正アクセス管理なども行う。 - クラウド・プロバイダーに強く依存する:
クラウド・プロバイダーが提供するサービスは多様化し使い勝手が良く重宝なものとなっているが、企業の命運を全く依存するリスクからの回避を常に考えるべきであると。クラウドの技術だけを社内システムに取り込む工夫も始まっている。 - リスクや説明責任もアウトソーシングできると考える:
アウトソース出来ないのは分かっているが、みんなで渡れば怖くないで済ますことは出来ない。昔のIBM神話と同じか。止まらないクラウドも止まる事があるという現実が示された以上どんな言い訳も通用しない。なぜクラウドかも改めて確認しておくべきだろう。 - IT担当者やセキュリティ担当者と相談せずにクラウド・プロバイダーと契約する:
こんな馬鹿なことはありえないと思うが、現実には情報システム部門との面倒なやり取りを回避できるし巨額の設備投資も顔を出さないので事業所・部門・グループ会社などで契約する例が後を絶たない。ITガバナンスの方法論が問われる。 - クラウドのセキュリティを過大評価する:
クラウドサービスプロバイダが一流のセキュリティ監理者かどうかは分からない。「特定のセキュリティ機能の提供、セキュリティ・タスクの文書化、すべてのセキュリティ・ポリシーおよびセキュリティ対策をまとめた一覧の提供、そしてセキュリティ報告書の提出を要求するべき」との記載もあるが、その前に企業のセキュリティ要件を明確に出来なければ交渉にもならないだろう。 - コストを正しく理解しない:
標準サービスは安いが極めて限定的かもしれない。サービスの多くがオプション化されていることもあるようだ。自社システム側の回収も発生するかもしれない。結局、何年でいくら掛かるのか。見掛けの数字で稟議を通してプロジェクトを始めたら思わぬ費用に驚いて立ち往生する例もあるんだろう。
まだまだ調べることがありそうだ。
