最近は、仕事関連でクラウド・コンピューティングのセキュリティーについて調査している。クラウド・コンピューティングを導入した、あるいは導入を検討している日本の企業の殆どが導入にあたっての懸念事項にセキュリティーを挙げているようだ。
確かに、データセンターの中でどのような設定がされ、運用されているかがブラックボックスになっているクラウド・コンピューティングのサービスでは利用者が不安を抱くのも仕方が無い。
しかしながら、考えても見るとクラウド・コンピューティングの歴史は浅いが、未だ大規模なセキュリティーに関するインシデントは発生していないのが現実ではないだろうか?(Salesforce.comの顧客リスト漏洩問題があるが、これはデータセンターの問題というよりは社内の顧客情報管理の問題なのであえて除外する)
そこで、もう一度クラウド・コンピューティングのリスクは何か?と考えてみた。最近発生したTwitterやFacebookに対するDoS攻撃の例を考えるとクラウドに対するサイバー・テロ(およびそれによるサービス停止)は、あまり議論されていないリスクだと思う。だが、DoS攻撃は攻撃元からのトラフィックを遮断して被害を少なくすることが可能だし、永遠に攻撃が続くわけではない。そう考えると、実はベンダーロックインの問題が一番リスクなのではないかと思うに至った。
Amazon EC2のようなIaaSの形態であれば、中で動くアプリケーションなどはオンプレミスのものをそのまま使うことが出来るし、データ形式なども通常のサーバーで稼動するものと同じである。しかしながら、PaaS, SaaSではどうだろうか?Salesforce.comなどではCSVでデータを吐き出す機能を持っているが、大量の顧客データをCSVで吐き出して、別のクラウドにインポートして使えるように再構成するのは大変である。PaaS, SaaSではデータ形式などが共通化されていないので、一旦あるクラウド・サービスに乗ってしまったら最後、そのベンダーと心中することを決めなければならない。
このことは、2つのリスクをもたらす。1つはベンダーが倒産したり、サービスをやめてしまった場合に、そのサービスを利用する業務が続行不能になる可能性があること。もう1つは、技術の陳腐化、競争力の低下の可能性である。今でこそクラウドのサービスは時代の最先端というイメージがあるが、それはクラウドのベンダーが最優先に大量の投資をインフラやサービスに投入しているからである。さて、あなたが心中を決めたクラウドのベンダーは永遠に時代の最先端を走れるという保証があるだろうか?ハードウェアの交換やプラットフォームを構成するソフトウェアのアップデートなどをクラウドのベンダーはあなたの企業のIT部門に成り代わってし続けなければならない。サービスを続行する以上、ベンダーはこれらの維持作業をせざるを得ないが、他のベンダーに対して優位性を持ち続けることは資金や他者の破壊的なテクノロジー革命によって困難になるかもしれない。
クラウドサービスの互換性が無い現在、企業が自社のシステムの大部分をクラウドに預けるということは上記のリスクから考えづらいところである。現状の市場の動向を見ても、システムテストのためにAmazon EC2を曲がりする。業務の一部分をSaaSに移行するといった部分的な使用に留まっていることが分かる。日本政府の次世代システムの研究でも、クラウドの間をスイッチする技術というのがテーマとして挙がっているのもなるほどというわけである。
世界のコンピューターが5台になるクラウド時代のためには、企業、あるいは個人が特定のクラウドサービスにロックインされないようにする標準化、互換性維持方法の策定などが不可欠なのである。これがうまくいかないとクラウドはバズワードかつ部分的な普及で終わるだろうし、万が一ユーザーが騙されてしまったとすると、クラウドベンダーにロックインされる、オープンシステム以前の暗黒時代に逆戻りすることになるだろう。
