柔軟なセキュリティ対策を実現する方法とは？　ポイントは「クラウド移行」

　外部からの不正アクセス、さらには内部犯行による情報漏えいを防止するためには、デバイス制御やファイル暗号化などを組み合わせた多層的なセキュリティ対策を行うことが重要です。しかし、従来のオンプレミス型の社内システムでは、こうした対策をすぐに行うことは難しいといわざるを得ません。そこで、セキュリティ対策を迅速かつ柔軟に展開するために、私が推奨しているのが、社内システムのクラウド移行です。

　日本では、今までビジネスでクラウドサービスを利用することに対して抵抗感のある企業も多く、実用化が進んでいませんでした。しかし、Amazon Web Services（AWS）をはじめとするPaaSやIaaSなどのサービスが充実してきたことで、社内システムをクラウドへ移行する動きが次第に広がってきています。そもそも社内システムは、本業のビジネスをバックエンドで支えるものであり、柔軟で拡張性が高く、運用の手間もかからないのが本来の姿です。その意味で、とくにサーバーベースのシステムをオンプレミスからクラウドに移行するメリットは非常に大きいと考えています。

　このことは、サーバーシステムを自社で構築することを思い浮かべれば容易に想像がつくと思います。まず、物理サーバーを調達し、システム構築を行い、設置する。設置にあたっては、サイジングや自社内のインフラ設計の見直し、各部門との調整、さらにはサーバーのバックアップなどのメンテナンスの考慮なども必要となります。また、重要なシステムであればあるほど、ウイルス感染や外部からのサイバー攻撃への対策など、サーバーのセキュリティ対策が強く求められます。

　これに対して、AWSなどのクラウドサービスでは、堅牢なデータセンターにプラットフォームが用意されているだけでなく、高度なセキュリティ機能が標準で付加されているケースがほとんどなので、セキュリティ面は万全です。また、社内のインフラ基盤に影響を与えることもなく、バックアップなどもオプションで用意されているサービスもあるので、サーバーを自社構築するのに比べて、システム導入における初期工数を大幅に削減できます。システム管理者にとっては、運用実績の豊富なプロバイダーにシステムを預けることで、複雑なサイジングなどから解放されるとともに、その責任も軽くなります。利用者数が増加した場合でも、クラウドサービスであれば、柔軟にシステムリソースを拡張することができます。

　しかしクラウド移行のベネフィットは多くあるといっても、すべての社内システムのクラウド移行までには時間と多くの負荷がかかります。そこで、比較的社内での調整や、作業の負荷が少ないシステムとして、アプリケーション単位でのクラウド移行を先行させている企業も多いようです。そこで、弊社の情報漏えい対策ソリューション「InterSafe ILP」では、AWSなどのクラウドサービスでのご利用をご提案しています。

　「InterSafe ILP」は、クライアントサーバー型のシステムですが、 サーバー・クライアント間の通信を全てHTTP（S）で実現しているため、一般的なWEBシステムと同様、サーバーをどこに設定しても問題ない設計になっています。さらに、WEBサーバーに直接・簡単にインストールすることができるので、サーバーのシステム構築に手間がかからないのも特徴です。

　たとえば、裏話になりますが、昨年（2013年）夏に提供を始めた無償トライアルサービス「ILPお試しクラウド」では、サービスの契約から運用開始まで、およそ1週間弱で完了させた実績があります。ドメインの取得やSSL証明書の取得にかかった時間を除けば、実際の構築作業はごく短時間で済んでいます。お客様での導入と同等の作業が発生してこのスピードでした。情報漏洩対策製品の導入検討に際して、お客様から「テスト実施までのハードルの高さ」を嘆く声をよく聞きました。こうしたシステム管理者の悩みに応える、気軽に使える試用版として好評をいただいています。

システムをクラウド移行することで、すぐにセキュリティ対策が可能に

　また、「InterSafe ILP」は複数の製品を組み合わせた情報漏えい対策ソリューションとなっているので、「デバイス制御」や「ファイル暗号化」、「持ち出し管理」など、必要なセキュリティ機能を、個別に必要なタイミングで購入することができます。これによって、限られた予算の中で、できる範囲のセキュリティ対策から導入し、徐々に機能を拡張していくといったスモールスタートのニーズにも応えることが可能です。

　このように、社内システムをクラウドに移行し、その上で「InterSafe ILP」を活用することで、新たな脅威が発生しても、すばやくセキュリティ対策を実施し、社内の貴重な情報資産を守ることができるのです。最終回となる次回は、今後予測される情報セキュリティトピックを紹介しながら、“すぐにできるセキュリティ対策”の重要性について総括します。