BtoBクラウドの責任分界点—第2回:クラウド導入のメリット

投稿日:

今回は、クラウドサービスの性質とクラウドを利用することによって得られるメリットについて解説していきます。あえて今回は契約や法律の話はしません。というのも、クラウドという世界は従来のITの世界と大きく異なるため 、法的な話をするにもサービスの本質の理解が欠かせないからです。 次回は今回の内容を踏まえてクラウド契約のあるべき姿について解説していきたいと思います。

クラウドの定義から読み解くその本質

まずは、クラウドの定義から始めたいと思います。

「クラウド」とは、①インターネット経由で、②従量課金制で提供される、③オンデマンドの④ストレージや仮想サーバなどのITリソースのことを指します。この定義を要素ごとに見ていくと、クラウドサービスの本質が見えてきます。

①「インターネット経由」とは、利用者がブラウザを利用してクラウド事業者のウェブサイトにアクセスするという、誰しもが慣れている行為を指します。インターネットはすでに安価かつ安定した社会的インフラとなっているため、「インターネット経由」で利用できるということは、クラウドサービスはいつでも、どこからでも利用できるサービスであることを意味しています。クラウドサービスはよく電気に例えられることがありますが、インターネットでクラウド事業者のウェブサイトにアクセスする行為は、電気のスイッチを入れるイメージに近いです。

②「従量課金制で提供される」クラウドサービスは、利用した分だけしか料金が発生しません。これは、電気を利用した分だけ電気代が請求されるのと同じです。

③「オンデマンド」のクラウドサービスは、利用者自らが必要な時に必要な分だけ利用できることを意味します。電気をつけたい時にスイッチを入れると電力が供給され、必要になくなったらスイッチを切れば供給が止まるのと同じです。

④「ITリソース」は、クラウド事業者がすべての利用者に対して同一のサービスを提供します。これは電力会社が全ての利用者に対して同じ電力を供給するのと似ています。

これらクラウドの性質は、利用者にとって多くのメリットをもたらします。

クラウドがもたらすコストの最適化

クラウドの利用を検討する一番の理由として、「コスト削減」を上げる利用者はとても多いです。確かに、クラウド事業者は数百万の利用者に対して同じサービスを提供しているのでスケールメリットが得られ、低価格で高性能のITリソースを提供できます。

しかし、クラウドにおけるコスト面のメリットは、「コスト削減」より「コスト最適化」と表現する方がふさわしいと言えます。

簡単なITの利用を見てみましょう。あるコンサートのチケットを販売するために、ウェブサイトを新たに構築する必要があるとしましょう。従来は、希望するスペックのサーバなどを購入し、業者にウェブサイトを設計開発してもらう必要がありました。また、チケットの販売開始直後にアクセスが殺到することが想定されるため、この肝心な時にウェブサイトがアクセスできるよう、余裕を持ったキャパシティを確保する必要があります。このように自前で必要なシステムアプリを整備する世界を「オンプレミス」と呼びます。

オンプレミスには無駄が多いです。まず、ウェブサイトへのアクセスもコンサートが近づくにつれて徐々に減っていき、コンサートが終了した後には皆無になることが想定されます。しかし、一旦購入してしまった以上、需要がなくなっても購入したシステムは保有物として残ってしまい、継続的な管理コストが避けられません。つまり、オンプレミスだと、利用してもしなくても購入費と維持費が発生してしまうのです。

クラウドであれば、この問題が解消されます。必要なときに必要な分だけ利用すれば良いので、アクセス数が多い時は必要なITリソースを確保し、アクセス数が減るにつれて不要になったリソースを解放できます。また、クラウドは従量課金制なので、料金は利用した分だけ支払えば良く、不要になったリソースのコストが避けられます。さらには、いつでもリソースを追加することができるので、前もってキャパシティを計画することさえ不要になる可能性があります。

クラウドがもたらすDX

クラウドのメリットとしてコストの最適化が強調されがちですが、クラウドを一旦利用し始めた民間企業や公的機関 がその利用を加速させる背景には、クラウドが可能にする組織内のDX(デジタルトランスフォーメーション)があります。

その理由は、エンジニアの目線で見るとわかりやすいです。

オンプレミスの世界でエンジニアが新しいシステムアプリの開発を行いたいとします。その場合、エンジニアはサーバなどの設備が入手され、周辺の基盤ソフトウェアなどが設定されるのを待つ必要があります。エンジニアが新しいアイデアを思いついてから実際の実験に着手して開発に移行するまで、数週間の時間がかかっていたのです。

ところが、 クラウドであれば、この時間が大幅に短縮されます。クラウドは利用したいITリソースをいつでも利用できるので、思いつきから開発までの時間が数週間から数分間に短縮されます。しかも、クラウド事業者は常に最新のサービスや機能を提供しているので、エンジニアの“遊び心 or 好奇心”が刺激され、どんどん新しいアイデアが浮かびます。オンデマンドであるクラウドなら、たとえ実験が失敗に終わってもITリソースの利用を終了させればいいだけなので、実験をすることに対する精神的・物理的コストが軽減されます。

また、クラウドを活用することにより、エンジニアとしても本来の業務である「事業の差別化」につながる実験に集中できるようになれることもクラウドの大きなメリットです。たとえば、大半の金融機関は今でも自前でデータセンターを構えており、多くのエンジニアはそれらデータセンターの管理を行っています。しかし、金融機関の事業はデータセンターの運営ではなく、金融商品やサービスの提供です。クラウドに移行すれば、エンジニアはサーバなどの設備の管理から解放され、お客様向けのアプリ開発など、本業の促進につながる業務に集中できるようになります。

このようにクラウドは、エンジニアに対して実験する動機と機会を与え、組織としても実験に対する時間、コスト、そしてリスクのハードルを下げます。結果、クラウドは組織内のDXの加速につながるのです。

クラウドがもたらす安全性

クラウドの利用にあたって、必ずと言っていいほどセキュリティが論点になります。

一時期、クラウドに移行しない最大の理由としてセキュリティへの懸念が挙げられていましたが、この数年間、日本でもセキュリティの安全性こそがクラウドに移行する理由になってきており、海外ではこの議論に決着がついています。つまり、「クラウドは安全ではない」という考えから「クラウドこそ安全」という考えへのマインドシフトが起こっているのです。

クラウドのほうが従来のITより安全であるとみられている理由は多数あります。

まず、 クラウド事業者は数百万の利用者に対して同一のサービスを提供しているため、スケールメリットを活かし、 個々の会社が投資できる金額より遥かに大きな規模の投資をセキュリティに対して行えます。たとえば個々の企業がPCI DSS認証(「Payment Card Industry Data Security Standard」の略で、American Express、Discover、JCB、MasterCard、VISAか共同で設立した Payment Card Industry Security Standards Council(PCI SSC)が運用・管理しているクレジットカード業界のセキュリティ基準。)の取得を考えた場合、すべての要件を自社で管理することは負荷が重くてコストもかかりますが、クラウド事業者であれば、多数の利用者にサービスを提供していることから、このコストを分散できます。

さらには、クラウド事業者は様々な規制要件やセキュリティ要件に準拠した物理的なセキュリティを踏まえたサービスを提供しているので、 クラウド事業者の方が個々の企業よりセキュリティに関する知見が豊富です。

結果、クラウドサービスは、グローバル金融機関や世界中の政府など、極めて機密性の高い情報を扱う機関に利用されています。また、クラウド事業者はすべての利用者に対して同一のサービスを提供しているので、個人や個人事業主であっても、 堅牢たるITシステムが求められる金融機関のセキュリティ水準を満たしたサービスが利用できルわけです。

このように、クラウドには経済規模があるからこそ達成できるセキュリティがあります。

クラウドがもたらす多様性

クラウドでは、クラウド事業者が同じサービスをすべての利用者に対して提供します。従来のオンプレミスの世界では、利用者が事業者との交渉の上、欲しいITをカスタマイズの上で設計・開発してもらっていたので、サービス自体に柔軟性がないクラウドは一見オンプレミスと比較するとデメリットにみえてしまうかもしれません。

しかし、カスタマイズされているITはカスタマイズされた機能に拘束されてしまうというデメリットがあります。どのシステムも、遅かれ早かれアップグレードや更新が必要になってきますし、その維持費はカスタマイズされたITを保有している利用者側の負担となります。

クラウドでは、そういったカスタマイズの縛りや悩みから解放されます。クラウド事業者は、自己の開発費用で常に新しいサービスや機能を追加しており、多数の利用者に同時に同様のサービスを提供することでその費用を回収しています。したがって、利用者は、何もせずとも、常に最新のサービスをいつでも利用できるわけです。

では、サービスがカスタマイズされない中、利用者はどのように自己のニーズに合ったITを確保していくのでしょうか。その答えは、利用者側のサービスの利用方法にあります。

これまではクラウドサービスを電気にたとえてきましたが、クラウドサービスと電気では一点、大きく異なることがります。それは、提供されているサービスの数と種類です。

電力会社は、「電力」という一つのサービスしか提供していません。しかし、クラウド事業者は、ストレージ、コンピューティング、データベース、分析ツールといった多数の種類のサービスを提供しています。セキュリティの一環である暗号化さえも、サービスという形で提供されます。利用者は、これら多種多様なサービスを組み合わせることにより、自己のニーズにあったITのシステムアプリを構築していくのです。

クラウドを活用すれば、個人が家族写真を保存することもできるし、事業主が自分のお店を案内するウェブサイトを構築することもできます。また、物流会社の在庫管理システムを稼働させることもできれば、ゲーム会社がスマホアプリゲームを配信することもできます。クラウドの利用事例は多種多様ありますが、どんな利用であっても、クラウド事業者から見たら提供しているサービスは同じです。

つまり、オンプレミスでは事業者側で行われていたカスタマイズが、クラウドでは利用者によって行われるのです。

クラウドにおけるShared Responsibility Model

クラウドでは利用者がカスタマイズを行う、ということは、すなわちクラウドの利用がセルフサービスモデルであることを意味しています。したがって、サービスの利用にあたっての責任の一部を利用者が負う必要が出てきます。

このように責任がクラウド事業者と利用者との間で分担されることを、「shared responsibility model」と表現しています。

AWS責任共有モデル概念図 https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/

一般的に、shared responsibility model はセキュリティに関して使われることが多く、クラウド事業者と利用者との間で分担されるセキュリティに関する責任のうち、クラウド事業者が負う部分は、ホストオぺレーティングシステムと仮想化レイヤーから、サービスが運用されているデータセンターの物理的なセキュリティに至るまでの運用、管理、および制御にあります。より簡単に説明すると、クラウド事業者はハードウェア、ネットワーキング、施設などのインフラの保護についての責任を負います。

他方で利用者は、セキュリティパッチを含むゲストオぺレーティングシステムやその他関連アプリソフトおよびファイアウォールの設定に対する責任と管理を担っています。たとえば、クラウドに保存するデータが漏えいしないようにするためには、利用者によるデータが保存されているフォルダの設定が「公開」であってはなりません。より簡潔に説明すると、利用者は適切なセキュリティ対策を実施し安全なアプリケーションを構築する責任を負っています。

クラウドでは、 セキュリティ関連のツールがサービスとして提供されます。具体的には、暗号化やアクセス権限の管理、さらには、クラウド環境内におけるセキュリティ上の問題を発見し、セキュリティの脆弱性を引き起こす可能性のあるイべントが検出されたら自動的に対応するような高度なサービスもあります。利用者は自己に分担される責任を、こういったサービスを使って実行していきます。

「Shared responsibility model」はセキュリティの文脈で語られることが多いですが、この概念はクラウドの利用においてより幅広い場面でも該当します。

たとえば、利用量の管理です。

上述したとおり、クラウドの大きなメリットはコスト最適化であり、それは従量課金制により実現されます。しかし、利用した分だけ支払えば良い、ということはその反面、利用してしまったら支払わなければならないことを意味しています。オンプレミスの世界では、事業者から固定額でシステムアプリを購入していたので予算管理が容易に行えたかもしれませんが、クラウドでは利用者側で予算内に利用料を留めるようサービスを利用する必要があります。

セキュリティに関する責任と同じように、利用者に分担される利用量の管理の責任もクラウド事業者が提供するサービスを利用することにより実行できます。具体的には、予算のしきい値を超えたときにアラートを発信するようなサービスが考えられます。

なお、クラウド事業者は利用者が自己に分担される責任を果たしていくにあたって何もしないわけではなく、様々な形でサポートを提供しています。たとえば、最近のクラウドの利用は満遍なく広がっているので、クラウド事業者としても、各業界における適切なクラウドの利用に関する知見や経験が培われており、それらを白書のような形で公開しています。また、技術者による技術支援やコンサルサービス、研修プログラムや認証制度などの実務的なサポートも得られます。

終わりに

今回はクラウドサービスについて、その性質やメリット、そして責任分担の概念に焦点をおいて解説しました。クラウドサービスは様々な面で従来のオンプレミスの世界とは異なり、必然的にこの違いは契約にも影響を及ぼします。次回は、今回解説したクラウドの性質を踏まえたクラウドサービス契約のあるべき姿について解説していきます。

連載予定

契約のデジタル化に関するお役立ち資料はこちら