ミックってご存知です？

誕生日プレゼントは本当にイライラする

友達の誕生日パーティーに招待されるのは非常に喜ばしいことだが、何をプレゼントしようかいつも迷う。考えすぎかもしれないが、他の招待のプレゼントのようであってほしいし、また、あまりにも高価であるか、安いと他の人の贈り物と調和が取れないのだと思う、最後の最後まで贈り物を決めることができない。でも一番いいのは招待した人が受け取ったギフトを、本当に喜んで与える。
ドラマなどでよく悪徳商法の一つに押売りに来る場合がある。その定番商品が象牙の印鑑ではないだろうか。最近見ていたドラマの中でも家庭の神経を安定させるためには、象牙の印鑑を作るのが効果的だと法外な価格で押売りした。信じてしまう方もどうかとは思うが、心の弱さにつけこまれてしまうのは仕方ないかもしれない。
　大企業特有の企業文化とプロセスがクラウドへの移行を阻む障害になっているようだ。ユーザー企業やクラウドプロバイダーはそのハードルを乗り越えることができるだろうか。[Greg Shields，TechTarget]

※関連記事：パブリッククラウドを選択できない企業、クラウドが越えなければならない壁
→http://techtarget.itmedia.co.jp/tt/news/1012/08/news04.html

　最近、大企業のIT担当者を集めた会合で、私は「プライベートクラウドコンピューティング」に関する解説を求められた。しかし、話題はすぐに「パブリッククラウド」へと移った。

　こうしたことは、特にこの2つのコンセプトについてよく理解できていないIT担当者が多いときなど、しばしば起きる。ただ今回の場合、それが技術的な相違に起因したものではなく、むしろ背景に感情的な問題があったことが大変興味深かった。一言でいえば、大企業のIT部門は誰のことも信頼していないのだ。

　もっとも、その主な原因は一般に想定されるリスクにあるのだが、同時に、大企業のITニーズを引き受けているベンダー側にもあるように思える。

　個人的な見解だが、パブリッククラウドと反りの合わない大企業の多くで、そうした傾向が顕著に見られる。どのようなタイプのパブリッククラウドを考えているかにかかわらず、大企業特有の企業文化とプロセスがクラウドへの移行を阻む障害になっている。

　そのような不調和の原因は、一部の業界や政府の規制に加え、データのセキュリティあるいはオーナーシップに関する「極めて道理にかなった懸念」である。現行の規制やセキュリティポリシーは、パブリッククラウドがITの地平に登場するずっと以前に考えられたものだ。多くの場合、そうした規制やポリシーは、会社の所有権が及ばない資産にデータを格納、処理、転送することを禁じている。

　ここでは、取りあえずセキュリティポリシーの気がめいるような詳細やコンプライアンスに関する議論は置き、そのハードルを乗り越えられるかどうかについて少し考えてみよう。前述の会合に集まった人々の声に耳を傾けると、まさにどこにでもあるような議論が聞こえてくる。

　「クラウドサービスではデータセキュリティを保証できない」

　「クラウドサービスではコンプライアンスを確保できない」

　「クラウドサービスでは不正アクセスを防止できない」

　こうした意見は、セキュリティポリシーを定義し、法規制のコンプライアンスに努めている人々にとって、確かに至極まっとうな懸念ではある。だが、ここで問題となるのはポリシーに適合しているかどうかを判断するためのメカニズムだ。
クラウドにおけるコンプライアンスの未来

　われわれの業界にコンプライアンスの専門家といえる人間はほとんどいない。１分即日キャッシングの巻しかし、システムの構成や管理を行うとき、明確に合意された一連のステップを踏んでいれば、監査人がいきなりドアを開けて入ってきても、合格点がもらえることは誰でも知っている。

　アーカイビングのセキュリティやコンプライアンスの確保は契約上の問題ではあるが、同時に技術的な問題でもある。こういう状況を考えてみよう。いま仮に会社がSOX法の規制に抵触したとする。そのとき、あなたはどうするか。ファイアウォールを立ち上げ、イベントログを設定し、権利や許可を制限するなど、各種のデバイスやサービスのコンプライアンスを維持するために必要な一連の行動を取るだろう。それらのステップを実行し、不正が阻止できることを確認すれば、アーカイビングの要件は満たされる。

　しかし、そうしたアクティビティを、あなたに代わって他の誰かが実行することはできないだろうか？　その誰かが合法的に、あるいは契約に基づき、それらのアクティビティを完了した、と報告することはできないのだろうか？　その外部の誰かが合法的かつ契約に基づいてSOX法に対応したと明言すれば、監査人の要求を十分満たすものにはならないだろうか？

　そうしたことは、既にさまざまな形で行われている。例えば、IT管理タスクを従業員ではない外部の契約業者に委託する場合を考えてみよう。法的側面から見れば、会社と業者の関係は、会社とクラウドサービスプロバイダーの関係とそれほど大きく違わない。彼らは契約に基づいてサービスを提供し、その実行に責任を持つ。それを信頼して、あなたはアプリケーションのキーを渡すのだ。

　もちろん、一定レベルの監査は当然要求される。クラウドコンピューティングの場合、ベンダー側の監査人があなたの会社に関連する業務を監査すると考えてよいだろう。もし全ての監査人の能力に差がなく、全員が同一のルールに従うとすれば（理想的にはそうなる）、その方法によって有効な監査が実現できるはずだ。

　われわれは、まだそこまで到達していないかもしれない。だが元来、セキュリティとコンプライアンスは追跡関数だ。つまり将来的には実現する。2011年1月、米国立標準技術研究所（NIST）は、クラウドコンピューティングに関する初のガイドライン（PDF文書）をリリースした。現時点ではまだドラフトだが、そのドキュメントはクラウドコンピューティングに関するNISTの定義のアウトラインを示しており、パブリッククラウドサービスへの移行を検討する組織に向けた非常に高度なガイダンスとなっている。

　最後に、果たしてベンダーによるコンプライアンスで十分なのだろうか？　恐らく十分だろう。その場合に必要となる法的な裏付けも、近いうちに整備されると期待する声もある。そうなれば、大企業などのクラウドコンピューティング移行は加速するだろう。クラウドコンピューティングがもたらす経済効果は既に証明済みだ。残された課題は「信頼」だけなのだ。なるほど。CFDだからね

※関連記事：クラウド提供者の運用管理手法と明確化されていない法的責任に注意
→http://techtarget.itmedia.co.jp/tt/news/1104/05/news04.html