2016.02.01 (Mon)
ICT節電特集(第1回)
ワークスタイルの変化と在宅勤務
在宅勤務や、夏の節電対策による勤務時間の変更(サマータイムの導入)などの施策を取り入れる企業が増えています。毎日決まった時間に社員全員がオフィスに出勤するのではなく、さまざまな場所で仕事をすることを考えると、避けて通れないのが社内システムに社外から接続する、「リモートアクセス環境」の整備です。
リモートアクセスを考える時、考えたいのが「クラウドコンピューティング」の機能をサービスとして提供する「クラウドサービス」の利用です。クラウドコンピューティングとは、大規模データセンターなどに設置されたコンピューターを利用して用意された「コンピューターの機能」を、ネットワーク経由でユーザーが利用する仕組みです。
従来、クラウドサービスといえば、「コンピューターやアプリケーションなどを自社で所有しなくても、必要な時に必要な分だけ利用する」ことで、コスト削減できること、ハードウェアやソフトウェアの管理の手間を省けること、最新のバージョンのハードウェアやソフトウェアを利用できることが利点として強調されていました。しかし、元々、ネットワーク経由でアクセスすることを前提としているクラウドサービスは、リモートアクセスととても相性がよいのです。
とはいっても、「どこからクラウドを導入すればいいのか」「何に注意すればいいのか」など、特にITに精通した担当者がいない中小企業でクラウドサービスを利用するにあたっては不安が多いのではないでしょうか。
2011年3月、IPA(独立行政法人情報処理推進機構)から、「中小企業等におけるクラウドの利用に関する実態調査 調査報告書」が発表されました。また、この結果を受けて、今年4月には、クラウドの中でも主にSaaS(*)(Software as a Service)の利用を念頭に置いて、「中小企業のためのクラウドサービス安全利用の手引き」という文書が発表されており、その中で「中小企業のためのクラウドサービス安全利用チェックシート」として14項目が挙げられています。
14のチェック項目は、「クラウドサービスの利用範囲についての確認項目(4項目)」「クラウドサービスの利用準備についての確認項目(4項目)」「クラウドサービスの提供条件等につての確認項目(6項目)」の3つの領域に分かれています。本稿では、このチェックポイントに沿って、中小企業におけるクラウド導入時の留意点について見ていきましょう
SaaSとは
クラウドサービスの中でも、ハードウェアやネットワーク、OSなどの基盤を提供するサービスを「IaaS (Infrastructure as a Service) 」、アプリケーションの実行環境を提供するサービスを「PaaS (Platform as a Service) 」、アプリケーションそのものを提供するサービスを「SaaS (Software as a Service)」と呼びます。
どこから導入すればよいか
最初の「クラウドサービスの利用範囲について」は、どの業務範囲の業務をクラウド化するか、ということです。確認項目としては、以下の4点があげられています。
[A] クラウドサービスの利用範囲についての確認項目
| No. | 項目 | 内容 |
|---|---|---|
| (1) | 利用範囲の明確化 | クラウドサービスでどの業務、どの情報を扱うかを検討し、業務の切り分けや運用ルールの設定を行いましたか? |
| (2) | サービスの種類と | 業務に合うクラウドサービスを選定し、コストについて確認しましたか? |
| (3) | 扱う情報の重要度 | クラウドサービスで取扱う情報の管理レベルについて確認しましたか? |
| (4) | ポリシーやルールとの整合性 | セキュリティ上のルールとクラウドサービスの活用の間に、矛盾や不一致が生じませんか? |
出典:IPA「中小企業のためのクラウドサービス安全利用の手引き」
アンケート調査によれば、既にクラウドサービスを導入済みの企業で、実際に利用している率が高いSaaSクラウドサービスは、電子メールアプリケーションが81.8%、グループウェア(スケジューラ・電子会議室・伝言メモ)が72.7%、デスクトップアプリケーション(ワープロ、表計算)とデータストレージ(サイズの大きなマルチメディアデータ等)が各51.5%となっています。
リモートアクセスを前提とした在宅勤務で大きな問題となるのが、出社しないことによりコミュニケーションがしづらくなることです。電子メールサービスとグループウェアはクラウドサービスを利用することで、リモートアクセス用の環境を新たに構築することなく、どこからでも利用できるようになります。業務に必要なコミュニケーション環境を簡単に、低コストで利用するための選択肢として検討の価値はあります。また、今後の導入意向が高い電子メールフィルタ・スパムチェックなども、フィルタ更新の手間が省けるので、クラウドサービスを利用するのに適しています。
ワープロや表計算などのデスクトップアプリケーションでクラウドサービスを利用することで、社内にいる時も、社外にいる時も、同じ環境で作業ができます。会社で使用しているソフトウェアと同じソフトウェアを自宅で利用する場合、ソフトウェアのライセンスが別に必要になる場合があり、そういったコストを削減できるメリットもあります。
また、これらの他にも、財務会計、税務計算、給与計算、人事管理、顧客管理など、経営管理のためのアプリケーションをクラウドサービスとして利用することも可能です。ただし、導入時は、クラウドサービスで扱う情報の管理レベルや、ルールについて確認する必要があります。たとえば、プライバシーに係わる情報をクラウド上で扱う場合は、個人情報保護法に基づいた委託先の管理が必要になります。また、社内での取り決めで、情報の種類によっては社外に置けない場合もあります。その場合は、コストや運用面でのメリットを勘案して、それでもクラウドを利用した方が良いと判断した場合は、ルールの方を適切に見直す必要があります。
まとめると、「節電のためのリモートアクセス」を目的としたクラウド導入では、メール、グループウェア、デスクトップアプリケーションなどからクラウドサービスを導入するのが手軽で、効果も高いといえるでしょう。導入後、クラウドの運用に慣れてきたら、データの取り扱いやコスト削減効果を考えて、その他のアプリケーションについてのクラウド利用を段階的に検討するのが望ましいと思われます。
コストの検討時には、導入時のコストだけでなく、月々の運用コストについても試算します。比較検討の対象としては、当該アプリケーションを自社所有した場合のハードウェア・ソフトウェアのコスト、運用管理に係わる人的コストなどがあります。さらに、リモートアクセスを利用する場合の、交通費削減効果などについても試算に含めてみましょう。
どのような準備が必要か
「クラウドサービスの利用準備についての確認項目」としてあげられているのは以下の4項目です。
[B] クラウドサービスの利用準備についての確認項目
| No. | 項目 | 内容 |
|---|---|---|
| (5) | 利用管理担当者 | クラウドサービスの特性を理解した利用管理担当者を社内に確保しましたか? |
| (6) | ユーザ管理 | クラウドサービスのユーザについて、適切に管理できますか? |
| (7) | パスワード | パスワードの適切な設定・管理は実施できますか? |
| (8) | データの複製 | サービス停止等に備えて、重要情報を手元に確保して必要なときに使えるための備えはありますか? |
出典:IPA「中小企業のためのクラウドサービス安全利用の手引き」
クラウドサービスといっても、「全部管理はサービス事業者にお任せ」で、何も管理しなくてもいいわけではありません。専任の管理者は必要ありませんが、利用管理担当者を最低1名、確保します。担当者の役割としては、ユーザーアカウントの登録や抹消、ユーザー毎の利用サービスと権限の管理、利用者の教育や問い合わせに対する対応、クラウド上に置くデータの定期的なバックアップ、障害時などのサービス事業者との連絡窓口、クラウドサービスの利用量の定期的な確認と契約の見直しなどがあります。
特に「利用状況の確認」は重要です。クラウドサービスは「利用する分だけ支払う」のが基本であり、実態に合わせて無駄なコストを発生させずに利用できることがメリットだからです。また、サービス事業者から必要なサービスが適切に提供されているかを確認する意味もあります。
不正利用を防ぐためのパスワード管理については、パスワードが外部に漏れないように、ユーザーに対して「わかりやすいパスワードにしない」「定期的に変更する」「紙に書いて持ち歩かない」といった指導を行います。またパスワードを忘れたときの手順などについて、サービス事業者に確認の上、「どのような手順で受け付けるのか」「本人確認はどうするのか」といったことも決めます。
データのバックアップについては、ほとんどのクラウドサービス事業者が、自動バックアップ機能を標準で装備していますので、それほど頻繁にとる必要はないと考えられます。しかし、顧客データや経理データ、売上データなど、失ってしまうと業務の継続が不可能になるような重要データについては、万一に備えて定期的にバックアップをとるようにしましょう。
サービスを選ぶ基準
「クラウドサービスの提供条件についての確認項目」として挙げられているのは、以下の6項目です。
[C] クラウドサービスの提供条件についての確認項目
| No. | 項目 | 内容 |
|---|---|---|
| (9) | 事業者の信頼性 | クラウドサービスを提供する事業者は信頼できる事業者ですか? |
| (10) | サービスの信頼性 | サービスの稼働率、障害発生頻度、障害時の回復目標時間などのサービスレベルは示されていますか? |
| (11) | セキュリティ対策 | クラウドサービスにおけるセキュリティ対策が具体的に公開されていますか? |
| (12) | 利用者サポート | サービスの使い方が分からない時の支援(ヘルプデスクやFAQ)は提供されていますか? |
| (13) | 利用終了時の データの確保 |
サービスの利用が終了したときの、データの取扱い条件について確認しましょう。 |
| (14) | 契約条件の確認 | 一般的契約条件の各項目について確認しましょう。 |
出典:IPA「中小企業のためのクラウドサービス安全利用の手引き」
クラウドサービスの事業者の信頼性については、評価が難しいですが、IPAの手引きでは「株式公開企業であるか」「業務を何年続けているか(安定性の指標)」「利用者の数は多いか」「事故の頻度は高くないか、障害対応がきちんと行われているか」「信頼できる販売代理店等がついていればある程度安心して使える」「大手クラウド事業者が提供するプラットフォーム上で提供されていれば信信頼度が高い」といった項目を挙げています。しかし同時に、これらの項目をすべて満たしていることは必須ではなく、これらの項目を満たしているからといってそれだけで信頼できるとは限らないとも言っています。
失敗しないために一番いいのは、実際にそのサービス事業者を利用しているユーザーから、特に使い勝手、障害の有無や対応などについて話を聞くことです。それが難しいようであれば、信頼できるシステムインテグレーターなどに相談して、いくつかサービスを紹介してもらい、比較検討することも有効です。
サービスレベルとは、稼働率(99.99%等の数字で示されます)、障害発生頻度、障害時の回復目標時間など、数値で表されます。サービスレベルとそれを下回った場合補償について、SLA(Service Level Agreement)として、多くの場合文書で提示されています。メンテナンスや障害発生時の連絡をどのようにするかについても、確認しておく必要があります。また、SLAがきちんと守られているかどうかを確認するための、日常のモニタリングが必要です。サービス事業者によっては、現在のクラウドの運転状況やトラブルの状況などの情報を提供するための専用画面を提供しています。こうした仕組みが用意されているかどうかも、サービス選定の一つの指標となります。
セキュリティについては、システム(OSやアプリケーションのアップデート、セキュリティパッチ・サービスパック適用、ネットワーク多重化)、データ管理(暗号化、自動バックアップ)、ネットワーク(ウィルス対策、不正アクセス対策、障害検知・解析など)、コンピューターを置くデータセンターのセキュリティなどの項目を確認します。
アンケート調査にセキュリティ項目の確認に用いる手段としては「サービス提供者が作成した詳細資料(システム構成等が詳述されたもの)で確認する」が39.0%と最も多くなっています。
アンケート調査にセキュリティ項目の確認に用いる手段としては「サービス提供者が作成した詳細資料(システム構成等が詳述されたもの)で確認する」が39.0%と最も多くなっています。
以上、駆け足で、安全にクラウドサービスを利用するためのチェックポイントについてみてきました。中小企業向けのチェックリストとして公表されたものですが、これらのポイントは、企業規模に関係なく、クラウド導入時の考え方として、参考になります。また、クラウドサービスを提供する事業者でも、ユーザーへの提案やサービス設計時には、こうした点に留意するとよいと思われます。
【参考情報】
「中小企業等におけるクラウドの利用に関する実態調査 調査報告書」
※「中小企業のためのクラウドサービス安全利用の手引き」「クラウド事業者による情報開示の参照ガイド」は、上記報告書の巻末資料として添付されている。
連載記事一覧
- 第1回 ワークスタイルの変化と在宅勤務 2016.02.01 (Mon)
- 第2回 ICTの電気代節約紹介 2016.02.01 (Mon)
