クラウドに向かないシステム
・情報漏えいなどのトラブルが発生したとき、それが即座に企業の存続を脅かすことになるシステム
・監督官庁からの指導があるなど、法的な制約からオンプレミスで運用しなければならないシステム
問題点
基本的にはすべてのデータがクラウドに集約されるため、
クラウド提供側やネットワークの障害や、あるいはクラウド提供側の倒産やサービス終了などで
クラウドのサービスが使用できなくなると、クラウドコンピューティングを利用する企業の経営も停止する恐れがある。
Saa(SSoftware as a Service)「サース」
インターネット経由のソフトウェアパッケージの提供
電子メール、グループウェア、CRM
セールスフォース・ドットコムのSalesforce CRM、マイクロソフトのMicrosoft Online Services、GoogleのGoogle Apps
PaaS(Platform as a Service) 「パース」 PaaSはSaaSの発展形 セールスフォース・ドットコムが提唱
ユーザーのシステムを稼働させる事もできるプラットフォーム自体を、インターネット経由でサービスとして利用できる形態
Force.comプラットフォーム、GoogleのGoogle App Engine、AppScale、マイクロソフトのWindows Azure、
Amazon.comのAmazon S3やAmazon DynamoDBやAmazon SimpleDBなど。
Iaa(IaaS(Infrastructure as a Service)「イアース」
(仮想マシンやネットワークなどのインフラ)そのものを、インターネット経由のサービスとして提供する
Amazon.comのAmazon EC2
スケールメリットや、設計・開発・運用の標準化・共通化、ピークの平準化によるリソースの利用率向上
→コストの低減や、相対的に安価なサービス料
→本当に低価格となるかはプロバイダ次第
→スケールメリットは得られるが、従来の共同センターやアウトソーシングと比較して低価格化が実現できるとは限らない。
自前のコンピュータや、そのハードウェア、ソフトウェア、設備などを保有・設計・開発したり、
更に保守・管理する必要が無くなる。
ユーザー自身で購入した場合と比較して、陳腐化が進まず、最新のバージョンのアプリケーション・ソフトウェアが利用でき、財務上は資産が削減でき、必要に応じた規模の拡大・縮小や中断などが比較的容易に行える。
ユーザーはネットワークに接続すれば場所を問わず自己のデータにアクセスできる。
http://www.atmarkit.co.jp/ait/articles/1007/07/news092.html
ネットワーク経由でのアクセス
オンデマンド、かつセルフサービス
ITリソースプール
迅速な伸縮性 ITリソースが無限に存在するように見え、必要なときに必要な量を購入することができる。
ITリソースが計測、管理されたサービス
ITリソースの抽象化
従量課金
「法制度」
「技術」
大分類
運用
監査
小分類
サービスの監視
アクセスコントロール(ID管理)
パッチ管理・脆弱性管理
インシデントレスポンス
構成管理
クラウドサービス利用者側
監査実施者側
リスク・課題の内容
・従量課金の正確さの確保、不正利用の排除
・適切なログ取得とユーザーへの提供、モニタリング機能の提供
・仮想OSやハイパーバイザへのアクセスコントロール
・ユーザー利用端末の認証
・自社システムとクラウド環境での統合認証方式
・クラウド内(仮想OS、ハイパーバイザ)のセキュリティ対策
・パッチマネジメント
・インシデント発生時の原因究明や解析などに利用するログの取得(ログの種類とタイミング)
・クラウド環境におけるインシデント調査のレスポンスタイム
・利用者側のインシデント調査チームによるクラウド事業者環境への立ち入り調査の実現性
・クラウド構成機器の設定ファイルが事業者側で変更された場合における、利用者側のバージョン判別
・複数のクラウドサービスを同時に利用した場合の社内システムの全体把握
・クラウド事業者への監査要求が受け入れられない可能性
・クラウド監査技法の整備(既存の保証型監査との関連性確認など)
・多数の利用者からの監査要求に対応するための監査法人の人材確保
表3 運用の観点からみた課題