今週Googleは「われわれはクラウドにオールイン〔ポーカーでチップを残らず賭けること〕する」と発表した。クラウド・サービスのパイオニアとして特に大胆な決断のようには聞こえない。しかし今日(米国時間5/13)のWall Street Journalの記事によると、Googleは社内業務に用いられるほとんどすべてのアプリをインターネット経由のクラウドアプリにしたという。
Googleはわずか2年前の2013年でも社員が外部クラウド上のアプリを使うことをセキュリティー上の理由から禁止していた。大手クラウド事業者が、クラウドを信頼できず、社員に私有デバイスの持ち込みや外部クラウドの利用を禁止するというのは笑うべき矛盾だと批判された。
しかしGoogleもここに来て他の大企業と学んだのと同じ教訓を学んだのだろう。企業のファイアウォールはセキュリティーを保証しない。Googleは社員がどこにいようと、どんなデバイスを用いていようといちいち身元を認証し、会社の建物の外からであろうと中からであろうと一切の通信を暗号化しなければならないことに気づいたようだ。
Sonyの大規模なデータ漏えい事件の直後に、MicrosoftでWindows事業部のプレジデントを務め、現在はBox顧問のスティーブン・シノフスキーは「伝統的なファイアーウォールで守らた企業内データセンターのほとんどよりクラウドの方がずっと安全性が高い」とブログに書いた。
シノフスキーはSonyやTargetが見舞われたようなハッキングによるデータ漏えいがクラウドでは決して起きないと保証はできないとしながらも、クラウド事業者のセキュリティーを破るほうが一般企業のセキュリティーを破るよりはるかに困難だろうと指摘している。
Bessemer Venture Partnersのパートナー、David Cowanは1990年代から企業のセキュリティーを調査しているが、シノフスキーの意見に概ね賛成している。ただし、すべてのクラウド事業者のセキュリテイーレベルが同一ではないと注意を促している。Cowanはわれわれの取材に対してこう語った。
AmazonやGoogleなど有力クラウド事業者のセキュリティーが一般企業が独自に開発したセキュリティーより優れているという点については完全に同意する。
現在われわれが利用するアプリやウェブサイトのバックエンドはさまざまなレベルのクラウド・サービスによって支えられている。しかしデジタル生活をささえるこうしたちょっとしたアプリの背後にあるクラウドが必ずしもGoogleやAmazonなみのセキュリティーを備えているとは限らない[という問題がある]。
急成長したクラウド企業、Boxの場合、しばらく前から社内業務のほとんどをクラウド化している。 CITEworldの2014年3月の記事で当時のCIO、Ben Hainesが「われわれはクラウドにすべてを託している。それによってオンプレミスの処理であったら生じるはずのあらゆるコストをなしですませている」と書いている。
どうやらGoogleも今週になってBoxと同じレベルに達したようだ。現在のビジネス環境では、社員は地理的にどこにいようと、どんなデバイスを用いていようと、企業データにアクセスできなくてはならない。したがって「クラウドにすべてを託す」以外に現実的な方法はないだろう。
しかし問題は多くのIT専門家が伝統的なセキュリティー概念にしがみついて離れようとしないことだ。この1年半ほどの間にわれわれはSony、Target、Anthem、JPMorganその他で起きた大規模なデータ漏えい事件から、いくらファイアーウォールの陰に隠れてもセキュリティーは守られないという教訓を得たはずだ。
Googleもやっとこのことを認めたのだろう。
[原文へ]
(翻訳:滑川海彦@Facebook Google+)