− 第51回 −

ダークサイド・オブ・クラウド　−クラウドの暗部−
その難関に立ち向かう米国IT業界（前編）

クラウド・コンピューティング、その現実は甘くない

　エンタープライズ・クラウド・サミットの初日　─　「Do We Really Need Clouds?（クラウドは本当に必要なのか？）」と題した講演で、大手民間調査会社Forrester Research社のJames Staten氏（Principal Analyst）が過熱気味のクラウド・ブームを批判した。

　同氏は、プロバイダー側に対して「クラウドのSLA（Service Level Agreement⁽⁷⁾）は99.5％から99.9％と低い。これは年間で数時間のダウン・タイムを意味し、基幹業務には使えない」と述べる一方、使う企業側についても「Forresterが行った最近の企業調査では、企業の3分の2がSOA（Service Oriented Architecture⁽⁸⁾）を導入していない。SOA基盤なしに、クラウドを効率的に運用することは難しい」と述べている。

　また“Pandora’s New Box（パンドラ⁽⁹⁾の新しい箱）”と題したパネル・ディスカッションでも、クラウドへの厳しい指摘が飛び交った。たとえば、「現在のクラウドには法律も規制も十分に対応できておらず、ベスト・プラクティス（模範利用例）もない。普及が進む中、（企業法や規制に準じた）適正運用ができるかどうかわからない。それに対応する制度面の整備が今後重要になる」との意見が出た。

　一方、「クラウドに関心を持つ開発者は、企業のCTOに無断でクラウドを使った開発をするだろう。こうした傾向に歯止めは掛けられず、当面クラウド開発のアンダーグラウンド化は避けられない。企業の情報管理部門が知らない間に企業の機密情報がクラウドに蓄積され、クラウド経由のセキュリティ・ホールが生まれるなどのトラブルが想定される。クラウドは、セキュリティや知的財産の管理を難しくさせる」といったクラウド独特の問題も提示された。

　国際市場については「カナダやフランス、ドイツは企業データを自国内に置くように規制で制限している。米国にあるクラウド・データセンターは使えない。コスト的にもシステム的にも、大きな制約となってしまう」との指摘もあった。

　このように、クラウド・コンピューティングの導入に意欲を示し始めた米国企業は、様々な問題や課題に直面している。よく指摘される話をまとめてみると、次のようになる。

・　クラウドの投資対効果：クラウドを導入すれば必ずコストが下がるわけではない。スケールアップしやすいため、逆にサーバを過剰に抱えることがある。クラウドに移っても、運用サーバの数を減らせなければコストは削減できない。また、クラウドはピーク・レート（平常時とピーク時の比率）によって効率が大きく変わる。適切なピーク・レートでなければクラウドは高くつく。

・　クラウドの料金体制：Amazon Web Services社のEC2で有名な従量課金制（利用したIT資源に応じて料金を支払う）が注目を集めているが、本当に安いかどうかはわからない。従量課金では、多くの開発者が、後でクレジットカードの請求額をみて驚くことがある。基幹システムでは、ある程度の利用制限はあっても月額固定の料金体制でなければ安定した運用ができないし、顧客への料金再転嫁もむずかしい。また、課金情報をリアルタイムで表示するなど、対応の向上が望まれる。

・　クラウドの信頼性・堅牢性：一般にクラウド・コンピューティングの稼働率保証は99.5％〜99.9％程度。これでは年間数時間の運用停止に追い込まれる。99.99％の信頼性が欲しい。

・　クラウドの透明性：クラウド・データセンターの障害発生状況やシステムの運用状況など、情報公開が不十分。ユーザーが迅速な対応を取るためにはリアルタイムで正確な情報提供が必要。

・　クラウドとSOA：企業におけるSOAの導入はなかなか進んでいない。非導入企業はクラウドの高度利用は難しい。既存のアプリケーションやデータセンターとクラウド・アプリケーション、クラウド・データセンターとの統合（アグリゲーション）は不透明で、できるかどうかは実際に試すしかない。このアグリゲーション・トラブルは、多々発生している。

・　知的財産・情報の保護：Amazon Web Services社のEC2などを使えば、社内のデベロッパーが個人レベルでアプリを開発できる。そのため知的財産が知らない間に流出したり、クラウド・デベロッパーとの間で知財の権利関係が不明確になるなど、従来の枠をこえた対応が必要になる。

・　企業規制への対応：企業情報システムは、PCI DSS⁽¹⁰⁾、SOX法⁽¹¹⁾、HIPAA⁽¹²⁾などへの対応（企業コンプライアンス）を義務づけられている。こうした規制はパブリック・クラウドのような柔軟性の高いシステムを想定していない。

・　犯罪などのリスク：パブリック・クラウドは、猥褻やギャンブル・サイトなどの温床になる可能性がある。自社は違法行為を行っていなくても、捜査当局が他のユーザーを狙って捜査にはいれば、クラウド・データセンターが運用停止に追い込まれたり、情報の保全命令、システム開発の中断などに巻き込まれることが予想される。

・　データ・ロケーション／プライバシー：クラウドでは企業や個人の情報が様々なデータセンターやプロバイダーに分散・蓄積される。そうした第3者がどのような情報保護や情報運用を行うかは不明確。また、そうした情報保護を義務づける規制もない。企業のIT保険はそうしたクラウドによるトラブルを想定していない。

　このようにダークサイドの意見が活発化している反面、米国の専門家はこの風潮を歓迎している。たとえば、IBMのRic Telford氏（VP、IBM Cloud Services）は「企業が本気でクラウド導入を進めようとしているからこそ、ダークサイドの議論が増えている」と分析している⁽¹³⁾。その背景には「厳しい意見を述べる専門家は多いが、クラウド・コンピューティング自体を否定する論調や意見はほとんど見られない」という現状がある。

◇◇◇

　さて、後編では、クラウド階層図をベースに、ダークサイドに立ち向かう主要プレーヤーの取り組みについて分析してみよう。

(2009年6月22日公開)

「小池良次氏が講演するセミナーのご招待券」を３０名様にプレゼント！
「小池良次氏が講演するセミナーのご招待券」をプレゼントは、2009年7月1日(水)16:00をもって締め切りました。
たくさんのご応募ありがとうございました。

---

(7) SLA:サービス水準合意 (Service Level Agreement, SLA) とは、通信サービスやコンピュータ・アプリケーション・サービスなどにおいて、サービスの提供者とその利用者との間に結ばれるサービス水準に関する合意である。サービスの定義、内容、範囲、品質、達成目標などを記述する。出典：ウィキペディア日本語版

(8) SOA：ソフトウェア工学において、Service-Oriented Architectureとは、大規模なコンピュータ・システムを構築する際の概念あるいは手法の一つ。業務上の一処理に相当するソフトウェアの機能をサービスと見立て、そのサービスをネットワーク上で連携させてシステムの全体を構築していくことを指す言葉である。業務処理の変化をシステムの変更に素早く反映させたいという需要に応えうるものとして、2004年頃からIT業界において注目を集めている。出典：ウィキペディア日本語版

(9) ギリシャ神話。全能の神ゼウスが、女性パンドラに託して人類に与えた災いを詰めた箱。パンドラは好奇心に負け、その箱を開けたため人類に様々な災いがもたらされた。しかし、箱から最後に「希望」が出てきた（異説では、予兆が箱から出なかった）ため、人類は災いを受けながらも希望を持って生きることができる…という物語。

(10) PCI DSS：PCIデータセキュリティスタンダード（Payment Card Industry Data Security Standard）は、 クレジットカード情報および取引情報を保護するために、JCB・American Express・Discover・MasterCard・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準である。出典：ウィキペディア日本語版

(11) SOX法：上場企業会計改革および投資家保護法（Public Company Accounting Reform and Investor Protection Act of 2002：サーベンス・オクスリー法、企業改革法、SOX法）は企業会計・財務諸表の信頼性を向上させる目的で2002年7月に第26代アメリカ証券取引委員会 (SEC) 委員長であるハーヴェイ・ピット (Harvey Pitt) のもとで成立したアメリカ合衆国の連邦法。法案を提出したポール・サーベンス（Paul Sarbanes）上院議員、マイケル・G・オクスリー（Michael G.Oxley）下院議員の名前から、サーベンス・オクスリー法（略称SOX法）と呼ばれる。日本では企業改革法と意訳されている。出典：ウィキペディア日本語版

(12) HIPAA：Health Insurance Portability and Accountability Actの略称。従業員と家族の健康保険に関する権利を保証する法律。転職時の保険継続、個人医療情報の保護、COBRAベネフィット終了後の健康保険加入を保証する。企業情報システムは、同法に準じて従業員の情報を管理しなければならない。

(13) 同氏は、5月に開催されたInterop Las Vegasの基調講演後、主催者とパネル・ディスカッションをおこなった。そこでダーク・サイドについて触れた。