...

クラウド・コンピューティング社会の基盤に関する研究会 報告書

by user

on
Category: Documents
24

views

Report

Comments

Transcript

クラウド・コンピューティング社会の基盤に関する研究会 報告書
クラウド・コンピューティング社会の基盤に関する研究会
クラウド・コンピューティング社会の基盤に関する研究会
報告書
平成 22 年 3 月 24 日
独立行政法人 情報処理推進機構
報告書
クラウド・コンピューティング社会の基盤に関する研究会
クラウド・コンピューティング社会の基盤に関する研究会
報告書
参加者名簿
(敬称略)
座長
加藤
和彦
筑波大学大学院 システム情報工学研究科
コンピュータサイエンス専攻 教授
委員
(五十音順)
尾身
達夫
株式会社 リクルート
首藤
一幸
東京工業大学大学院
情報理工学研究科
数理・計算科学専攻
准教授
須崎
有康
情報セキュリティ室
独立行政法人 産業技術総合研究所
情報セキュリティ研究センター
ソフトウェアセキュリティ研究チーム
主任研究員
野村
真実
日本 IT 経営センターLLP 事務局長
元橋
一之
東京大学 工学系研究科技術経営戦略学専攻
馬場
邦雄
株式会社 損保ジャパン・システムソリューション
教授・専攻長
PT-R 推進プロジェクト 部長
渡辺
弘美
アマゾン ジャパン株式会社 渉外本部本部長
オブザーバ
高橋
孝一
経済産業省 商務情報政策局 情報処理振興課 課長補佐
IPA
西垣
浩司
IPA 理事長
斉藤
茂樹
IPA 理事
仲田
雄作
IPA 理事
矢島
秀浩
IPA セキュリティセンター長
松田
晃一
IPA ソフトウェア・エンジニアリング・センター所長
立石
譲二
IPA ソフトウェア・エンジニアリング・センター副所長
田中
久也
IPA IT 人材育成本部長
田代
秀一
IPA オープンソフトウェア・センター長
佐味
祐介
IPA 戦略企画部長
i
クラウド・コンピューティング社会の基盤に関する研究会
クラウド・コンピューティング社会の基盤に関する研究会
第1回
報告書
開催経緯
2009 年 3 月 2 日(月)
・委員からのプレゼンテーションと議論(1)
第2回
4 月 6 日(月)
・委員からのプレゼンテーションと議論(2)
第3回
5 月 19 日(火)
・ゲストスピーカ(クラウドに関する研究会主宰者)によるプレゼンテーションと議論
第4回
7 月 7 日(火)
・ゲストスピーカ(クラウドのユーザ企業)によるプレゼンテーションと議論
第5回
8 月 25 日(火)
・ゲストスピーカ(クラウドサービス提供企業)によるプレゼンテーションと議論
第6回
9 月 25 日(金)
・IPA 事業部門からの発表と議論
第7回
11 月 24 日(火)
・クラウドに関するアンケート調査結果報告
・これまでの議論のポイントについての意見交換
第8回
12 月 22 日(火)
・報告書のとりまとめに向けた議論
第9回
2010 年 1 月 26 日(火)
・報告書についての討議
第 10 回
2 月 22 日(月)
・報告書案の最終レビュー
ii
クラウド・コンピューティング社会の基盤に関する研究会
目
報告書
次
1.研究会の狙いと総括 .................................................................................................. 1
1.1
研究会の狙い ........................................................................................................................ 1
(1) クラウドとは ....................................................................................................................... 2
(2) クラウド化すべき理由 ......................................................................................................... 4
(3) クラウド化が難しい理由 ..................................................................................................... 6
1.2
総括....................................................................................................................................... 7
2.クラウドの成り立ちと現状について ......................................................................... 9
2.1
クラウド出現の技術的背景................................................................................................... 9
(1) 「あちら側」にあるコンピュータの利用 ............................................................................ 9
(2) サービス提供側の視点 ....................................................................................................... 10
(3) サービス利用側の視点 ....................................................................................................... 12
2.2
各国などにおけるクラウドを巡る状況............................................................................... 13
(1) 米国のサービスの現況 ....................................................................................................... 13
(2) 米国政府の取り組み........................................................................................................... 20
(3) 欧州における動向 .............................................................................................................. 28
(4) クラウドに対する国際的な取り組み ................................................................................. 29
(5) 我が国におけるクラウドサービス提供企業の動向............................................................ 31
2.3
クラウドを支える技術 ........................................................................................................ 39
(1) 分散処理・分散システムの技術......................................................................................... 39
(2) 仮想化技術 ......................................................................................................................... 49
(3) セキュリティ ..................................................................................................................... 53
3.クラウドの利用形態や産業・社会への浸透の具体的なイメージ ............................ 58
3.1
産業における SaaS の導入状況 .......................................................................................... 58
3.2
利用企業のタイプごとに見たメリット・デメリット ......................................................... 62
3.3
クラウドの利用拡大における企業経営上の課題 ................................................................ 64
3.4
企業内外のユーザ・カテゴリー別のクラウドに対する見方 .............................................. 66
(1) 想定されるユーザ・カテゴリー別の主なメリット............................................................ 66
(2) 想定されるユーザ・カテゴリー別の主な懸念事項............................................................ 67
3.5
クラウドを活用したセキュリティ対策の実現とセキュリティサービスの可能性 .............. 68
4.クラウドの導入事例とユーザ側の意識・懸念材料.................................................. 70
4.1
導入事例.............................................................................................................................. 70
(1) 導入事例............................................................................................................................. 70
(2) 導入事例の分類.................................................................................................................. 80
(3) 総括(傾向分析) .............................................................................................................. 81
4.2
クラウドアンケート調査結果報告 ...................................................................................... 83
(1) アンケート調査の概要と実施方法 ..................................................................................... 83
iii
クラウド・コンピューティング社会の基盤に関する研究会
報告書
(2) 調査結果............................................................................................................................. 84
(3)
4.3
所感 ................................................................................................................................ 101
優位性 ............................................................................................................................... 102
(1) 開発期間の短縮................................................................................................................ 102
(2) IT 資源(ハードウェア・ソフトウェア)の非資産化...................................................... 104
(3) IT 費用の変動費化............................................................................................................ 104
(4) システムの利用環境変化への自社対応が不要 ................................................................. 104
(5) 運用・保守やセキュリティの「相対的優位性」 ............................................................. 105
(6) 運用コスト(人材、スペース料など)が安価 ................................................................. 105
(7) 試行利用の容易性 ............................................................................................................ 105
4.4 懸念材料 ............................................................................................................................. 106
(1) 懸念事項が生じる主な要因.............................................................................................. 106
(2) クラウド環境のセキュリティに関連する懸念事項.......................................................... 106
(3) クラウド環境の信頼性に関連する懸念事項..................................................................... 108
(4) その他の懸念事項 ............................................................................................................ 109
(5) ユーザ企業における懸念事項まとめ ................................................................................110
4.5
(補論)クラウド導入の視点 ............................................................................................111
(1) クラウド導入に踏み切るか否かのきっかけ......................................................................111
(2) 対象となる業務、ユーザアカウント数に応じた考え方....................................................111
(3) 使い勝手に関する視点 ......................................................................................................111
5.ユーザなどの各主体が重視すべきポイント ...........................................................112
5.1
ユーザが重視すべきポイント ............................................................................................112
(1) ユーザの定義 ....................................................................................................................112
(2) クラウド適用領域の判断 ..................................................................................................112
(3) 検討・導入手順.................................................................................................................113
(4) 運用上の注意事項 .............................................................................................................113
5.2
ベンダが重視すべきポイント ............................................................................................115
(1) ベンダの定義 ....................................................................................................................115
(2) ユーザからの期待 .............................................................................................................115
5.3
公的セクタが重視すべきポイント .....................................................................................117
(1) 公的セクタの「二つの役割」 ...........................................................................................117
(2) クラウドのユーザとしての公的セクタ.............................................................................117
(3) 高信頼なクラウドの利用拡大に向けた支援などについて ................................................118
6.今後のクラウドの進展に伴う検討課題 ..................................................................119
6.1
クラウドの利用拡大に伴う環境整備 .................................................................................119
(1) クラウド活用指針策定の必要性........................................................................................119
(2) サービス選定のための情報公開制度 ............................................................................... 120
6.2
セキュリティ .................................................................................................................... 122
(1) クラウドに対するセキュリティ上の脅威とインシデント事例........................................ 122
iv
クラウド・コンピューティング社会の基盤に関する研究会
報告書
(2) クラウドのセキュリティに関する課題............................................................................ 125
(3) クラウドにかかわる関係者のセキュリティ対策のための役割........................................ 133
6.3
クラウドの今後の進展に関する技術的課題...................................................................... 136
(1) クラウドに対応したソフトウェア・エンジニアリング技術の開発................................. 136
(2) クラウドに関する技術についての特許などの権利問題................................................... 136
(3) ネットワークに関する課題.............................................................................................. 137
(4) クラウドにおける相互運用性 .......................................................................................... 137
(5) 技術面からみたクラウドの今後の普及に関する展望 ...................................................... 139
(6) クラウドにおいて活用されるソフトウェアについて ...................................................... 142
6.4
クラウドの構築と OSS ..................................................................................................... 143
(1) クラウド構築における OSS 適用拡大に向けた我が国の取組み ...................................... 143
(2) 欧州におけるクラウド構築への OSS 活用に向けた取組み ............................................. 146
6.5
クラウド利用の進展に伴い求められる人材とその育成.................................................... 149
(1) クラウドが企業に与える影響 .......................................................................................... 149
(2) クラウド時代に重要になる IT 人材 ................................................................................. 151
(3) クラウド時代に活躍できる技術者になるために必要なこと ........................................... 154
(4) クラウド時代の人材育成 ................................................................................................. 155
<参考>
技術を中心としたクラウドのロードマップ................................................ 156
v
クラウド・コンピューティング社会の基盤に関する研究会
<
空
vi
白
>
報告書
クラウド・コンピューティング社会の基盤に関する研究会
報告書
本報告書は、平成 21 年 3 月から同 22 年 2 月にかけて、10 回開催された「クラウド・コンピ
ューティング社会の基盤に関する研究会」における発表や議論と、これに伴い、研究会委員や事
務局(IPA)が行った調査、検討の成果などを踏まえて取りまとめられたものです。取りまとめ
に当たっては、まず、研究会の委員や IPA の各部門により、以下に示すような分担執筆を行い、
次に、事務局を務めた IPA 戦略企画部において編集を行いました。
報告書中の見解にわたる部分は、必ずしも、研究会の統一見解ではなく、研究会の委員が所属
する組織や IPA の見解を示すものでもありません。また、記述の中にあり得る誤りは、編集に当
たった事務局の責任に帰するものです。
【執筆分担】
1.
研究会の狙いと総括・・・加藤座長
2.
クラウドの成り立ちと現状について・・・首藤委員、須崎委員、IPA(戦略企画部)
3.
クラウドの利用形態や産業・社会への浸透の具体的なイメージ
・・・元橋委員、IPA(戦略企画部)
4.
クラウドの導入事例とクラウドに対するユーザ側の意識・懸念材料
・・・尾身委員、野村委員、馬場委員、IPA(戦略企画部)
5.
ユーザなどの各主体が重視すべきポイント・・・IPA(戦略企画部)
6.
今後のクラウドの進展に伴う検討課題
・・・IPA(セキュリティセンター、ソフトウェア・エンジニアリングセンター、
IT 人材育成本部、オープンソフトウェア・センター)
* Amazon.com は、米国 Amazon.com Inc.の米国及びその他の国における登録商標です。
* IBM は、International Business Machines Corporation の米国及びその他の国における商標です。
* Google は、米国 Google Inc.の登録商標です。
* Intel は、米国 Intel Corporation の米国及びその他の国における Intel Corporation 又はその子会社の登録商標です。
* Linux は、米国 Linux Torvalds の米国及びその他の国における登録商標です。
* Microsoft、Windows は、米国 Microsoft Corporation の米国及びその他の国における登録商標です。
* Oracle と Java は、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。
* Red Hat は、米国 Red Hat, Inc.の米国及びその他の国における登録商標です。
* Salesforce.com、Force.com は、米国 Salesforce.com, Inc.の米国及びその他の国における登録商標です。
* Sun、Sun Microsystems、Java、Solaris 及びすべての Sun/Solaris/Java 関連の商標は、米国 Sun Microsystems、
Inc.の米国及びその他の国における登録商標又は商標です。
* Twitter は、米国 Twitter 社の登録商標です。
* VMware 及び VMotion は、米国 VWware、 Inc.の米国及びその他の国における登録商標又は商標です。
* Yahoo!は、米国 Yahoo! Inc.の登録商標です。
* その他、本文中に記載されている会社名、製品名はそれぞれの会社の商標又は登録商標です。
vii
クラウド・コンピューティング社会の基盤に関する研究会
報告書
1.研究会の狙いと総括
1.1
研究会の狙い
「クラウドコンピューティング」という語(本報告書では以降、
「クラウドコンピューティング」
を「クラウド」と言う。)は、Google CEO のエリック シュミット氏が 2006 年英国「The
Economist」の特別号 The World in 2007 に寄稿した" Don't bet against the internet"という記
事で初めて使われ、同年 8 月に開催されたサーチエンジン ストラテジー カンファレンスにおい
ても言及されたことを契機として広まったと言われている。同語は、シミュット氏が提唱した、
あるいは、ネーミングしたというより、情報システムの構築及び利用の方法として、インターネ
ットに代表される広域ネットワークを介して提供されるサービスが一般的になりつつあり、そし
て、今後も拡大が続くことを多くの人が予見しており、そのような方向性を示す言葉として、多
くの人々が賛同して使い始めたということが実情であろう。
情報システムは、ハードウェア的なものを除けば、直接的には眼に見えないものである。例え
ば、オペレーティングシステム(OS)は眼に見えない。眼に見えるのは、今は OS の一部である
かのように扱われるウィンドウシステムの部分だけであり、それは、OS 本体部からみればむし
ろ周辺機能(入出力機能)である。情報システムの作り方について、名前を与えるのは可視化活
動の一つであると考えられる。グリッド、Web2.0、ユビキタスシステムなどが最近のそのよう
な例であり、クラウドもその一つである。
しかし、クラウドは、それらの言葉よりも広く、深く、社会の注目を集めているようである。
むしろ、単なる「キーワード」を飛び越え、今日の「バズワード」No. 1 とまで言われているよ
うである。
「バズワード」とは、
「世間、あるいは業界一般などの一定の一般的なグループの間で
喧伝されてはいるが、その実態が明確ではない言葉」
、
「結果として、その分野に明るくない人に
イメージだけを押し付けたり、『よくわからないが凄そうなこと』を想起させることを目的とし
た宣伝文句として使ったりすることも可能であり、言葉だけが先歩きして広まることも多い」
(Wikipedia「バズワード」から引用)だそうである。
このような環境の中、当研究会「クラウド・コンピューティング社会の基盤に関する研究会」
は、クラウドが現在、いかなる状況にあり、どのような可能性をもち、また、どのような課題・
懸案材料を有するのかについて、主として、必ずしも IT の最新動向に関する専門的知識を持た
ないユーザ側の視点に立って調査研究を行った。
本報告書は、研究会の委員各位と事務局とによる分担作業により、10 回にわたる研究会の議
論とそれに伴う調査結果を踏まえて総括的にまとめたものであり、いわば「手作りの共同作業」
の成果物である。分担執筆であるがゆえに、複数の章において一部重複するような記述が見られ
たり、各執筆者の力点の置き方が異なったりといった特色も見られるが、平仄を合わせるための
校正は敢えて必要最小限に止めた。そうした複眼的な記述内容となっていることも含めて、今後
クラウドの利用を検討しているユーザ、あるいは既に利用に着手しているユーザに対して、有益
な情報を提供できるのではないかと考えた次第である。
また、本研究会の事務局を務めた IPA(独立行政法人
情報処理推進機構)においては、本報
告書の 6.に列挙された検討課題を十分に斟酌し、IPA 自ら取り組むことが必要かつ適切な項目に
ついて、優先度を明らかにしつつ計画を立案し、順次着手、遂行していくことが重要である。
1
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
以下、本節では、クラウドとは何かを簡単に説明した後、クラウドが多くの人々の注目を集め
る理由と思われる、クラウドがもたらすと期待されるものを概説し、それと共に、クラウドが「バ
ズワード」と揶揄される所以とも考えられるクラウドの実際的な困難性・問題点について、問題
提起の立場から論じ、続く章への導入としたい。
(1) クラウドとは
「クラウド」が何を意味するかについて、合意された明確な定義はないが、広義的には、ネッ
トワークを介して提供されるサービス全般を言及するために使われることがあるようである。
米国 NIST(National Institute of Standards and Technology:国立標準技術研究所 )では、ク
ラウドを次のように定義1するとともにクラウドの5つの特徴について記載している(表 1-1 参
照)
。
『クラウドコンピューティングとは、(ユーザにとって)最小限の管理労力、あるいはサービス提
供者とのやりとりで、迅速に利用開始あるいは利用解除できる構成変更可能な計算機要素(例えば、
ネットワーク、サーバ、ストレージ、アプリケーション、サービス)からなる共有資源に対して簡
便かつ要求に即応できる(オンデマンド)ネットワークアクセスを可能にするモデルである。
』
(バージョン 15
表 1-1
クラウドコンピューティングの5つの特徴
2009 年 10 月 7 日)
(「IPA ニューヨークだより 2009 年 9 月号」から
特徴
概要
オンデマンドかつセルフ
消費者(ユーザ)は、サービスプロバイダーの人的関与を必要とせず、自動的に、
サービス
一方的にコンピューティング能力(サーバーやネットワーク・ストレージ)を利用
できる。
幅広いネットワークアク
コンピューティング能力は、各種の消費者のプラットフォーム(携帯やラップトッ
セス
プ、PDA など)から、ネットワークを通じてサービスや資源にアクセスできる。
資源の共有
プロバイダーのコンピューティング資源は、Multiple-Tenant モデルにより、複数
の消費者に提供され、その物理的・仮想的資源は消費者の需要に応じて動的に割り
当てられる。その際、消費者は、一般的に、どこで計算がなされるか、管理できず、
知見を有さないという点で、場所に独立的である。
迅速な拡大/縮小
コンピューティング能力は、急速かつ弾力的に、スケールイン・スケールアウトさ
れて、提供される。消費者からみると、コンピューティング能力は、無限にあるよ
うに見え、必要な時に必要な量を購入することができる。
計測可能なサービス
クラウドシステムは、計量能力を利用することにより、サービスのレベルに応じて、
資源利用の管理・最適化が自動的に行われる。資源の利用は、プロバイダー、ユー
ザの両方にとって、監視、制御され、透明性をもって報告される。
より簡明な定義としては、城田真琴氏が「クラウドの衝撃」
(東洋経済新報社、2009 年 2 月刊、
p. 15)で以下のように述べている。
『 「クラウドコンピューティング」とは、拡張性に優れ、抽象化された巨大な IT リソースを、
インターネットを通じてサービスとして提供(利用)するというコンピュータの形態である。
』
1
http://csrc.nist.gov/groups/SNS/cloud-computing/index.html
2
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
本報告書では、議論を明確にするために、特に断らない限り、クラウドをこれらの定義の意味
で使うこととする。そして、SaaS、 PaaS、 IaaS をクラウドの具体的な情報システム形態例と
する。これらの定義中の「共有資源」あるいは「IT リソース」を、クラウドと呼ぶことがある。
SaaS とは、Software as a Service の略で、アプリケーションソフトウェアをユーザが直接使
用するコンピュータ、PC にインストール(導入)して使うのではなく、その機能がネットワー
クを介して提供されるシステム形態である。多くの場合、ユーザはウェブブラウザを使用し、ブ
ラウザに展開されたさまざまなソフトウェアをユーザが意識することなく自動的にダウンロー
ドされ、インストールされたソフトウェアに近いユーザビリティ(利便性)のもとで使用可能で
ある2。
PaaS とは、Platform as a Service の略で、SaaS 的に使用されるアプリケーションソフトウ
ェアの作成、カスタマイゼーション、保守自体をネットワーク経由で行うことを可能したシステ
ム形態である。アプリケーションの開発環境、カスタマイゼーション機能自体が SaaS として提
供されるものと考えても良い。
IaaS とは、Infrastructure as a Service の略で、クラウド中の仮想マシン(「仮想化技術」に
ついては、2.3(2)を参照のこと。)を直接的に操作可能としたものである。サービス開発者・
サービス提供者は、仮想マシン上で動作する OS を直接的にインストール、操作、あるいは、そ
の OS 上で動作する任意のソフトウェアのインストールを行うことができる。
図 1-1 クラウドの種類
クラウドの根本的な本質は、情報資源の共有にある。ここで情報資源とは、各種情報機器、ソ
フトウェア、データの総称である。
2
ただしウェブブラウザ以外のプラットフォームや、専用アプリケーションプログラムを介して、サービスを利用するようになってい
る場合もある。
3
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
情報資源共有は、メインフレーム(大型計算機システム)が情報システムの主流であった時代
からあった。その時代は、コンピュータシステムは非常に高価なものであり、必然的に世の中の
コンピュータシステムの台数は限られたものであった。その後、マイクロプロセッサ、ネットワ
ーク技術、ソフトウェア技術などの急速な進展により、高性能化と低価格化が共に達成され、
「情
報資源爆発」とも呼ぶべき状況が発生した。一人一台、あるいはそれ以上の台数のコンピュータ
をエンドユーザが利用すると共に、サーバシステムの台数も大幅に増加した。今日の情報システ
ムのコストの中で、「鋳型」から機械的なコピーによって自動製造可能な類いのハードウェアや
パッケージソフトウェアの占める割合は大きくない。大きいのは、機械的なコピーでは作ること
ができないハードウェアやソフトウェアと、システムの構築及び保守を行う人件費である。
クラウドは、ネットワークでつながった空間上で、情報資源の共有化、集中化を可能とする。
喩えて言えば、数学で数式操作を行う共通因数のくくり出し、すなわち「因数分解」のようなも
のである。以下に述べるクラウド活用の利点及び困難点はいずれもこの情報資源共有、すなわち、
「因数分解」を行うことの利点及び困難性に基づいていると考えられる。
(2) クラウド化すべき理由
前項までのクラウドの導入的説明に基づき、どうしてクラウドに対して情報関係者が期待を寄
せているのかまとめてみよう。
①
情報共有
インターネット上のどこからでも、自分や自分が所属する組織もしくはあるコミュニティが共
有する情報にアクセスできるのは、クラウドが提供する大いなる魅力である。
個人の PC に入っている情報は、通常は、直接またはネットワーク経由でその PC にアクセス
しなければアクセスできない。個人の PC 内の情報をネットワークからアクセス可能にするため
には、少なからぬ PC、ネットワーク、セキュリティに関する知識が必要である。また、アクセ
ス可能な時間帯は、その PC のシステムが立ち上がった状態にしておかねばならない。これは消
費電気量の増大や静音性問題を引き起こす可能性がある。
会社などの組織のデータの場合においても、インターネットからアクセス可能とするためには、
家庭の場合よりもより厳格なセキュリティ制御が求められ、また、消費電力や保守時間の問題も
ある。
クラウドを使用する場合、上記に述べた問題のほとんどは、クラウドシステム運営者の問題と
なり、クラウドシステム運営者が集中的に管理することになる。クラウドシステムは、一般に多
数のユーザによって共有される。つまり「因数分解」効果により、一クラウドシステム運営者の
運営努力を、多くのユーザが共有できるのである。
②
システム構築効率
クラウドでは、情報コンテンツが共有されるのみならず、情報コンテンツを共有するソフトウ
ェアシステム、ハードウェアシステム及びネットワークシステムが多数のユーザによって共有さ
れる。それらのシステムを準備するのに要したお金とマンパワーが共有されることになる。
「多数の」ユーザによって共有されるところがポイントである。共有するユーザ数が多くない
と、集中型システムはかえって高価になる。特にハード面、人件費面で顕著である。
4
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
多数のユーザによって共有されるシステムを作ることは、技術面において簡単なことではない。
システムのスケーラビリティが求められる。規模と共に数量を増加させることでシステムの性能
を増加させることをスケールアウトと呼ぶ(「スケールアウト」については、2.3.(1)①を参照の
こと。)
。 現在は高性能な PC を安価に入手できるから、スケールアウトするシステムを安価な
PC を用いて構築できれば、
「因数分解」効果は大きく出る。クラウドの分野で成功している企業
や組織体は、これを成功させているのである。
③
保守効率
クラウドがもたらすシステムの構築効率は、システム構築後、システムを保守していく効率に
も関係する。ハードウェア部品は、故障する可能性がある。ハードウェア故障に対処するために
最も有効な方策は、ハードウェアに冗長性(複製などによるバックアップ機能を持つこと)を導
入することであるが、共有度が低いシステムでは、冗長性の導入に伴うコスト上昇が、ユーザが
負担するコストに大きく反映される。スケールアウトするクラウドシステムで、大多数のユーザ
によってコストを負担できれば、冗長性の導入コストも償却しやすく、結果として、ユーザはよ
り信頼性の高いシステムを利用できることになる。
またソフトウェアの保守面でも共有度の高いクラウドは有利である。一般に、ユーザ数の少な
いシステムほど、ソフトウェアの保守(バージョンアップ、セキュリティパッチなど)に対して
多くのマンパワーを割くことは容易でない。クラウドシステムでは、一つのシステム(ただし、
スケールアウトさせるために、マシンの台数は多大である可能性がある)に対してソフトウェア
の保守を施せば、その恩恵は多くのユーザに行き渡ることになる。
④
経済性
以上述べてきたように、クラウドシステムは集中型システムであり、かつ、スケールアウトの
技術により、安価な PC を数多く結合することでシステムを構築し、保守をしていくノウハウを
もっている企業や組織体にとっては、経済的なシステムを作り易い。また、多くユーザを一つの
サイトに集めることにより、広告モデルなど、経済的な利益をあげる可能性が増す。つまり、ユ
ーザ数を増やす程システムは経済的になるため、ユーザは安価にシステムを利用でき、システム
提供者は利益を上げる可能性を増すことができる。
ただし、実際には、ユーザ数と利益の関係は大いに難しい。利用価格の設定を低くするか、無
料にすればユーザ数は多くなる可能性はあるが、収益性を確保しにくい。利用価格を高く設定す
ると、ユーザ数の確保が簡単でなくなる。この価格設定の難しさの問題は、従来の商取引でも一
般的な問題であるが、クラウドコンピューティング、特にパプリッククラウド((3)①で後述)の
場合は、世界規模で極めて多数のユーザを集め、無料ないし安価な費用負担のもとで、圧倒的な
多数ユーザを経済的な価値に変換するビジネスモデル構築や、副次的な作用によって何らかの意
味での利得を得る試みが行われている。
⑤
セキュリティ、プライバシー
情報を集中化させることは、セキュリティ及びプライバシーの観点で、有利な面、不利な面が
ある。有利な面は、セキュリティやプライバシーの専門家が集中的に情報の保護に取り組みやす
い点である。情報が分散している場合、より多くの専門家が必要となる。多くのセキュリティ専
5
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
門家、プライバシー専門家を雇用又は養成するよりも、少ない数の人員で情報保護ができる方が
有利である。不利な面は、情報の集中化によるものである。もしシステムが破られたり、内部漏
洩が発生したりした場合、情報が集中化されているために、被害は甚大に成り得る。結局、集中
化と分散化のトレードオフ問題となる。
このトレードオフ問題は、ユーザの認識や情報の性質によって変わってこよう。情報保護のた
めには、コストを厭わない問題、あるいは、経済的補填では賄えないような場合には、クラウド
化することは適切でないかもしれない。
しかし、クラウド化の方が却って有利である場合も数多く存在する可能性がある。実社会にお
いて、重要な情報は、しばしば銀行や貸し金庫に預けたり、外部の警備会社に警備依頼したりす
ることを行っている。これは、分散化した情報の保護よりも集中化された情報の方が保護をしや
すいため、また、専門家を配置しやすいためと考えられる。同様のことがクラウドシステムにお
いても言える可能性がある。
⑥
エネルギー効率、環境対策
エネルギー効率及び環境対策問題は、実社会におけるエネルギー問題とよく似た問題であろう。
エネルギーを消費する装置、あるいは、大気を汚染する可能性がある装置を分散配置して、分散
化するのが良いか、集中管理するのが良いかである。実際、クラウドを構成するデータセンタは、
大量のハードウェアを集中して運用しているため、一企業はもとより、通常のデータセンタに比
べても非常に高いエネルギー効率で運用されていると言われている3。これは将来の CO2 排出対
応にも有効な手段になり得ると考える。
発電装置と電気で駆動する装置が発明されて間もない頃は、電気駆動する装置が配置された各
工場が独自に自家発電装置を持つことがごく当たり前であった。しかし、電気駆動する装置が一
般的かつ安価になり、電気を安定的に配送するシステム技術が確立すると、発電装置を各工場が
もつことは、経済性、エネルギー効率、そして環境対策の面からも不利となり、今日のような発
電所(=クラウドシステム)と電力網(=インターネット)が整備されるようになった。これと
同じような歴史的な発展を、情報システムが遂げていく可能性は、大いにある。
以上の議論をまとめると、クラウドが有利であるか否かの問題は、サーバ計算機を分散管理す
る場合と一箇所に集めて集中管理する場合とで、どちらが合理的であるかの問題である。計算機
資源を一カ所に集めることが可能であり、有効であることが社会的に認められれば、発電システ
ムが集約化されていったように情報システムの集約化も進んでいく可能性がある。
(3) クラウド化が難しい理由
前項(2)では、クラウドを推進すべきであるという立場になってクラウド化を推進すべき理
由を述べたが、本項ではクラウド化を目指したときに実際に問題となることについて検討し、ク
ラウドに関する理解を深める一助としたい。
前項の記述を読むと、多くの場合、クラウドは推進すべきであると思われる読者は多いかもし
れない。しかし、現実にクラウドを推進、あるいは、既存システムのクラウド化を推し進めよう
とすると、様々な困難に出会う可能性がある。
3
2009 年の始めで、PUE(Powe Usage Effectiveness:データセンタ全体の消費電力/IT 機器による消費電力。1に近いほど効率が高い)
という指標で見たとき、Google のデータセンタでは 1.2 前後、日本の比較的大規模のデータセンタでは 1.6 前後と言われている。
6
-__-
クラウド・コンピューティング社会の基盤に関する研究会
①
報告書
パブリッククラウドとプライベートクラウド
世の中のクラウドに関する議論と同様、前項(1)で述べた記述の多くは暗黙にパブリックク
ラウドを仮定している。パブリッククラウドとは、オープンなクラウドシステムであって、イン
ターネットにアクセス可能なユーザであれば、基本的に誰でもアクセスが可能であるシステムで
ある。それに対して、特定の限られたユーザのみがアクセス可能なクラウドシステムをプライベ
ートクラウドと呼ぶ。
実は、現在、クラウドがこれだけ注目を集めている要因は、これまでのところ、パブリックク
ラウドの分野において、クラウドが大成功を収めているからであろうと考えられる。そしてその
成功を参考に、各企業や組織体は、自分達が使用しているシステムもクラウド化できる、すなわ
ちプライベートクラウドとして実現できることを期待している。このような、これまでの成功物
語と今後の期待感の双方が交錯して語られ、その結果、クラウドがバズワード化しているのでは
ないかとも考えられる。
このような観点に立って注意深く考えてみると、以下に記述するようにパブリッククラウドは、
ユーザを一般個人とすることによって、さまざまな厄介な問題を回避しているのである。
②
管理ドメイン
情報を管理する側面から考えたとき、管理が及ぶ範囲のことをドメインと呼ぶ。パブリックク
ラウドでは、管理ドメインが個人であることが多い。個人を管理ドメインとすることは、管理ド
メインを極小化していることに相当する。企業や組織体では、管理ドメインが部や課となるのが
一般的である。その構成員は複数人である。その場合、アクセス制御ポリシーをどのようにする
か、ドメインの中で合意をとらねばならない。あるいは、予めアクセス制御ポリシーの策定を行
っておかねばならない。一方、パブリッククラウドでは、個人が管理ドメインなので、単純に個
人の判断でアクセス制御ポリシーを決定できる。
つまり、各企業、組織体が、組織単位でクラウドシステムを使用したり、プライベートクラウ
ドを使用しようとすると、トリビアルとは言えない意思決定プロセスを経てアクセス制御ポリシ
ーを定めない限り、クラウドシステムを使用したり、構築できないのである。
③
リスク管理と損害賠償問題
パブリッククラウドは、リスク管理の面でも問題を単純化する。どんな情報システムでも、リ
スク管理は付きものである。情報の信頼性、漏洩対策、セキュリティ、プライバシーなど。不幸
にも、何らかの被害が発生してしまった場合、パブリッククラウドの場合は、1 被害者当たりの
被害は限定的である。損害賠償問題も深刻な事態には発展しにくいであろう。ところが、プライ
ベートクラウドでは、企業や組織などの法人が相手であり、損害賠償問題に発展する可能性は大
いにあり得ることである。発生する被害も甚大である可能性がある。
1.2
総括
前節でも述べたように、クラウドは現在、IT 業界におけるキーワードであり、その動向を多く
の人々が注視している。既に多くの雑誌特集や単行本が国内外で出版されているが、本報告は、
7
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
それぞれが得意分野を持つ研究会委員が、ゲストスピーカと共に 10 回に渡って突っ込んだ議論
を交わし、そこで得られた知見を盛り込んでまとめられたものである。
続く章の内容は、以下のとおりである。
2.では、クラウドが出現した背景と現在の状況を、技術的な視点とサービス提供側の視点から
説明している。そして、海外、特に米国、欧州の状況を紹介し、国際標準化の動向の紹介を行い、
さらに我が国におけるクラウドの現況を概観している。また、クラウドを支える技術の概要説明
も行っている。クラウドは時に、サービス提供者がインターネットの「向こう側」にいるだけで、
新しい技術的な実体はないのではないかという疑義が唱えられることがある。本章を読めば、多
彩なさまざまな技術 ―従来からある技術と新しい技術− の総合的な組み合わせによってクラ
ウドが構築されていることがわかるであろう。
3.では、SaaS を中心として、クラウドが実際にどのように日本の産業界において利用されて
いるかの調査データを元にした解説が述べられている。また、利用企業のタイプごとにメリッ
ト・デメリットの分析や、経営上の課題なども述べられている。
4.では、クラウドの対象範囲を PaaS、IaaS にまで広げ、クラウドの導入状況、優位性、懸念
材料を俯瞰している。実際の 7 つの具体事例の概要が紹介されている。また、IPA が行ったクラ
ウドに関するアンケート調査の結果とその分析についても詳細に述べられている。
5.では、ユーザ、ベンダ、そして公的セクタが、クラウドと付き合っていく上で留意すべきポ
イントをまとめた。
6.では、今後予想されるクラウド利用の拡大に伴い、継続的に検討していくべき課題を、ユー
ザ、セキュリティ、技術、人材とその育成についてまとめた。
最後に参考として、今後のクラウドのロードマップ予測を掲載している。
本報告では、クラウド=SaaS+PaaS+IaaS という図式の元で統一的な説明を行っている。本
報告をまとめ終わっての感想であるが、クラウドをこのように理解することは、図式的には分か
りやすいが、クラウドの可能性をむしろ狭めているかもしれない。
クラウドは、ソフトウェアがサービスとして実現される SaaS がもたらしたインパクトによっ
て、人々の注目を集め始めた。そして、それが汎用化されて、PaaS、IaaS などが登場して、そ
の可能性は大いに広がった。しかし実は、SaaS 以前のサービス
−
例えば、検索エンジン、e
コマースサイト、ネットワークオークション、あるいは SNS などの Web 2.0 的なサービスもク
ラウドの一種である。最近注目を集めている Twitter や Facebook もクラウドだ。また、オンラ
インゲームもクラウドの一種である。クラウド技術は、一朝一夕にできたものではなく、情報資
源共有をし、スケールアウトするサービスの総称である。情報及び情報資源を共有しながら、か
つ、スケールアウトし、ユーザ数の大幅な動的変化に対応し、そして可用性・信頼性・セキュリ
ティを提供するシステムの構築は容易ではなく、未だ発展途上の技術である。技術の発展ととも
に、クラウドの構築形態、利用形態も進化を続けていくと考えられる。
本報告は、現時点でのいわば「スナップショット」であり、今後もダイナミックな変化が訪れ
ることは疑いのないことであろうと思われる。そのような今後の変化予測も含めて、本報告が、
クラウド利用に関する意義、考慮点を考える際の一助となれば幸いである。
8
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
2.クラウドの成り立ちと現状について
クラウドは、突然に登場したわけではない。2.では、まず、従前の IT サービスの進歩の延長
線上にクラウドが徐々に生まれてきた経緯と技術的な背景について、広く知られている米国系の
ベンダやソフトウェアを例にあげながら説明する。続いて、我が国を含む各国などにおけるクラ
ウドを巡る最近の状況を紹介し、最後に、クラウドの導入に関する検討、検証の一助とするべく、
クラウドがどのような技術によって支えられているか、できるだけ平易な解説を試みる。
2.1
クラウド出現の技術的背景
(1) 「あちら側」にあるコンピュータの利用
クラウドは、ネットワークの「あちら側」にあるリソース、つまりコンピュータやストレージ
を雲に例えたものである。ネットワークの「あちら側」リソースの利用を容易に、どころか、当
たり前のこととした要因はいくつかあるが、インターネットの普及と高速化(広帯域化)が最も
大きな要因の一つであることに異論はないだろう。
1990 年代後半のインターネットバブル/ドットコムバブルは、インターネット関連企業に多
くの資金をもたらし、その結果、世界中に光ファイバが張り巡らされた。2000 年から 2001 年に
かけてのバブル収束後、蓋を開けてみれば、それまでの光ファイバ敷設への投資は過剰投資であ
った。光ファイバの値は暴落したが、しかし結果として極めて安価な通信インフラが残った。
この安価な通信インフラが、ネットワーク越しのサービス提供を現実のものとした。テキスト
(雑誌や新聞など)・音楽・映像などを配るコンテンツ配信、e-commerce、つまりネット上での
売買などが一般的になり、そういったネット上の情報・サービスがリンクし合って織りなすウェ
ブは、ビジネス、教育、娯楽など生活に欠かせないものとなった。加えて、そこに個人々々が情
報をアップロードして参加できるようになり、Web 2.0 と呼ばれるムーブメントが起きた。
インターネットの高速化によって、即応性を要求するインタラクティブなソフトウェアですら、
「あちら側」のものをネットワーク越しに利用することが現実的になった。つまり、キーボード
やマウスなどからの入力とそれに対する表示・出力がすぐに返され、それが頻繁に繰り返される
ようなソフトウェアである。例えば一時期、クライアント−サーバシステムといえば、クライア
ント側は、PC で稼働するアプリケーション開発ツールである Visual Basic などで開発すること
が一般的であったが、今となってはクライアントにはウェブブラウザを用いることがほとんど常
識となっている。これは、従前はクライアント側でソフトウェアを動作させなければインタラク
ティブに表示・出力を返すことができなかったところ、ネットワークの高速化によって、サーバ
側でソフトウェアを動作させても充分になったというわけである。
これがつまり SaaS(Software as a Service)である。そこではソフトウェアの利用がネット
ワーク越しに提供される。「ソフトウェアのネットワーク越しの利用」は、当初、企業などの組
織内でイントラネットと呼ばれて広まった。今日では、インターネットの高速化によってインタ
ーネット越しのソフトウェアの提供・利用が現実的になり、様々なサービスが現れている。
SaaS の開発・提供は、やはり、サーバ側で動作させることにメリットがある類のソフトウェ
アから始まった。例えば、複数人の予定を調整できるスケジュール管理ソフトウェアなどである。
ところが最近では、SaaS が対応できるソフトウェアの種類が広まったことで、これまではサー
9
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
バ側での動作はあまり求められなかったソフトウェア、例えば文書作成ソフトや表計算ソフトな
ども、サーバ側動作のメリットを追求しつつ、SaaS としての提供が始まっている。つまり Google
Docs や Microsoft Office 2010 クラウド版である。
(2) サービス提供側の視点
「あちら側」にあるコンピュータのサービスを利用することが現実的に、続いて、一般的にな
るにつれ、ウェブスケール、つまり人類規模、地球規模でサービスを提供する企業が現れた。そ
ういった企業は数多くあるが、ここではクラウドとの関連深さから、Amazon、Google、Yahoo!
をあげておく。そういったウェブ企業は、あるときから、自社のサービス基盤をソフトウェア・
サービス開発者のプラットフォームとすることのメリット、又はその可能性に気づいた。つまり、
サービスそのもの、ウェブ検索やウェブ商店ではなく、それを構成する部分々々の外部からのイ
ンターネット越しの利用を許したのである。これを(ウェブ)API の提供と言う。API を利用し、
組み合わせて新たなサービスを構築することがマッシュアップと呼ばれるなど、これもまた、
Web 2.0 ムーブメントを特徴付ける動きの一つであった。
API の提供によって、例えば、ウェブ商店で販売されている商品の情報を API 経由で引き出し
て外部のウェブサイトで加工・表示することが可能となった。この場合は、ウェブ商店での購入
が増える効果が期待できるなど、直接的・短期的なメリットを見込めるが、そうでないケース、
つまりは直接的・短期的な収益モデルが明らかではない API 提供も多い。
提供側が心に抱く収益モデルはともかく、Amazon は 2002 年時点ですでに米国において
Amazon Web Services LLC (AWS)という法人を立ち上げている。続いて、開発者へのプラッ
トフォーム提供を追求する彼らが、そのプラットフォームの汎用性を高めに高めてストレージ提
供サービス Amazon S3 と仮想マシン提供サービス Amazon EC2 を開始したのは 2006 年のこと
である。ストレージや仮想マシンというところまで汎用化された結果、それらを用いて様々な、
任意の情報システムを構成できるようになった。これら、ネット越しに利用する情報システム構
成部品は、IaaS(Infrastructure as a Service)と呼ばれる。
同様に、汎用性の高い「あちら側」のプラットフォームとして、Google は Google App Engine
(GAE)、Microsoft は Windows Azure Platform(Azure)を提供している。これらが提供するの
は、IaaS ほど原始的な構成部品ではなく、ソフトウェアの実行環境である。つまり、プラット
フォームごとの規約や流儀にしたがってプログラムを書いておくことで、Google や Microsoft
の提供するコンピュータの上で、そのプログラムを実行してもらえる。このような、ネット越し
に利用できるソフトウェア実行環境は、PaaS(Platform as a Service)と呼ばれる。
図 2-1 クラウドの種類
10
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
これまで「あちら側」のプラットフォームと表現してきたものが、クラウドである。「あちら
側」でホストされるソフトウェア(SaaS)、ソフトウェア実行環境(PaaS)、情報システム構成
部品(IaaS)などがクラウドと呼ばれる。図 2-1 は、クラウドのそれぞれの種類を示したもので
ある。
IaaS を主に提供するのか、PaaS を主に提供するのかは、提供者それぞれの立場や目論見によ
る。例えば Microsoft の目論見は、同社が販売する開発環境 Visual Studio に慣れ親しんだ開発
者がそのままのやり方で「あちら側」プラットフォーム向けに開発を行えるようにすることであ
る。そのために、Visual Studio でのソフトウェア開発と、そこで開発されたソフトウェアを実
行する PaaS である Windows Azure、その二つを不可分のものとして設計・開発している。
IaaS、PaaS にはそれぞれの利点がある。IaaS では、Linux や Microsoft Windows などの開
発者が慣れ親しんだ OS をそのまま利用できるため、開発者や運用技術者は、これまでと仕事の
やり方をほとんど変えずに済む。一方で PaaS では、プラットフォーム提供・運用側が、ソフト
ウェア開発者には見えない形で設備を増強・縮退させることができる。例えば、ソフトウェア開
発者は何もせずとも、急なアクセス増に対応して自動的にウェブサーバ部分が増強される、とい
ったことが可能となる。このメリットはウェブ向けサービスでは極めて魅力的なもので、実際に、
自前のサーバや IaaS + 手動管理ではとてもさばけなかったアクセス数を PaaS によって乗り切
ったという例(下記コラム参照)も出てきている。
コラム:クラウド利用で急激なアクセス増に対応した事例
米国 Animoto のサービス(複数の静止画像を音楽とともにアップロードすると、独自のアル
ゴリズムに基づいて音楽に合わせて写真が切り替わる動画を作成してくれる)は、2008 年の 4
月にサービスを米国大手 SNS の Facebook と連携させたことにより、突如ブレークした。2008
年 4 月 14 日には 2 万 5 千人であった登録ユーザ数が 4 月 17 日には 25 万人にまで跳ね上がった。
しかし、この際、クラウド(Amazon EC2、S3 など)に対して RightScale 社の自動スケールアッ
プ・サービスが有効に働き、処理負荷に応じてコンピューティング・リソースを漸次追加してい
くことにより、障害や性能劣化を発生させることなく、ビジネス機会を享受することができたと
言う。この際、僅か 3.5 日間でサーバ数は 80 から 3,500 にまで増大したと言う。
図 2-2
4
Animoto のトップページ4
http://animoto.com/
11
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
(3) サービス利用側の視点
1990 年代から今に至るまで、PC の高性能化、コモディティ(日用品)化はなお続いている。
今日では、ノート型 PC の値は数万円まで下がり、ネットブックと呼ばれ、また、きちんと運用
者のことを考えて設計されたサーバ向け PC がやはり数万円、ときに一万円未満で売られるよう
になった。
こうなると、事業者であれ個人であれ、PC 運用上のコストのうちハードウェアの値段はもは
や支配的ではなくなり、運用に要する労力やスペース、それらに要する費用の方がむしろ目につ
いてくる。運用にかかる費用を抑える手段として、集約やホスティングの需要が高まっているこ
とには、こういう背景がある。
集約すればするほど、スケールメリットによって、一台あたりの運用費用は抑えられる。一ヶ
所にハードウェアを集める、という他、仮想マシンを活用してコンピュータの台数を減らす、い
わゆるサーバコンソリデーション(統合)も有効である。集約によって、ソフトウェアを稼働さ
せるコンピュータはユーザから離れた場所に配置されることになるが、それはやはりネットワー
クの高速化によって可能となった。
ホスティングも、集約によってスケールメリットを出して運用コストを下げようと、一組織と
いう枠を越えて追求した結果の一つの形である。クラウドは、提供者が運用を請け負うという意
味で、もちろんホスティングサービスであると言える。ただし、クラウドに分類されるサービス
では一般的に、利用申し込み、利用開始・利用停止依頼などをウェブから行うようになっており、
それらの受け付け・処理が自動化されている。人手を介さないため、即時に利用開始・停止がで
きる。これと従量課金が相まって、利用開始・停止に伴う手続き的、心理的な障壁を低く抑えて
いる。
(4) クラウド環境で利用されるハードウェア、ソフトウェアの視点
パブリッククラウドにおいては、比較的安価なサーバ群(Google では数百万台とも言われる)
とオープンソースのソフトウェアを利用してクラウドのサービスは構築されていると言われる。
Google では故障を前提としたハードウェアと故障を前提としたプログラム(エラー忘却コンピ
ューティング)でサービスを実現しているのが特徴であろう。
一方、プライベートクラウドを既に導入しているクラウドの分野における先進的企業において
は、さまざまなベンダ企業が提供する高価なサーバと有料のソフトウェアを利用しており、パブ
リッククラウドとは対照的な環境となっている。
12
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
各国などにおけるクラウドを巡る状況
2.2
クラウドと言うと何か特別な情報技術を想定するかもしれないが、多くの人が既に利用している
Google、Yahoo、Microsoft がインターネット経由で提供する検索、メール、カレンダー、文書作
成などのサービスは、いわばクラウドサービスである。
また、最近急速に普及しつつあるスマートフォンである iPhone と Google カレンダーなどを組
み合わせて利用する例も急増し、クラウドサービス利用の巧拙により個人の生活や仕事における情
報処理の効率にも、大きな差がつく時代となっていると言っても過言ではないだろう。さらに、企
業においては、このことが顧客に対するサービスや市場における競争力の差異に直結することも言
うまでもない。
このようにクラウドは、既にエンドユーザが意識するしないにかかわらず、身近に浸透してきて
いる。2.2 では、日本でも既に利用されている米国のパブリッククラウドの動向、米国政府のクラ
ウドに対する取り組み、欧州の政府などの動向、国際的な取り組み、さらに、日本のクラウドサー
ビス企業の動向について紹介する。
(1) 米国のサービスの現況
米国の主要なクラウドサービスの現況を、1.1、2.1 でも説明した SaaS、PaaS、IaaS の分類
に即して説明する。
①
主要インターネットサービス企業の競合と連携を巡る動向
以下では、主要なパブリッククラウドサービスベンダーとして、Google、Microsoft、Amazon、
Salesforce の動きをまとめる。これらの主要パブリッククラウドにおいては、顧客を確保し、囲
い込むべく独自のクラウドを構築し、競合をしている。
特に、Google と Microsoft はもともと異なる業態から発しているが、クラウド化が進む中、両
社のクラウド化の進展に向けて狙うドメインの多くが重なることにより、両社の競合は、その覇
権の確保に向けて激化している。
例えば、2009 年 7 月 9 日、Google は、これまで Microsoft の牙城である OS 分野において、
Chrome OS を開発し無料で提供すると発表した(2010 年後半目途)5。この Google の戦略は、
基本的に、インターネットの使用に向いた OS を導入することにより、インターネットユーザを
拡大し、それをもって同社の各種インターネットサービスユーザの拡大を図り、同社の広告収入
の拡大を図ることが目標にあるといわれる。実際に、Google は、これまでに、インターネット
をより使い易くするという観点から、2008 年 9 月に、インターネットブラウザーである Chrome
を発表しており6、この Chrome OS は、この Chrome の延長として作成されることになる。
Google は、2010 年 1 月 19 日、大規模なデータを分散処理するためのフレームワークである
MapReduce の特許を取得したと発表した(6.3(2)①参照)
。
一方、Microsoft は、2009 年 7 月 13∼16 日、同社主催の世界パートナー会議(Worldwide
Partner Conference)を開催し、そこで多くの新製品や新たな方針の発表を行ったが、その中の
5
6
http://googleblog.blogspot.com/2009/07/introducing-google-chrome-os.html
http://journal.mycom.co.jp/news/2008/09/02/009/index.html
13
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
一つとして、次期オフィスであるオフィス 2010 について、インターネット版について一部無料
で提供すると発表した点が注目された7。これは、もちろん Microsoft にとっても、収益減となる
リスクはあるものの、そもそも同社のオフィスは市場シェアの 98%を有するなど圧倒的にシェア
が大きく、完全なデファクトを確立していることを踏まえると、Google の提供する Google Docs
の普及にあたって、大きなライバルとなると考えられる。
◆
SaaS 分野(Salesforce、Google)
SaaS のうち、CRM など企業向けの汎用アプリケーションについては、1999 年に設立され
た Salesforce が、先駆者として優位な立場にあり、自社において自らデータセンタを保有しサ
ービスを提供している。2009 年 10 月 31 日時点で、16 言語により世界の 67,900 社に導入さ
れ、200 万人以上のエンドユーザがいる。ただし、大手 IT 企業と比較して、必ずしも十分な
事業規模を有している訳ではなく、Microsoft、SAP、Oracle などのソフトウェア企業の参入
により、競争は激化していると報道されている8。
一方、オフィス系のアプリケーションについては、Google が企業向けビジネスとして先行し
て参入するのに対し、Microsoft が、自らのビジネス・技術標準基盤をもとに、追いかける形
になっている。なお、Google と Salesforce は、互いに両者のサービスを利用する関係になっ
ている。
7
もともとオフィス 2010 において、インターネット版を提供すること自体は規定路線ではあったが、今回、従来からオフィスのライセ
ンスを受けている企業向けなどについては有料契約で提供する一方で、個人向けなどについては、同社のインターネットサービスで
ある Windows Live 上で、無料で提供すると発表した。
8
http://www.eweek.com/c/a/Enterprise-Applications/Salesforcecom-Unveils-Forcecom-Cloud-Computing-Architecture/
NY だより 2007 年 8 月号参照
14
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
表 2-1 は、SaaS サービスを提供している主なクラウドベンダの一覧である。
表 2-1
主要インターネットサービス企業の主要なクラウドサービス(SaaS)
企業サービス名
9
概要
導入状況
・各種顧客管理に係る同社の主要な SaaS
サービス。
・販売、サービスサポート、パートナー
関係管理、営業、コンテンツ、アイデ
ア、分析などのモジュールからなる。
・利用料は、サービス内容に応じて$5∼
250/月/ユーザ11。
・現在、67,900 企業が利用12。政府機関
や金融機関に加え、IT からメディア
に至るまで、採用企業の分野は多岐
に渡る。
・主な採用企業は、Starbucks、みずほ
銀行、Cisco、米国務省、Google など
・オフィススイートに相当する、企業向
け各種ウェブサービス(Gmail、Google
Calendar、Google Docs など)。
・利用料金は$50/年/ユーザ。
・現在数百万ビジネスが採用14。
・主な採用企業は、GE、Capgemini、
DC 政府、Johnson Diversey、Salesforce
などに加え、多くの中小企業。
SaaS
<Salesforce>
Salesforce
CRM10
(1999 年)
<Google>
Google Apps
Premier Edition13
(2007 年 2 月)
・Software plus services 戦略に基づくサー
ビス。オンライン版の Exchange、
Microsoft Online
SharePoint、Office Communications、
Services15
Office Live Meeting 及び Dynamics CRM
(2009 年 4 月)
などが含まれる。
・利用料は、原則$15/月/ユーザ。 同社
の販売パートナーを通じて販促16。
<Microsoft>
9
10
11
12
13
14
15
16
・主な採用企業は、Scandic 、 エジン
バラネピア大学、Catalina Marketing、
CA 州カールズバッド市、ケンタッキ
ー州教育省 など。
「NY だより 2009 年 9 月号」から改変
http://www.salesforce.com/crm/products.jsp
http://www.salesforce.com/crm/editions-pricing.jsp
http://www.salesforce.com/crm/products.jsp
http://www.google.com/apps/intl/en/business/gogoogle.html
http://www.google.com/apps/intl/en/business/gogoogle.html
(2010 年 1 月現在)
http://www.Microsoft.com/online/default.mspx
http://www.infoworld.com/d/cloud-computing/Microsofts-cloud-forms-924
15
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
PaaS の分野(Salesforce、Google、Microsoft)
◆
Salesforce は、SaaS で得た顧客を中心に PaaS の分野で拡大を図っている。なお、Google
と Salesforce は、プラットフォームの相互接続可能性に関連していくつかの連携を行っている
17。表
2-2 は、PaaS の主なクラウドベンダのサービスをまとめたものである。
表 2-2
主要インターネットサービス企業の主要なクラウドサービス(PaaS)
企業サービス名
概要
18
導入状況
PaaS
<Salesforce>
Force.com19
(2008 年 1 月)
<Google>
Google App
Engine23
(2008 年 4 月)
・同社のアプリケーションに加えて、追 ・上記同社のアプリケーションに加え、
Force.com を利用する企業としては、
加のアプリケーションを開発者が作成
郵 便 局 、 Papa Murphy 、 Kaiser
することが可能。
Permanente、NJ TRANSIT、CODA な
・ 使 用 言 語 は 、 Apex ( Java 類 似 )、
ど多岐の分野に亘る。
Visualforce(XML 類似。HTML、AJAX、
20
Flex をインターフェースに利用)
21
。
・価格はサービスの内容により、無料・
$50・$75/月/ユーザ22。
・同社の PaaS サービス(β版)
。
・あるレベルまでは無料であるが、更な
るストレージ、帯域、CPU などを利用
する場合には費用が必要。
・現時点では、Python や Java などの言語
をサポート24。
・Microsoft の PaaS サービス(β版)
・Fabric Controller(個々のシステムを保
Windows Azure
25
存し管理する機能)、Windows Azure
Platform
Storage Service(ストレージ)や、5 つ
(2009 年 11 月)
の個別サービス(SaaS)も含む2627。
・HTTP、REST、SOAP、XML による API
を提供。
<Microsoft>
17
18
19
20
21
22
23
24
25
26
27
・主な採用企業(開発者)は、Giftag
(BestBuy 系)Gigapan、 BuddyPoke!、
Pixverse
(SNS の Hi5 が買収した企業)
など、IT ベンチャーが多い模様。
・主な採用企業は、Dot Net Solutions、
West Monroe Partners、Infosys
Technologies。Epicor Software
Corporation、Pitney Bowes など IT 企
業が多い。
http://www.itmedia.co.jp/enterprise/articles/0905/28/news060.html
「NY だより 2009 年 9 月号」から改変
http://www.salesforce.com/platform/
http://www.networkworld.com/news/2009/040809-salesforces-forcecom-platform.html
http://www.eweek.com/c/a/Enterprise-Applications/Salesforcecom-Unveils-Forcecom-Cloud-Computing-Architecture/
http://www.salesforce.com/platform/platform-edition/
http://code.google.com/intl/en/appengine/
http://code.google.com/appengine/docs/whatisgoogleappengine.html
http://www.Microsoft.com/azure/default.mspx
2008 年 10 月に発表。正式バージョンの発表は 2009 年 11 月。
http://www.Microsoft.com/azure/services.mspx
http://online.wsj.com/article/SB124760524730541255.html
価格体系については、2009 年 7 月に発表。
16
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
IaaS の分野(Amazon)
◆
表 2-3 は、IaaS の主なサービスである。IaaS の分野については、Amazon が先行して大企
業も含めて需要・利用の拡大を図っている。
表 2-3
主要インターネットサービス企業の主要なクラウドサービス(IaaS)
28
IaaS
・顧客にコンピューティング能力を貸し ・利用企業33は、数万に上る、個人ユー
ザ、中小企業(Xignite、 Livemocha
出し、顧客自ら作成するアプリケーシ
Elastic Compute
30
29
などの IT ベンチャーなど)に加え、
。
ョンを利用できるようにするもの
Cloud(EC2)
NYT 34 、 Washington Post、 Harvard
・Xen の仮想化技術を利用。また、Linux、
(2006 年 8 月)
Open Solaris や Windows Server 2003 な
Medical School など。
31
ど各種の OS を利用 。
・SLA(service level agreement)として、
正式に 99.95%の時間の利用可能をコ
ミット32。
<Amazon>
<Amazon>
Amazon Simple
Storage Service
(S3)
35
(2006 年 3 月)
28
29
30
・オンデマンドのシンプル・ストレージ
(データ保存)容量を提供するサービ
ス。
・基本は$0.15$/GB/月であり、送受信に
追加費用を要する36。2008 年 11 月には
50TB 以上のユーザに割引を発表37。
・なお、S3 では顧客データの消失に関し
て保証は行っていない38。
・利用数は、100 億件(2007/10)、 140
億(2008/1)、 290 億件 (2008/10)、
520 億件 (2009/3)と上昇。39
・ウェブや画像のホスティングやバッ
クアップなどに利用されている。
出典:NY だより 2009 年 9 月号。
http://aws.amazon.com/ec2/
顧客が時間単位で自由に利用できることから"elastic"の名称をつけている。
http://news.cnet.com/8301-10784_3-9904091-7.html
31
32
33
http://aws.amazon.com/ec2/ 、http://aws.amazon.com/windows/
http://news.cnet.com/8301-17939_109-10073696-2.html
http://www.thestandard.com/news/2009/05/17/10-cloud-computing-companies-watch?page=0%2C0
http://aws.amazon.com/solutions/case-studies/
34
35
36
37
38
39
http://open.blogs.nytimes.com/2008/05/21/the-new-york-times-archives-amazon-web-services-timesmachine/
http://aws.amazon.com/s3/
http://www.ddj.com/architect/202803151
http://aws.amazon.com/s3/#pricingl
http://aws.amazon.com/agreement/#11
http://www.forbes.com/2009/06/26/amazon-cloud-computing-technology-cio-network-outsourcing.html
http://aws.typepad.com/aws/2008/10/amazon-s3---now.html
http://www.allthingsdistributed.com/2008/03/happy_birthday_amazon_s3.html
17
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
コラム:Amazon の PaaS、IaaS 上に展開する他社の SaaS
上記 Amazon の PaaS、IaaS などの AWS(Amazon Web Services)を利用して、データセン
タを自ら保有せずに、SaaS 市場に参入する SaaS プロバイダは多く存在する。例えば、Sugar
CRM、Quantivo、Jumbox などの SaaS プロバイダは、Amazon の AWS を利用している。
また、IBM は、2009 年 2 月、Amazon の EC2 を通じて自社のソフトウェア(IBM DB2、
WebSphere 関連、Lotus 関連など)を提供することを発表した40。同サービスでは、ユーザは
利用した分のみ課金される従量制を取っており、本提携により、Amazon もさらに IBM の顧
客基盤を対象にしたビジネスを拡大することが期待できると報道されている。また、これは、
プライベートクラウドの支援を行う IBM が、Amazon のプラットフォームを活用して、パブ
リッククラウドのサービスを提供しようとする動きであり、ハイブリッドクラウド(プライベ
ートクラウドとパブリッククラウドの組み合わせ利用)に向けた動きとして注目される。
◆
パブリッククラウドのサービスを提供するベンダとユーザ企業の業務分野との関係
上記にあげた主たるパブリッククラウドのサービスを提供するベンダとユーザ企業の業務
分界の関係を図 2-3 にまとめた。
図 2-3
40
クラウドベンダとユーザ企業の業務分野との関係
http://www-03.ibm.com/press/us/en/pressrelease/26673.wss
http://www.techflash.com/seattle/2009/02/Amazon_IBM_partner_on_web_services_39441347.html
18
-__-
クラウド・コンピューティング社会の基盤に関する研究会
②
報告書
クラウドを巡る各種市場予想
Meryl Lynch は、2011 年までにクラウドの市場規模は 1,600 億ドル(14 兆 4,000 億円)に達
すると予測。1,600 億ドルのうち 950 億ドル(8 兆 5,500 億円)が SaaS などのビジネスアプリ
ケーション及びオンラインオフィスであり、650 億ドル(5 兆 4,500 億円)がオンライン広告で
ある。
Gartner は、クラウドは、2013 年までに世界規模で 1,501 億ドル(13 兆 5,090 億円)の市場
になると予測している(2008 年は 464 億ドル(4 兆 1,760 億円)、2009 年は 563 億ドル(5 兆
670 億円)
(予想))
。
しかし、クラウドという新しい市場が生まれたのではなく、従来は、異なるものとしてカウン
トされていた数値がクラウドとしてカウントされた予測であることに注意が必要である。
表 2-4 は、各調査機関それぞれが出している市場予測をまとめたものである。
表 2-4
発表者
Gartner の
Analysts
クラウドを巡る各種市場予測
41
対象範囲
予測内容
クラウドサービスの
2012 年までに、Fortune 1000 の企業の 80%同サービ
利用割合
スの一部を購入、30%が同インフラを購入。
クラウドの世界市場
今後 5 年間(2013 年まで)で 950 億ドル規模に達し、
42
2008 年 4 月
Meryl Lynch
4344
2008 年 5 月
また、この期間にソフトウェア市場の 12%がクラウド
に移行するとの予測。
45
IDC 社
クラウドサービスの
今後 5 年間(2013 年まで)で現在の 3 倍に当たる 420
2008 年 10 月
世界市場
億ドル市場に成長すると予測。
Gartner46
SaaS 市場
66 億ドル( 2008 年)から、80 億ドル(2009 年)
、
2009 年 5 月
Market
Research
Media 社
160 億ドル(2013 年)に拡大と予測。
連邦政府のクラウド
政府によるクラウドへの投資は、今後 2015 年までの
の導入予測
6 年間、年間 40%以上の成長率で増加、投資総額は同
47
2009 年 5 月
41
年までに 70 億ドルを越える。
出典:NY だより 2009 年 9 月号。なお、各種市場調査に関しては、
「クラウド」の定義・範囲が異なりうることに留意することが必
要である。
42
43
44
45
46
47
http://seekingalpha.com/article/71589-behind-the-myths-of-cloud-computing
http://www.businessweek.com/technology/content/aug2008/tc2008082_445669.htm
http://www.gridbus.org/~raj/papers/hpcc2008_keynote_cloudcomputing.pdf
http://www.idc.com/getdoc.jsp?containerId=prUS21480708
http://www.gartner.com/it/page.jsp?id=968412
http://www.marketresearchmedia.com/2009/07/24/cloud-computing-market/
ただし、同予測では、SaaS、PaaS、IaaS のほかに、ハードウェア(HaaS)
、コミュニケーション(CaaS)
、ストレージ(DaaS)、
クラウドに係るインフラなどへの投資もクラウド投資に含まれている。
19
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
(2) 米国政府の取り組み
オバマ政権は、2009 年 12 月 8 日に Open Government Directive(オープンガバメント指令)
を正式に発表した。これは、各連邦政府機関に対して、価値の高いデータを誰でも入手できるよ
うにすることや、正式なオープンガバメント計画を迅速に策定し発表することなどを求めている。
NASA の Ames Research Center の CIO である Chris Kemp 氏の発言48のようにこのホワイト
ハウスからの要請を実現するにはクラウドの技術が最適と思われる。このように米国では政府機
関が中心になってクラウドを強力に推進している。以下に米国政府のクラウド推進政策である
Federal Cloud Computing Initiative(連邦クラウドコンピューティング構想)を中心にクラウド
に対する米国連邦政府の主な取り組みを記述する。
①
米国政府の統治システム
米国の政府は、連邦政府(Federal Government)、州政府(State Government)、地方政府(Local
Government:地方団体)の 3 つの階層から構成されている。地方政府は、
「カウンティ(County)」、
「地方自治体(Municipality)」、
「タウンシップ(Township)」、
「学校区(School District)」及び
「特別区(Special District)」の 5 つに分類されている。
②
米国政府(州・地方政府)のクラウドに関する経費
INPUT 社の「Emerging Technology Markets in U.S. State and Local Governments、
2009-2014」によると、米国の State and local government の Cloud Computing 市場 2009 年の
2.3 億ドル(207 億円)が 2014 年には 6.2 億ドル(558 億円)になると予想される(年率 22%
の伸び)
。 IT の経費全体は、14 億ドル(1,260 億円)から 24 億ドル(2,160 億円)になると予
想される(年率 12%の伸び)。
48
http://fcw.com/Articles/2009/12/10/Open-government-cloud-computing.aspx?sc_lang=en&p=1
20
-__-
クラウド・コンピューティング社会の基盤に関する研究会
③
報告書
Federal Cloud Computing Initiative
2009 年 3 月に連邦政府の最高情報責任者(CIO)に就任した Vivek Kundra 氏は、同年 3 月
に Federal Cloud Computing Initiative なるプログラムを立ち上げた。また、彼は 2009 年 9 月
15 日に米航空宇宙局エイムズ研究所で講演し、連邦クラウド戦略(Federal Cloud Strategy)を明
らかにした。米国政府のクラウドの採用の最大の目的は、IT インフラにかかるコストや環境に与
える影響の抑止である。米政府の IT 予算は、2009 年 9 月時点で 760 億ドル(6 兆 8,400 億円)
、
そのうちの 190 億ドル(1 兆 7,100 億円)がインフラそのものに費やされている。また、国土安
全保障省だけでデータセンタが 23 箇所も存在する。米国政府はこの取り組みの一環として、政
府機関のクラウドサービス利用を支援するサイト Apps.Gov を立ち上げた。図 2-4 は、そのロー
ドマップを概説したものである。
図 2-4
Federal Cloud Computing Initiative のロードマップ
21
-__-
クラウド・コンピューティング社会の基盤に関する研究会
④
報告書
連邦クラウド構想(Federal Cloud Computing Initiative)の実施組織
連邦クラウド構想(Federal Cloud Computing Initiative)の実施組織として、米連邦政府一般調
達局(GSA 49 )がシステム調達を行う際に、クラウドコンピューティング行政運営委員会(Cloud
Computing Executive Steering Committee、以下 ESC と言う。)が戦略を立案し、クラウドコ
ンピューティング諮問評議会(Cloud Computing Advisory Council、以下 AC と言う。)が計画を
策定する。同構想の主たる戦略目標は、IT インフラの「統合(Consolidation)と仮想化
(Virtualization)
」である。米国では、現在、e-Government の近代化として、サービスベースの
環境整備を進めているが、これらをより迅速に展開し、かつコスト削減を可能とする手段がクラ
ウド化である。AC の計画では、クラウドを利用した ITI ビジョンを確立し、さらに各省庁を対
象に重複作業排除のための共通ソリューションの選定やコラボレーションを推進する。
図 2-5 は、
その推進体制を図式化したものである。
図 2-5
49
Federal Cloud Computing Initiative の実施組織
GSA(General Services Administration)
22
-__-
クラウド・コンピューティング社会の基盤に関する研究会
⑤
報告書
クラウド化の段階的アプローチ
図 2-6 は、クラウド化への段階的アプローチ計画を図式化したものである。この計画によれば、
計画は 3 つに分れ、すべてに IaaS、PaaS、SaaS が含まれている。フェーズ 1(2009 年 8 月か
ら 10 月)では、軽量のコラボレーションや生産性向上ツール、そして基礎インフラを提供する。
フェーズ 2(2009 年 11 月から 2010 年 2 月)では、パブリッククラウドだけでなく、プライ
ベートクラウドの外部委託や SaaS アプリケーションなどの拡充が図られる予定である。
フェーズ 3(2010 年 3 月から 6 月)からは一部、プライベートクラウドの導入が始まり、連
邦政府のクラウドはハイブリッドとなり、以降、本格的なクラウド化が予定されている。
図 2-6
クラウド導入の段階的アプローチ
23
-__-
クラウド・コンピューティング社会の基盤に関する研究会
⑥
報告書
Apps.gov
上述のフェーズ 1 にある「軽量のコラボレーションや生産性向上ツール、そして基礎インフラ
の提供」のために登場したサイトが、2009 年 9 月 15 日に発表された GSA の運用による
Apps.gov50である。図 2-7 は、
連邦政府のマーケットプレイスとも呼べる App.gov の画面である。
提供されるサービスは、Business Apps、Productivity Apps、Cloud IT Services、Social Media
Apps の 4 つの分野である。このうち Cloud IT Services が外部パブリックを利用したサービスに
あたるが、2010 年 1 月時点では、
「近々提供(Coming soon)」となっている。9 月 15 日の Apps.gov
の発表を受けて Google は、Google Apps と同様のサービスと機能を提供する政府専用クラウド
を 2010 年に運用予定と発表した。
例えば Asset Management を選ぶと2つの候補が現れる。
図 2-7 連邦政府のマーケットプレイスである App.gov
50
https://www.apps.gov
24
-__-
クラウド・コンピューティング社会の基盤に関する研究会
⑦
報告書
Federal Cloud Computing Initiative 外の政府ウェブサイト
◆
Data.gov
Data.gov51は、政府系機関が持つ情報を国民向けに開示する目的で作られたサイトであり、生
データ(Raw Data Catalog)、分析ツール(Tool Catalog)、地域別データ(Geo Data Catalog)
がカタログとして提供されている。提供データを用いて国民や団体は、自由に加工や分析ができ
る。対応するデータには、連邦政府提供のものと州政府のものがあり、2009 年 5 月末に本番開
始、州政府のデータは、2010 年 1 月現在、カリフォルニア州、ユタ州、ミシガン州、マサチュ
ーセッツ州、ワシントン DC、今後、段階的に拡大が予定されている。図 2-8 は、Data.gov のト
ップページである。
図 2-8
51
Data.gov のトップページ
http://www.data.gov
25
-__-
クラウド・コンピューティング社会の基盤に関する研究会
◆
報告書
Federal IT Dashboard52
連邦政府の主要機関(国防省53、国土安全保障省54、商務省55、財務省56、運輸省57、司法省58、
退役軍人庁59、農務省60、エネルギー省61、その他(Others))の IT 投資についてビジュアルに見
ることができる。図 2-9 は、その様子を示したものである。
上部にある 5 つのタブ(Home、Investments、Data Feeds、Analysis、FAQ)のうち、Data
Feeds を用いて独自のスナップショット画面の作成ができ、それを保存したりウェブにあげたり
することができる。
図 2-9
52
53
54
55
56
57
58
59
60
61
Federal IT Dashboard のトップページ(http://it.usaspending.gov/)
Dash Board:図 2-9 のように、システムの色々な状態を図表化して表示する一連のソフトをいう。
DOD(Department of Defense)
DHS(Department of Homeland Security)
DOC(Department of Commerce)
Department of Treasury
Department of Transportation
DOJ(Department of Justice)
VA(Veterans Affairs)
USDA(United States Department of Agriculture)
DOE(Department of Energy)
26
-__-
クラウド・コンピューティング社会の基盤に関する研究会
⑧
報告書
クラウドを推進する官民の体制
今までオバマ政権下でクラウドを推進する政策である Federal Cloud Computing Initiative に
ついて述べてきたが、米国では、Cloud Computing Initiative の実施組織を中心として政府機関
やクラウドベンダが有機的に機能し、国をあげてクラウドを推進していると言える。図 2-10 は、
クラウド推進の体制を示すものである。
以下に一例をあげる。
・
GSA は、Apps.gov を通じて政府機関に対して各種クラウドサービスを提供する
・
GSA は、RFI/REQ を発行することによりクラウドベンダからサービスの提供を受ける
・
NIST は、クラウドコンピューティングの定義などを定めることにより、GSA 発行の
RFI/RFQ の発行を支える
図 2-10 クラウド推進にあたっての官民の体制
27
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
(3) 欧州における動向
クラウドのサービスをグローバルに展開する欧州発の企業は少ないと思われる。欧州諸国は、
主としてクラウドサービスをユーザという立場から捉え、クラウドを利用する際の法整備などを
進めていると見られる。
①
欧州評議会(The Council of Europe)
2009 年 3 月 Octopus Interface conference の中で、「クラウドコンピューティング時代の司
法権、国境、法の執行」と題するディベートを実施。コンピュータのデータとサービスは特定の
場所の特定できるコンピュータからクラウドに移行しつつあり、異なる技術の相互接続がされる
ようになってきており、これはセキュリティと法の執行に影響を及ぼし、法的な不安定・一貫性
のなさを生みだしている現状(これらはデータの保護とアイデンティティ管理に関係する)に鑑
み、欧州評議会は「クラウドコンピューティング時代の司法権、国境、法の執行」についてさら
なる調査を実施すべきとしている。
②
英国
2009 年 6 月 19 日、英国政府は、次世代の情報技術に対応した情報政策「デジタルブリテン最
終報告62」を発表、同報告の中で、クラウドは、これまで進めて来た情報システムの共同利用よ
りも税金の有効活用により高い効果があるとし、今後、導入を促進するとしている。
英国政府は、セキュリティ上の懸念が大きいパブリッククラウドではなく、プライベートクラ
ウドモデルを採用し、まず手始めにネットワークを通じて公共部門が利用できるアプリケーショ
ンを提供するサービスとして「政府アプリケーションストア(G-Cloud)」の構想を示している。
G-Cloud の構築には、技術的及び物理的な投資が必要で、2009 年から 3 年間実施する同事業に
ついて、費用対効果の適切な評価を実施している。また、将来的には、クラウドによる仮想 Public
Service Network(PSN)で行政サービスを提供する予定であり、効率化を図るために、公共部
門は、ICT 調達に際し、他の公共部門が利用しているクラウドサービスの利用可否について検討
すべきだとしている(欧州マンスリーニュース 2009 年 7 月号63より引用)。
英国でも米国の Data.gov に相当する英国政府関連データを提供するサイト(Data.gov.uk)を
2010 年 1 月 20 日に立ち上げた。図 2-11 は、Data.gov.uk のトップページである。
図 2-11
62
63
Data.gov.uk のトップページ(http://data.gov.uk)
http://www.culture.gov.uk/what_we_do/broadcasting/6216.aspx
http://e-public.nttdata.co.jp/f/repo/638_e0907/e0907.aspx
28
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
(4) クラウドに対する国際的な取り組み
① 経済協力開発機構(OECD)
2009年10月にICCP64において「クラウドに関する2009年フォーサイトフォーラム65」が開催された。
これは、クラウドへのシフトが明らかになっているのに反して技術的、法制度的、経済的、安全面での
詳細な性質が不透明なままであり、政策上の意思決定がクラウドの開発及びその性格を左右する局面に
なっている。このため、同フォーラムは、「基本概念、技術とビジネスモデル」、「クラウドサービス
(IaaS、PaaS、SaaS)」、「互換性、競争政策、イノベーション」、「セキュリティ、プライバシー、
アカウンタビリティ」の4つのセクションを設けて、現状と将来についてICCPにおける政策議論にかか
わる人々の間で共通の理解を醸成することを目的として開催された。(「クラウドネットワーク技術に
関する諸外国の動向、及び国内市場における利用意向分析 スマートクラウド研究会66」から引用)
②
クラウドのオープン化・セキュリティに関連した主な団体
クラウドのオープン化・セキュリティに関連した主な団体の動きを表 2-5 にまとめた。
表 2-5
クラウドのオープン化、セキュリティに関連した主な団体
団体名
宣言
主要メンバー
(ニューヨークだより 2009 年 9 月から)
活動内容
Open Cloud Manifest
・250 社以上が参加。
クラウドのオープン化・互換
・6 原則の発表。
(2009 年 3 月発表)
・IBM が主導。
性確立の原則を盛り込んだ
・Use Case Group がホワイ
文書。
Cloud Computing
・14 社・団体。
Interoperability Forum
・Enomaly が主導、IBM、 みとして、統一したインター
(CCIF) (2008 年 9 月設
枠組み
・UCI の検討。
・OCC 等とも連携。
Cisco 等が参加。
フェース(API)の策定。
Open Cloud
・大学中心の 9 組織。
クラウド間をつなぐ枠組み
・NSF の予算を受け、4 つの
Consortium (OCC)
・産業からは、Cisco、
の策定、ベンチマークの策
作業部会で活動を実施。
Open Group (2009 年 8
発
各種クラウドをつなぐ枠組
トペーパー発表。
立)
(2008 年半ば)
標準開
活動・連携状況
Yahoo が参加。
定、テストベッドの提供等。
・Open Group 全体には、 クラウドの効率的・セキュア
月、Cloud Working
200 以上の IT 系企業
Group を設立)
等が参加。
Object Management
な利用に向けた標準の開発。
・CSA、Open Cloud
Manifest、CCIF 等との連
携体制を構築。
・OMG 全体には、800
Group (OMG) (2009 年
以上の IT 系企業等が
7 月、Cloud に係る取り
参加。
クラウドの標準の開発に係
る調整。
・CSA、OCC、Open Grid
Forum、DTMF、SNIA な
どと連携体制を構築。
組みを発表)
セキュ
リティ
64
65
Cloud Security Alliance
・企業は 20 社。
クラウドのセキュアな利用
(CSA) (2009 年 3 月設立)
・HP、 VMWare、
に係るベストプラクティス
McAfee、 RSA など。
の促進と教育の提供。
・セキュリティガイダンスの
発表。
・ISACA 等との連携。
ICCP(committee for information,computer and communications policy):情報・コンピュータ・通信政策委員会
2005 年から毎年開催されている ICCP の定期フォーラム。IECD 加盟国、非加盟国(オブザーバとして)、BIAC(Business and Industry
Advisory Committe:経済産業諮問会議)、市民社会、インターネットコミュニティの代表者が参加し、次年度の政策議論に関連するテ
ーマが選ばれる。
66
http://www.oecd.org/document/31/0,3343,en_2649_34223_43912543_1_1_1_1,00.html
http://www.oecd.org/dataoecd/39/47/43933771.pdf
29
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
表 2-5 の他に、クラウドの標準化を行っている団体として以下が挙げられる。
◆
OGF (Open Grid Forum)
グリッドコンピューティングの標準化団体である OGF では、米国のストレージベンダーを
中心とした業界団体である SNIA (Storage Networking Industry Association)と連携し、Open
Cloud Computing Interface(OCCI)ワーキンググループを開設、IaaS の API 仕様を検討して
いる。
図 2-12 OCCI の API
(出典:http://www.snia.org/cloud/CloudStorageForCloudComputing.pdf)
◆
DMTF (Distributed Management Task Force)
企業やインターネットにおける IT 環境のシステム管理のための標準を策定・保守する標準
化団体である DMTF では、Open Cloud Standards incubator を開設してクラウド環境管理の
標準を開発している。
◆
OASIS (Organization for the Advancement of Structured Information Standards)
グローバルな情報社会のオープン標準の開発、統合および採用を推進する非営利国際コンソ
ーシアムである OASIS では、クラウドモデル、プロファイル、既存の標準の拡張などを策定
している。
③
ISO/IEC の取り組み(標準化への動き)
ISO/IEC JTC1 で も ク ラ ウ ド を 扱 う SC38 ( "Distributed Application Platforms and
Services")の設立が 2009 年 10 月に決まった(SC38 の設立に関する詳細については、後述 6.3(4)
を参照のこと)。
30
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
(5) 我が国におけるクラウドサービス提供企業の動向
我が国の主要なクラウドサービス提供企業の動向について記述する。我が国のクラウドサービ
ス提供会社で、米国企業のようにグローバルにクラウドサービスを展開する企業は、現時点では
残念ながら少ない(一部のオンラインゲームを提供する企業などはグローバルなサービス展開を
していると言える)
。
確かに PaaS や IaaS を提供する日本の企業はまだ少ないが、SaaS については、日本でも数多
くのサービスが提供されている。
また、我が国の先進的なウェブ企業では、自社の業務遂行の必要性からクラウドの技術を使っ
ていて、基盤技術をオープンソースで提供するなどグローバルな貢献をしている。
一方、これまで国内でシステム開発を実施してきた我が国の主要 IT ベンダ企業は、既存顧客
のシステムの中からクラウド環境に移行可能なものについてプライベートクラウドに徐々に移
行する戦略を取っていると考えられる。
①我が国の SaaS サービスの事例
◆「サイボウズ
ガルーン SaaS」
「サイボウズ ガルーン SaaS」は、サイボウズの提供するエンタープライズ グループウェア
「サイボウズ ガルーン 2」の機能をそのまま、中堅企業から1万人規模の企業に対して提供す
る SaaS 型グループウェアである。
「サイボウズ ガルーン SaaS 」では、下記のアプリケーションが利用可能であり、携帯電話か
ら閲覧・操作するモジュールも標準搭載している。
図 2-13
サイボウズ
ガルーン 2 が提供するアプリケーション群
(出典:サイボウズ
ガルーン
31
シリーズ総合カタログ)
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
② 楽天研究所のクラウド技術
インターネット総合企業として展開している楽天は、クラウドでサービスを提供していると言
える。楽天は、クラウドのサービスを支えるインフラとして何千台ものサーバを運用し膨大なト
ラフィックをさばくネットワークを管理している。
楽天が顧客に提供するサービスの一つに過去の購買履歴などをもとに顧客に相応しい商品を
レコメンデーション(推奨)するものがあるが、この機能を実現するには、日々増大する膨大な
データを効率よく扱う処理に挑戦する必要がある。楽天では、これらの大量データを効率するた
めに自社で研究所(楽天研究所)を保有し、先進的なソフトウェア開発を実施している。
この楽天研究所が開発した Ruby による分散処理基盤ソフトウェア「ROMA(Rakuten
On-Memory Architecture)」を紹介する。
◆
分散処理基盤ソフトウェア「ROMA(Rakuten On-Memory Architecture)」
楽天は、2009 年 8 月 27 日、同社が独自に開発した分散処理基盤ソフトウェア「ROMA
(Rakuten On-Memory Architecture)
」を実サービスに導入した。ROMA は、同社の研究開発
部門である楽天技術研究所が開発した分散キーバリュー型データストア(分散 KVS)と呼ばれ
るソフトウェアであり、Ruby で記述されている。
ROMA を導入した例としては、楽天トラベルの閲覧履歴機能「最近見た宿」が挙げられる。
楽天では今回、同機能をモバイル機器に拡張した。PC とモバイル機器両方のアクセス履歴を
統合して表示させるために高速にデータを処理する必要があり ROMA を利用した。
分散 KVS とは、
複数のサーバに分散してデータを保持するための基盤ソフトウェアである。
分散 KVS には memcached や Amazon の Dynamo などが有名であるが、ROMA はその Ruby
版である。一つのデータを複数のマシンに複製して持つことで障害時にデータが失われること
を防ぐ。ROMA が稼働するサーバ同士は P2P で自律的に連携し、障害が発生したマシンは自
動的に切り離される。稼働中にマシンを追加し、処理能力を増強することも可能である。ROMA
は Ruby のほか、Java、PHP からも利用することができ、
「最近見た宿」は Java で記述され
ている。
ROMA は、2009 年 10 月 24 日、オープンソース・ソフトウェアとして公開された。
32
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
③ニフティのクラウド
ニフティは、2010 年 1 月 27 日、同社のサービス基盤を活用したクラウドサービス『ニフティ
クラウド』の提供を法人企業向けに開始し、クラウドサービス事業に参入した。(図 2-14 参照)
『ニフティクラウド』は、以下の3つの特徴がある。
・ 顧客の利用状況に応じてサーバやメモリの増設にオンラインで対応できるオンデマンド形
態のサービスである。
・
1 時間単位で利用することができる従量制の料金プランである。
・
大規模システムを運営する仮想化技術を活用したシステム構成である。
同社は、1986 年に創業し、技術の進化に対応したネットワークサービスを提供してきたが、
この『ニフティクラウド』を今後の大きな成長が見込まれる分野と位置づけ、ネットワークサー
ビスでの運営ノウハウをもとに、クラウドサービス事業へ参入してきた。
当初は IaaS 環境を提供するクラウドサービスを展開し、その後、PaaS、SaaS の分野への展
開も予定している。
図 2-14
『ニフティクラウド』コントロールパネル
33
「ダッシュボード」画面イメージ
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
④ベンチャー企業のクラウド
我が国でもクラウドを利用してグローバルにサービスを提供するベンチャー企業が出現して
いる。
◆
頓智ドット社(セカイカメラ)
頓智ドット社は、2008 年の TechCrunch50 で AR67技術を利用した iPhone のアプリケーシ
ョンである「セカイカメラ」を発表し、一躍グローバルに注目を浴びた企業である。図 2-15
は、
「セカイカメラ」の利用イメージ図であるが、iPhone のカメラを通して見た場所や建物な
どに GPS の位置情報をもとにタグを付けることができる。また、すでに誰かが場所や建物な
どにタグを付けていればその情報を入手することができるサービスである。同社は、このサー
ビスを実現するために Amazon のクラウドサービスである EC2 を利用している。2009 年 9 月
24 日に iPhone 向けアプリケーション「セカイカメラ」を一般公開したが、クラウドのサービ
スを利用しているため急激に増加するトランザクションにも耐えることができる。
図 2-15
セカイカメラのイメージ
(出典:エコノミスト
67
2010 年 2 月 9 日号)
AR(Augmented Reality):拡張現実。
34
-__-
クラウド・コンピューティング社会の基盤に関する研究会
◆
報告書
想創社(モバツイ)
ツイッターの国内携帯電話向け接続サービスである「モバツイ」は、ツイッターの急激な成
長に起因するユーザ増加に対応するために Amazon EC2 を利用している。
人気のあるイベント開催時や高い視聴率の TV 番組放映中には、多くのユーザがアクセスし
急激に接続数が高まるが、クラウドのサービスを利用しているため、即座にウェブサーバを追
加することで対応している。
仮想マシンの数は、2010 年 2 月時点で 45、月に 5 インスタンス以上増やしている。
◆
クックパッド株式会社(クックパッド)
図 2-16
COOKPAD のイメージ(http://cookpad.com/)
「クックパッド」は、オリジナル料理レシピの投稿・検索ができるサイトとして 1998 年に誕
生し、日々料理する 20-30 代の女性ユーザを中心に、月間 858 万人が利用している。
クックパッドでは、Amazon のクラウドサービスである EC2、S3 上で Hadoop を利用して、
検索クエリやアクセスログの解析を行っている。
解析結果は、B2B のマーケティングサービスである「たべみる」や、ユーザのアクセス動向
の調査などに利用されている。
◆
株式会社 ビットメディア (シェアキャスト)
「シェアキャスト」は、P2P ライブ配信システムとクラウドコンピューティング環境を組み
合わせたサービスである。株式会社ビットメディアは、P2P ライブ配信システム「シェアキャ
スト」を使ったサービスを Amazon EC2 などのクラウド環境を駆使して提供している。採用
事例としては、2009 年 8 月∼9 月に実施された NHK 全国学校音楽コンクールの「九州ブロッ
ク」、「関東甲信越ブロック」及び「東北ブロック」のブロックコンクール・ライブ中継など
がある。
35
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
イベント実施期間のみクラウド環境にシステムを立ち上げることでサーバリソースのコス
トを削減するとともに、P2P 技術を併用することでクラウド環境からのデータ転送量も大幅に
抑制している。「シェアキャスト」は、株式会社ビットメディアと株式会社アンクルが共同開
発し、2002 年に最初のバージョンを発表している。2008 年 9 月には、P2P ライブ配信システ
ムとして初めて専用ソフトのインストールを不要とした Java アプレット版をリリース、2009
年からクラウド環境を活用したサービスを展開している。
図 2-17
シェアキャストの配信ネットワーク構成
36
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
⑤富士通のクラウド関連サービス
富士通は、2010 年度に「クラウド」関連で数百億円規模の設備投資を行う予定であり、「企
業向けビジネスで培ってきた信頼性と安定性を武器に、クラウド事業を拡大させる」方針である。
同社は、「館林システムセンタ」(群馬県)に新棟を 2009 年 11 月に完成させた。新棟は、顧
客 IT システムのアウトソーシングサービス拡充の一環として建設、クラウドをはじめ、仮想化
サービスの提供、SaaS 環境構築のサポートなど、運用拠点としてだけでなく次世代サービスの
発信地として活用していく。第 1 弾として約 1,000 台のサーバーファームを展開し、順次拡張す
る。
⑥NTT データのクラウド関連サービス
NTT データは、そのクラウド関連サービスとして BizCloud を提供している。図 2-18 で示す
ように、BizCloud では、ユーザ独自のサービスをクラウド上で利用するプライベートクラウド
の構築や、複数のユーザがリソースを分け合って共同で利用するパブリッククラウドの提供、ク
ラウド技術活用のためのコンサル、現行システムからクラウドへの移行サービスなどを提供して
いる。
図 2-18
BiZCloud のラインアップ
(出典:NIKKEI SOLUTION BUSINESS
2009.10.30)
⑦NEC のクラウド関連サービス
NEC は、400 億円を投じ、自社のシステムを「クラウドのモデルルーム」に仕立てる。拠点
となるデータセンタにグループ共通の基幹システムを構築し、本体の各部門やグループ各社はネ
ットワーク経由で、経理、販売、資材調達の各システムをサービスとして提供を受ける。システ
ム集約や電力使用量削減などで、システム関連のコストを年間で 2 割強(約 300 億円)減らす目
標を掲げる。
同社は、
人員面でもクラウドの担当要員を 2012 年度末までに現在の 2 倍の 2,000 人に拡大し、
東京・港区の本社 1 階にあった PC や携帯電話などの新製品展示コーナーをクラウド専門のショ
ールームに変更。12 年度にはクラウド関連の売上高を 1,000 億円に拡大する計画。得意の通信
技術を生かし、クラウド型システムでも「99.9999%の稼働率を実現できる」としている。
37
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
⑧日立のクラウド関連サービス
日立のクラウド関連サービスである「Harmonious Cloud」は、ビジネス PaaS(含む IaaS)
ソリューション、ビジネス SaaS ソリューション、プライベート・クラウドソリューションを 3
本柱にして、信頼性とセキュリティに優れ、環境に配慮したクラウド基盤を提供する。大企業の
コア業務の要請にも応えられる高い信頼性がポイント。
日立の仮想化技術である Virtage(バタージュ)を活用してユーザごとのリソース割り当てを
保証することでサービスレベルを維持し、ネットワークやストレージもユーザごとに完全に隔離
することで高レベルのセキュリティを実現している。
同社は、SaaS としては、特許情報提供サービスである Shareresearch(シェアリサーチ)が
ある。比較的安価で高信頼性の基盤を提供するサービスからスタート。データセンタは国内の大
都市の近郊にあり、米国の金融機関で使用される「The Uptime Institute」の基準の最高レベル
に相当する設備を採用。
⑨日本ユニシスのクラウド関連サービス
システムの特性などにより、複数のクラウドサービスを使い分ける時代が来ることを見据え、
同社の強みである高いマルチベンダー対応力を活かしたマルチクラウド戦略を描いている。図
2-19 は、日本ユニシスにおけるクラウドサービスをまとめたものである。
図 2-19
日本ユニシスのクラウドサービス
(出典:NIKKEI SOLUTION BUSINESS
38
2009.12.15)
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
クラウドを支える技術
2.3
クラウドを既に利用し、あるいは今後利用しようとするユーザ、特に企業においては、クラウド
サービスがどのような技術によって支えられているのか、そのあらましを理解し、参考にした上で、
クラウド利用で何が可能になるのか、クラウド利用に伴いどのようなリスクがどの程度ありうるの
か、という経営上の検討、確認、判断を自ら主体的に行っていくことが重要であると考えられる。
クラウドを支える技術は、主として次の 3 つがある。
・分散処理・分散システムの技術
・仮想化技術
・セキュリティの技術
これらの技術の革新と成熟により、外部化された情報資源(各種のハードウェア、ソフトウェア
など)を多数のユーザが共有し同時に利用し、一定水準以上の効率性、信頼性、セキュリティを確
保しながら、短期間に増減する各々の情報処理業務を並行的に実施することが可能になったのであ
る。
図 2-20 クラウドを支える技術
図 2-20 は、分散技術・仮想化技術・セキュリティ技術と、IaaS・PaaS・SaaS の各階層の関係
を示している。以下、それぞれについて説明を行う。
(1) 分散処理・分散システムの技術
分散処理技術とは、複数の機器(CPU、サーバ、ストレージなど)を並行して効率的に利用する
技術である。
2.1 において既に述べたように、インターネットの普及と高速化(広帯域化)により可能とな
ったクラウドサービスは、ハードウェア運用費用を抑制したいというユーザ側のニーズに対し、
ベンダ側がハードウェアの集約やホスティングによるスケールメリットで応える、という形で急
速に拡大したと言える。
39
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
このように、ベンダ側が多数のユーザのホスティングを集約し、個々のユーザが自前のハード
ウェアを設置、運用するよりも安価に提供することは、多数のハードウェアにおける高速かつ機
動的な分散・並列処理を可能にする以下のような技術革新によって初めて実現されたものである。
①
スケーラビリティ
スケーラビリティとは、コンピュータシステムの持つ拡張性のことを言う。例えば、システム
のユーザや負荷の増大/減少に応じて、柔軟に性能や機能が対応できることを意味する。
コンピュータ 1 台では性能や容量が足りないという場合、例えば、ウェブ越しのアクセスをさ
ばき切れない場合、データベースの容量が足りない場合、性能・容量を稼ぐための方針には次の
2 つがある(図 2-21 参照):
・スケールアップ/vertical scaling
¾
―――
1 台の性能・容量を強化する。
コンピュータをより処理性能の高いものに置き換えたり、ストレージを増設して
容量を増やしたりする。
・スケールアウト/horizontal scaling ―――
台数を増やす。
*自動的なスケールアウトは主と
して PaaS において行われる
図 2-21
スケールアップ、スケールアウトのイメージ
(出典:日経ソフトウェア
2009.9 に加筆)
スケールアップという方針には、1 台上での動作を前提としたソフトウェアそのままで性能向
上を図れるというメリットがある。つまり、お金を払ってハードウェアを強化することで性能向
上を図れる。情報システムをスケールアウトさせるにはそれなりの工夫が必要で、ときには極め
て困難なこともある。
スケールアップはお金でまかなえるとはいえ、1 台の性能を強化することにも限界があるし、
また、得られる性能・容量に比べてかなり高くつく。今日で言えば、CPU が 4 コア搭載された
PC は、数万円で売られているが、24 コア搭載のサーバは、100 万円を超える。128 コア搭載の
サーバも入手可能ではあるが、こうなると 1 億円を超えてしまう。同様のことは、ストレージの
容量や、ネットワーク性能(帯域幅)についても言える。メモリやストレージの性能(帯域幅)
についても同じことが言える。
40
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
そこで、1 台の性能・容量では足りず、スケールアップでも足りない、又は高くつきすぎると
いう場合、スケールアウトを検討することとなる。複数台を並べて性能・容量を稼ぐことは、比
較的容易な場合もあるし、困難な場合もある。目標は、台数に比例した性能・容量の達成である。
10 台並べたなら 1 台の 10 倍の性能・容量を達成したい。例えば、ウェブブラウザからのアクセ
スを受け付ける三層アーキテクチャのシステムを考えると、アクセスを受け付けるウェブサーバ
のスケールアウトは容易だが、裏側のデータベースをスケールアウトさせることは容易ではない。
ウェブサーバのスケールアウトのためには、ウェブサーバの手前にロードバランサを配置して、
複数のウェブサーバにアクセスを分散させればよい。
もともとスケールアウトが比較的困難なデータベースについても、アクセス性能や容量をスケ
ールアウトさせるためのソフトウェアや機能、運用のノウハウなどが整いつつある。詳細な説明
は他の文献に譲るが、リレーショナルデータベース管理システム(RDBMS)の sharding68によ
る容量のスケールアウト、key-value ストアを用いたアクセス性能のスケールアウト、スケール
アウトできることを前提に設計・実装された NoSQL(リレーショナル型でないデータベース)
と呼ばれるデータストア(データ格納ソフトウェア)群などが現実の選択肢に入ってきた。
スケールアウトが前提の NoSQL なデータストアには、例えば、Google が社内で運用している
Bigtable やそのクローン実装、Facebook がオープンソース化した Cassandra、Amazon Web
Services の一部として提供されている Amazon SimpleDB などがある。Google が提供する PaaS
である Google App Engine で利用できるデータストアも Bigtable という名前である。Microsoft
が提供する PaaS である Windows Azure Platform も、Azure Table という同種のデータストア
を提供する。これらの多くが、ウェブで人類規模の大規模なサービスを提供する企業であること
に注意されたい。1 台でできることを大きく超えて、10 台、100 台、1,000 台を一度に活用して
性能・容量を引き出すことが、競争力のある事業に欠かせないものであるということである。
②
並列処理
並列処理とは、複数の CPU や複数のコンピュータを一度に活用して、それらに同時に処理を
行わせることである。これによって、1 秒あたりどれだけ多くのデータを処理できるか、読み書
きできるかを追求する。
並列処理の細かさ・粗さには様々なものがあり、CPU の中で行われるような、命令列を複数
の演算器に割り当てての並列処理から、複数の CPU で処理を分担する並列処理、コンピュータ
どうしを専用高速ネットワークでつないだスーパーコンピュータでの並列処理、地理的に離れた
場所にある計算機群による広域分散処理まで、様々である。
一方、処理対象のプログラム・データの側にも、細かい、粗いという特徴付けができる。これ
は、処理の最中に必要となる CPU 間の情報交換の頻度によって決まる。CPU 間の情報交換は、
CPU 間で共有されるメモリを介して行われることもあるし、ネットワークを介した通信で行わ
68
Sharding:シェアードナッシングとも呼ばれ、データセットを分割し、各サーバが異なるデータを持つようにパーティショニングす
る方法
41
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
れることもある。この頻度が高いことを細粒度、低いことを粗粒度という。粒度が細かい処理ほ
ど、情報交換を素早く行えるような、つまり遅延の小さいハードウェアでしか性能向上を図れな
い。CPU 命令単位の並列処理を広域分散環境で行っても、当然まったく性能が出ないというこ
とである。粒度が細かいほど、スケールアウトは困難になっていく。
クラウドでの並列処理は、イーサネットなどの LAN でつながったコンピュータ群を活用して
の並列処理なので、自然、それなりに粒度の粗い並列処理となる。イーサネットを介した通信に
は数μ秒から数十μ秒かかり、その間に CPU は 1,000 から 10 万命令は実行できる。CPU をあ
まり暇にしないためには、CPU 間の情報交換の頻度はせいぜいそのくらいの間に一度にとどめ
ないと効率が上がらず、性能向上を図れない。
クラウドにおいて、コンピュータを複数台並べることで稼ぎたい性能には、細かく見ていくと
次のとおり種類があり、表 2-6 で示されるように、実は、それぞれ必要な技術やソフトウェアは
異なる。
表 2-6
No.
並列処理で要求される内容と対応する技術
稼ぎたい性能
性能の内容
対応する Google の基盤ソフ
トウェア
1
容量
―
Google File System (GFS)
2
データ処理量/秒
データ量についてのスループッ
MapReduce
ト(単位時間あたりの処理能力)
3
リクエスト数/秒&素早
リクエスト数についてのスルー
い返答
プット&低遅延
Bigtable
いずれのソフトウェアもスケールアウトを必須の要件として設計・実装されているが、それぞ
れ稼ぎたい性能の種類は異なる。これらのうち、狭義の並列処理を目的としたものは MapReduce
である。MapReduce は、
「1 秒あたりいかに多くのデータを処理するか」を追求した技術(ソフ
トウェア)であるが、Bigtable のように一瞬でも素早く返答することは特に考えていない。
並列処理のための基盤ソフトウェアである MapReduce はつまり、ウェブ越しのアクセスに素
早く対応するためではなく、裏側で大量のデータを処理するために使われている。Google の場
合、例えば、ウェブからの検索要求に素早く返答するために必要な前処理のために MapReduce
を活用している。この前処理では、あらかじめ貯めこんでおいたウェブ上の膨大なコンテンツを
処理して、それらに対するインデックスを作成する必要があり、1 兆とも言われるウェブコンテ
ンツ、そのある部分に対してでも、リーズナブルな時間のうちに処理し終えるためには、かなり
の台数での並列処理が必要となる。そこでは、数百、数千台という規模での並列処理が行われて
いる。図 2-22 は、MapReduce の仕組みを図式化したものである。
42
-__-
クラウド・コンピューティング社会の基盤に関する研究会
図 2-22
③
MapReduce のイメージ(出典:日経ソフトウェア
報告書
2009.9)
CAP 定理・ACID・BASE・eventual consistency
CAP 定理とは、
「ウェブ上のサービスでは、Consistency(整合性・一貫性)、Availability(可
用性)、Partition tolerance(分散耐性)という 3 つのうち最大でも 2 つまでしか同時には成り立
たない」という定理である(2000 年にカリフォルニア大学バークレー校の Eric Brewer 教授が
提案)。表 2-7 に「C」、
「A」、
「P」の概要を示す。容量のスケールアウトを狙う分散データスト
アでは、3 つのうち「P」(分散耐性)が必須ということになる。すると、あと 1 つ、
「C」(一貫性)
と「A」(可用性)のどちらを狙うのかで、分散データストアの作りが変わってくる。これに関連
して、ACID、BASE、eventual consistency(結果としての一貫性)についても説明を行う。
表 2-7
C
A
P
「C」、
「A」、「P」の説明
Consistency(一貫性)
クライアント(ユーザ)は、一連のデータ処理を同時に起きたとして扱えること。(ある
クライアント(ユーザ)がデータ更新した場合、それ以降にそのデータを利用するクラ
イアント(ユーザ)は、全ての処理で更新後のデータを取得できることを保証する。)
Availability(可用性)
すべての処理は、所定時間内に終了すること。(いつでも、該当データを読み書きが
できる。)
Partition-tolerance(分散耐性)
システムの構成要素(物理的あるいは仮想的サーバ)がいくつか壊れたとしてもシステ
ム全体が問題なく動作すること。
分散処理では、「P」(分散耐性)を最も重視している。その前提の元で、伝統的ないし一般的な
リレーショナルデータベース管理システム(RDBMS)では、「C」(一貫性)をその次に重視する
ので、ときに「A」(可用性)が犠牲になる。これに対し、クラウドサービスで用いられることが
43
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
多い key-value ストアや NoSQL と呼ばれるデータストアでは、
「A」(可用性)をより重視するの
で「C」(一貫性)を満たす条件が緩くなる。前者の方針を ACID(Atomicity、Consistency、Isolation、
Durability)、後者の方針を BASE(Basically Available、Soft state、Eventual consistency)と言
う。図 2-23 は「C」
、「A」、「P」の関係を図式化したものである。
伝統的または一般的なデータベースでの分散処理
分散処理では「P」(分散耐性)は必須である。
「C」(一貫性)
を達成するため、
「A」(可用性)についての条件を緩和してい
る。
(ACID と呼ばれる考え方)
クラウドで多く採られている処理
これも、
「P」(分散耐性)は必須である。
「A」(可用性)を達
成するため、「C」(一貫性)についての条件を緩和している。
(BASE と呼ばれる考え方)
図 2-23 CAP 定理のイメージ
(Gianpalo Carrao "Cloud No Cloud The law Of Physics Still Apply(PDC2008)")
を改変
従来、
「データストア(正確には、そのトランザクション)は、Atomicity、Consistency、Isolation、
Durability という 4 つの性質を満たすべし」とされてきた。4 つの頭文字をとって、ACID と言
う。分散データストアの場合、前述の RDBMS の例のように、CAP 定理で言うと「P」(分散耐
性)に加えて「C」(一貫性)を死守することになる。それに対して、「C」(一貫性)として保証する
条件を緩めて「A」(可用性)を維持する方針を BASE と言う。key-value ストアや NoSQL と呼ば
れるデータストアは、BASE を指針として設計・開発されている。
RDBMS では、一つの表の様々な個所や、複数の表にまたがった箇所に対して処理が行われる。
トランザクションは、そこに含まれるすべての更新が行われたか、それとも一切行われなかった
かのどちらかにならねばならない。この性質を atomic(不可分)である、と言う。これは複数サ
ーバへのデータ分割、つまり sharding を行う場合も同様である。複数のサーバにまたがったト
ランザクションを達成するためには、2-フェーズコミット69といったサーバをまたがってのロッ
69
2-フェーズコミット:複数サーバに存在するデータの整合性を保持する手法。まず、関連する全てのサーバに処理可能か確認を行う
(コミット準備)。コミット準備が行われると、処理が終了するまで該当データの読み込み/書き込みが行われない。その後、全サーバ
で処理実行を行う(コミット実施)。コミット実施後、データの読み込み/書き込み禁止が解かれる。コミット準備/コミット実行の 2
階に分けるため、2-フェーズコミット(2相コミット)と呼ばれる。
44
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
クを伴う手法が用いられる。これは、応答性、すなわち「A」(可用性)が犠牲になっている。一
部サーバで故障があった場合には、反応がないことをタイムアウト待ちで確認するため、場合に
よっては数秒といった長い時間、応答が妨げられることがある。
一方、key-value ストア、NoSQL データストアは、サーバをまたがっての atomic(不可分)
な更新をサポートしていない。これによって「A」(可用性)を損ねない実行を保証している。し
かし、これは、表全体や、複数の表にまたがるトランザクションにおいて整合性を保つ処理をサ
ポートしないことを意味する。具体的には、key 一つ、又は、一行・同一サーバ上にあることが
保証されている行のまとまりといった細かい単位でだけ atomic な更新をサポートする。
分散処理では、データは複数サーバに複製されて置かれることが多い。サーバ故障によるデー
タ消去を避けるため、データ複製は、複数サーバをまたぐ必要がある(詳細は④参照)。複製間の
整合性について、何かしらを保証することは必要である。データストアに対して新しいデータを
書き込んだにもかかわらず、いつまでも古いデータが読み出されてしまうようでは実用に耐えな
い。しかし、サーバをまたがっての atomic な処理を行おうとすると、どうしても「A」(可用性)
が犠牲になりかねない。そこで「C」(一貫性)を保証する条件を緩める必要がある。多くの場合、
具体的には eventual consistency(結果としての一貫性)という考え方を導入している。
eventual consistency(結果としての一貫性)とは、データ更新の内容が「いつかは結果とし
て」すべての複製データで反映されることを言う。例えば、データを「5」から「10」に更新処
理を行うことを考える。処理後であっても、どの複製から読むかによって「5」が読み出されて
しまう場合があることを許容し、その後の上書きがなければ、
「いつかは結果として(eventual)」
すべての複製データが新しい値「10」が更新され、どの複製から読み出しても「10」が得られる
ようになる。CAP 定理での「C」(一貫性)のように、
「データ処理後であれば、必ず新しい値が読
み出されるようになる」という保証がされていない。ここで注意したいのは、一貫性が成立する
までの時間の長短は問題ではないということである。例えば、全複製への伝播に要する時間が平
均して 1 マイクロ秒という素早さだったとしても、何秒以内、とか、次の読み込みまでには、と
いった保証がないのであれば、それは eventual consistency であるとする。
表 2-8、2-9 は、ACID、BASE についてまとめたものである。
45
-__-
クラウド・コンピューティング社会の基盤に関する研究会
表 2-8
報告書
「ACID」の説明(これまでの DB のトランザクションが追求してきた特性)
Atomicity(不可分性、原子性)
A
一連のデータ処理が全て実行されるか、実行されないかのいずれかを保証すること。
(例:口座 A から口座 B への銀行振込処理は i)口座 A から所定額を引く、ii)口座 B に
所定額を加える、の 2 つの処理からなる。Atomicity とは、上記 i)ii)が両方とも行わ
れるか、両方とも行われないかを保証すること。片方しか処理されなかった場合、整
合性がとれなくなる)
C
I
D
Consistency(整合性)
処理の開始前開始後で、関連するデータ間で整合性が満たされていること。
*上記の CAP 定理のCはユーザ側の視点であり、ACID のCはトランザクションを
処理する側からの視点であることに留意する
Isolation(独立性)
複数のトランザクションが実行されても、完了してないトランザクションが他のトラ
ンザクションに影響しない
Durability(永続性)
一連の処理が終了した後は、その処理結果が失われないこと。
表 2-9 「BASE」の説明(スケールアウトを実現するシステムの特性)
BA
S
E
Basically Available(基本的に可用)
原則としていつでも、対象データの読み込み/書き込みができること。
Soft state(厳密ではない状態保持)
分散して色々なサーバに置かれた(コピーされた)データの状態は、厳密には保
持されない。つまり、一定期間後にリフレッシュされない限り、放置しておく
と消えてしまう。このような緩やかな状態のこと。
Eventual consistency(結果としての一貫性)
「いつかは」整合性が確保されること。
(前ページの説明参照)
46
-__-
クラウド・コンピューティング社会の基盤に関する研究会
④
報告書
データ複製
CAP 定理、eventual consistency の説明でも言及したが、データ複製について説明を加える。
どんなに信頼性の高いハードウェアを使おうと、絶対に壊れないということはあり得ない。ス
ケールアウトを前提とする場合は、コスト性能比のよい価格帯の部品、つまり普通の CPU やマ
ザーボード、HDD、SSD などを用いることが一般的であり、そうすると 1 台あたりの信頼性は
一般的な PC と同程度でしかない。コンピュータやストレージが故障してもデータを失いたくな
ければ、データのバックアップ、コピーを作成しておくことは必須である。
特に、データストアをスケールアウトさせた場合、台数が増えるにしたがい、その中の一台や
二台は故障して停止しているということが日常茶飯事となってくる。例えば、平均故障間隔
(MTBF)が 15,000 時間、つまり 1 年 8∼9 ヶ月に 1 回故障するコンピュータがあった場合、1
台が故障なしに 24 時間稼働し続ける確率は 99.8%であるが、これが 10 台では 98.4%、100 台で
は 85.2%、500 台となると 44.9%となり、むしろ 1 台くらいは壊れる確率の方が高くなってくる。
また、わずか 10 台であっても 44 日間経つと、故障なしの確率は 49.4%と 5 割を切ってくる。そ
のため、故障を日常茶飯事として考えることが必須となる。
一部が故障しても機能し続けるためには、データの複製が必須となる。分散メモリキャッシュ
を実現するソフトウェアとして知られる memcached のように、保持しているデータはあくまで
キャッシュである、と割り切るならともかく、そうでない場合、故障したコンピュータが保持し
ていたデータが失われたのでは使い物にならない。ゆえに複製が必要となる。かといって、全デ
ータの複製を全サーバに持たせたのでは、いくら台数を増やしても一台分のデータしか保持でき
ないことになり容量を稼げない。そこで、データの部分々々について、数台程度のサーバに複製
を持たせることになる。複製を行う単位としては、key-value ストアであればキーと値のペアご
と、表形式でデータを保持するのであれば行ごと、というケースが多い。複製の数としては(オ
リジナルを含めて数えて)3 が選択されることが多い。
データ、つまり、キー・値ペアや行を分散データストアに格納する際、(オリジナルやその複
製を)どのサーバに保持させるかも重要である。この決め方に問題があると、例えば、サーバご
とのデータ保持量が偏って、サーバによってはまだ充分に空きがあるにもかかわらず、それ以上
保存はできない、ということが起こり得る。担当するサーバは、key-value ストアであればキー、
表形式でデータを保持する場合はある列(partition key)の値に基づいて決められる。担当サー
バを決める方法には、「キーの範囲ごとに決める方法」、「分担表を作っていく方法」、「何がしか
のアルゴリズムで決める方法」などがある。「何がしかのアルゴリズムで決める方法」には例え
ば、キーのハッシュ値を使う方法や consistent hashing という方法がある。他方、Google の
Bigtable は分担表を作っていく方法を採っている。
⑤
クラウド上 PaaS 向けの分散システム設計・開発技法
クラウド上の PaaS でうまく動作するソフトウェアを設計・開発するためには、これまでとは
異なる設計・開発技法が求められる。今後、多くのソフトウェアがクラウドでの動作を前提とし
て開発されるようになっていく。そうでない場合でも、クラウドへ移行できることが高い価値を
持つようになっていく。それにつれて、技術者にはそういった技法を身につけることが求められ
るようになり、つれて、ソフトウェア開発企業の経営や技術者教育にとっても重要事項となって
いくであろう。
47
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
具体的には例えば、ある銀行口座から他の口座への送金を考えてみる。送金においては、送金
元と送金先の整合性を維持する必要がある。1 万円引き出したなら、確実に 1 万円振り込めてい
ることが必要である。ここで、複数のテーブル、ときに複数のサーバにまたがったトランザクシ
ョンを瞬時に行うことができれば話は簡単であるが、クラウド上の PaaS が提供するデータスト
アではそれが期待できないことも多い。ここで整合性を維持するためには、何らかの技法が求め
られる。メッセージキューの活用、idempotent70という性質の活用などがそれに該当するが、こ
のような技法は、今日では、よくまとめられ、よく知られているとは言いがたい。それを身につ
けることが、短期的には技術者や企業にとっての差別化要因になり得るし、中・長期的にはクラ
ウド向けソフトウェア開発の方法論としてまとめられ、体系立って学ぶことができるようになっ
ていくであろう。
⑥
相互運用性(interoperability)
相互運用性を支えるのは、「データやプログラムをインポート・エクスポートできること」及
び「データ形式や通信プロトコル、API が公開されているか、標準に沿っていること」であり、
クラウドにおいて相互運用性は、ベンダロックインを防ぎ、クラウド間の連携を可能とする。
◆
SaaS
クラウドにおいても、データのエクスポートが困難であるか、データ形式が独自、非公開であ
ることによるベンダロックインは起こり得る。これは、特に SaaS であれば、他のウェブ上サー
ビスとまったく同様のことである。例えば、スケジュール管理サービス間、ブログホスティング
サービス間でのデータ移動の困難さとまったく同じことが起こり得る。
◆
PaaS
PaaS 上で動作するソフトウェアについては、サービス間の相互運用性は絶望的である。
Windows Azure Platform 向けに開発されたソフトウェアを他の PaaS、例えば Google App
Engine 上で動作させることはできない。逆も不可能である。この点は確実にベンダロックイン
の手段、原因となるため、PaaS プラットフォームを選択する際には配慮が要る。
◆
IaaS
IaaS については、仮想マシンのディスクイメージファイルの形式や、ストレージサービス(例:
Amazon S3)の API がクラウドごとに異なるという問題がある。しかしサービスごとの独自仕
様といっても比較的小さいものなので、上に述べた PaaS に比べればまだ軽微な問題であると言
える。
仮想マシンのディスクイメージファイルであれば、クラウドへの波及はまだであるが、仮想マ
シン業界で共通の形式を定めようという動きもある。API 仕様が比較的小さいことから、パブリ
ッククラウドの互換実装を開発する動きも盛んである。例えば Amazon EC2 の互換実装には、
Eucalyptus と呼ばれるオープンソース・ソフトウェアがある。
70
idempotent 冪等性:1回目の実行でも2回目、3回目…の実行でも処理内容/処理結果が同じになること
48
-__-
クラウド・コンピューティング社会の基盤に関する研究会
◆
報告書
クラウド間連携
今日でも、クラウド間でインターネット経由の通信を行うことでの連携は、もちろん可能であ
る。そのようなソフトウェアを開発して載せればよいし、連携の前提となる認証基盤も徐々に現
実のものとなってきている。
今後は、わざわざ連携のためだけのプログラム開発を行わずとも、クラウド間連携ができるよ
うになっていくと予想する。例えば、surge(大波・急上昇) computing という概念がある。手
元やプライベートのリソースでは足りなくなった場合に(自動的に)パブリッククラウドのリソ
ースを使うという概念である。これを実現するには、IaaS なり PaaS なりの層で、プライベート
側とパブリック側の高い相互運用性が必要となる。例えば、同一のソフトウェアが動作する、組
織の壁をまたいで、安全に、同一のデータストアにアクセスできるなどである。
このようなプライベート ― パブリック連携に加えて、パブリック ― パブリック連携も可能
となる未来も来るかもしれない。
(2) 仮想化技術
仮想化技術とは、
「サーバ、ストレージ、ネットワークなどの IT 資源について、物理的な性質
や境界を取り除き、論理的な利用単位に変換して提供する技術」としている。具体的には、1 台
のサーバ/ストレージを複数台のサーバ/ストレージとして、あるいは複数台のサーバ/ストレージ
を 1 台のサーバ/ストレージとして扱う技術を指す。
図 2-24
クラウドコンピューティングでの仮想化技術の役割
49
-__-
クラウド・コンピューティング社会の基盤に関する研究会
①
報告書
仮想化技術による大規模化
クラウドの各データセンタでは、数万台以上の計算機が設置されているが、これらを管理する
技術として仮想化が大きな役割を果たしている。現在のクラウド環境では主に Intel 社製あるい
はそれに準拠した CPU が使われているが、2006 年以降これらにも仮想化命令(Intel VT や AMD
SVM)が含まれるようになり、通常の OS を修正することなく実行する完全仮想化が容易に実現
でき るようにな った。それ まで仮想化 命令を使わ ず仮想計算 機を提供し ていた VMware
(VMware 社)以外にも多くの仮想計算機ソフトウェアが開発され、クラウドで容易に使えるよ
う に な っ た 。 ク ラ ウ ド 環 境 で 利 用 さ れ る 仮 想 計 算 機 ソ フ ト ウ ェ ア に は VMware 以 外 に
Xen(Citrix)、Hyper-V(Microsoft)、KVM(Redhat)、Virtual Box(SUN)、Oracle VM(Oracle)な
ど商用・オープンソースとり混ぜて多様な選択が可能になった。これらの仮想化ソフトウェアに
より、Amazon EC2 に代表される IaaS での OS ホスティングが容易になった。
図 2-24 に仮想化技術による改善を示す。従来のシステムでは、ハードウェアの低価格化によ
り、各サービスを機器ごとに分ける分散化(Distributed Computing)が進んだ。物理的な機器ご
とにサービスが対応していたが、メモリや CPU の資源を融通できない問題があった。この問題
に対して仮想化(Virtualization)を適用し、プロビジョニングの技術を使うことで適切な資源を持
った複数の論理的機器を提供できるようになった。クラウドコンピューティングではさらにライ
ブマイグレーションや VMI(Virtual Machine Image)の技術を使うことで OS のインストールの
手間を省くことができるようなったとともに、複数の物理的機器に跨った負荷分散などの管理の
自動化(Automatic System)が行えるようになり、大規模な管理が可能となった。ここで活用され
る個々の技術であるプロビジョニング、ライブマイグレーション、VMI について以下で説明する。
1) プロビジョニング
プロビジョニングとは、コンピュータ資源(CPU、メモリ、ストレージ、OS)やサービス(FTP
など)を必要に応じて適切に用意することである。仮想化技術により多数のサーバを結合し、ユ
ーザの要求に対して柔軟に資源を即時に割り当てられるようになった。また、仮想計算機に割り
当てられるメモリの総量容量が物理メモリを超えてもお互いに融通して調節するメモリオーバ
ーコミットの機能より OS の管理がより柔軟になった。さらに割り当て自体もシステム化され、
ハードウェアのフォーマット、OS、アプリケーションのインストールなどハードウェアに係わ
る準備作業にユーザの手を煩わすことがほとんどなくなっている。
2) ライブマイグレーション
ライブマイグレーションとは、実行中の仮想マシンを他の物理サーバに移動する技術である。
これにより物理サーバの電源停止やメインテナンスを可能にする。また、ある仮想マシンの負荷
が大きくなった場合、仮想マシンを他のサーバに移すことで負荷分散を可能にする。ライブマイ
グレーションは既にほとんどの仮想マシンで利用可能であり、VMWare ESX の VMotion、Xen、
Hyper-V、KVM、Virutal Box で利用することができる。
3) VMI (Virtual Machine Image)
クラウドでは基本的に OS のインストールも不要である。ダッシュボードと呼ばれるメニュー
インターフェースでミドルウェアやアプリケーションの選択を行い、OS のイメージが作成され
50
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
る。これは一般に VMI(Virtual Machine Image)と呼ばれるものであり、Amazon EC2 では
特に AMI (Amazon Machine Image)と呼ばれる。AMI では Linux 及び Windows イメージが
選択できる。
コラム:仮想マシンの利点
クラウドのメリットの一つに価格があげられる。
クラウドのコストについて、下記の UCB(カリフォルニア大学バークレー校)のレポー
ト”Above the Cloud”中に示されている。ここでは 1,000 台規模と 50,000 台規模で比較している
が、ネットワーク、ストレージ、管理の手間が約 1/7 程度になることが示されている。これほど
のコスト低下を可能にしたのは、標準的なハードウェアを大量調達することによってハードウェ
アコストを下げたこと、先にあげたライブマイグレーション、プロビジョニング、VMI(Virtual
Machine Image)などによりによりシステム管理が省力化されたことなどである。
サービス開始初期において最低限の費用で任意の計算資源を得られることは大きな利点であ
る一方、保守費用の観点からも利点は大きい。また、計算機資源(CPU、ネットワーク、ストレ
ージ)のピーク時の要求性能が予想しがたい場合、クラウドは価格よりもその調達の容易さ、ス
ケーラビリティがこれまでにない利点となっている。
参考資料:Above the Cloud[UCB Report]から
技術
中規模データセンタ(≒ 1000 超 巨 大 デ ー タ セ ン タ ( ≒
50,000 サーバ)でのコスト
サーバ)でのコスト
ネットワーク費用 $95 (Mbit/sec/月当たり)
ストレージ費用
比率
$2.20 (GByte /月当たり)
管理者当たりのサ 約 140 サーバ / 管理者
$13 (Mbit/sec/月 当たり)
7.1
$0.40 (GByte /月当たり)
5.7
1,000 サーバ以上 / 管理者
7.1
ーバ数
②
プロバイダ間の相互運用性
相互運用性とは、2 つかそれ以上のシステム又は構成要素が情報交換でき、また交換した情報
を使用できることを言う。すなわち、複数の異なったシステム間でデータ交換、データ共有でき
ることを言う。
クラウド利用において相互運用性が問題となる場合として以下が考えられる。
・あるサービスを提供しているプロバイダがサービスを停止されたため、事業継続できなく
なること
・ベンダロックインにより他のクラウドベンダに乗り換えられなくなること
仮想化技術により、プロバイダ間の相互運用性に対応するソフトウェアが提供されている。最
近では主要なクラウドと互換性をもったオープンソース開発も盛んに行われている。例えば、
51
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
Amazon EC2 の API 互換なソフトウェア Eucalyptus71がカリフォルニア大学サンタバーバラ
(UCSB)により作成され、実用化されている。Eucalyptus はプライベートクラウドの環境で
Amazon EC2 の環境を試験することも多かったが、現在はパブリッククラウドとしてのサービス
も始め、一部では Amazon EC2 からの乗り換えも行われている。
仮想マシンモニタについても相互運用性が考えられている。仮想マシン自体は通常の PC を仮
想化しているのであり、別の仮想マシンを起動することは新たに PC を用意することと同じであ
る。今までは、各仮想マシンモニタで管理のための API が異なっていたため、それぞれの仮想マ
シンモニタで独自のコマンドで実行する必要があった。この問題は、libvirt72と呼ばれる仮想機
械用の共通管理 API が開発されたことにより解決されつつある。libvirt は仮想機械の制御を抽
象化したライブラリである。サポートしている仮想機械は Xen、KVM、QEMU、Linux Containers、
OpenVZ、UML、VMware ESX、OpenNebula であり、クラウドで対象とする仮想計算機をか
なりカバーする。この API では仮想マシンやネットワーク、ストレージの設定やインスタンスの
生成が共通のコマンドで実行できる。先にあげた Eucalyptus は libvirt を使って Xen や KVM の
仮想マシンを切り替えることができる。
仮想マシンでは、想定しているデバイスモデルの違いが重要になる。Xen や KVM では、QEMU
由来の QEMU-DM (Device Model)を使っているために、それぞれで作った仮想マシンイメー
ジをそれぞれで使うことができる。デバイスモデルが異なると仮想マシン上の OS がドライバの
再インストールを行う必要があり、相互運用に問題が出る可能性がある。
③
既存の環境からクラウド環境への移行
クラウド環境への移行方法として、ユーザ側 PC の環境をそのままクラウド環境へ移行して、
ユーザ側 PC をシンクライアント的に利用したいとの要望(DaaS:Desktop as a Service と呼ば
れる)がある。
VDI73はこの要望に対応した仮想化技術である。画面転送型の Citrix の XenDesktop はサーバ
側の Xen から、VMware View はサーバ側の VMWare ESX からユーザ側 PC に画面転送するサ
ービスである。VMware View は VMware View Open Client としてオープンソースの実装もあ
る。
これらはデスクトップクラウド又は DaaS(Desktop as a Service)と呼ばれるもので、クラウド
コンピューティングへの簡単な移行手段として注目されている。しかし、この形態はクラウドコ
ンピューティングの本質的なスケールアウトの性質を生かしていないため、過渡的な技術である
と考えられる。
④
クライアントとの連携
クラウド処理の問題としてネットワークレイテンシ(ネットワーク通過による応答遅延)があげ
られる。
71
72
73
Eucalyptus(Elastic Utility Computing Architecture for Linking Your Programs To Useful Systems): http://eucalyptus.linux4u.jp/wiki/
http://libvirt.org/
VDI(Virtual Desktop Infrastructure)
52
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
クラウドでは計算資源を豊富に提供できるが、応答遅延が大きくなるとシステム処理において
大きな問題になることが指摘されている。このため応答性を求める処理は、可能な限りユーザ側
PC で行う必要がある。
Google では、ブラウザ内に安全にアプリケーションを効率的に実行する技術として、Native
Client と呼ばれる技術を開発している。ここではサンドボックス74によりブラウザ内でも安全に
CPU の命令を直接実行でき、効率的な処理が行なえる。
(3) セキュリティ
クラウドで必要となるセキュリティ関連の技術について注意すべき項目を取り上げる。ここで
はプロバイダが提供するセキュリティとユーザが行わなければならないセキュリティがあるが、
ユーザは、それぞれを理解して適するプロバイダを選択しなければならない。
①
隔離技術
隔離技術とは、仮想マシン間でデータ、処理を混在させないことである。
クラウドでは複数のユーザが計算資源(CPU、ストレージ)を共有するため、処理の隔離技術
は必須である。仮想化による隔離技術は多く開発されているが、それを破る攻撃も開発されて
いる。
2009 年 に 特 に 注 目 を 集 め た 攻 撃 と し て は 、 ACM Conference on Computer and
Communications Security2009 で発表された Cross VM Side Channel Attack がある。この攻
撃では一つの仮想マシンが物理 CPU キャッシュをアクセスし続け、他の仮想マシンのアクセ
スがあった場合にその遅れから他の VM の処理を推定する攻撃である(図 2-25 参照)。CPU の
キャッシュは、セットアソシアティブと呼ばれる手法で管理されている。あるサイズで領域を
分け、下位ビットでその領域ごとにデータ管理する。図 2-25 中では x00-0x1F、0x20-0x3F、
0x40-0x5f、0x60-0x7F、0x80-0x9F、…、0xE0-0xFF の 8 つの領域ごとにメインメモリから
データがキャッシュに乗る。このキャッシュは多段(図中では 2way)になっており、個々の領域
ごとにキャッシュを LRU により保持する。悪意のある VM は、各キャッシュラインに連続に
アクセスする。攻撃対象の VM がキャッシュを使うと、その悪意のある VM のキャッシュライ
ンは遅くなるため、攻撃対象がどの様にアクセスしているかを知ることで何の処理をしている
かを推定する。
図 2-25
Cross VM Side Channel Attack のイメージ
物理キャッシュのアクセスパターンを監視し、他の VM の動作を推定する
74
サンドボックス:保護された領域内でプログラムを動作させることで、その外へ悪影響が及ぶのを防止するセキュリティモデル。
53
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
この攻撃自体は、2005 年に Hyper-Threading の脆弱性として知られている問題であるが、
今回は実際に Amazon EC2 のクラウドで使われたことが報告されており、ある条件では暗号
鍵の漏えいまで可能であることが報告されている。このような今まで想定しなかった攻撃に対
しては、現在の仮想マシン単体では防御することが難しい。これらの攻撃から守るためには、
利害のある処理は同時に実行しない、物理的にサーバを分離するなどの実行ポリシーの履行が
求められる。また、技術的には Xen の XSM(Xen Security Module)ではポリシーの記述が
可能であり、これらの技術普及が望まれる。
②
データ保全
データ保全とは、データを安全に保持することである。具体的には、対象とするデータ内容
がすべて存在すること、データの改竄がないこと、権限者以外にデータが漏れていないことが
あげられる。クラウドにおいてデータの保全に係わる課題としては、消失、漏洩、消去がある。
1) データ消失:システム側の問題で、データが消える(操作不可能になる)ことを言う。
2) データ漏洩:権限者以外にデータの内容が漏れることを言う。
3) データ消去:ユーザの操作によりデータを消すことを言う。クラウドで問題になるのは、
「消去したデータは、本当に消えたのか」ということである。
データの消失は、プロバイダの責任であり、この点に関しては既存のネットワークサービス
との違いはなく、多くのセキュリティ基準にも明記されている。クラウドでは、基本的にデー
タが多重化されて処理されており、既存のサーバより問題が無いように考えられるが、2009
年 10 月の Microsoft の T-Mobile 向けクラウドでのユーザデータ消失など思いがけない消失の
危険はクラウドでも防げない。ユーザも一つのプロバイダに頼るばかりでなく、確実な管理を
行う必要がある。
データの漏洩については、2009 年 7 月、Twitter 幹部の Gmail のパスワードが盗まれ、
Twitter の機密情報が漏洩した事件のように、管理者からの情報漏洩が無くなることはない。
管理権限を階層化する技術は開発されているが、完全に情報漏えいを排除することはできない。
機密情報については、ユーザ自身による暗号化が求められる。
データの消去は、クラウド環境でも最も注意すべきことである。クラウドのサーバでは各種
のバックアップツールでデータを保持しているため、データの所在が明確でない場合がある。
地理的な配置は EU のデータ保護指令のように地域からでないことをプロバイダに担保させて
いるが、詳細なサーバの所在までは明確でない場合がある。実際には消去されないままになっ
ていてデータ漏洩が発生する可能を考慮して、データを暗号化するなどの対策をとる必要があ
る。
③
仮想化技術の脆弱性
クラウドでは「仮想化技術」が大きな役割を果たす。仮想化環境では、仮想的に OS を動作
させる技術(ゲスト OS)とそれらを管理する OS(ホスト OS)が存在する。その環境におい
て、ゲスト OS からホスト OS 上の権限を取得することが可能になると、他のゲスト OS の情
報を盗まれるなどの事態が考えられる。仮想化技術におけるそのような可能性を示唆する脆弱
性が既に数多く指摘されている。その代表例としては、以下のようなものがある。
54
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
・CVE-2007-3919:Xen におけるゲスト OS で特権昇格が可能な脆弱性
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3919
・CVE-2007-4993:Xen におけるゲスト OS 外のリソースへアクセス可能にしてしまう脆弱性
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4993
・CVE-2009-2267:VMWare ESX などにおけるゲスト OS で特権昇格が可能な脆弱性
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2267
・CVE-2009-1244:VMWare ESX などにおけるゲスト OS からホスト OS 上で任意のコード
を実行できる脆弱性
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1244
・CVE-2008-4915:VMWare ESX などにおけるゲスト OS で特権昇格が可能な脆弱性
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5671
仮想化技術のベンダは、このような脆弱性の解消や作りこみを防ぐ努力が求められる。クラ
ウド事業者は、その環境に潜む脆弱性に関する情報の入手に最善を尽くすとともに、攻撃を受
ける可能性のある脆弱性の排除や回避の努力が求められる。クラウドのユーザは、仮想化環境
に潜むリスクに対する認識を持ち、攻撃を受ける可能性について注意を払う必要がある。
④
ログを管理する技術
クライアントからの処理が安全に、かつ正しく実行されているか確認するために監査する仕
組みがクラウドコンピューティングのサーバで求められる。また、不正アクセスや機密情報漏
洩などの問題があった場合に原因を究明できる電子的記録(インシデント)を残し、その問題
を検証(デジタルフォレンジック)できる仕組みも求められる。これらの対応は、⑦で説明す
る各種のセキュリティガイドラインでも求められている。
インシデントとしては、OS が残すログやネットワークトラフィックなどがある。仮想計算
機上で実行されるマルチホスティングの処理は、I/O やメモリのアクセス履歴まで取得するこ
とができるが、クラウドコンピューティングのプロバイダが「どこまで管理するか、見てよい
か」は、プライバシーの問題や責任範囲の問題があり、その範囲が契約に記述されている。例
えば、Amazon EC2 では仮想マシン上の OS のログ管理はユーザに依存し、プロバイダとして
は面倒をみないとなっている。
改竄されていないことを保証するログを取るには、⑥で述べる機器認証の技術が必要となる。
信頼の基点をセキュリティハードウェア(TPM75)とし、電源投入時からデバイス構成及び各起
動処理が正しく動作しているかを TPM に記録する必要がある。仮想計算機上でも物理 TPM
を使う仕組みが開発されているが、まだ一般的ではない。
また、仮想マシンモニタからゲスト OS に監査ソフトウェアを挿入するペネトレーション技
術がシマンテックから BlackHat 2009
(2009 年 7 月、
ラスベガスで開催されたセキュリティ カ
ンファレンス)で発表されている。この技術を使えば、ユーザから預かったゲスト OS に管理
者権限が不要、かつ実行中にメモリに直接操作してログの取得や攻撃に対する対処が可能とな
る。当然、プライバシーの問題を含むため、この技術を適用するに当たっては、ユーザの了解
が必要となる。
75
TPM(Trusted Platform Module)
55
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
⑤
ユーザ認証
ユーザ認証とは、システムにアクセスしてきたユーザが「正当な権限者」であることを確認
することである。
ユーザ認証は、クラウドのみならずネットワークを使うサービスにおいて必須の技術である。
ID 管理は、相互運用性やユーザの利便性を考慮して ID やパスワードをサービスごとに作らな
くても、一つの ID でサービスが受けられる環境が整える必要がある。OpenID などサービス
と分離して共通使用できる認証システムの活用が必要である。また、クラウドは、各種のサー
ビスソフトウェアを組み合わせることが想定され、各種サービスに対する認証サーバの不一致
などの問題も想定される。この分野の参考資料としては、日本規格協会から 2008 年 3 月に「ア
イデンティティ管理技術の標準化調査研究成果報告書」が発行されている。
⑥
機器認証
機器認証とは、システムへのアクセスに際してユーザが利用している(利用しようとしてい
る)機器を特定する(正当な機器であることを確認する)ことである。機器認証は、サーバに対す
るものとユーザ側 PC に対するものがある。
サーバに対するものとして、クラウドは各種のサービスが共有されるが、この上では安全な
ウェブサイト利用の鉄則は守らなければならない。ドメイン名の異なる SSL サイトに飛ばす
実装や共用 SSL 問題など通常のサーバセキュリティ対策と同じ対処が必要である。
ユーザ側 PC に対するものとして、現在 PC に関して機器認証はほとんどないが、企業利用
でクラウドを活用する場合には PC 自体にセキュリティの問題がないかが必要になる。現在の
PC ではほとんどの機種でセキュアチップである TPM が入っており、これを信頼の基とした
高信頼コンピューティングの規格や開発が業界団体である TCG76を中心に進んでいる。この技
術は、まだ開発途上ではあるが、環境が整備されれば、ルートキット77がないこと、セキュリ
ティ対策が施されていることなどの機器認証が行われクラウド利用がより安全になることが
期待できる。
⑦
ガイドライン、認証制度
クラウドでは、CSA78や Open Cloud Manifesto など企業・団体によるセキュリティガイド
ラインや、NIST79や ENISA80など政府機関のセキュリティガイドラインなど複数の指針がそ
れぞれの立場で公開されている。
プロバイダへの認証制度としては、各種業界が定めるアウトソーシングサービスのセキュリ
ィ規定がある。米国公認会計士協会(AICPA81)では、アウトソーシングサービスなどの受託
76
TCG(Trusted Computing Group):2003 年 4 月に、TCPA(Trusted Computing Platform Alliance)から発展的に再構成された組織。主
に PC プラットフォームを提供する技術を持つ企業が集まり、より高い信頼性と安全性を持った新たなハードウェア/ソフトウェアを
つくる取り組みを行っている。
77
78
79
80
81
不正なアクセスを再現可能にするようなある種のウイルス
CSA(Cloud Security Alliance)
NIST(National Institute of Standards and Technology):米国標準技術局。
ENISA(EU Network and Information Security Agency)
AICPA(American Institute of Certificated Public Accountants)
56
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
業務にかかわる内部統制について評価する監査人の業務に関する基準 SAS70 をプロバイダに
求め、Amazon EC2 ではこの規定に準拠している。クレジット業界では、グローバルセキュ
リティ基準として PCI DSS82を定めている。医療情報の電子化で守らなければならないプライ
バシー保護やセキュリティ確保については、米国の法律 HIPAA83で規定されている。それぞれ、
情報の完全・機密性の確保、情報のセキュリティ及び完全性に対する脅威や危険への対策、妥
当かつ適切な管理を求めている。
クラウドの利用に対しては、必要に応じてこれらの基準が満たされているかを確認すること
も重要である。
⑧
クラウドによる情報処理に内在する制約
クラウドでは、スケールアウトするために、プログラミングスタイルに対して一定の制約を
前提としている。この「制約」の例としては、既に述べたように、atomic(不可分。あるいは、
タイムラグのない厳密。)な一貫性を求めずに処理を進める「結果としての一貫性(Eventual
Consistency)」(2.3(1)③を参照のこと。)と呼ばれる方式や、エラーが起こってもすぐには対処
せ ず に 処 理 を 実 行 し て し ま う 「 エ ラ ー 忘 却 型 コ ン ピ ュ ー テ ィ ン グ ( failure-oblivious
computing)」と呼ばれる方式などがある。現在のクラウドで行われている処理では、これらの
方式による深刻な問題は起こっていないが、これらはまだ開発の途中であり、今後、セキュリ
ティに関する厳密な検証が必要になってくると考えられる。
82
83
PCIDSS(Payment Card Industry Data Security Standard)
HIPAA(Health Insurance Portability and Accountability Act):直訳すれば、
「医療保険の携行と責任に関する法律」であり、2003 年 4
月にアメリカで発効された、医療情報の電子化の推進とそれに関係するプライバシー保護やセキュリティ確保について定めた法律。
57
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
3.クラウドの利用形態や産業・社会への浸透の具体的なイメージ
2.で既に見たように、クラウドの出現と利用は、SaaS から始まり PaaS や IaaS に拡大してき
ているが、3.では、まず、最も普及が進んでいると見られる SaaS を取り上げて、従来の我が国
における企業規模などユーザの類型別の導入状況などを概観する。その上で、今後日本企業が
PaaS、IaaS も含めたクラウドの利用を進めていく際に考えておくべき「企業経営から見たクラ
ウド」と「企業内各部門から見たクラウド」に関する仮説を示すことにより、実際のクラウド導
入についての具体的なイメージ形成の参考に供するとともに、4.における実態分析への導入とす
る。
3.1
産業における SaaS の導入状況
ここではクラウドの産業や社会への浸透について議論するために、まず現状の導入状況につい
てみる。クラウドに関する技術革新やサービス事業者の展開は急速に進んでいるところであるが、
実際に活用しているユーザはまだ一部に留まっている。経済産業省の「情報処理実態調査84」に
おいては SaaS の利用状況に関する調査が毎年行われており、2007 年度において SaaS を利用し
た企業は対象企業(4625 社)の 7.1%に過ぎない。
図 3-1 は、SaaS の導入率を従業員規模別で見たものである。5001 人以上の大規模企業につい
ては、全体の 20%程度の企業が SaaS を活用しているが、それ以外の企業については低い導入率
に留まっている。100 人以下の小企業においても 4.7%の導入率となっており、企業規模によっ
て導入率に大きな差異がないことが特徴的である。通常 IT システムの導入は、資金的な余裕が
ない中小企業において遅れがちである。しかし、SaaS は、導入コストや運用コストなどの面で
中小企業によってもメリットが大きいシステムといえる。
0%
∼100人
101∼200人
201∼250人
251∼300人
301∼1000人
1001∼5000人
5%
10%
15%
20%
25%
4.7%
5.5%
7.0%
7.9%
6.9%
8.7%
5001人∼
20.6%
図 3-1:SaaS の企業規模別導入率
(出典)平成 20 年度情報処理実態調査(経済産業省)
84
企業活動基本調査(経済産業省が行っている企業レベルのセンサス統計)における対象企業を母集団として、業種別・規模別のサン
プル抽出をした企業を対象とした政府統計。日本のIT利用に関する基盤的統計として活用されている。
58
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
図 3-2 は、これらの導入企業におけるメリットについて、従業員規模 300 人以下と 301 人以上
で企業規模を分けてその違いについて見たものである。規模の小さい企業においては、「専門知
識が不必要であること」や「導入期間が短いこと」、
「初期コストが小さいこと」などをあげる企
業が多かった。一方で、比較的規模の大きい企業においては、「導入期間が短いこと」や「初期
コストが小さいこと」、
「専門知識が不必要であること」をメリットと考える企業が多い。企業規
模の違いによって、メリットの受け止め方が大きく違う項目が「セキュリティ面」と「利用の停
止・解除が容易であること」である。セキュリティ面については、規模の小さな企業はメリット
と考えている企業が比較的多い。その一方で「利用の停止・解除が容易」は主に規模の大きい企
業においてメリットと考えられている。
専門知識・不必要
導入期間短縮
初期コスト
セキュリティ面
運用コスト
拡張可能
利用の停止・解除が容易
定期的機能拡張
既存システム連携容易
300人以下
301人以上
カスタマイズが容易
0%
10%
20%
30%
40%
50%
60%
図 3-2:SaaS を導入するうえでのメリットと考える項目(複数回答)
(出典)平成 20 年度情報処理実態調査(経済産業省)
59
-__-
70%
クラウド・コンピューティング社会の基盤に関する研究会
報告書
このように規模の小さい企業がセキュリティ面をメリットと考えていることは、図 3-3 のよう
にこれらの企業においては、セキュリティに関するソフトウェアを SaaS で入れている場合が多
いことと関係している。SaaS の適用分野として、これらの企業においてその次に多いのは、
「財
務・会計」、
「販売」
、
「文書管理・グループウェア」と続く。一方で規模の大きい企業においては、
「販売」が飛びぬけて大きい。その次に来るのが「人事・給与」、「販売・会計」である。このよ
うに企業の規模によって導入されるソフトの種類は大きく異なっており、クラウドの産業への浸
透を考える上で、中小企業と大企業は分けて考えることが必要であることを示唆している。
セキュリティ
財務・会計
販売
グループウェア、文書管理
生産・サービス提供
人事・給与
調達
物流
開発・設計
300人以下
301人以上
カスタマーサポート
0%
10%
20%
30%
40%
50%
60%
図 3-3:SaaS によって導入するソフトウェアの種類(複数回答)
(出典)平成 20 年度情報処理実態調査(経済産業省)
60
-__-
70%
クラウド・コンピューティング社会の基盤に関する研究会
報告書
このように SaaS については、未だ低い導入率に留まっていることが分かっているが、これ以
外の PaaS や IaaS については、情報処理実態調査のような公式統計が存在しない。しかし、こ
れらについては本格的なサービスが始まったところであり、その導入は SaaS よりさらに遅れて
いると考えられる。それでは、クラウドの導入率が低いレベルに留まっているのはどのような要
因によるものであろうか。
図 3-4 は、SaaS を導入するにあたってどのような点が問題点になるのか、グラフにしたもの
である。ここでは、SaaS 利用者と非利用者に分けてその違いについて見たものである。利用者
においては、
「カスタム化が困難」をあげる声が圧倒的に高かった。一方で非利用者においては、
「既存システムとの連携が困難」を課題とする企業が多い。これらは、SaaS がパッケージシステ
ムを提供するサービスであることから、当然課題としてあがってくる項目ではあるが、特に既存
システムの一部をクラウドで置き換える際に大きな問題となってくる。また、SaaS の非利用者
において「信頼性・安全性が不十分」とする声も大きい。クラウドを活用するとたとえば顧客デ
ータなどの重要な情報が社外のサーバで処理されることになる。したがって、サービス提供者が
十分信頼できるに足りる業者でない場合、導入に対して躊躇することは当然ともいえる。また、
サービスの信頼性はインターネットの公共性というクラウドの本質的な問題とも絡んでおり、簡
単に解決できるものではないことに留意することが必要である。
カスタマイズの自由度が低い
既存システムとの連携困難
トータルコストが高い
重要データの秘密保持が問題
ビジネスプロセスの変更必要
信頼性・安全性が不十分
必要なアプリケーションがない
利用者
非利用者
契約内容が不十分
0%
10%
20%
30%
40%
50%
図 3-4:SaaS 導入における課題(複数回答)
(出典)平成 20 年度情報処理実態調査(経済産業省)
61
-__-
60%
クラウド・コンピューティング社会の基盤に関する研究会
3.2
報告書
利用企業のタイプごとに見たメリット・デメリット
このようにクラウドの産業・社会への浸透はまだ始まったばかりの状況であるが、今後の見通
しとしてはどうであろうか。その問題を考えるためには利用者のタイプ分けを行って、それぞれ
についてクラウド導入にあたってのメリット、デメリットを整理することが重要である。これま
で SaaS の事例で見てきたように、大企業と中小企業においてはその利用形態やメリットと考え
る点、非利用者における課題が大きく異なる。また、社会への普及という観点では、官公庁や非
営利団体などにおける利用(ソーシャルクラウド)も重要であるが、ここではまた企業ユーザと
は違った問題意識が生まれてくるだろう。サービス提供事業者としては、利用者のメリットを大
きくする一方で、課題を克服するようサービスの改善を続けていくものと考えられるが、その際
にどのユーザにターゲットをおくのかといった点も重要である。
まず、大企業の回答からは、クラウドの利点と課題については以下のように整理できる。
(利点) ・導入期間が短いこと
・初期コストや運用コストが低いこと
(課題) ・既存システムとの連携困難
・カスタマイズが困難であること
・信頼性・安全性が不十分であること
一方、中小企業の回答からは、以下のような利点と課題が見えてくる。
(利点) ・大企業と同様の導入期間やコスト面の利点に加えて、
・専門知識がいらないこと
・セキュリティ面で、自前で取り組むより容易であり充実していること
(課題) ・既存システムとの連携や相互運用の困難性などが課題としてあげられるが、大企業と
比較して課題をあげる企業割合は少ない。
このように、クラウドは資金的な問題や人材・技術不足によってもともと IT 化が遅れている
中小企業において比較的メリットが大きいものであるということができる。特に、これからビジ
ネスを拡大しようとするベンチャー企業やこれから IT システムを導入しようとする企業におい
ては、クラウドのメリットが大きい。固定費を抑えながら利用量に応じて課金されるシステムで
あることから、IT 初期投資に関するリスクを最小限に抑えることができるからである。
逆にすでに膨大な情報システムを構築している大企業において、クラウドを導入するにあたっ
て様々な問題が立ちはだかる。もっとも大きいのが既存システムとの連携の問題である。図 3-3
で見たように大企業における SaaS のアプリケーションとして「販売」をあげる声が圧倒的に高
かったが、これは営業支援システムなどを新規で導入するケースが多いと思われる。大企業の IT
経費のうち、新規投資の割合は 2∼3 割で、残りは既存システムへの追加投資と言われるが、新
規システムの中でも、特に基幹系システムのような大規模な既存システムとの連携が必要ない、
新規業務アプリケーション分野でクラウド化の動きが始まりつつある、という状況である。
これらの回答を踏まえ、本研究会における議論や事務局の聞き取り内容も加味して、企業のパ
ターン別に「クラウド化」に向き合う企業の現状を概括すると、図 3-5 のような状況であると考
えられる。
62
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
図 3-5 「クラウド化」に「向き合う企業の現状
最後に公共機関におけるソーシャルクラウドについて考えてみる。公共機関は、営利活動を行
っているわけではないが、国・地方のいずれにおいても財政的な状況が厳しくなる中、IT システ
ムのコスト削減に対する問題意識が高まっていると思われる。したがって、クラウドは、新規シ
ステムを構築する場合において魅力的なオプションとなると考えられる。しかし、公共機関で扱
われる情報は、個人情報などセンシティブなものが多いことから、安全性や信頼性に対する要求
は、企業ユーザと比べて一般的に高くなる。したがって、クラウドの提供事業者としても、ソー
シャルクラウドに対しては、データを保管するサーバを切り分けて隔離性を高めるなど、ある程
度個々のユーザニーズに応じた対応を行っていく必要があると思われる。
63
-__-
クラウド・コンピューティング社会の基盤に関する研究会
3.3
報告書
クラウドの利用拡大における企業経営上の課題
これまで見てきたように、クラウドの利用は、日本企業において始まったところであるが、今
後の普及に向けて最も大きなイシューとなるのは、既存の IT システムとの接続の問題である。
SaaS については、基幹系システムなどの大規模な既存システムとはある程度独立して運用でき
る情報系システムに関する新規投資において普及が進んでいるとものと考えられる。
図 3-6 は、今後のクラウドの利用分野の広がりを示したものである。日本企業の情報化投資の
大部分は基幹系システムで、その多くは IT ベンダによる受注システムで構築されている(図 3-6
の中央下の「自社製アプリケーション」)。IaaS や PaaS が提供する IT フラットフォームは、こ
のような基幹系システムの分野まで浸透するのであろうか。逆に、クラウドが基幹系システムと
の連携の必要性が小さい情報系アプリケーションの SaaS 利用にとどまるのであれば、PaaS や
IaaS は広がらず、クラウドが大きく産業・社会を変えるようなインパクトは持たないであろう。
SaaS の利用にとどまるか
ア プ リ ケ ー シ ョ ン
PaaS/IaaS への移行
はあり得るか
他社のハード/ソフトを利用
ハード/ソフトを自社で持つ
図 3-6 クラウドの利用分野の広がり
64
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
クラウドを中核に据えた企業システムの構築について考えるためには、まずユーザ企業が、企
業全体の情報システムのあり方についてしっかりとした戦略を持つ必要がある。そのためには、
個別の業務ごとに分断されている社内 IT システムを統合し、全社的最適化を行っていくことを
検討することが必要である。経済産業省の調査によると、IT システムの全社的最適化ができてい
る日本企業の割合は、米国と比較して小さい。クラウドのうねりが大波になる前に、日本企業に
おいては全社的なビジネスプロセスの解析や見直しを通して、全社的な IT システムのプラット
フォームを整備することが必要である。
また、これと関連して、日本企業においては IT システムが企業全体の戦略の中で明確に位置
付けられておらず、既存システムの見直しや新規システムの構築についても場当たり的な対応に
なっている場合が多いことも分かっている。
「IT 戦略に関する国際比較アンケート調査」
(独立行
政法人 経済産業研究所)によると、米国企業において IT 戦略が経営戦略に明確に位置づけられ
ているとする企業が多い一方で、日本企業は「IT 戦略が経営戦略に明記されていないが方針は一
致」とする企業の割合が高い(図 3-7)。また同調査によると日本企業においては専任の CIO を
おく企業の割合が米国企業より低く、やはり戦略的な投資としての IT の位置づけが低いと考え
られる。クラウドの浸透が、急速に進んでいくかどうかについては、このような日本企業におけ
る IT 経営のあり方との関連で考えていく必要がある。
0% 10% 20% 30% 40% 50% 60% 70%
経営戦略における位置づけが明確
位置づけは明確でないが方針は一致
経営戦略との関係は薄い
韓国
米国
日本
図 3-7:IT 戦略の経営戦略における位置づけ
(出典)
「日米韓企業の IT 経営に関する比較分析」
(経済産業研究所)
65
-__-
クラウド・コンピューティング社会の基盤に関する研究会
3.4
報告書
企業内外のユーザ・カテゴリー別のクラウドに対する見方
以上の記述においては、クラウドユーザとしての「企業」を均一の主体として扱ってきたが、
本研究会や事務局によるこれまでの聞き取りによれば、企業内のどのポジション、カテゴリーに
属するかによって、クラウドに対する問題意識は、必ずしも一様ではない。
経営者の視点からは、専ら IT 投資の機動性や中長期まで考えたコストメリットとセキュリテ
ィリスクを比較考量することになるし、システム開発部門や運用部門は、ハード・ソフト両面で
の業務環境変化への対応に伴う負担を上回るメリットが得られるかを見極めようとするものと
考えられる。また、企業内ユーザとなる各事業部門は、利用形態の自由度向上に注目すると同時
に、障害時の顧客(エンドユーザたる個人ユーザ)対応にも関心がある。
(1) 想定されるユーザ・カテゴリー別の主なメリット
経営側の立場からは、専ら、新規業務への取り組みや業務プロセスの見直しに即応した情報シ
ステムの整備を行い得る点と、これに伴うストック、フロー両面でのコストや人材配置の合理化
の効果に注目されることになる。
他方、各部門の従業員からみると、それぞれの部署からみて自らの業務負担の軽減や利便性の
向上にどの程度つながるか、が関心事項となる。
図 3-8 は、これらを仮説的に図示したものである。
想定されるユーザカテゴリー別の主なメリット
企業ユーザ
経営者にとって
•初期投資不要
•使った分のみ支払う
•構築コスト、運用コスト・人員等の削
減に期待
•タイムリーなIT投資が可能
システム開発部門にとって
サービス提供者データセンター
サービス提供事業者の大規模データセンタ
アプリケーションソフトウェア群
リソースの管理・運営
ミドルウェア
(ハードウェア管理、大規模分散処理、アプリ構築環境等)
•開発期間短縮
•変更改良が容易
•業務拡大、負荷増大に伴うサーバ
の最適配置が容易
•ハードの手配、ソフト開発に対する
手間と時間が削減
データの分散・保証、
セキュリティ管理
分散大規模データベース
ハードウェア・OS
(サーバ、ネットワーク、仮想化等)
システム運用部門にとって
•面倒なシステム運用から開放
•一時的増強可能
•業務拡大、負荷増大に伴うサーバ
の最適配置が容易
拡張性と柔軟性を
持ったリソース配置
個人ユーザ
各事業部門ユーザにとって
個人ユーザにとって
•必要な時に使いたいソフトだけ利用
•外出先でもモバイルで利用可能
•新しい、多彩なサービスを気軽に利用
•外出先でもモバイルで利用可能
図 3-8
様々なユーザからみたクラウドのメリット
66
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
(2) 想定されるユーザ・カテゴリー別の主な懸念事項
経営側の立場からは、情報の処理や保存を外部の「どこに所在するか分からない」情報資源に
委ねることに伴うセキュリティ面の懸念が中心的な関心事項となると考えられる。
他方、各部門の従業員からみると、それぞれの部署において、慣れ親しんだ業務プロセスなど
が変わることから派生する様々な不安が生じ得る。
図 3-9 は、これらを仮説的に図示したものである。
想定されるユーザカテゴリー別の主な懸念事項
企業ユーザ
個人ユーザ
【経営者】
・自社データを他社のクラウドサービスに預ける
というセキュリティリスク(心理的要素)
【直接利用】
(Gmailなどの利用を想定)
・今とあまり変わらないか?
【システム開発部門】
・最適なサービスを組合わせることが困難
・使える開発言語の制約あり
【間接利用】
(インターネットバンキング、オンライン
ショッピングなどを想定)
【システム運用部門】
・適切なパフォーマンス運用が困難
・サービスレベルの保証(今のところ稼働率のみ
だが?)
・信頼できる環境にて処理が行われている
か(ユーザが予期していない企業のデータ
センターで個人データが処理される可能性
あり)
・ベンダロックインへの不安
・プログラムのバグ
・情報の漏洩、喪失のリスク拡大?
【各事業部門(対外サービス含む)】
・サービスの安定性
・障害時の責任範囲
(特にエンドユーザに対して)
図 3-9 様々なユーザからみたクラウドへの懸念
企業において、実際にクラウドを導入していく際は、3.3 に述べたように、全社的な業務プロ
セスの見直しも行いながら経営戦略における IT システムの位置づけを明確にすることにより、
クラウド化する範囲や内容に関する基本方針について企業内外の関係者の理解を求め、その上で、
3.4 で示したような各関係者の多様な問題意識も汲み取りつつ具体的な導入内容、導入手順を設
定し、実施することが必要ではないかと考えられる。また、その際、4.で一部紹介するような先
行導入企業における経験や実情を参考にすることも有用である。
67
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
クラウドを活用したセキュリティ対策の実現とセキュリティサービスの可能性
3.5
クラウドの大きなデータ処理能力やその柔軟性、拡張性を活かして、従来よりも高度な、ある
いは効率的な IT セキュリティ対策の実現やサービスの提供が可能になると期待されている。ク
ラウドを活用したセキュリティサービスの利用形態、産業・社会への浸透の具体的なイメージの
事例を以下に紹介する。
1)
利用者がクラウド上に特定のセキュリティ対策を構築して自社システム環境の負荷の軽減
を図るケース
セキュリティ関連のソフトウェア(ウイルス対策、パケットフィルタリングなど)では、ス
ループットを確保するために極めて性能の高いハードウェアを用意する必要がある。またその
ようなソフトウェアが他のアプリケーションと同居する場合には、そのアプリケーションの実
行速度を落とすなどの悪影響も考えられる。
そのような場合は、クラウドの高い処理能力を活用して特定のセキュリティソフトウェアを
クラウド環境におけば、自社システム環境への影響を回避することができる。このように、ク
ラウドを活用することで、高性能なマシンを専用に用意したり保守したりせずに、セキュリテ
ィ対策を充実させることができる。これは、自社で運転保守要員を確保しにくい中小企業など
にとってメリットとなると考えられる。
2)
利用者がクラウド上に総合的なセキュリティ対策を構築してセキュリティレベルを上げ
るケース
従来、セキュリティ対策を総合的に実施するためには、ファイアウォール、侵入検知・防止
装置、ウイルス対策ソフト、スパム対策装置などを自社内ネットワーク上に配置する必要があ
った。これはネットワーク構成や設定も複雑になり、運用や保守には高度な知識と経験が必要
であった。
しかし、それらを、クラウド上の仮想化マシンに実装して組み合わせることができれば、物
理的なサーバを自社で多く立てるより、容易にかつ低コストで、複合的なセキュリティ対策を
実現できる可能性がある。
3)
セキュリティサービス事業者がクラウドを活用して、高度で安価なセキュリティ対策サー
ビスを一般ユーザに提供するケース
上記(2)のように、セキュリティ対策をユーザ側が個別にクラウド上に用意する形もあるが、
それをセキュリティサービス事業者がサービスとして提供する形も考えられる。クラウドの大
きな処理能力とスケーラビリティを生かすことで、総合的セキュリティ対策サービスを、安価
でかつ利用し易い形(ユーザのセキュリティ設定や事象解析負担を軽減した形)で提供するこ
とが可能になる。
この方式は、例えばメールフィルタリングでも威力を発揮する。企業にとってスパムフィル
タリングは重要なセキュリティ対策であるが、一時的に多量に押し寄せるスパムメールのフィ
ルタリング負荷は大きな負担となっている。この課題に対してクラウドを活用したサービスに
置き換えることができれば、自社で対策する場合のマシンの高負荷や、ネットワークの輻輳を
68
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
回避することができる。クラウドに移行することで、資源と対策労力の大幅な節減に結び付く
可能性が高い。
また、例えばウイルス対策ソフトウェア事業者では、ウイルス検体の解析や定義ファイルの
作成をクラウドの高い能力とスケーラビリティを生かして行うことで、従来の自社設備内で行
っていた場合に比べて迅速な対応が可能になる。コンピュータウイルスの亜種は、自動化ツー
ルを使って毎秒のように量産されているので、それに対応するには、クラウドのようなパワフ
ルでスケーラブルな環境を活用することが必須となる可能性がある。
また、そのような応用方法を発展させれば、自社内にウイルスの解析環境を持たずにウイル
ス対策製品を開発提供できる可能性もある。新規参入の敷居が低くなることでより多くの事業
者が特徴ある製品やサービスを提供するようになれば、競争を通じてセキュリティ対策のレベ
ルアップや促進に繋がる可能性も期待できる。
4)
ソフトウェア開発者が、ソフトウェア開発工程でデバッグや品質検査にクラウドの機能を
活用するケース
セキュリティ対策やセキュリティ事業者に限らず、一般に、ソフトウェア開発におけるデバ
ッグ・品質検査過程では、コードのチェック、異常な使い方への耐性、過負荷試験などが実施
される。このうち、特に過負荷試験は、十分な過負荷をかけられる環境(強力なマシン環境)
を用意することは容易でなく、十分な検証が行われていない場合がある。クラウドでは多量の
テストデータを用意したり、一時的に高い負荷をかけたりすることが容易に実現できるので、
それだけ充実したテスト・デバッグが可能になり、品質検証の質を高めることができる。
プログラムに潜む脆弱性をあぶりだすには、コードを一行ずつ解析し、ジャンプ先を追いか
けてプログラムの動きを検証するホワイトボックステストも必要である。しかし、大規模なソ
フトウェアでのロジックの矛盾や破綻、あるいはエアポケットの検証を目視確認と手作業で行
うことは困難であり、この対応策として大きなコンピュータパワーを使った膨大なコードのト
レース実施が有力と考えられる。このように一時的に大きなコンピュータパワーを必要とする
用途はクラウドが適しており、クラウドによるコードレビューの自動化、レベルアップ、効率
化が期待される。
ソフトウェアの開発・検証工程にクラウドを活用することは、一時多量の処理を得意とする
クラウドの特性と相性が良い。一時的にしか使わない環境をクラウドで代替することでコスト
削減ができると同時に、ソフトウェア品質の向上にも貢献でき、ひいてはシステムのセキュリ
ティレベルを引き上げることにも役立つと期待できる。
69
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
4.クラウドの導入事例とユーザ側の意識・懸念材料
3.では、これまでの SaaS の導入状況中心に企業ユーザのクラウド導入を巡る論点を概観した
が、4.では、クラウドの対象範囲を PaaS、IaaS までに拡げてクラウドの導入状況、優位性・懸
念材料などを俯瞰する。
先ず、ユーザ企業などの実際の導入事例を紹介したうえで全体の傾向について述べる。続いて、
クラウドに関するユーザ企業の意識や考え方の現状を把握するために実施した、「クラウドアン
ケート調査」について紹介し、最後にクラウドの優位性及び懸念事項についての分析を述べる。
導入事例
4.1
(1) 導入事例
①
◆
株式会社損害保険ジャパン
概要
IT を最大限に活用しながら顧客を起点としたサービスプロセスを抜本的に見直し、新たなリ
テールビジネスモデル構築を手がけており、そのツールとして、セールス・フォースの SaaS
を導入。具体的には、顧客からコールセンタへ寄せられた資料請求や相談などの情報をセール
ス・フォースに蓄積し、ニーズに応じた顧客対応を的確に行うための新販売スキーム、お客様
向けコールセンタ及び社内の契約管理・計上システムと社外のセールス・フォースを連携し、
契約変更の受付・計上業務などを行う「新コールセンタシステム(2007 年 9 月から順次展開)」
などで利用している。また、2009 年度下期にかけて、社員と 5 万店ある代理店の従業員まで
利用を拡大する方向である。
図 4-1
(株)損害保険ジャパンでの導入事例
70
-__-
クラウド・コンピューティング社会の基盤に関する研究会
◆
・
報告書
導入の理由
開発のスピードが革新的に向上することで迅速なサービスが可能。
→新規業務の立ち上げに要件定義を含め約 3 カ月、最短で 2 週間で立ち上がった。
・
インフラの初期投資コストがライセンス費用のみであり、投資額が明確であった。
・ カスタマイズが容易であり、ユーザ部門主導の開発も可能であるため、試行から本格展開
するなどの柔軟性の高い点を評価。
・ 「一部の業務で試行しながら展開できる上、コールセンタと営業店、代理店のチャネル連
携やユーザごとのアクセスコントロールが容易に行える。
■適用するシステム範囲の分類(損保ジャパンでの適用の変遷)
・戦略企業DB
コールセンター
システム
戦 略性の高さ
高
お客さま接点に
関わる活用 など
情報系システム
・新コールセンターシステム
低
部門システム
・小規模なコールセンター(試行)
小
大
必要とする開発力の大きさ
図 4-2
◆
(株)損害保険ジャパンでの Salesforce 導入の変遷
改善要望事項
・ 利用開始当初、土曜日の午後に何回か微少なトラブルが発生した。この原因は、米国時間
の金曜日深夜にシステムのバージョンアップやパッチの適用を実行していたことであった。
この問題解決のため、Salesforce に対し、米国向けシステムと日本のシステムを切り分け
バージョンアップのタイミング変更を要望した結果、アジア向けのシステムが用意される
ことになった。
・ 米国データセンタとつながる ISP(インターネット接続事業者)を明らかにして、ネット
ワーク障害を切り分けやすくするとともに、渉外情報の公開範囲の拡大を要望した。
◆
課題
・ サービスの品質安定化、ジャパンサイトの実現、障害発生時の調査状況、普及見込みなど
の連携の強化を引き続き要望している。
・ 今後も、様々なシステムとの情報連携を進め、チャネルの情報連携基盤として活用度向上
を図るなど、SaaS の活用範囲拡大に向けた取り組みを推進していく予定。
71
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
コラム:Salesforce とは
Salesforce の日本法人である株式会社セールスフォース・ドットコムは、2000 年 4 月に設
立、2001 年 4 月からサービスを開始した。企業向けクラウドコンピューティング、特に SaaS
の提供事業者として、日本国内でも、2,200 社、67 万ユーザ(2009 年 10 月現在)と言われて
いる。導入企業としては、郵便局株式会社(当時は日本郵政公社)を始め、みずほフィナンシ
ャル・グループ、三菱 UFJ フィナンシャル・グループ、株式会社損害保険ジャパン、日立グ
ループ、ジョンソン・エンド・ジョンソン株式会社、小田急電鉄株式会社、株式会社リロケー
ション・ジャパン、株式会社ローソンなど、規模・業種に関わらず多数の企業が利用している。
(URL:http://www.salesforce.com/jp/customers/)
また、定額給付金の支給管理システムについて、同社サービスを導入した山梨県甲府市での
取り組みは、保守的な行政機関での先進的な事例として注目を浴びた。なお、本報告書では、
株式会社損害保険ジャパン、郵便局株式会社及び甲府市役所を例に取り上げた。
72
-__-
クラウド・コンピューティング社会の基盤に関する研究会
②
報告書
株式会社東急ハンズ
◆ 概要
従来の分散したシステムを SaaS である Google Apps に統合し、メール(Gmail)、スケジ
ュール管理(Google カレンダー)
、社内ポータル(Google サイト)の 3 種類。
◆ 導入経緯・抱えていた課題
自社で構築した情報共有ポータル、メールやスケジュール管理はそれぞれ異なる(外部の)
ASP やグループウェアを利用していた。また、メール機能が、ASP のメールサービスとスケ
ジュール管理を行うグループウェアの両方にあったため、社員の好みで選択、利用していた。
本部と店舗、店舗内でのコミュニケーションを強化するため、社内ツールを統一するという課
題に直面し検討に着した。
・ ASP ではメールボックスの容量が一人 10MB しかなく、商品画像を添付して連絡を行う
ことの多い商品開発担当者やバイヤーには力不足であった。実際に、出勤時間帯などサー
バへのアクセス集中によるシステムダウンも頻発していた。
・ 2008 年の 8 月に検討・導入を決定し、同年 12 月には稼働を開始させた。
・ 従来システムよりも TCO(ライフサイクルコスト)が減少する点を評価した。
・ 機能面では他社製品の方が優れていたが、Google は(未だ発展途上であり)機能追加が継
続的に行われている点を評価した。
◆ 導入効果
・ 従来の年間 3,000 万円の運用コストが、導入後は 1,500 万円と半減した。
・ メールボックスの容量が 25GB になり、頻繁にメール削除する必要性が無くなった。
・ PC がクラッシュする度に、データ救出のために時間と人手を割いてきたが、メンテナン
スコストがかからなくなった。
◆ 留意点
・ 基本的に Google のサービスはベータ版であり、ブラウザのバージョンや言語設定で表示
が崩れる不具合を経験した。
・ サービスの継続性、バージョンアップ時の互換性保証、セキュリティ対策への様々な不安
に対しては、従来の ASP サービスと基本的に変わらないと認識している。
◆ 今後の課題
・ クラウドではダウンすることが不安である。基幹系システムにクラウドを導入する場合は、
ユーザ側からトランザクションの予測値を提出し、それに耐える様な対応をしてもらう必
要がある。
・ Gmail で保証されている 99.9%の稼働率は低い数字だと思っている。ただし、自社のシス
テムで障害が発生した場合であっても、ベンダの技術者を呼ぶことになり、それが Google
に代わるだけとも言える。
・ サポートサービスについては、国内ベンダよりも相当低い。価格とのトレードオフとして
割り切りが必要である。しかしながら、逆に、サポートが充実して割高のサービスになる
のであれば、サービスの充実はいらない。むしろ、クラウドはコンシューマ向けビジネス
が基礎になっているので、マニュアルやディスカッションフォーラムなどで解決するのが
適切であると考える。
◆ その他
・ 新しいものを積極的に取り入れるという社風と社内の意識がベースであったこともあり、
Google Apps 導入の後押しに寄与したと考えている。
73
-__-
クラウド・コンピューティング社会の基盤に関する研究会
③
◆
報告書
株式会社 JTB 情報システム
概要
一般消費者を対象にしたオンラインアルバム作成サービス「Toripoto」(トリポト)を 2009
年 1 月から 2009 年9月までの間、試行的に PaaS である Windows Azure 上に移行した。
導入の視点
・ 本業でない同サービスは、収益に直結しないノンコア業務であり、必要なストレージ容量
◆
などの見通しを立てるのが難しかった。
・ 自社で持たなくてもよい点など初期投資が不要、かつ、システムの処理容量に対する変化
に柔軟に対応できるスケールしやすいクラウドサービスが馴染むのではないかと考えた。
・
自社のネットワーク帯域圧迫の解消にも役立つと考えた。
導入効果
・ 本業用のネットワーク帯域に影響を与えていたものを分散できた。
◆
・
ストレージのプロビジョニングが不要となった。
・
バージョンアップやパッチの適用など、システム運用管理の必要が無くなった。
・ 自社の開発者が慣れ親しんだ Visual Studio が活用でき、ほとんどのコードは Azure 用に
書き換えた程度で、短時間かつ低コストでの開発と運用が実現した。
・
本来のコアビジネスのシステムにリソースを集中・特化できる。
苦労した点
・ 想定した以上に SQL Data Services(Key Value Store 型)設定の手間がかかった。しかし、
◆
最新のバーションでは SQL Azure として RDBM 型のサービスが Windows SQL Server と
ほぼ同等のサービスも提供され始めたので、問題はないと思われる。
導入の問題意識
・ 自社のコア業務でないもの、クラウド化によりセキュリティ向上を期待しうる業務などを
◆
「コスト比較」とある種の「割り切り」でクラウド化する判断をする必要がある。
・ データをどこの国で管理するかは重要な課題である。日本国内に、国際競争力のある価格
で利用できるデータセンタを整備することが必要ではないか。
・ クラウドの Key Value Store 型のデータ管理では、基本的に一貫性(consistency)を期待
することができないため、常にデータの真正性が求められる「OLTP85」の処理には向かな
い部分もあり、RDBM 型との使い分けがコスト面でも重要である。
・
最近の米国有名サイトなどへの攻撃もあり、DDos のようなネットワークを封鎖する型の
攻撃から守るためにも、本格的な利用促進のためには、IPv6 や NGN のようなネットワー
クの帯域確保ができる仕組みが重要になる。
・ クラウドのコンピューティング能力を悪意ある者が利用した場合には、大量のデータを送
って過大な負担をかける DDoS 攻撃などの、従来よりも格段に強力、大量な攻撃のリスク
が発生し得る。
・ 不正プログラムや不良プログラムがクラウド上にアップロードされることにより、他のユ
ーザの利用に著しい遅延などの悪影響を与えるリスクもあり得る。
85
OLTP(On Line Transaction Processing):ネットワークに接続された複数の端末がホストコンピュータに処理要求を行い、ホストコ
ンピュータが処理要求にもとづいてデータを処理し、処理結果を即座に端末に送り返す処理方式。
74
-__-
クラウド・コンピューティング社会の基盤に関する研究会
④
◆
報告書
郵便局株式会社
概要
・ 全国 2.4 万事業所からの報告を本社・支社の関係部署で確認・承認後、他の 3 事業会社に
それぞれ報告する「お客様の声管理システム」
(クレーム対応)及び各事業会社からの受託
業務間でクロスセル営業を推進するに際して、
「顧客管理システム」のデータベース化が必
要であった。
お客さまの声管理システム
報告
確認・承認
支社・本社の関係部署
(約50人)
報告・申請
簡易局(約4,000局)
直営郵便局(約20,000局)
●サービス開始後の改修対応
・入力負担軽減対応(レイアウト変更・項目変更等)
・委託元からの依頼による項目変更
・組織変更に伴う項目単位でのアクセス制御
図 4-3
郵便局(株)での実装事例
顧客管理システム
統計・分析等
支社・本社の関係部署
検索結果を元に営業
個人情報
利用同意書
個人情報
…………
利用同意書
…………
登録・検索・閲覧
…………
…………
郵便局(約20,000局)
受託業務間でクロスセル営業
法令遵守
どの郵便局が登録したデータでも検索可能
図 4-4
顧客管理システムイメージ
75
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
経緯
郵政民営化までの残り1年間で上記「お客様の声管理システム」と「顧客管理システム」の
2 つの構築を決定。しかしながら、WTO の政府調達規定のシステム調達の制約などのため、
確保できる開発期間が僅か 6 ヶ月のみであった。また、民営化は手探りの作業で、システムを
構築しても見直しを求められる可能性があったことなどから現実的には SaaS(クラウド)し
か選択肢はなかった。
「お客様の声管理システム」は約 3 ヶ月、「顧客管理システム」は約 6 ヶ月で開発した。
(注)郵便局㈱は、郵政民営化にともない設立した新会社。ゆうちょ、かんぽ、郵便の事業 3
社とともに、持ち株会社の下にあり、他の 3 社の販売代理店という位置付けであり、民営
化以前から郵便、貯金、簡保の 3 システムが並存しているが、各種の情報系システムにつ
いては、郵便局㈱会社としてゼロからのシステム構築が必要であった。
◆ 検討の視点
・ 短期間でのシステム構築、サービス提供の実現
◆
→データセンタ、ハード面での自社準備が不要な SaaS 型サービスを選択し、基本機能と
して提供されるサービスの活用により初期のカスタマイズの軽減が図れた。
・
カスタマイズ(入力画面、項目変更/追加)の容易性・拡張性
→システム要員もデータセンタもないところからのスタートであり、最初から要件を詰め
られていない状況の中で、セールス・フォース社の Force.com は PaaS で豊富な環境が用
意されていたことを生かして、ひとまず稼働させ、後から要件を追加していった。また、
サービス提供後においても現場から使い勝手に関する改善要望や提案をまとめて仕上げ
た。
・
センタ設備、セキュリティ要件の充足
→社内にて定められている「セキュリティポリシー」
、
「情報システム基準」に適合するこ
とを確認した。
・ 郵政民営化までの1年間で、従来の 3 事業会社(ゆうちょ、かんぽ、郵便)システムとは
別に、新たに発足する「郵便局株式会社」独自のシステムを準備する必要があった。
・ お客様から寄せられた声が、それまでは局内での紙管理であったが、システム構築による
本社でのデータ一元管理と、受託会社として、各委託元会社への速やかな報告が必要であ
った。
・ 各事業会社からの受託業務間でクロスセル営業を推進するにあたり、法令遵守の観点から
お客様より取得した「個人情報利用同意書」のデータベース化が必要であった。
◆ 導入効果
・ データベース化したことにより、多様なレポート、データ抽出・加工による分析が可能と
なった。
・
現場からのお客さまの声を把握できるようになり、適切な対応が可能になった。
課題
・ PaaS 利用に際しては、障害発生時などの不測事態時の利用者側での緊急時対応計画(コ
◆
ンティンジェンシープラン)の充実が求められる。
今後の予定
・ パイロット運用から本格利用に向けて、自社開発と SaaS 利用の比較検証を行い、SaaS
◆
で吸収できる業務・活用範囲の拡大を検討したい。
76
-__-
クラウド・コンピューティング社会の基盤に関する研究会
⑤
◆
・
報告書
甲府市役所
概要
住民基本台帳の情報に基づいて支給する定額給付金などの支給管理システムにおいて
Salesforce が提供する SaaS サービスである「Salesforce over VPN」を導入。約 9 万人が
対象。
◆
経緯
・ 政府の定額給付金の給付決定前の 2008 年 11 月頃から、
管理システムの構築検討を開始し、
様々なパッケージ製品を初めとして調査したが納得するものがなく、Salesforce から提案
を受けた
・
2009 年 3 月には同給付金の案内(申請書など)を発送するという指示のもと、同年 2 月
から検討を本格化した。
◆
検討の視点
・ 一過性の(2009 年の 1 回のみの使用、かつ、交付金の申請期限が 2009 年 9 月末という期
間限定のため)システムであるがゆえに、コストを最小化する必要性があった。
→サーバを用意する必要性がなく金額も分かり易かった
・
数ヶ月でシステム構築が完了できるなどの時間的制約があった。
・
給付金管理という業務の特性から特殊な仕様であるがためカスタマイズが必須であった。
・
住民からの多くの問い合わせに対し円滑な対応を図るため、CRM 機能が必要であった。
◆
・
導入効果
担当者の要望事項に対して Salesforce の担当者が目の前でカスタマイズに対応した結果、
仕様を伝えてから 3 日間でプロトタイプが完成。
・
2009 年 5 月には、定額給付金の対象である約 9 万件のうち 5 万件を終了。
・
従来比で約 50%のコスト減を実現。
◆
・
留意事項
機微な住民情報(個人情報)を海外ベンダ、かつ、国外のデータセンタ(Salesforce 社を
利用)に保管する点については、以下により同データが米国にあっても問題ないと結論づ
けた。
・
個人情報の真正性確保やシステムとしての可用性確保の面で充分な対策が必要であるが、
これは国内外のいずれであってもデータセンタの管理境界の内側にあって、所在場所が国
外であっても取組みに差がある訳ではない。
・ 漏洩や改竄などの面についてはそうではない。このためデータを暗号化しスライシングす
ることで、仮に、データが悪意のある第三者の手に渡ったとしても、住民情報としての性
質を失わせた。国外のデータセンタに格納されていても、個人データとしての要件を持た
ないため、これらのデータを厳密な管理を必要とする個人データとして扱わないと解釈し
た。
◆
留意事項
・ 「各地方公共団体が自ら業務の見直しというプロセスを実施すること」
、
「サービスとして
の情報システムを適切にマネージメントする仕組みや体制を整備すること」
、この 2 点がク
ラウド導入の最低条件と考える。これらが不明確なままクラウドを導入することは、リス
クが大きく、成功は難しいと思う。
77
-__-
クラウド・コンピューティング社会の基盤に関する研究会
⑥
報告書
ユニ・チャーム株式会社
概要
◆
2009 年 1 月に国内外のグループ社員の半数の 3,000 人が Google の企業向け SaaS サービス
である Google Apps Premier Edition(Google ドキュメントや Gmail)を導入。Gmail の本格
展開を開始した。
◆
経緯
・ Lotus Note からウェブメールへの移行を通じリソース管理や情報セキュリティの面ではう
まくいったものの利便性が悪化した。2006 年頃にはスパムメールやウィルスメールが増加
しサーバ負荷によりシステム停止が頻発する状況であった。さらに、2007 年にはメールシ
ステムがウイルス感染による全社(全拠点)で 72 時間停止する事故が発生したため、最低
限の代替手段の構築など「多重化障害」対応の必要性に迫られた。
◆
・
検討の視点
顔が見える(ユーザプロファイルとして顔写真を保持している。
)
・ グローバル対応(Gmail の機能により、特段の準備作業無くして海外拠点での利用を開始
できた。また、各国の言語対応も特に準備を必要としなかった。
)
・
システム・コスト改革(削減)
・
操作が容易であること
・
ウィルス・スパム対策
◆
導入効果
・ 従来型開発ではコスト、納期、品質、セキュリティなどの面で担当者の資質や投資予算額
によるなどの不透明感があったが、SaaS 導入でこれらがクリアになり、利用満足度も高ま
った。
・
導入前はディスク容量がパンク寸前でサーバ負荷によるシステム停止が頻発していたが、
導入後はサーバ容量が 47 倍と飛躍的に高まり、
容量の重い添付ファイルのやりとりでも(サ
ーバが停止することなく)安定稼動が実現し業務停止リスクが無くなった。結果として、
社員の不満が解決し生産性の向上が図られた。
・
◆
情報システム部門スタッフが変革することへの勇気(意識改革)を持てるようになった。
留意点
・ 情報漏洩リスクなどの懸念から、社内説明会を通じた注意喚起に加え、社外からのアクセ
スを制限し社内利用のみに制限した。
◆
・
成功要因
直接面談の会議や打ち合わせを重視する企業風土が定着しており、TV 会議システムの早
期導入や Lotus Notes の掲示板機能を多用するなど、メールに多くを依存しないワークス
タイルを確立している。そのため、他のアプリケーションとの連携を前提としない簡易な
メール利用スタイルをとっており、比較的 Gmail に移行しやすい環境であった。
・ Google は研修制度や日本語のマニュアルが存在しないため、自社で独自に操作マニュアル
を作成し、SaaS 型メールの特性などについての社内説明会をかなりの回数開催し、新シス
テムへの理解を得てきていた。
78
-__-
クラウド・コンピューティング社会の基盤に関する研究会
⑦
報告書
シダックス株式会社
概要
◆
企業の社員食堂、病院・学校給食をはじめ、レストラン、カラオケ、スウィーツブティック
など約 3,500 の店舗・施設運営や、施設内コンビニ、車両運行の管理、社会サービスの運営受
託事業などの全国 2100 拠点の事業管理を結ぶグループウェアとしてサイボウズ社の SaaS「サ
イボウズガルーン 2」を 4,000 ユーザで導入。
経緯
◆
・ 1995 年から Lotus Notes を導入していたが、システムと Notes サーバの老朽化が著しく、
2007 年にシステム改修を検討。内部統制に対応し、かつグループ内の情報共有をさらに強
化するため新システムへの乗換えを検討した。
SaaS 利用と自社運用を費用の点から比較したが、ほとんど変わらなかった。
・
検討の視点
◆
OS のメインテナンスやバッチ処理などの運用負荷を軽減できる SaaS での導入を必須と
・
して捉えていた。
・
ワークフロー機能なども十分に拡張可能であった。
・
SaaS の導入に際しては「システム費用の固定費化を防ぐ」
、「必要に応じてサーバ/ハード
ディスクなどの IT 資源を増減できる」という点を重視した。
・ 導入により期待できることとしては、
「情報共有の更なる活性化」
、
「会社の動きが見える」
、
「水平垂直統合の理念の実現」があげられる。
◆
導入後の問題意識
・ システムを利用する立場から言えば、ハードウェアの設計・調達などに関する煩わしさか
らは開放されたい思いがある。そのためにもクラウドコンピューティングの貢献を期待し
たい。
79
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
(2) 導入事例の分類
(1)で7つの国内導入事例を紹介してきたが、事例ではどのような経緯でクラウド導入が決断さ
れたのか、また結果としてそのビジネス効果はどういうものだったのかを整理するため、ここま
でに紹介された国内導入事例を 2 つの視点で分類することを試みた。
①
クラウド浸透シナリオごとの分類
導入事例の経緯や目的を追うことによって、クラウド導入に至った判断を明確にし、今後クラ
ウドがどのように浸透していくかを考察する。その分類方法として、経済産業省「クラウド・コ
ンピューティングと日本の競争力に関する研究会」の浸透シナリオがヒントになるものと考え導
入事例を当てはめてみた。
先ずクラウド技術を活用しなければ実現しなかったと考えられる「クリエイティブクラウド」
の 2 事例は、SaaS の提供側であり、Amazon EC2 を活用している。言い換えれば、「クラウド
(IaaS)を活用したクラウド(SaaS)」の事例であり、今後のネットベンチャーは多かれ少なか
れクラウドを活用することとなるであろう。
また徐々に戦略的な分野へクラウド適用を進める「インクリメンタルクラウド」の例では、(株)
損害保険ジャパンがある。部門システムから始め、情報系システム、顧客接点のシステムへと活
用分野を拡大している。その他は「ラディカルクラウド」に分類される。新規業務を短期間で導
入するため、あるいは、コスト削減策につなげるため導入された例がほとんどであり、今後もこ
うした事例が続くものと考えられる。
表 4-1
NO
1
浸透シナリオ
概要
事例企業
クリエイティブ クラウド基盤を活用して、情報爆発 頓智ドット㈱
クラウド
2
クラウド浸透シナリオによる導入事例の分類
に対応
㈱想創社
ラディカルクラ ・コスト削減メリットが大きいため、 ㈱東急ハンズ
ウド
クラウド移行が段階を飛び越えて進 ㈱JTB 情報システム
郵便局㈱
む
・システム調達を最初からクラウド 甲府市役所
ユニ・チャーム㈱
で行う
シダックス㈱
3
インクリメンタ リスクの高いコアシステムのクラウ ㈱損害保険ジャパン
ルクラウド
ド移行を段階的に進める
経済産業省「クラウド・コンピューティングと日本の競争力に関する研究会」から
②
ビジネス効果の分類
次にビジネス効果に着目する。この分類は、これから IT 投資・調達の判断や新たなビジネス
モデルを創出する際のヒントになると考えられる。
80
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
「コスト削減」、「事業規模拡大・縮小への対応」の 2 点は、すべての事例で効果として認識さ
れ、
「経営戦略の迅速な実現」効果があった3事例は、すべて新規開発案件でクラウド(SaaS ま
たは PaaS)を活用している事例である。
表 4-2
NO
1
ビジネス効果による導入事例の分類
ビジネス効果
コスト削減
概要
事例企業
初期費用又は運用保守費、ライセン すべての事例
スなどの固定費を削減した
2
経営戦略の迅速 開発期間の短縮により、経営戦略を ・㈱損害保険ジャパン
な実現
迅速に実施した
・郵便局㈱
・甲府市役所
3
事業規模拡大・ オンデマンドで柔軟に増減する IT リ すべての事例
縮小への対応
ソースを従量課金制で活用した
経済産業省「クラウド・コンピューティングと日本の競争力に関する研究会」資料を活用し作成
(3) 総括(傾向分析)
前述の導入事例などから、クラウドシステム導入の際の障壁がどのようなものであるかを以下
に述べる。
クラウドシステム導入の障壁として、IT を活用した企業経営において、一般的に見られるよう
に「①経営戦略との整合性」から「⑦ランニングコスト維持」の 7 つの壁が考えられる(図 4-5
参照)。クラウドの活用により、自社開発システムに比べ、クラウドシステム導入では、③∼⑥
の壁が低くなると考えられる。
①
経営戦略
整合性
②
調査・
調達
③
初期
コスト
設計・
開発
④
⑦
テスト・
本番準備
⑤
(図 4-5
①
評価・
運営力
⑥
ラ ンニング
コ スト
クラウドシステム導入の障壁)
経営戦略との整合性の壁
経営戦略と具体的に整合性を保ちながら、いかにシステム導入を進めるかという壁である。
CIO の役割を果たす人材がいない場合、この壁は一般的に越えにくいが、自社開発に比べてクラ
ウドシステム導入の場合の壁が低くなるものではない。
81
-__-
クラウド・コンピューティング社会の基盤に関する研究会
②
報告書
調査・調達の壁
自社システムにクラウドを採用するか否かの判断材料として、他社のクラウド導入事例を調査
することには困難をともなう場合もあるが、一部のクラウドサービス提供ベンダでは、サービス
を事前に「試用」できるので、クラウドシステム導入の方が壁が高いとは言えないと考えられる。
③
初期コストの壁
クラウドシステム導入では、ハードウェア・ソフトウェアの調達は不要であり、システムは使
った分だけを課金する従量課金制が一般的である。したがって、自社開発に比べてクラウドシス
テム導入では、この壁はかなり低くなる。
④
設計・開発の壁
SaaS 利用では、データ・画面・帳票のカスタマイズのみで、設計・開発の作業はほぼ無くな
る。PaaS では、機器・OS・ミドルウェア・言語などの導入作業の部分が削減される。また、IaaS
では、機器導入作業の部分が削減される。したがって SaaS、PaaS、IaaS のどの形態を選択す
るかによって異なるが、自社開発に比べてクラウドシステム導入の方が壁は低くなる。
⑤
テスト・本番準備の壁
クラウドシステムの導入では、当然、基本的な性能テストをユーザが行う必要はないため、テ
ストの壁はかなり低くなる。PaaS 利用でアプリケーション開発を自社で行う場合は、アプリケ
ーションテスト部分に大きな差異はないだろう。また、本番準備で重要となるユーザ教育に関わ
る作業やデータ移行作業も大きな差異はないが、用意しなければならないテスト環境の準備では、
一時的に多くのリソースを使っても、一般的には従量課金制であるため、クラウドシステムの導
入の方が低い投資コストで済む。
⑥
評価・運営力の壁
クラウドシステム導入では、システム稼働率やバックアップなどのシステム運用において自社
要員を必要としないため、専門的な人員配置が不要となる。しかし、障害発生時に備えたクラウ
ドベンダとの連絡網確保や問題判別は重要、かつ、高負担になる可能性があるため、注意が必要
である。
⑦
ランニングコスト維持の壁
従量課金制のため、必要とする以上の利用はコスト増加の要因となる。ただ⑥で述べたような
運用要員を必要としない点で固定費減となる要素もあり、壁の高さはケースバイケースとなる。
以上、導入事例及びクラウドシステム導入の際の障壁について述べた。 なお、開発期間の短
縮に関する詳細は、4.3 優位性で解説する。
82
-__-
クラウド・コンピューティング社会の基盤に関する研究会
4.2
報告書
クラウドアンケート調査結果報告
(1) アンケート調査の概要と実施方法
2008 年秋頃以降を境にクラウドに関するメディアの関心の高まりに連れ、ベンダからの情報
発信も増え、メディアでの露出は日々増えつつある昨今、実際にユーザ企業がどのような認識を
し、どのように考えているのだろうか。そこで、IPA では、2009 年に IPA が全国各地で開催し
た「情報セキュリティセミナー」の参加者を対象に「クラウドアンケート調査」を実施した。ま
た、一部 IT コーディネータによる面接調査の結果を加味した。
アンケート調査の概要は、以下の通りである。
・ 調査名:「IPA クラウドアンケート調査」
・ 調査対象の範囲:IPA セキュリティセミナーなどの参加者への会場アンケート
・ 調査対象期間:2009 年 6 月∼2009 年 12 月
・ 設問項目:クラウド(SaaS、PaaS、IaaS)
・ アンケート総数:2,734 件
・ 調査対象事業者における従業員規模別分類
今般の調査において、中堅・中小企業は従業員 300 名以下の企業、大企業は従業員 301 名
の企業を指す。より詳細な従業員規模別での対象企業は、次のとおり。
○中堅・中小企業の割合:
66%(1,804 社)
従業員数 1~20 名:
19%
従業員数 21~50 名:
13%
従業員数 51~100 名:
12%
従業員数 101~300:
22%
○大企業の割合:
従業員数 301~1,000 名:
34%(930 社)
16%
従業員数 1,001~5,000 名: 11%
従業員数 5,001 名以上:
7%
(図 4-6
調査対象事業者における従業員規模別分類)
なお、4の分析結果は、3.と異なる傾向を示している場合があるが、主として、以下のよう
な原因が考えられる。
・
3.の調査は、調査時点が 2007 年度で、
「クラウド」という言葉がまだ一般的ではなく、
「現行システムを SaaS に置き換えるとすれば」ということを主眼とした調査であったのに
対して、4.のアンケートは、クラウドがかなり知られるようになった 2009 年度時点に行
われ、しかも PaaS や IaaS も含む広義のクラウドについて調査であること。
・ 3.は、調査対象の偏りなどを調整した企業一般に対する政府統計であるのに対して、4.
は、IPA セキュリティセミナーに参加するなど、IT に対する意識の比較的高い、ユーザ個
人に対するアンケートであること。
83
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
(2) 調査結果
①
クラウドの活用状況
中堅・中小企業と大企業間でクラウドを利用中、もしくは、利用検討中は、ほぼ同様であった。
クラウドを「利用している」企業は 1 割程度に留まっており、約 3 分の 1 の企業が今後の「利
用を検討している」との回答であった。他方、2009 年はクラウドに関するマスメディアの注目
が大きく高まった年であったが、昨年の後半時点でも5割超の企業が「導入の検討をしていない」
との回答であった。
利用率については、大企業の 8%に対して、中堅・中小企業が 10%とほとんど変わらない。
IT の取り組みが遅れがちである中堅・中小企業が、大企業の利用率とほとんど変わらなかっ
た。これは、3.1 でも言及されているが、導入コスト及び運用コストの低さから、中小企業にお
ける積極的な導入姿勢につながっているためではないかと考えられる。
中堅・中小の利用企業の面接調査では、社長や営業部長がグループウェア機能を皮切りに利用
領域を少しずつ増やしながら、クラウドを推進していく姿が見られた。クラウドの利点として、
システム導入し際して初期コストが従来に比べて大きく低下したこと、システム運用停止に際し
て償却損、リース違約金などの追加費用が発生しないことがある。中堅・中小企業では、こうし
た利点を生かしたフットワークの軽い、身の丈に合ったクラウド活用の現場が垣間見えた。
0%
中堅・中小企業
25%
10%
50%
34%
75%
100%
44%
12%
44%
12%
[N=1502]
大企業
[N=922]
8%
利用している
36%
今後の利用を考えている、または、
検討してもよいと思っている
(図 4-7
利用していないし、
利用の予定もない
関心がない
クラウド利活用状況及び関心度)
84
-__-
クラウド・コンピューティング社会の基盤に関する研究会
②
報告書
利用しているサービス内容
利用しているサービス形態別では、SaaS の利用率が 8 割程度と圧倒的に高く、中堅・中小企
業で 76%、大企業で 82%であった。これは、SaaS 導入についての先行事例がある程度豊富であ
ったため、容易に導入が広がったものと考えられる。また、IaaS については、中堅・中小企業
が 5%、大企業が 6%と僅かな利用に留まっている。IaaS は、後発のクラウドサービスであるた
め、未だ認知度が高くなく、その分利用率が低くなっているものと考えられる。
0%
25%
中堅・中小企業
50%
75%
76%
100%
19%
5%
[N=143]
大企業
82%
12%
6%
[N=66]
SaaS
(図 4-8
0%
PaaS
利用しているサービス分類)
25%
中堅・中小企業
IaaS
50%
68%
75%
100%
32%
[N=158]
大企業
75%
25%
[N=67]
有料
(図 4-9
無料
クラウド利用料有無の分類)
85
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
③ 導入効果(複数回答/利用者)
中堅・中小企業は導入効果として、
「初期コストが安価」が 80 件と最も多く、続いて「機器・
ソフトウェアの調達が不要」が 70 件、
「システムの運用・保守要員の確保・維持が不要」が 56
件の順となっている。また、大企業では、「システムの運用・保守要員の確保・維持が不要」が
31 件と最も多く、
「運用コストが安くなった」の 29 件、
「機器・ソフトウェアの調達が不要」が
25 件の順で多かった。
中堅・中小企業は「初期コストが安価」との回答が最も多く、大企業では「運用コスト」と、
コスト面での削減を上位にあげているのが特徴的である。これは、企業体力の問題などから、中
堅・中小企業の場合については、通常は、システム投資の導入時に壁があるものの、クラウドに
よりこれらの壁が取り払われているものと考えられる。他方、大企業は、IT 投資導入時点での壁
は高くないものの、既に稼働しているシステム運用に悩まされている状況を反映しているものと
思われる。また、中小企業では、無料サービスを利用している割合が大企業より高いため、この
ような差異が生じたとも考えられる。
中堅・中小企業の面接調査では、迅速にサービスを利用開始できることに加えて、環境の変化
に対応してシステム運用の拡張/停止できるなど、サービスの柔軟性に魅力を感じている、との
意見が聞かれた。
中堅・中小企業
0
大企業
[件]
50
100
初期コストが安価だった
52
機器・ソフトウェアの調達が不要だっ
た
25
25
現行よりセキュリティレベルが高く
なった
カスタマイズやアドオンが容易に
なった
23
カスタマイズやアドオンが容易に
なった
その他
10
(図 4-10
29
25
現行よりセキュリティレベルが高く
なった
その他
31
初期コストが安価だった
56
運用コストが安くなった
40
運用コストが安くなった
70
システムの運用・保守要員の確保・
維持が不要になった
20
システムの運用・保守要員の確保・
維持が不要になった
80
機器・ソフトウェアの調達が不要だっ
た
[件]
0
8
6
5
導入効果の分類)
86
-__-
クラウド・コンピューティング社会の基盤に関する研究会
④
報告書
データ管理の確認方法(利用者)
ここでは、①でクラウドを利用していると回答した者に対して、クラウドのサービスにより個
人情報、顧客情報などの取り扱いを外部に任せている場合、それらの情報がどのように管理され
ているのかを質問した。
全体的には、中堅・中小企業と大企業の傾向は似ているが、中小企業ほど、クラウドベンダの
データ管理を信頼せざるを得ない立場であると考えることができる。また、大企業においても、
自らデータセンタ訪問を通じて確認した割合が1割程度に留まっている。さらに、中堅・中小企
業において、
「確認していないし、その必要もない」との回答が 24%と比較的高かった。システ
ム開発の検討に際し、クラウドベンダのセキュリティ対策やセキュリティレベルなどの評価に際
し、6.2(3)②でも述べられているように、ユーザが簡易に確認できるようなチェックリストなど
の整備が期待されるところである。
0%
中堅・中小企業
25%
6%
50%
65%
75%
100%
6%
24%
[N=126]
大企業
12%
65%
9%
14%
[N=43]
データセンターを
訪問して確認した
サービス提供会社の
資料を確認した
(図 4-11
確認したかったが
できなかった
確認していないし、
その必要もない
データ管理の確認方法分類)
87
-__-
クラウド・コンピューティング社会の基盤に関する研究会
⑤
現在利用している分野、今後の利用を予定している分野
報告書
(複数回答/利用者)
中堅・中小企業と大企業で現在利用している項目はどれか、あるいは、今後の利用を予定して
いる項目はどれかの傾向を分析した。図 4-12、4-13 にプロットされている丸数字はその下の表
の項目に対応している。図に引かれた直線は、プロットデータから最小自乗法で算出されたもの
である。したがって、この直線から上にあるものは、大企業で回答が多かった項目、下にあるも
のは、中堅・中小企業で回答が多かった項目であることを示している。
本設問での回答数は、中堅・中小企業で 660 社、大企業で 404 社であった。
◆
現在利用している分野
現在利用している分野については、中堅・中小企業と大企業で共通して上位を占めたのは、
「②一般事務」、「⑤営業支援、顧客管理」、
「③モバイルアクセス・ネットワーク」であった。
規模間で差異があると考えるのは、以下のとおりである。
中堅・中小企業で大企業より回答数が多かったのは、「④社内外ブログ」であった。中小企
業への面接調査でも、新たな販路を開拓するため、営業力を補完する手段として IT を活用し
た「社長ブログ」など利用の広がりを感じた。
大企業で中堅・中小企業より回答数が多かったのは、情報共有を進める「①企業内システム
基盤管理」、
「⑨研修・教育」、
「⑥人事管理」だった。
図 4-12
利用している分野(最小自乗法の計算では、
「⑰製造」、
「⑱経営」、
「⑲その他」を除いている)
88
-__-
クラウド・コンピューティング社会の基盤に関する研究会
表 4-2 現在クラウドを利用している分野(単位:件)
中堅・中小企業
大企業
19
22
100
40
③モバイルアクセス・ネットワーク
35
18
④社内外ブログ
39
8
⑤営業支援・顧客管理
38
22
⑥人事管理
13
15
⑦税務・経理
30
13
⑧在庫管理
11
2
⑨研修・教育
14
19
6
6
⑪セキュリティ
18
5
⑫開発・研究
13
2
⑬受注・発注
20
9
6
4
⑮大量データの管理
23
13
⑯電子データ交換
27
10
⑰製造
3
0
⑱経営
4
0
⑲その他
7
4
①企業内システム基盤管理
②一般事務
⑩内部統制・ガバナンス
⑭プロジェクトマネージメント
89
-__-
報告書
クラウド・コンピューティング社会の基盤に関する研究会
◆
報告書
利用を予定している分野(複数回答/利用者及び非利用者)
今後の利用を予定している項目としては、「②一般事務」、「⑤営業支援・顧客管理」、「③モバ
イルアクセス、ネットワーク」
、
「①企業内システム基盤管理」、
「⑨研修・教育」
、
「⑮大量データ
の管理」が中堅・中小企業、大企業ともに上位に挙がっている。
大企業と比較して、中堅・中小企業で将来利用したい項目としての回答が多かったのは、「⑤
営業支援・顧客管理」である。数は少ないが、
「⑦財務・経理」、
「⑬受発注」
、
「⑪セキュリティ」
も中堅・中小企業の回答数が多かった。
図 4-13
利用を予定している分野(最小自乗法の計算では、「⑲その他」を除いている)
90
-__-
クラウド・コンピューティング社会の基盤に関する研究会
表 4-3 今後のクラウド利用を予定している分野(単位:件)
中堅・中小企業
大企業
①企業内システム基盤管理
137
79
②一般事務
248
153
③モバイルアクセス・ネットワーク
156
84
81
31
160
59
72
28
115
38
67
22
133
93
⑩内部統制・ガバナンス
33
15
⑪セキュリティ
93
30
⑫開発・研究
81
21
⑬受注・発注
97
29
⑭プロジェクトマネージメント
72
36
121
72
⑯電子データ交換
81
30
⑰製造
23
9
⑱経営
37
13
⑲その他
23
26
④社内外ブログ
⑤営業支援・顧客管理
⑥人事管理
⑦税務・経理
⑧在庫管理
⑨研修・教育
⑮大量データの管理
91
-__-
報告書
クラウド・コンピューティング社会の基盤に関する研究会
⑥
◆
「重視する」項目/「重視しない」項目
「重視する」項目
報告書
(複数回答/利用者、非利用者共通)
(複数回答)
ここでは、
「重視する項目」のアンケートの分析に際して、
「重要」と回答した企業数を 2 倍し、
「やや重要」と回答した企業数を足して、重み付けを考慮した。その結果、中堅・中小企業と大
企業とも、
「セキュリティ」や「サービスの継続性」について重視しており、以下の 6 項目が上
位に並んだ。なお、詳細な分析は、4.4 懸念材料で述べる。
・「③データが壊れたり、無くなったりしない」
・「①プライバシーが守られている」
・「②サービス又はデータが常に使える」
・「④情報漏洩のリスクが軽減される」
・「⑤ウイルス対策などセキュリティ水準が高い」
・「⑩トラブル発生時の提供者のサポート体制」
上記に比べて数は大きくないが、中堅・中小企業では「⑫サービス提供価格が安価である。」
が大企業に比べて回答数が多かった。
図 4-14
重視している項目
(重視するx2+やや重視でプロットしている。次ページ参照)
92
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
表 4-4 クラウドで「重視する」項目(単位:件)
中堅・中小企業
重視
やや重視
大企業
重視
やや重視
①プライバシーが守られている
1,135
61
688
37
②サービスまたはデータが常に使える
1,101
98
644
81
③データが壊れたりなくなったりしない
1,179
26
703
27
④情報漏洩のリスクが軽減される
1,077
98
649
62
⑤ウイルス対策などセキュリティ水準が高い
1,051
130
645
62
⑥サービス提供者の評価
666
424
421
254
⑦サービス提供者の連続性
932
227
551
148
⑧サービスの内容が明確である
893
247
520
173
⑨サービス提供者と 24 時間 365 日連絡が取れる
652
419
450
216
⑩トラブル発生時のサービス提供者のサポート体制
993
188
637
80
⑪トラブル発生時の損害賠償が十分
700
389
399
256
⑫サービス提供価格が安価である
805
351
422
266
⑬応答時間が速い
874
274
515
188
⑭他のサービス提供者への乗り換えが容易
417
543
238
356
⑮カスタマイズや異なるサービス提供者の組み合わせが容易である
513
535
311
337
⑯データセンターが国内にある
458
337
280
236
⑰サービス提供者の国の法律と日本の法律との整合性
714
299
474
186
⑱大量データの移行が容易である
633
425
410
273
⑲内部システムとの連携利用が容易である。
695
391
436
229
(図 4-14 では、重視x2+やや重視を1point としてプロットしている。)
93
-__-
クラウド・コンピューティング社会の基盤に関する研究会
◆
「重視しない」項目
報告書
(複数回答/利用者・非利用者共通)
重視しない項目としては、中堅・中小企業と大企業では、上位 5 項目の内、以下の 4 項目が共
通であった。
・「⑯データセンタが国内にある」
・「⑭他のサービス提供者への乗り換えが容易」
・「⑮カスタマイズや異なるサービス提供者の組み合わせが容易」
・「⑨サービス提供企業と 24 時間 365 日連絡が取れる」
[件]
[件]
図 4-15 重視しない項目
今回の調査では、
「重視しない」項目として、
「⑯データセンタが国内にある」と「⑭他のサー
ビス提供者への乗り換えが容易」との回答が大企業、中小中堅企業共通して上位を占めた。これ
は、アンケート調査時点で実際のクラウド利用率が低く、以下にあげるような課題が十分理解さ
れていないためではないかと考える。
「⑯データセンタが国内にある」は、法律、制度がこれまでのように国内で収まらない問題を
含んでいる。5.1(4) ⑤や、6.2(2) ②で述べているとおり、日本国内とは異なる法令の適用を受け
94
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
て予期せぬ不利益を被る、又は、問題が起きても(外国の裁判所へ訴えを起こすことは、実際には
かなり困難であることから)泣き寝入りせざるを得ない可能性がある。
「⑭他のサービス提供者への乗り換えが容易」は、特定のサービス提供者に囲い込まれる(い
わゆるベンダロックイン)問題を含んでいる。2.3 (2) ②や 5.1 (4) ③で述べているとおり、サー
ビス停止に伴う業務中止、一方的な料金引き上げ要求を受け入れざるを得ないなどのリスクをと
もなっている。
クラウド利用開始にあたっては、問題が起きた場合の対応、ベンダロックイン回避が可能か否
かなどを検討・確認することが必要である。
大企業と比較して中堅・中小企業で「重視しない」項目として回答数が多かったのは、「⑱大
量データの移行が容易」である。これは、中堅・中小企業で取り扱うデータ量は、大企業に比較
して小さいため、データ移行に関して大企業ほど厳しい要求がないためと考える。大企業では、
大量データの扱いに苦労している現場の姿が浮かび上がってくる。
表 4-5
クラウドで「重視しない」項目(単位:件)
中小・中堅
大企業
①プライバシーが守られている
10
6
②サービスまたはデータが常に使える
7
5
③データが壊れたりなくなったりしない
8
3
④情報漏洩のリスクが軽減される
15
9
⑤ウイルス対策などセキュリティ水準が高い
13
4
⑥サービス提供者の評価
50
21
⑦サービス提供者の連続性
15
14
⑧サービスの内容が明確である
18
16
⑨サービス提供者と 24 時間 365 日連絡が取れる
79
46
⑩トラブル発生時のサービス提供者のサポート体制
10
7
⑪トラブル発生時の損害賠償が十分
53
29
⑫サービス提供価格が安価である
30
24
⑬応答時間が速い
19
6
⑭他のサービス提供者への乗り換えが容易
142
83
⑮カスタマイズや異なるサービス提供者の組み合わせが容易である
82
50
⑯データセンターが国内にある
332
166
⑰サービス提供者の国の法律と日本の法律との整合性
67
23
⑱大量データの移行が容易である
85
23
⑲内部システムとの連携利用が容易である。
56
27
95
-__-
クラウド・コンピューティング社会の基盤に関する研究会
⑦
報告書
SLA(サービス品質保証契約)の理解度(利用者、非利用者共通)
大企業においては、「十分理解している」「ポイントは理解している」との回答が 59%に対し
て、中堅・中小企業は、45%と過半数を下回った。クラウドをある程度使いこなすためには、必
要なサービス、サービスの稼働率やパフォーマンスの評価など、必要最低限の理解に努め、許容
できるサービスレベルを検討しておくことが望ましい。
6.1.(2)でも言及されているように、ユーザのクラウドに対する理解を促すため、サービス選定
のための情報項目のチェックリストなどを公的機関などが整備することが期待される。
0%
中堅・中小企業
25%
5%
50%
40%
75%
100%
55%
[N=1216]
大企業
[N=726]
10%
49%
十分理解している
(図 4-16
41%
ポイントは理解している
理解していない
SLA に対する理解度)
96
-__-
クラウド・コンピューティング社会の基盤に関する研究会
⑧
報告書
セキュリティ対策の確認方法(利用者、非利用者共通)
中堅・中小企業と大企業間での大きな差異はなく、上位 3 項目は、下記の回答結果であり、6.2(3)
③で述べるように、中立的な立場からの何らかの対応が期待されていると考えられる。
・ 「サービス提供者が作成した詳細資料(システム構成などが詳述されたもの)で確認する」
・ 「公的又は中立的な機関が作成したガイドラインや基準を満たしていることをサービス提
供者に求める」
・
「公的又は中立的な機関による評価認証を求める」
中堅・中小企業
0
[件]
500
公的または中立的な機関が作成したガ
イドラインや基準を満たしていることを
サービス提供者に求める
347
自らサービス提供者のシステムのサイト
を確認する
サービス提供者が作成した概要資料で
確認する
347
サービス提供者が作成した概要資料で
確認する
その他
33
13
(図 4-17
400
380
348
229
187
サービス提供者のセキュリティレベルは
自社内よりも高いため、信頼している。 こ
のため、確認や担保は不要である
13
その他
10
セキュリティ対策の確認方法の妥当性)回答数の多い順
97
600
432
公的または中立的な機関による評価認
証を求める
530
自らサービス提供者のシステムのサイト
を確認する
サービス提供者のセキュリティレベルは
自社内よりも高いため、信頼している。 こ
のため、確認や担保は不要で ある
200
公的または中立的な機関が作成したガ
イドラインや基準を満たしていることを
サービス提供者に求める
571
公的または中立的な機関による評価認
証を求める
[件]
0
サービス提供者が作成した詳細資料(シ
ステム構成等が詳述されたもの)で確認
する
590
サービス提供者が作成した詳細資料(シ
ステム構成等が詳述されたもの)で確認
する
大企業
1000
-__-
クラウド・コンピューティング社会の基盤に関する研究会
⑨
報告書
今後の普及について(利用企業、未利用企業共通)
ここでは、クラウドコンピューティングの発展・普及についての見通し・認識について問うた。
さらに各々の理由を自由記述で回答してもらった。
中堅・中小企業、大企業ともに普及する(「非常に普及する」、
「どちらかと言えば普及する」
)
との回答が約 60%であった。また、未だ普及しない(「どちらかと言えば普及しない」「まった
く普及しないと思う」
)の回答企業が、中堅・中小企業、大企業とも僅か 6%前後しかなく、
「普
及する」との回答結果とも相まって、クラウドへの期待の高さが見える。
0%
中堅・中小企業
25%
20%
50%
39%
75%
24%
100%
0.2%
6%
12%
[N=1200]
大企業
[N=727]
非常に普及
すると思う
19%
どちらかと言えば
普及すると思う
42%
普及するとも
しないとも言えない
(図 4-18
24%
どちらかと言えば
普及しないと思う
まったく普及
しないと思う
0.3%
5%
10%
わからない
今後の普及予想)
一方、中堅・中小企業への面接調査では、以下にあげる理由などから「普及しない」との意見
が少なからずあった。
・費用削減への疑念
・投資効果の不明確さ
・セキュリティ面での懸念
なお、「普及する」(「非常に普及すると思う」「どちらかと言えば普及する」)との回答者に対
して、それらの理由につき自由記述で回答のあった 97 件を次頁に紹介する。4.1 導入事例中、ク
ラウドの分類のビジネス効果であげた「コスト削減」、「運用負荷軽減」、「利便性」以外に、ブロ
ードバンド環境の整備、経営環境の変化によるアウトソーシングの普及などの「時代的な背景や
環境面が整った」とする意見も多数寄せられた。
98
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
(参考)クラウドが発展・普及する理由(自由記述回答から抜粋)
種類
普及する理由(97件)
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
ネット通信環境が整備された。コスト削減要求が大きくなる
システムの構築の費用、時間が軽減する
企業の設備投資軽減、情報セキュリティの面でどれだけユーザーの信頼を得られるかが普及のカギになると思う。
コストと効果がわかる。経営的メリットがある
コスト面で有利。機能が十分で
年に1回か2回しか見ない様なデータが非常に多いので
アウトソーシングの時代、経費削減
サーバ等の固定資産を持たずに利用でき、安価で、かつスケーラビリティも有しているため
イニシャルコストが安く、自社でサーバーを持たなくて良いため
経費削減
コスト削減。(ハードウェア、ソフトライセンス管理コスト削減)
開発費用、運用費用でメリットがあり又短期間でのサービスインが可能
便利、安価、メンテ不要
情報化投資に対するコスト削減(特に)中小企業中心
価格が安くなれば普及する
導入コストと開発期間の短縮
投資が軽減されセキュリティに安心感がある。
ハードウェア価格の低下、ソフトベンダーの経営の不安定化
各企業における投資の軽減。共有性、大量データの移送
とくに不況期が今後も続くことを考えれば、IT投資の効率性がより重要になると思うから
ITシステムの構築は非常にコストが掛かる為
初期導入時のイニシャルコストが現在高額すぎるため
さまざまな業態へのカスタイマイズ、ニーズへの適応に時間が掛り、共通化にコストもかかるため
運用面、コスト面全てにおいて、メリットがあるから
現景況感からのコストセービングのあおりを受けて
中小企業でも使用できる安価なシステムが増え、自社にあったシステムを選別して使えるようになれば広がると思える。
初期投資の軽減(セキュリティの問題が大きくなければ)
企業のIT化への資金不足
自社で保有するコストより、クラウドのコストが総合的に見て安価になる(金額だけでなくセキュリティや時代の流れなど)
コスト的問題
中小企業の導入コスト面で
法整備、WindowsPC買換の際のコストダウンで普及する。
コスト競争力のためには必要
自社でサーバー等保有する場合の初期投資やランニングコストが軽減できる。但し、セキュリティが担保されないと参加できな
い。
各種設備投資の減少による
大規模な投資が不要では。
イニシャルコストの低減
コストの問題が解決できる。セキュリティが課題
リスクとコストによる
初期の費用が安い、少数員の事業所としては、とても便利 国が後押しをしている
設備投資、運用管理の負荷軽減
提供する側、される側のバランスと料金の問題
価格体系の明確化、ランニングコストのメリットが理解されるのに時間がかかる
コスト削減
ITの軽量化/コスト削減
価格的に安価であり、利用価値が高いと思われる
安価で利便性の高いクラウドは普及すると考えるから、しかしセキュリティの問題や安全性の認知が高まってからでないと広まら
ない。
IT設備投資が拡大することの負担を軽減する企業が増える
コスト面でのメリットが大きいため
運用コストの削減に効果的、CO2の問題等で必要になるのでは
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト
コスト低減効果で普及する:
50件
99
-__-
クラウド・コンピューティング社会の基盤に関する研究会
種類
時代・環境
時代・環境
時代・環境
時代・環境
時代・環境
時代・環境
時代・環境
時代・環境
時代・環境
時代・環境
時代・環境
時代・環境
時代・環境
時代・環境
時代・環境
時代・環境
時代・環境
時代・環境
時代・環境
時代・環境
時代・環境
時代・環境
時代・環境
自社運用リスク
自社運用リスク
自社運用リスク
自社運用リスク
自社運用リスク
自社運用リスク
自社運用リスク
自社運用リスク
自社運用リスク
自社運用リスク
自社運用リスク
自社運用リスク
自社運用リスク
利便性
利便性
利便性
利便性
利便性
利便性
利便性
利便性
利便性
利便性
利便性
報告書
普及する理由(97件)
一時的普及しまた下火になり、その後再度普及するかも(ダウンサイジングとアップロードクラサバ型の繰り返しに似ている。シン
クライアント型)
今はどの業界も淘汰されていく。無論クラウドコンピューティング関連企業も同様。顧客情報を預けることを信頼できるレベルまで
達しなければ実行されないのではないかと思う。
米国での拡大実績、郵政やエコポイント申請WEBなどの実績がある。
現在でもハウジングからホスティングへの移行が進んでいるので次はクラウドへの移行が進むと思います。
現在1人1台になりつつあるPC環境で今後は早さやセキュリティー等が重要になると思います。それらを具備された内容と思いま
すので、これからと思います。
Google,Chrome OSが普及するのに合わせてサービスの提供が活発になると思う、モバイル機器の普及で、どこでもインター
ネットが活用でき、クラウドのサービスが受けられる。
必要とされるものであるから
ドコモ等が来年から乗り出すので
コンピュータ利用の方向性(リソース、ツールの有効利用)
利用しないシーンは考えられなくなっている
中小企業のIT化に大きく寄与すると思われるため
環境問題の観点から
ネットの高度化 etc
海外の情勢による
自社内にコンピュータを置く時代ではない
アプリケーションの多様性 投資の多大化 情報の多さによる
現状の流れから言って、1年後には非常に普及すると思われる。
オンラインアプリケーションサービスやOA機器の保守なども、ますます広がってきている
情報処理への欲求は計り知れないものだから
Googleの利用により一般化しつつある。企業への普及もそう遠くない
MSOfficeのWEB APP化 企業内文書がクラウド側に移動する
アジア、アフリカ、南アフリカ地域でのコンピュータH/Wの一般化
コンピュータ技術革新の早さ
システム維持管理の軽減
現在の運用でのネックはハード的なものが多いから
自社ではサポートできないため
人員が不足(削減)
全てを自社では調達できないから
人材が居ない
ハード、ソフト、データベース等の管理負荷が軽減される
人員不足。利益を産まない部門の廃止のため。
システムの維持管理は専門業者に任せるのが望ましいと思う
情報漏洩対策などの観点から、企業側のメリットがあれば普及していくように思います。
OS、ソフトウェアの進歩、更新、バージョンアップの影響を受けない為
サーバーを自分で持つことのリスクが大きい
回線障害を想定した場合のリスク面から
オフィスが小さくて済むから。後はコストがどのくらいになるか。
利便性が高まるように感じる為
用途に合った個別選択が可能であるため
効率化より
ニーズに合致しているため
ニーズに合っている
メリットが多い
「持つから使う」への言葉どおり、インフラを持つことでのデメリットが軽減されると思うから
技術革新、利便性ニーズなどから
インターネット接続環境があればいつでもどこでも利便性があるから、しかし、データの破壊や漏洩の心配はぬぐえないところが
ある
利便性
普及に必要な環境や時代背景が整った:
23件
自社運用管理の負荷軽減効果で
普及する:13件
利便性が高いため、普及する:
11件
100
-__-
クラウド・コンピューティング社会の基盤に関する研究会
(3)
報告書
所感
2,700 件超のクラウドアンケート調査と中堅・中小企業の面接調査を通じて得られた示唆を集
約すると、次の 4 点があげられる。
①
中堅・中小企業と大企業との間で、利用率や意識の面での大きな差異はなかった。中堅・
中小企業は、資金や人材の制約から往々にして大企業よりも IT 投資に消極的になりがちで
あるが、むしろ経営資源が限られているがゆえにクラウドの導入や運用コスト面でのメリ
ットを活かそうとしている姿勢が感じられた。
②
一方、中堅・中小企業のクラウドについての基本的な理解が不足している、理解しようと
する意識に乏しい(例えば SLA について 55%が理解していないなど。
)面も顕在化した。
そのため、クラウドのメリットやリスクに関する正しい知識の普及・啓発を行うべき余地
が大きいと考えられる。
③
今後の普及についての認識・見通しでは、既に業務のアウトソーシングなどが一般的にな
り、米国での動向や日本の一部の企業によるクラウドの取り組み事例などから「クラウド
が普及するのは、時代の流れ」との回答が多数あった。
④
企業経営者の観点から見たクラウド利用の本質は、企業の IT 部門がこれまでの IT 機器、
アプリケーション管理業務、ライセンス業務などから解放されることにより、当該企業本
体のビジネスへの貢献に「本業回帰」することを促す点にあると考えられる。
3.3 に述べられているように、企業において業務プロセスと情報システムを連携させつつい
かに見直し、再構築していくか、という経営戦略に直結した IT 部門の活動がこれまで以上
に重要になると考えられる。
101
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
優位性
4.3
前節で述べたアンケート結果では、開発期間の短さ、ハード調達が不要、初期コストが安価、
システム利用変化に自社対応が不要、運用・保守やセキュリティの「相対的優位性」、運用コス
ト(人材、スペース)が安価などの点が上位を占めていた。ここではそれらのクラウドの優位性
がどのようにして生じるのかを開発フェーズごとに SaaS と PaaS・IaaS とを比較しつつ整理し
た。
(1) 開発期間の短縮
図 4-19 は、従来型開発と、クラウドによる開発の場合の工程イメージを図示したものである。
1.動作検証
2.運用テスト
従来型(ウォーターフォール開発)
①
構想・立案
②
ベンダー
決定
RFP
要件
定義
③
設計
⑤
開発
テスト
⑥
本番化
保守・
運用
1.運用の準備(トラブル対応)
2.ユーザ教育
3.データ移行
カスタマイズ
③テスト 本番化
④ ⑤ ⑥
SaaS
④
要件定義
①
②
ベン
ダー
決定
構想・立案
RFP
保守・
運用
3.データ移行
2.運用テスト
PaaS・IaaS(アジャイル開発)
①
構想・立案
RFP
ベン
ダー
決定
②∼⑤
繰り返し開発
②∼⑤
…
繰り返し開発
⑥
本番
化
保守・
運用
要件定義 カスタマイズ テストとリリースを
繰り返す中で、要件の網羅性や実現可能性、
整合性を徐々に高めていく
図 4-19 従来の開発手順とクラウド以降の開発手順
(開発の各フェーズでクラウド導入検討に当たり短縮されるフェーズを黄色にした。)
①
ベンダ決定フェーズまでの優位性
従来型の開発の場合、想定される情報処理量の規模に応じてハードの台数が変動するため複数
のシミュレーションをする必要性があり、概算コストは単純な掛け算とはならない。他方、SaaS
及び PaaS・IaaS の場合は、拡張性の考慮がほとんど必要としないため、将来の利用者数、利用
量などの対応の検討は、ほぼ不要である。
また、SaaS の場合は契約形態が 1ID 当りの課金となっているため、複数パターンの概算コス
トを出すことが容易である。
なお、構想・立案のフェーズは、経営方針・経営課題をどのように解決するかを検討するもの
である。したがって、いかなるシステム開発においても、十分な検討期間が必要であることは言
うまでもない。逆に、ここでの検討が十分でなければ、効果的なシステム投資にならない。
102
-__-
クラウド・コンピューティング社会の基盤に関する研究会
②
報告書
要件定義フェーズ
SaaS の場合は、ベンダ側で開発環境が提供されており、プロトタイプを用いて要件定義が可
能になり、開発期間の大幅な短縮化が可能となる。
ユーザ企業のシステム部門、業務担当部門及びベンダ側が実際に使用感を試しながら業務フロ
ーを確認していく手法がある。この場合、ベンダ側とユーザ側の認識の食い違いが最小化される
ため、手戻り感なく作業の大幅な効率化が図られる。なお、PaaS・IaaS の場合は、要件定義フ
ェーズ以降の本番、運用フェーズに至るまで従来のシステム開発とそれほど変わらないものと考
えられる。
③
設計フェーズ
SaaS の場合は、運用手順や管理項目や障害対応、セキュリティ管理などの運用要件を提示す
れば、本番機に障害が生じた際に予備機がカバーするホットスタンバイなどの二重化構成、デー
タバックアップのためのバックアップ装置、その他のシステムインフラ基盤の設計が不要となる。
さらに、セキュリティの一定レベルを維持させる要件を提示すれば、セキュリティパッチなどを
適用するための設計は不要となる。また、拡張性の考慮が不要であるため、適切なサービス水準
を維持しつつ最適な投資でのハードウェアの選定、実装条件などを検討するキャパシティプラン
ニングがほとんど不要である。
④
開発フェーズ
SaaS の場合は、ベンダ側で多様なテンプレート(雛形)などが用意されており、カスタマイ
ズだけで済む場合は、開発期間は大幅な短縮が可能となる。
(4.1 導入事例①㈱損害保険ジャパン、④郵便局㈱を参照のこと)
他方、カスタマイズだけで済まずにアドオン開発(機能追加)が必要な場合には、通常のシス
テム開発とさほど変わらない。なお、機器発注については、開発フェーズではないものの、実際
にはこの時期に並行的に検討する場合が多いためここで整理することとする。
機器発注については、機器・基本ソフトの発注行為が不要となり、納品までのリードタイムが
なくなる。ただし、発注から納品までの期間は設計など機器を必要としない開発を平行して行っ
ており、納品までの期間のすべてが短縮される訳ではない。
PaaS・IaaS の場合は、外部の機器を柔軟に調達・利用できるため、開発・テストに際して、
必要な時に、必要な分を、サービスとして利用しつつ、アジャイルなどの手法により繰り返し開
発を進めることができる。また、ソフトウェアのインストールなどの作業も大幅に低減すること
ができる。
⑤
テスト
従来型の開発であれば、システムが仕様書どおりに動いているかのテストが必要であるが、
SaaS でカスタマイズだけで済む場合には、ほとんど必要ない。また、SaaS でアドオン開発を行
った場合は、その分についての動作検証は必要である。
ただし、業務フローが問題なく運用されるかの確認(運用テスト)は、従来システムと変わら
ないと考える。
103
-__-
クラウド・コンピューティング社会の基盤に関する研究会
⑥
報告書
本番化・準備
システム運用はクラウドベンダが主導的に行うため、システム専用要員を自社でアサイン、も
しくは常駐させる必要がない。ただし、障害発生時対応のため、クラウドベンダとの連絡窓口(担
当者)を決めておく必要はあろう。ヘルプデスク機能のうち、例えばログイン・ログアウト方法、
パスワード忘れなどの基本利用方法については、一般的にクラウドベンダ側に予め用意されてい
るため、社内負担の軽減が図られる。
⑦
保守・運用
保守・運用にかかる業務はクラウドベンダが対応するため、利用企業にとっては、従来型の開
発に比べて運用にかかるコストの低減が図られる。
(2) IT 資源(ハードウェア・ソフトウェア)の非資産化
既に述べたハード調達に関わる作業がほぼ不要になることにより、以下のメリットがあげられ
る。ここでは、ハードウェアに特化した書き方をしているが、ソフトウェアについてもほぼ同様
である。
・
機器調達に関わる稟議などの社内事務手続きが不要になる。
・ 運用時にも機器資産管理、スペース、電源管理、ハードウェア保守などの処理が発生しな
い。(クラウドは、一般的にエネルギー的にも効率的なハードウェア運用がされるので、CO2
排出対策にもなり得る。)
・
契約などの事務処理面からも開放される。
・
機器の利用終了時にも、機器廃棄に関わる費用及び事務手続きが発生しない。
・
機器資産が貸借対照表に計上されないため、資産効率が向上する。
(3) IT 費用の変動費化
従来型のシステム開発の場合、ハードウェア構成を簡単に変えることが難しかったため、過剰
なハードウェア構成をとることが多く、そのために余分なハードウェア費用が発生していた。
クラウドの場合は、上記(2)でも述べたが、サービスを終了した時点で、廃棄損など後に残
るコストが発生しない点や資産効率の向上があげられる。また、必要な時に必要な量のハードウ
ェア構成を比較的簡単に調達できるため無駄の少ない効率的な運用が行える。特に、サービス開
始時は、必要最小限の機器構成で済ませることができるため、初期コストを小さくできる。
(4) システムの利用環境変化への自社対応が不要
従来システムでは、OS、ミドルウェアなどのセキュリティパッチ、バージョンアップなどは、
システム管理者であるユーザ企業がその責任で対応していた。クラウドの場合、クラウドベンダ
が、ハードウェア・ソフトウェアの所有・利用権を保有し、その上で、業務アプリケーションの
動作保証を行っている。例えば、インフラ基盤の保守・運用(サポート切れ対応など)は、クラ
ウドベンダが実施し、ユーザ企業が関わることはない。
104
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
(5) 運用・保守やセキュリティの「相対的優位性」
SaaS、PaaS の場合は、障害監視・対応・報告やシステムの利用状況などの報告は、クラウド
運用者が実施してくれるため、自社内で体制を構築する必要はなく、ベンダ側とユーザ側(業務
部門)との窓口を用意するのみで十分である。クラウドベンダがセキュリティパッチの適用シス
テムの構築、適用手順作成、適用実施などのセキュリティ対応を行うため、ユーザ側で対応する
必要がない。IaaS の場合は、各ユーザの自己責任で OS のセキュリティパッチ対応などを求めら
れることが多い。
(6) 運用コスト(人材、スペース料など)が安価
システム運用はクラウドベンダが実施するため、運用要員の維持が不要である。ただし、障害
連絡の迅速性、利用状況から読み取れる将来の懸念事項を、的確に評価・指摘できる要員は育成
する必要がある。また、サーバなどを保持する必要がないため、サーバセンタのスペース確保に
伴う導入費用が不要となると同時に、データセンタが保有する一定レベル以上のセキュリティ対
策を講じたサーバなどを低コストで利用できる可能性がある。さらには、料金体系は、一般的に
メンテナンス費用を含めた利用量に応じたものであり、運用コストが一定となるため、特に中
堅・中小企業において、経営に対する影響を小さくすることが期待される。
(7) 試行利用の容易性
クラウドの利用により、プロトタイプ的なサービスを簡単に立ち上げることが可能になった。
既に述べてきたことだが、試行利用を簡単に立ち上げることができるようになった主な理由とし
て以下があげられる。
・初期費用を比較的低く抑えられること
・サービス終了に際し、余計なコストがほとんど発生しないこと
ただし、試行サービスであっても、データ廃棄などセキュリティ要件は、あらかじめ明確にし
ておく必要がある。
105
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
4.4 懸念材料
ここでは、「4.2.アンケートの結果概要」の「(2)調査結果」の「⑥重視すべき項目」のうち、
中堅・中小企業、大企業ともに上位 10 項目に位置づけられている内容を中心に述べる。また、
「クラウド環境」については、パブリッククラウドに限定した。というのも、パブリッククラウ
ドにおいては、特に、「重要なデータを外部に預けることになり、そのシステム構成や運用状況
が把握しづらくなること」がクラウド環境の利用に伴う懸念材料の大きな要素となっているため
である。他方、プライベートクラウドの場合は、企業のファイアウォール内部にあり「重要なデ
ータが自社でコントロールできる状況下にあり、システム構成や運用状況の把握が容易である」
という点において、パブリッククラウドに比べて従来システムと相対的に近いため、ここでは対
象としていない。
(1) 懸念事項が生じる主な要因
ユーザ企業のクラウド環境への懸念材料の大きな要素は、
・重要なデータを外部(海外含む)のクラウドベンダに預ける形になること
・預けたデータ及びシステムの管理運用が、手元から離れ、把握困難(不透明)になること
・各種サービス(データや機能など)が、インターネットを経由して提供されること
にあると考えられる。
特に、個人情報を大量に保管しているシステムをクラウド環境に移管する場合、個人情報保護
法第 22 条の「委託先の監督義務」が生じることになり、委託先であるクラウドベンダが「個人
情報の保護水準を十分に満たしているかを評価すること」が求められることになる。
「監督義務」については、クラウドベンダに預けた個人情報が万が一漏洩してしまったら、そ
の社会的責任は「委託元であるユーザ企業自身」が背負わなければならない。また、「評価」に
ついては、ユーザ企業自身に「個人情報の保護のための様々な基準」を持っていることが求めら
れる。基準を有するユーザ企業であっても、自社の基準を元にクラウドベンダのシステム構成や
運用管理をチェックする上で、その実態を細かく確認することができないため不安が残る。この
点については、「個人情報ではないが重要なデータを保管しているシステム、及び高い信頼性が
求められるシステム」においても、同様に生じ得る懸念材料であると言える。
上述した内容は、
「基本的には、クラウド環境特有の問題ではなく従来からある ASP やレンタ
ルサーバの利用においても生じる問題」であり、「今後想定されるクラウド環境の普及スピード
と、クラウド環境を支える技術特性などにより、問題が顕在化し易くなる」と考えられる。
(2) クラウド環境のセキュリティに関連する懸念事項
①
重要データの漏洩や消失の被害に遭う可能性(データの機密性・完全性)
「重要なデータを外部に預け、その管理状態が不透明になること」に対し、大企業を中心に多
くのユーザ企業は漠然とした不安を感じており、また「預け先が海外のどこか分からない場所に
なってしまうこと」が大きな不安要因の 1 つになっている。
「顔の見えないクラウドベンダの内
部者による犯行の可能性」についても、その一つにあげられる。
106
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
漠然とした不安の次に、
「クラウド環境が、従来からある ASP やレンタルサーバと異なる点」
に対するユーザ企業の懸念事項について、3 点ほど紹介する。
◆
マルチテナント環境への不安
クラウド環境では、「複数ユーザが同一ハードウェア上に相乗りする形で利用する環境(マ
ルチテナント環境と言う。)」になるため、「他の利用者など、想定していなかった第三者(他
のユーザ企業など)からのアクセスによる悪影響が生じてしまうこと」への不安が生じる。
また、システム部門では、OS やミドルウェアにおいて不定期に見つかるセキュリティホー
ルへの対策として、通常、「テスト環境にセキュリティパッチを適用し、正常稼働の確認を行
った上で、本番環境へ適用する」といった手順を踏んでいる。クラウド環境では、「システム
の構成によっては他のユーザとの調整が生じるため、セキュリティパッチ適用業務の適切な実
施の難しさ」についても、不安材料の一つにあげられる。
◆
データの分散化への不安
クラウド環境では、クラウドベンダに預けたデータは大量のサーバマシンのいずれかの場所
に分散して保存されることになるが、この分散化されたデータが「サーバの故障などに対し、
データの一貫性がどこまで担保されるのか」といった不安が生じる。
◆
バックアップ機構の問題
上述したクラウド環境下で生じる「(主に)データの完全性」への不安を鑑みつつも、重要
データをクラウド環境に預けることに踏み切る一部のユーザ企業は、「データのバックアップ
機構」について、真剣に考えることになる。
バックアップ先を同じクラウドベンダ内にした場合、「バックアップ先データを含めたデー
タ消失の危険性」を懸念視するユーザ企業も想定される。そうしたユーザ企業では「他のクラ
ウドベンダもしくは自社環境をバックアップ先とする方法を検討すること」になるが、「デー
タセンタ構内の高速ネットワークではなく、速度の低いインターネット網を経由してのバック
アップ処理」となるため、バックアップすべきデータが大容量である場合、バックアップ処理
時間の長期化が問題になる。有事にバックアップ先からデータを復旧させる際も、データ送信
に時間を要するため、サービス停止が長時間化してしまう可能性も懸念される。
また、バックアップ先環境を別途用意することに伴い、一定の費用が生じてしまう。データ
の送受信についても課金されるクラウドサービスにおいては、バックアップ処理の通信費がか
かるため、クラウド環境利用に伴うコストメリットが出づらくなるという弊害もある。
107
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
(3) クラウド環境の信頼性に関連する懸念事項
①
システムが突然使えなくなってしまう可能性(サービスの可用性)
高い信頼性が求められるシステムにおいては、サービスの可用性、とりわけ稼働率と復旧時間
が重要になる。クラウドサービスで、実際に発生したインシデント事例には、次の様なものがあ
る。
(表 4-5)クラウドサービスの実際の障害事例
サービス名
Gmail
(GoogleApps を含む)
Force.com
(Salesforce CRM 含む)
ES2/S3
提供ベンダ
サービス概要
SaaS
Google
(メールサービス)
Salesforce
Amazon
PaaS
(SaaS 含む)
PaaS/IaaS
発生時期:停止時間
2008 年 06 月:12 時間
2008 年 08 月:15 時間
2009 年 09 月:6 時間
2005 年 12 月:5 時間
2008 年 02 月:7 時間
2010 年 01 月:1 時間
2008 年 02 月:3 時間
2008 年 04 月:数時間
※公開情報を元に作成
自社の専用環境であれば、業務特性により不具合が生じ易い時間帯などが分かるため、業務影
響を最小限に留めるための対策などを行うことができる。これに対し、上記の障害は、業務上、
必要不可欠な時間帯であるか否かに関わらず、何の前触れも無く突然発生する。
クラウドベンダの多くは、サービス品質を保証する制度として、SLA(サービス品質保証契約)
を利用者との間に結ぶ。その代表的な指標が稼働率である。例えば、Gmail では月間稼働率を
99.9%としており、1 カ月に 40∼50 分以上のサービス停止が発生すれば、これを下回ったこと
になる。この場合、影響が発生したユーザ企業は、下回った時間に応じて予め定められた日数を
無料で利用できることになる。
利用するサービスにもよるが、現在のクラウドサービスの SLA 上の稼働率は概ね 99.9%程度
である。「このレベルの稼働率を基準としつつ、これを満たさない場合が生じてしまうことを許
容できるか否か」についても、クラウド環境の利用の是非を判断する一つの材料となっている。
②
有事に充分なサポートが得られない可能性(障害の復旧性)
自前で構築・運用している重要なシステムにおいては、(保守契約の内容にもよるが)有事の
際には、システム部門の者(ベンダー含む)がシステムを隅々まで把握しているため、迅速に原
因究明し、対策の検討・実施に取りかかることができ、結果、短期間に解決することが容易であ
る。
これに対し、クラウド環境の場合は、提供される運用ツール類で把握できるシステムの状態・
情報が限定的になり、情報不足により原因究明の段階から時間がかかってしまうことなどへの不
安が生じる。さらに、クラウドベンダに詳細な調査を依頼した場合、どの程度、迅速かつ適切に
対応してくれるか不透明な部分もある。
108
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
有事の事象が不正アクセスや情報漏洩などのインシデント(セキュリティ事件・事故)であっ
た場合、原因特定のためにはログの解析が欠かせない。マルチテナント環境であるクラウド環境
においては、「他の利用者のログの中からユーザ企業の分を適切に切り出すこと」の難しさは容
易に想像ができ、この点も 1 つの懸念材料として残る。
これら有事の際のサポート内容を SLA で明示しているクラウドサービスは、現時点ではほと
んど無い。
以上のことから、大手企業を中心とする多くのユーザ企業では、「障害発生時には、復旧時間
が長時間化する可能性」や「インシデント発生時には、原因特定すら難しくなる可能性」などに
ついての不安を感じている。
(4) その他の懸念事項
①
システムの処理能力が、劣化する可能性(レスポンス性能)
クラウド環境を利用する場合、データの保存先はインターネットの向こう側になる。海外のサ
ービスを利用する場合は、海外のデータセンタに保存されることになるため、データサイズの大
きいファイルの送受信を伴う機能においては、ネットワーク速度がボトルネックとなり、国内か
ら利用する上で、充分なレスポンスが出ない可能性がある。
特に、ユーザ企業が保有するシステムには、社内・社外を問わず他のシステムとデータ連携し
ているものが多いため、システム間において大量データを送受信している場合、これが顕著にな
る可能性がある。
なお、重要データの消失を懸念視するユーザ企業において、バックアップ先環境を別途設ける
際にも、当レスポンスの問題が生じることは、前述したとおり。
②
内部システムとの連携での課題(内部システム連携の容易性)
自社で利用している既存の内部システムと外部のクラウドを連携する要望が今後、増えてくる
ことが想定できる。例えば、内部システムのバックアップ、内部システムのテスト環境の準備、
内部システムの急な処理量の増加への対応、段階的な移行を含めた内部システムの部分的な利用
などである。
これまでクラウドサービス相互のインターフェースは、クラウドベンダに任されていて、各ベ
ンダにより異なっていた。しかし、既にいくつかの業界団体で標準化の試みがなされ、この業界
団体の活動に呼応し ISO/IEC JTC1 SC38(6.3.(4)を参照のこと)が標準化の動きを開始した。
データを接続するだけであれば、内部システムとクラウドとの連携は、それほど難しいものと
は考えないが、以下の課題について留意する必要がある。
・ 内部システムではほとんど留意する必要のなかったサインオンについて、事前に十分に検
討、テストをしないとこれまで動いていたアプリケーションが稼働しなくなる可能性。
・ 将来の標準化によって、現在利用中/製作検討中の連携プログラムに大幅な見直しが必要に
なる可能性。
・ クラウドベンダのバージョンアップにより、内部システムとの連携が急に利用できなくな
る可能性がある。クラウドベンダは、必要に応じてバージョンアップを行うが、変更内容
の開示が不十分もしくは開示時期が遅い場合などがある。内部システムと連動して稼動し
ている場合、影響確認テスト計画・方法に重大な影響が発生する。
109
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
・ バージョン変更に伴う内部システムの変更タイミング時期を、事前連絡のないままクラウ
ドベンダから指定された場合、ユーザ側で対処が困難になることが懸念される。
④
ある日、突然、利用できなくなってしまう可能性(サービスの継続性)
システム環境を自社で構築・運用している場合、システム環境の変更はユーザ企業の意志で実
施することができ、必要となる費用・体制・期間などを計画的にコントロールすることができる。
クラウド環境は、インターネット経由で利用するサービスであるため、運営しているクラウド
ベンダの経営状況によっては、突然利用できなくなったり、利用上の制限が生じたりする恐れが
ある。外部要因によりシステム環境を変更せざるを得なくなった場合、そのシステムが有する機
能(データ含む)を継続して利用するために生じるユーザ企業の負担は大きく、場合によっては
ユーザ企業のビジネスに非常に大きな影響を及ぼす可能性もある。
この様に、サービス継続利用に関する不安を有するユーザ企業も少なくない。
⑤
現場主導による試用により、重大な不都合が生じる可能性
SaaS に限った場合だが、システム部門による自前構築では費用や納期の面で折り合いが付か
ないことなどもあり、ユーザ部門が試用としてクラウドベンダに直接サービスを申し込むケース
が増えている。
近年、大手企業では「コンプライアンス」を経営戦略の一環として重要視しており、個人情報
保護法を始めとする各種法令遵守の観点から、システムや重要な情報の取り扱いなどに関する
「評価基準」を有する企業は多く、ユーザ企業のシステム部門はこの基準にしたがい、開発・運
用を行ってきた。現場主導による試用は、このコンプライアンスの網に掛かること無く、法令や
セキュリティに関係した事前チェックなしに利用がスタートしてしまうため、コンプライアンス
違反が後になって発覚する危険性が生じる。一方、中小企業においては、コンプライアンスまで
充分に手が回っておらず、評価基準そのものが無いため、「何らかの事件(漏洩事件など)」が、
ある日突然、発生してしまう危険性を孕んでいるとも言える。
また、試用が成功し本格利用に広げようとした段階になって初めてシステム部門に声がかかる
様なケースもあり、システム部門が対応策に苦慮するケースも想定される。
(5) ユーザ企業における懸念事項まとめ
大手企業を中心に、重要データを保管するシステムや高い信頼性が求められるシステムについ
ては、クラウド環境の利用に慎重な姿勢を示しているユーザ企業は多く、クラウド環境の利用は
情報系などの一部のシステムに限定されている。セキュリティや信頼性に関する漠然とした不安
については、利用するクラウドベンダに対し、自社の評価基準などを用いながら、一つ一つ細か
く確認していくことである程度は解消するものの、現時点では不透明な部分は残ると考えられる。
一方、中小企業においては、コンプライアンスの意識があまり高くないこと、及び、セキュリ
ティや信頼性についても自社で構築・運営するよりもクラウド環境の方が上と考えるユーザ企業
も居ることから、クラウド環境に対し、あまり懸念を持たない傾向にある。
110
-__-
クラウド・コンピューティング社会の基盤に関する研究会
4.5
報告書
(補論)クラウド導入の視点
以上においては、先行的にクラウドを導入した企業の事例紹介、アンケート調査により把握し
た「企業からみたクラウドの優位性・懸念材料」とその要因を整理してみた。
クラウドを実際に導入するに当たっては、以上で見てきた優位性や懸念材料以外にも、既にク
ラウドを導入した個別企業やユーザ業界関係者から得られる視点(経験則、ヒント、勘どころの
ようなもの)が参考になり得る。4.5 においては、事務局の関係者ヒアリングなどで得られた視
点をいくつか紹介することにより、クラウドの採否に関する検討の参考に供するとともに、5.1
に述べる「ユーザが重視すべきポイント」への導入とする。
(1) クラウド導入に踏み切るか否かのきっかけ
① 新規事業の立上げや経営の統合・分割のようなケースでは、事業本体の構築にスピードが
求められることが多く、必要なシステムの設計・開発にかける時間を短縮する観点から、
クラウド利用が有力な選択肢になる。
② ①のような事業本体の急激な変化とならない場合であっても、保有システムの「ハードウ
ェア」、
「基本ソフト」、
「業務アプリケーション」のうち 2 つ以上を変更する必要がある場
合にはクラウド導入を検討する価値がある。
③ 災害対策が必要なシステムで自前のバックアップ用のデータセンタを持っていない場合
は、災害対策の目的で、クラウドを導入候補の一つとして検討することが考えられる。
④ 自社でのデータセンタ運用を考える場合は、Google などのクラウド事業者が提示する費用
に対して 120∼150%増の費用の範囲に抑えて自社で構築・運用できるかが分かれ道になる。
この範囲以上に費用がかかる場合は、余った施設を同業他社に貸すなどしなければコスト
に見合わない。
(2) 対象となる業務、ユーザアカウント数に応じた考え方
① 業務の性格上、期間(キャンペーンなど)や季節などにより処理すべき情報量が大きく増
減するような場合、あるいは、一時的にしか利用しない場合では、クラウドの利用が合理
的であろう。ただし、クラウドのスケーラビリティ(スケールアウトの柔軟性。機動性。
なお、2.3(1)②を参照のこと。)がどの程度かの確認が必要である。
② メール、スケジュール管理などの定型的な業務のシステムであれば、SaaS によるパッケ
ージソフト利用が合理的だと考えがちだが、アカウント数に応じた利用料金の増加の程度
によっては、一定規模以上(境界については、社員数百人規模との見方や、数千人規模と
の見方など様々ある。
)企業では、自社システムでのパッケージ利用や自社開発の方が経済
的となるケースもある。
(3) 使い勝手に関する視点
① PaaS では、サービス提供企業が用意しているアプリケーションのテンプレート(ひな型)
が豊富か使い易いか、自社の開発環境との OS、開発言語の親和性はどうか、などの点につ
き十分確認することが重要。
② IaaS では、CPU、ストレージのみが提供されるケースが多く、OS、データベースソフト
の導入、プログラム開発、テストなど、自社ハードにおける開発と変わらない部分も多く
なるので、コストなり運用体制なりクラウド利用の具体的な有利性の検証が重要。
111
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
5.ユーザなどの各主体が重視すべきポイント
5.では、クラウドの社会への浸透過程において、それぞれ関与の仕方が異なるユーザ、ベンダ及
び公的セクタという 3 つの典型的な主体が留意すべきであると考えられるポイントを整理する。ま
た、この整理を通覧することにより、結果的に、クラウドの進展が我が国社会にいかなる対応を迫
るのか、という点も浮き彫りになると考えられる。
5.1
ユーザが重視すべきポイント
(1) ユーザの定義
ここでは、クラウド導入に際してユーザが抱える課題を記載するが、ここで言うユーザとは、
エンタープライズ市場の中での中小企業、大企業(ユーザ部門のみならず開発・運用部門を含む。
)
を想定しており、エンドユーザである一般消費者が例えばウェブメールのようなクラウド利用を
することは議論の整理上含めない。また、中央政府や地方自治体といった公的機関がユーザにな
る場合があるが、これは、5.3 で後述する。
(2) クラウド適用領域の判断
①
ユーザによって、クラウドを導入するか否かの判断をする背景は異なるものの、我が国で
はコスト面での理由でクラウド導入に踏み切る事例が過去報告されている。具体的には、
教育機関だけでなく、社員 1 万人以上規模の企業でも Google Apps を導入する事例がかな
り報告されているが、その導入理由としては、Lotus や Outlook の更新費用削減があげら
れる。
②
一方で、ソーシャルメディアを提供する中小企業がクラウド導入に踏み切る場合は、コス
ト面だけの問題ではない。もちろん、自前でサーバを調達することなく、クラウド導入す
ることで、イニシャルコストを回避するという側面もあるが、クラウドを利用する方が、
極めて短時間にサービスの実証や立ち上げが機敏にできること、サーバ技術者など自前の
リソースを必要最小限にできること、サーバ運用などの煩雑な業務を回避しコア業務に特
化できることという利点もある。加えて、ソーシャルメディアの場合には、ツイッターア
プリケーションや一部の mixi アプリのように、サービス開始後、短期間で数百万人規模の
顧客増が見込まれる事例も少なくなく、システム面での対応が追い付かずビジネスチャン
スを失うことのないように、スケールアウト(2.3(1)①参照)に対応できるクラウドを利用す
ることが不可避になっている場合も見られるようになった。今後さらに一層、クラウドで
なければ機動的な対応、スケールアウト対応ができないサービスについて、中堅企業(B to
C のみならず、C to C も)や大企業にも広がると予想される。
③
クラウド適用の判断が容易ではないのが、これまで社内運用してきた情報システムをクラ
ウドに(一部でも)移行するか否かの判断である。クラウドと一口に言っても、パブリッ
ククラウド、パブリッククラウドベンダーが提供するプライベートクラウド、ユーザ企業
が構築するプライベートクラウドなどの選択肢があり、これらとオンプレミス86との使い分
86
on-premise:自社内でハードウェア、ソフトウェアを調達、管理するシステム
112
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
けのノウハウがますます重要になる。個々の企業の経営戦略、システム戦略に依存するの
で、一概にパターン分けすることは難しく、個々の CIO 及びシステム部門のクラウドに対
する知識と経験が鍵となる。そのためにも、CIO やシステム部門の社員が、クラウド適用
に関する情報交換を行えるコミュニティが現状以上に形成されることが望ましい。
④
また、ある業務範囲をクラウドに適用するか否かの判断だけでなく、セキュリティ、ネッ
トワークの帯域保証、レイテンシー(遅延時間)など、クラウドベンダが提供するスペッ
ク内容を十分吟味した上で、どのクラウドサービスを利用するのかというアーキテクチャ、
どの地域のデータセンタを選択するのかといった判断が必要になる。そのためにも、ユー
ザにとっては、クラウド利用に長けた人材の育成や登用が重要な課題となる。
(3) 検討・導入手順
①
クラウドを導入するに当たっての検討・導入手順にはいくつかの段階や手法が存在する。
一般的には、まず、最初には、クラウドベンダのサービスや導入事例を解説している出版
物や、クラウドベンダがサイト上で提供する情報やチュートリアル、導入事例紹介などが
参考になるであろう。また、クラウドベンダ以外の第三者が開催するセミナーなども散見
されるようになった。また、クラウドベンダが自ら、或いは当該クラウドのユーザ会が行
うオンラインやオフラインでのコミュニティ活動における情報収集も有効である。
②
以上のようにクラウドに関して入手できる情報の内容や範囲は充実してきているが、クラ
ウド導入の判断のきっかけとなり得るのは、実際のところ、経営者・CIO のリーダーシッ
プや開発者のアグレッシブな意志であろう。
これらは、
他の経営者や CIO との情報交換や、
開発者レベルであれば導入経験のある他社の開発者との情報交換によりクラウド導入の利
点を習得していくケースが多いと思われる。現在、CIO どうしのコミュニティや技術・言
語別の開発者コミュニティなどが存在するが、クラウドに特化した、或いは、クラウドを
アドホックに情報交換のテーマとして取り上げるようなコミュニティが本格的に台頭する
ことが望ましい。
③
その意味でも、今後、クラウド導入に不可欠なシステム設計、仮想サーバ構築、リスク管
理などの技術を習得した人材が、各企業に供給される必要がある。これまでのシステムア
ナリストやサーバ技術者を再教育し、クラウド時代に対応できる人材に育てていく取組み
が業界全体で行われていくことが望まれる。
④
また、情報サービス業界への人材供給源として、大学や専門学校での情報工学などの教育
課程においてもクラウドの導入実践を履修することが望ましい。米国では、クラウドベン
ダが大学と連携して大規模情報処理技術などのクラウドの要素技術を研究する機会を提供
し、クラウドベンダが大学に一定期間無償でクラウドを利用できるサービスを提供してい
る場合がある。ある意味、クラウドは開発者にとっての貴重な実験場でもあり、日本でも
高等教育においてクラウドの実践的な教育機会を提供しないと、今後の競争力の差異とな
ってあらわれてくる問題となりかねない。
(4) 運用上の注意事項
ユーザから見た場合、クラウドを導入する方向で検討すると意思決定する場合に、運用上注意
すべき事項がある。
113
-__-
クラウド・コンピューティング社会の基盤に関する研究会
①
報告書
まず、社内のプライバシーポリシー、セキュリティポリシー、監査基準などを勘案して、
クラウドベンダが SLA やセキュリティポリシーとして条件提示している内容が満足のいく
レベルであるか否かの検討が最重要となろう。もちろん、クラウド利用する業務内容が、
金融系の基幹業務のように堅牢で安全な環境が要請される業務であるかどうかとの兼ね合
いで検討する必要がある。リスクを最大限回避するために、プライベートクラウドの利用
やパブリッククラウドのデータセンタエリアを冗長化しておく(バックアップを確保して
おく)などの対策も選択肢として考慮して決定する必要があろう。
②
次に、クラウドのパフォーマンスという観点からは、サービス内容にもよるがレイテンシ
ー(応答遅延)の事前評価も重要である。仮にレイテンシーに厳しい要求水準がある場合
には、データセンタエリアの選択が可能かどうか、システム構成上の工夫の余地があるか
どうかなどが検討対象となる。また、SaaS レベルのクラウド利用の場合には、これまでの
生産性を損なわないように、社内業務に合わせたカスタマイズがどの程度容易なのか、拡
張性がどの程度あるのかという観点も重要である(もちろん、クラウドベンダ側で用意し
た業務パッケージ内容の方が高い生産性をもつ場合には、既存の社内業務体制を見直すこ
とが肝要である)。
③
また、相互運用性、接続性という観点からは、クラウド利用した場合に、既存のオンプレ
ミスとのワンストップサービス、マルチサービス・マルチソリューションが実現できるか
どうかも重要な要素となる。また、将来のクラウドサービスの利用停止や他のクラウドへ
の乗り換えの可能性を考慮に入れた場合には、データの搬出やサービスの継続性が可能と
なるように、インポート・エクスポート機能を備えたクラウドを選択することが不可欠と
なる。
④
次に、クラウド利用時の問題解決のしやすさも重要な要素である。24 時間 365 日にメー
ルや口頭で手厚いサポートが受けられる体制が整っているかどうか、トラブル発生時に問
題の所在がクラウド側にあるのか否かを特定できるように、クラウドの状況がリアルタイ
ムに把握できるダッシュボードが設置されているかなど、緊急時の状況把握と早期の復旧
を図れる仕組みを提供しているクラウドを選択することが欠かせない。
⑤
また、経営的・法的な面では、海外のクラウドを利用する場合の為替変動リスクがどの程
度発生するのか、クラウドベンダが準拠している国の法令が日本で法令上要求している事
項を満たしているかどうかや、裁判管轄権が実務上不利な場所に設定されていないかなど
も事前に精査しておくべきである。
⑥
以上のようなクラウドの運用上の注意事項については、4.2 で紹介した「クラウドに関す
るアンケート調査」の内容とも一致する。同調査においては、クラウド利用において重視
する項目(重要)と考えられている質問に対しては、
「データが壊れたり無くなったりしな
い」
「プライバシーが守られている」
「ウイルス対策などセキュリティ水準が高い」
「情報漏
洩のリスクが軽減されている」「サービス又はデータが常に使える」「トラブル発生時のサ
ービス提供者のサポート体制」「サービス提供者の継続性」「応答時間が速い」などが上位
の回答を占めた。
⑦
このようなクラウドの運用上の注意事項のチェックに関しては、経済産業省の「クラウ
ド・コンピューティングと日本の競争力に関する研究会」において、
「クラウドサービスレ
ベルのチェックリスト」に関する検討が行われている。
114
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
ベンダが重視すべきポイント
5.2
(1) ベンダの定義
ここでは、クラウドサービス自体を提供するベンダを主として取り扱うが、クラウドは、サー
バ、仮想ソフトウェア、セキュリティネットワークなどの個々のプロダクトを提供する企業も重
要な役割を果たしている。また、大手クラウドベンダが提供するクラウドサービスへの付加的な
サービスを提供するサードパーティベンダも存在する。これらの企業群が一体となって、言わば
「クラウド提供産業」を構築していると言っても過言ではない。
(2) ユーザからの期待
①
多様なメニュー、低廉な料金、システム監査対応などの経営面からの要求
◆
前述のユーザがかかえる課題の裏返しではあるが、まず、ユーザからの期待に応えるべき
クラウドベンダの課題として、多様なメニューを低廉な料金で提供することを取り上げたい。
一つのクラウドベンダが提供するクラウドサービスの中に多様なメニューがあればユーザ
にとっては魅力的であろうが、一つのクラウドベンダに閉じずに複数のクラウドベンダのサ
ービスを組み合わせて利用することが可能であることも、ユーザへの訴求力となるであろう。
いずれにしてもクラウドベンダの企業努力が基本である。
◆
次に、システム監査への対応などでユーザからベンダに内部統制に関する一定水準の対応
が要求されるケースが想定される。実際、現在主流となっている米国のクラウドベンダにお
いては、企業が外部企業に業務委託した内部統制を評価する手法として米国公認会計士協会
(AICPA)が制定している SAS70 への準拠を宣言しているケースがみられる。今後も SAS70
或いは類似の基準への対応がクラウドベンダに求められるであろう。
②
◆
セキュリティ、システム稼働対策などの危機管理面からの要求
ユーザが抱える課題で述べたように、ユーザがクラウド利用の際に重視する項目としては、
これらの危機管理的な対応をベンダが講じているか否かである。クラウドベンダ側からこの
問題を見れば、セキュリティポリシーの開示などユーザが満足する対応レベルの情報を開示
することが、クラウドビジネスの競争力に直結することになる。また、クラウドベンダによ
るサービス提供内容とユーザの要求水準に差がある場合には、クラウドベンダに対するサー
ドパーティにとって、クラウドベンダと協業してセキュリティ管理などの付加的サービスを
提供するビジネス機会にもなっている。また、システムの稼働レベルについては、クラウド
ベンダは SLA によってユーザに情報開示しているが、
「高い SLA レベルを要求するユーザ
は、仮に高コストであっても高いレベルの SLA を提供するクラウドベンダのサービスを利
用する」といった市場原理の下で、クラウドベンダが競争していくことが重要である。
◆
リアルタイムなモニタリング機能と障害発生の通知機能を具備
クラウドを利用しているユーザにとって、何か不具合が生じた場合に、その原因がクラウド
ベンダ側の問題なのか、自らの問題なのか、また、その復旧の見込みはどの程度なのかとい
った正確な情報を得ることが最も必要とされる。そのため、一部のクラウドベンダでは実施
されているが、優れた UI(ユーザインタフェース)を持つクラウドサービスのダッシュボ
115
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
ードをクラウドベンダが提供することで、リアルタイムに状況の把握が行える環境が求めら
れるだろう。また、クラウドベンダ側に障害が発生した段階で、プッシュ型でユーザに通知
される仕組みがユーザ側から期待されるであろう。
◆
システム障害時の原因究明、再発防止についての迅速な情報提供
実際、クラウドサービスが一定時間利用停止などの状況になった場合、仮にある程度速やか
にサービスが復旧したとしても、ユーザの立場としては、何が原因でシステム障害が発生し
たのかという情報と、再び同様の障害が起こらないような対策をいかにして講じているかと
いう情報をクラウドベンダに対して求めたいであろう。実際にはクラウドベンダ側の秘密保
持の事情もあってか(ハッカーによる被害の場合には、捜査当局による情報管理の事情もあ
り得る。
)、十分な情報が提供されない場合も散見される。しかしながら、今後、クラウドサ
ービスに対するユーザからの要求水準がますます高まる中で、ユーザに対する迅速かつ十分
な情報提供は、クラウドベンダ間での競争力の要素としても重要になってくるであろう。
◆
苦情受付体制、補償などの体制整備
例えば、一般的なサービス利用契約において起こりうる過剰な料金請求などクラウド利用に
伴うユーザからの苦情処理窓口を明示して、365 日 24 時間メールや電話などでユーザ対応
する体制が求められる。これはクラウド利用に伴うサポート体制の一環として対応できるも
のであろう。一方で、さらに深刻なケースとして、例えばクラウドベンダ側の過失によるシ
ステム障害などでユーザ側のデータ消失などの損失が発生した場合のユーザに対する補償
やそれをカバーするための保険制度への加入などが期待される。
③
クラウド利用ノウハウの提供、データのポータビリティ、サービスの相互接続性などの利便
性向上の面からの要求
◆
ユーザがクラウド利用のノウハウに関する情報を求める中で、クラウドベンダには、現状
より一層、開発者へのチュートリアルやトレーニングツールの提供、ベスト導入ケースの情
報提供などの対応が求められる。また、併せて、クラウド利用の成功事例に対する金銭的な
奨励なども、クラウド利用のインセンティブ向上と成功事例に関する情報共有が図られる効
果もあるであろう。また、前述のように、高等教育機関におけるクラウドの実践的な学習の
機会が増えることは、今後のクラウド市場を支える技術者供給を円滑にする意味でも非常に
重要である。クラウドベンダには、例えば、教育機関向けのディスカウント料金体系の提供
など、特別なプログラムの提示が期待される。
◆
ユーザからの視点では、前述のように将来のクラウドサービスの利用停止や他のクラウド
との同時利用、或いは他のクラウドへの乗り換えの可能性を考慮に入れた場合には、データ
のポータビリティやクラウドサービス間の相互接続性が確保されていることが望ましい。ま
た、将来、複数のクラウドを同時に利用するようなサービスを想定した場合、ユーザ認証に
ついては、共通認証基盤を活用して簡便に行うなどの方策も考えることができる。データの
ポータビリティの問題は個々のクラウドベンダで対応可能な課題ではあるが、他の課題につ
いては 1 社では解決できず、各クラウドベンダがオープン性を保証したり、複数のクラウド
ベンダ間で相互運用性に関する標準化づくりをしたりすることが適当な場合もある。実際に、
海外では、IBM 社などが中心となり 2009 年 3 月に Open Cloud Manifesto が結成され、ク
ラウドを利用する顧客に選択、柔軟性、オープン性を保証し、原則を確立することを目指し
116
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
た活動が行われている。また、産学による取組として、2009 年 1 月に Open Cloud
Consortium が設立され、クラウド間の相互運用に関する標準化とフレームワーク作りの活
動が行われている例もある。しかしながら、実際には、現在大手クラウドベンダと言われて
いるビッグプレーヤーは、このような業界としての活動に参加しておらず、クラウドの相互
運用性や共通認証基盤の問題を業界内調整のみで解決し得るか不透明な状況にある。大手ク
ラウドベンダ以外のサードパーティによるサービス提供でこのような課題を解決する方策
もあると考えられ、業界内の競争環境と切磋琢磨を通じてユーザのニーズにあった解決策が
生まれてくることが期待されるが、今後の動向を見極める必要がある。
5.3
公的セクタが重視すべきポイント
(1) 公的セクタの「二つの役割」
公的セクタは、クラウドに関して大きく二つの役割を有している。
一つは、前述のとおり、クラウドのユーザとしての公的セクタの役割である。単に大口ユーザ
として期待されるだけでなく、先進的な調達条件をクラウドベンダに課すことで、クラウドのイ
ノベーションを誘発する効果も期待される。これは、中央府省庁だけでなく、地方自治体の取り
組みが及ぼす影響も大きいと考えられる。
もう一つは、高信頼なクラウドの利用拡大による産業活動や国民生活への便益の増進に役立つ
支援の機能である。政策的な費用対効果や実現可能性も十分に検証しつつ、どのような政策手法
が有効か、また妥当か、クラウドユーザへの裨益という視点を軸にした検討や取り組みが重要で
あると考えられ、関係政府機関においても種々の検討が行われている。
(2) クラウドのユーザとしての公的セクタ
「クラウド先進国」とも言える米国では、2009 年 5 月まで、政府調達庁(GSA)がクラウドを
提供するベンダに対して Request for Information(RFI:事前情報要求)を求めていた。具体的
には、ビジネスモデル、価格や SLA、運用サポート(トラフィック優先サービスの有無やシステ
ム不全の際のアラートシステムなど)、データマネジメント(米国内のデータ保存か否か、クラ
ウド内で生成されたデータの知的財産権の帰属など)、セキュリティ(複数のテナント環境での
物理的なセキュリティの確保、ハッカー攻撃、なりすましアクセスなどへの対処など)、相互運
用性及びポータビリティ(ベンダロックインの回避策など)についての情報を求めていた。GSA
はクラウドの定義としては、NIST が作成しているクラウドに関する定義(1.1 参照)を引用し
ている。
117
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
図 5-1 Apps.gov 構築のためのRFI(事前情報要求)
その後、2009 年 9 月に GSA は、連邦政府によるクラウドサービス購入を可能にするオンライ
ンストア「Apps.gov」を立ち上げた(図 5-1)。Apps.gov は、政府の IT リソースを集約すること
で重複やコストを削減することを狙いとしており、オバマ大統領から連邦 CIO として任命され
ている Vivek Kundra 氏のリーダーシップにより実現されたものである。Kundra 氏は、Apps.gov
から入手できる最初のクラウドサービスはシンプルなものであり、このプログラムの潜在能力が
完全に発揮されるまでには最長で 10 年を要するとしている。具体的には、ビジネスアプリケー
ション、生産性アプリケーション、クラウド IT サービス、ソーシャルメディアアプリケーショ
ンの 4 種類のサービスが提供されており、
購入は政府発行の購買カードで行うこととなっている。
(なお、米国政府の取り組みの詳細については、2.においても記述している。
)
我が国でも、定額給付金の支給事務への SaaS 採用などの事例(4.1(1) ⑤参照)が始まってお
り、今後拡大していくものと考えられる。
(3) 高信頼なクラウドの利用拡大に向けた支援などについて
クラウドは、経済社会における情報資源の開発・利用形態を大きく変えるものであると考えら
れることから、既に 4.でも述べたとおり、ユーザが想定する懸念材料を最小化しつつクラウドの
優位性を最大限享受できるようにするため、5.1、5.2 で前述したようなユーザ、ベンダの自主的
な取り組みの支援をはじめとして、公的セクタの関与を想定し得る分野は、多岐にわたると考え
られる。
たとえば、クラウド利用に伴う個人データ、匿名化された情報や著作物などの外部における複
製や保存、二次利用などをプライバシー保護や著作権法との関係でどう考えるか、また、ユーザ
がクラウドサービスの信頼性や品質を確認できるようにするためにどのような枠組みが必要か
つ適切か、クラウド時代に相応しい人材の育成と交流をいかに促進するか、といった点について
は、ユーザ側、ベンダ側ともに高い関心があると考えられる。また、専らベンダ側からの問題意
識として、クラウドの高信頼化、環境負荷低減などに関する技術開発や標準化についてのロード
マップ策定などの支援や、クラウド提供に不可欠なデータセンタの設置に関する環境整備などに
ついて、公的セクタの関与のあり方が注目されている。
今後、これらについて、国際的な動向も踏まえつつ、関係機関における検討、取り組みがどの
ように進むか、注意深く見守る必要がある。
118
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
6.今後のクラウドの進展に伴う検討課題
6.においては、今後、社会におけるクラウドの利用が進展する中で、ユーザ、ベンダ、公的セク
タが認識を共有しておくことが望ましい横断的な検討課題を幅広く提示している。ここにあげられ
た諸課題は、いずれも、いずれかの主体が単独で取り組めるものではない。IPA においても、これ
ら諸課題のうち自ら取り組むことが相応しいものを精査し、優先順位と実行可能性を確認しつつ、
必要に応じて産学官の関係者と協力しながら、順次具体的な対応策の立案、実施に取り組んでいく
ことが重要である。
6.1
クラウドの利用拡大に伴う環境整備
(1) クラウド活用指針策定の必要性
一口にクラウドと言っても、その内容は多種多様であり、利用に当たってはその中から適切な
サービスを選定することが必要である。また、それぞれ利害得失があり、それらをよく理解した
上で、自社内システムとの適切な分担などによってクラウドのメリットを最大限に生かし、活用
を図っていくことが重要である。IPA としては、中立的な立場から利用者が導入判断するに際し
役に立つ判り易い指針を提示し、適切な活用が図れるような情報提供を行うことが求められる。
クラウドの大きなメリットの一つは、従量制の課金による安価なサービス利用であり、設備を
自ら所有する場合に生ずる様々な負担からの解放である。これは、IT に関する専門の担当を置く
余裕の無い小さな企業に、より大きなメリットをもたらすものと考えられる。図 6-1 で示すよう
に、中堅・中小企業における IT 導入・利活用上の課題は、
「価格(ソフト/保守/ハード)
」と
「ヒト(確保/育成/管理)
」の 2 点に集約されている。
(図 6-1)中小企業における IT 導入・利活用上の課題(出典:経済産業省「中小企業の IT 活用に関する実態調査」
(平成 20 年 3 月))
119
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
クラウドは、まさにこれらの課題に対応できる可能性を持っており、中堅・中小企業への導入
促進が期待される。
3.、4.で見たように、SaaS をはじめとするクラウドの導入/導入検討は、中堅・中小企業にお
いても、大企業とそれほど変わらない状況となっている。
ただし、特に中堅・中小企業においては、往々にして、小さな組織のため IT 人材が不十分で、
新しいサービスへの理解が進まないために導入が遅れる傾向が見られる。このような状況をでき
るだけ作りださないようにすることを目的として、クラウドを判りやすく解説すると共に、導入
のための指針作りやそれに基づく研修が必要であろう。
同時に、中小企業の IT 化を側面から支援している IT コーディネータをはじめとするコンサル
タントやインストラクターに対し、クラウド活用のスキルを強化・育成し、彼らを通して幅広い
活動を推進していくことがより効果的と思われる。
活用指針の内容としては、技術的な内容よりも利用するに当たってのメリットを最大限引き出
すための活用法、想定されるリスクとそれを回避するために考慮しておくべきことなどを判りや
すく解説するものとし、当然ながら特定のサービスベンダーに偏ったものとならないように留意
すべきである。また、活用指針の理解を助けるために、導入の具体的な事例できるだけ多く集め
て盛り込むことが望ましい。
(2) サービス選定のための情報公開制度
クラウドは発展途上にあり、今後も新しいサービスが提供され、サービス提供業者の新規参入
も続くと予想される。このような環境にあって、ユーザとしては多くの選択肢の中から、どのよ
うにして適切なサービスを選定したらよいのであろうか。
本報告書の 3.、4.に述べられているように、クラウドは、ユーザにとって様々なメリットを持
つと同時に色々な懸念事項もある。「大事な業務だからサービスが中断しては困る」、「事故が起
こった時の連絡や回復作業は即座にやってくれるのだろうか」、
「大事な情報を預けるのだから情
報管理はしっかりやってくれなくては困る」、
「どんな管理方法でやっているのだろうか」、
「突然
業者の都合でサービスが終了してしまう心配はないのだろうか」などなど・・・・・・
このような懸念にしっかり応えてくれるサービス業者を選ぶためには、5.で述べたように、ユ
ーザがサービス業者と契約する前に正確な情報を手に入れることができ、相互に比較検討できる
ことが望ましい。このような公正で透明な情報公開の仕組みは、ユーザ側のみならずサービス提
供側の業界の健全な発展のためにも効果的であろう。
情報公開の仕組みを検討するにあたっては、第一に、公開すべき情報項目の整理とその標準化
が必要である。公開すべき情報としては、まずサービス品質に関する情報が重要である。現状で
公開されているサービス品質情報は、ほとんどがサービス稼働率の保証値のみである。しかし、
本来はサービス稼働率だけではなく、事故が起こったときの復旧時間に関する情報やセキュリテ
ィを確保するための管理条件など、ユーザ側の関心事に応えられる情報を提示すべきである。
120
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
表 6-1 は、経済産業省が 2009 年 3 月から開始した J-SaaS において最低限満たすべきサービ
ス品質保証(SLA)として規定したものである87が、これらは、共通に公開すべきものとして規
定する情報項目の候補であろう。
(表 6-1)J−SaaS で最低限満たすべき SLA
このようなサービス品質に関する情報以外にも公開すべき情報は考えられる。たとえば、サー
ビス提供の継続性という観点からは、サービス提供企業の経営の健全性に関する企業情報なども
必要かもしれない。いずれにしても、ユーザのサービス選定のための基本情報として最低何が必
要か、という観点で公開情報を規定し、相互比較が可能なよう公平な公開ルールを広く共有して
いく必要がある。
今後は、クラウド全体の底上げのため、また、ユーザのクラウド利用時の確認のため、情報公
開されるべき情報項目のチェックリストなどが必要になってくると考えられる。
また、公開情報の中にはサービス品質などのように目標値あるいは保証値の性格のものがある
が、その実績がどうであるのかについて確認し、実績を開示することも必要であろう。
87
http://www.c303.net/activity/documents/20090328_04.pdf
121
-__-
クラウド・コンピューティング社会の基盤に関する研究会
6.2
報告書
セキュリティ
クラウドのアーキテクチャやそこで使われる技術に関わるセキュリティ課題については、
2.3(3)で詳述した。ここでの「セキュリティ」の視点は情報の CIA(機密性、完全性、可用性)
の観点のみならず、GRC(ガバナンス、リスクマネジメント、コンプライアンス)といわれる要
素も含めた経営面にも関わるより広い視点でのセキュリティとして見ることとする。
はじめに、(1)では、クラウドに対するセキュリティ上の脅威とインシデント事例について概観
する。それらも踏まえて(2)では、主に制度面、運用・管理面からみたクラウドのセキュリティ課
題をあげる。最後に(3)では、クラウドにかかわる関係者のセキュリティ対策のための役割につい
て考察する。
(1) クラウドに対するセキュリティ上の脅威とインシデント事例
クラウド環境の特徴として、クラウドに多数の利用者や利用者のデータが集中し共存すること
があげられる。そのため、クラウドの環境には多くのリソースが用意されている。このようなク
ラウド環境には、図 6-2 のように影響度の大きい複数の脅威のパターンが想定される。
①外部からクラウド環境への攻撃
②クラウド環境内部から他のクラウド利用者への攻撃
③クラウドを踏み台とした攻撃
④コンピューティングパワーの悪用(パスワード解析や暗号解読など)
⑤攻撃以外の原因(停電、システム不具合など)でクラウドサービスが停止
図 6-2 クラウド環境における脅威のパターン
122
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
クラウド環境では、幾つかのインシデント事例が確認されている。また、クラウド環境を悪用
したパスワード解析の危険性についても研究されている。図 6-2 に示した想定される攻撃・イン
シデントパターンに基づいて懸念点や実例を紹介する。
①
外部からクラウド環境への攻撃
クラウド環境の特性上、データなどが一箇所に集中しているため、クラウド環境が攻撃対象に
なると影響が大きくなることが想定される。データの一極集中は、守る箇所が少なくなるメリッ
トがあるが、その一方攻撃が成功した際の影響は大きくなるデメリットもある。また、クラウド
の利用者が同一環境に集中することにより、CPU の使用率、ネットワークの帯域など従来型シ
ステムにも存在するリソース管理の問題がより重要となる。これらの問題を疎かにするとインシ
デントの原因になりうる。クラウドの利用者は一極集中のリスクを理解する必要がある。クラウ
ド事業者にとっては、原因解析などのための情報提供が重要な責任になる。
この問題については、Amazon EC2 に対して DDoS 攻撃をされたことによって、Amazon EC2
を利用してウェブサイトを構築している bitbucket.org が被害を受けた事例がある88。
②
クラウド環境内部での他の利用者に対する攻撃
クラウドの利用者が攻撃者となって同じクラウド環境を攻撃すると、他のクラウドの利用者が
攻撃を受けるという事態が想定される。クラウド環境では、隣接する環境に他の利用者がいる状
態が一般的である。そのため、利用者は隣接する環境にいる攻撃者からクラウド環境を通して攻
撃され、その結果重要な情報を盗まれてしまう可能性がある。その方法として、主に仮想化技術
の脆弱性を利用した攻撃が考えられる。クラウド事業者はこのような攻撃の可能性や仮想化技術
の脆弱性について情報を収集し必要な対策を講じておく必要がある。
③
クラウドを踏み台にした外部への攻撃
クラウド環境を攻撃の道具として悪用される懸念がある。クラウドの大きな力を利用して、第
三者に対して DoS その他の攻撃が仕掛けられる可能性がある。また、善意のクラウド利用者の
環境を攻撃者が悪用(乗っ取り、マルウェアの埋め込みなど)してクラウド外のシステムなどに
攻撃が仕掛けられることも考えられる。クラウドの利用者は、自分のサイトが攻撃の対象になる
ことを理解する必要がある。クラウドの事業者は、提供するサービスが悪用される可能性につい
てよく認識する必要がある。クラウドを利用することで、このような攻撃が安価に、迅速に、か
つ匿名性を保ったままで攻撃できることは大きな問題になる。
この問題については、Amazon EC2 を利用しているサイト上にマルウェアを配置して、感染し
たマシンをボット管理用のコマンド&コントロール(C&C)サーバにアクセスさせ、個人情報や
銀行の口座情報などを盗み出す仕掛けになっていた事例がある89。
88
「SCAN DISPATCH :Amazon EC2 へ DDoS 攻撃、クラウドの弱点が浮き彫り」
89
「Amazon EC2 からマルウェアを遠隔操作、クラウド利用に着目か」http://www.itmedia.co.jp/news/articles/0912/10/news021.html
123
htps://www.netsecurity.ne.jp/2_14112.html
-__-
クラウド・コンピューティング社会の基盤に関する研究会
④
報告書
クラウドのリソースの悪用
クラウド環境が攻撃のためのリソースとして悪用され、暗号解析やパスワード解析に利用され
る懸念がある。攻撃者にとってクラウドは安価に利用できる上、その利用方法が正規の利用か不
正利用かをクラウド事業者側は見分けにくく、検知や防止が極めて困難であることも大きな問題
である。
この問題については、Amazon EC2 がパスワードクラック(パスワードを見破ること)に利用
される可能性があることを指摘した研究がある。パスワードクラックにかかる時間を大幅に短縮
できる可能性が述べられている90。
⑤
攻撃以外の原因によりクラウド内部で発生するインシデント
クラウド環境はデータセンタなどでの停電や、ソフトウェアやハードウェアの不具合によって
サービスが停止し、クラウドの利用者がサービスを利用できなくなる懸念がある。これについて
は SLA で稼働率の保証が提示されることが一般的であるが、いざサービスが停止したときの回
復時間までは保証されない。利用者はクラウドの停止によるビジネスリスクをあらかじめ評価す
る必要がある。クラウド事業者は、障害を速やかに検知して迅速に対策を実施するとともに、障
害の原因、回復見込み時期、今後の対策などの情報を利用者に対して適切に提供する必要がある。
こ の 問 題 に つ い て は 、 Google な ど の サ ー ビ ス の 一 時 停 止 が 頻 繁 に 報 じ ら れ て い る 他 、
「Windows Azure」のプレビュー版において、定期更新時にネットワーク関連の問題が生じたこ
とが原因で障害が発生した事例がある91。
これとは別に、クラウド環境がインシデント対応を困難もしくは複雑にする事態が考えられる。
クラウド環境上でクラウド事業者が提供するサービス、あるいはクラウド利用者が自ら置いたア
プリケーションなどに脆弱性が存在し、その脆弱性がインシデントの原因となる可能性がある。
従来のように自社でサーバを用意してサービスを提供する場合、攻撃や障害のインシデントが
発生した際や、脆弱性の存在が判明した際の原因の特定や、それに引き続く対処は、自社内で対
応可能である。
クラウド環境においては、インシデントや脆弱性の問題への対応は、自社では行えずクラウド
事業者が行うことが想定される。クラウド事業者に脆弱性やインシデントに対する認識が不足し
ている場合、クラウドの利用者に十分な情報提供が行われず、結果として問題の解決に時間がか
かる、問題に関する適切な対処が行えないといった事態が想定される。これはパブリッククラウ
ドだけではなく、プライベートクラウドなどにおいても同様である。
クラウド事業者が図 6-3 のように、さらに外部のサービス(例えば、DNS や認証サービス、
その他クラウド事業者のサービス)を利用している場合、原因の特定はより複雑化することが想
定される。同様の問題は、IaaS 又は PaaS のサービスの上に別の事業者がアプリケーションを構
築して、その事業者が第三者に対して PaaS 又は SaaS のサービスを提供するという構造におい
90
「Amazon's EC2 brings new might to password cracking」http://www.theregister.co.uk/2009/11/02/amazon_cloud_password_cracking/
91
「Microsoft のクラウド基盤「Windows Azure」プレビュー版で障害が発生」http://itpro.nikkeibp.co.jp/article/NEWS/20090319/326911/
124
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
ても発生する。また、クラウド事業者 B の脆弱性対応措置がクラウド事業者 A のアプリケーシ
ョンに影響を与えて不具合や別の脆弱性を発生させる可能性もあり、対策の構造を極めて複雑に
する。
クラウド事業者が外部サービスを利用していることで、
インシデントが存在した場合、原因の特定が複雑になる
利用者A社の環境
利用者A社
インシデント
クラウド事業者Aのサービスを利用
サービス提供
インシデントの原因
はクラウド事業者A?
クラウド事業者A
クラウド事業者Bのサービスを利用
サービス提供
インシデントの原因
はクラウド事業者B?
クラウド事業者B
図 6-3 クラウド事業者がさらに外部のサービスを利用している例
クラウド内にインシデントが発生したときにクラウドのリソースが自国内で閉じていない場
合には、その原因の分析や対策に支障が生じる恐れもある。
(2) クラウドのセキュリティに関する課題
クラウドにおけるセキュリティ課題については、アメリカでは NIST92を始め、カリフォルニ
ア大学バークレー校(UCB93)、クラウドセキュリティアライアンス(CSA94)など多くの機関が様々
な指摘を行っている。欧州においては、ENISA95がクラウドのリスク分析レポートを発表してい
る。IPA では 2009 年 5 月 26 日開催の「IPAX2009」において、クラウドのセキュリティに関す
るパネルディスカッションを実施した。
クラウドに関するセキュリティの指摘は、多岐にわたると同時に複数のレポートで同種の指摘
がされている事項も多い。それらを整理すると、概略、図 6-4 のように整理できる。これら課題
のうち、枠線を太い赤で示した項目は、欧米の研究報告では部分的な言及に留まるか指摘が見ら
れないものである(2009 年 9 月 30 日現在)。
92
93
94
National Institute of Standards and Technology: 国立標準技術研究所
UCB(University of California, Berkeley)
CSA(Cloud Security Alliance):クラウドコンピューティング環境におけるセキュリティのベスト・プラクティス普及促進を目的とし
て設立された非営利団体。2009 年 12 月、安全なクライアント・コンピューティングの実現に向けたガイドラインの第 2 版「Security
Guidance for Critical Areas of Focus in Cloud Computing V2.1」を発表。
95
European Network and Information Security Agency:欧州ネットワーク情報セキュリティ庁
125
-__-
クラウド・コンピューティング社会の基盤に関する研究会
図 6-4
報告書
クラウドのセキュリティ課題展開図
この表のうち技術的側面の中の「システム」については 2.3(3)で詳細に検討されているので、
ここでは以下について主に、クラウド利用での制度・ビジネス面、データセンタの管理・運用面
を中心とした課題について見ていくこととする。
①クラウド事業者、データセンタに関わるもの
i) クラウド事業者の経営ガバナンスと存続性
ii) クラウド事業者の事業継続管理
iii) クラウド事業者の災害復旧対応
iv) データセンタ施設の立地環境に関わるセキュリティ
v) データセンタ施設への物理的アクセス管理
vi) データセンタの運用管理
vii) データセンタ要員の信頼性の確保
②システム監査、法制度に関わるもの
i) 監査への対応
ii) デジタルフォレンジック対応
iii) 個人情報保護関連法制の影響と、要求への対応
iv) 法的強制に伴うデータの喪失・差押えや機密性の侵害のリスク
v) 法制度などの要求への対応
126
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
③ユーザ端末、クラウド−ユーザ間の通信に関わるもの
i) クラウド−ユーザ間通信のセキュリティ
ii) 情報のライフサイクル管理
iii) 利用端末のセキュリティ
iv) ユーザ認証とアクセス管理
④システム運用、データ運用に関わるもの
i) データ及びアプリケーションのポータビリティ保証/ロックインリスク
ii) 相互運用性への期待
iii) スケーラビリティの保証
iv) データ転送のボトルネック
v) 可用性の保証
①
i)
クラウド事業者、データセンタに関わるもの
クラウド事業者の経営ガバナンスと存続性
クラウドの利用は、クラウド事業者にデータ処理プロセスとデータを委ねることであり、企業
経営の一端をアウトソースすることに他ならない。そのため、クラウド事業者の経営的な信頼性
と安定性が求められるところである。
そのためにクラウド事業者は、健全な財務基盤を維持することは勿論、それを危殆化させない
経営のガバナンスが確立し、存続性が担保されることが重要であり、利用者への透明性を確保し
なければならない。
ii)
クラウド事業者の事業継続管理
クラウドサービスの継続性の要求については、クラウドの経営主体の健全性と存続性のみなら
ず、そのサービス自体の持続性と、不測の事態に対する耐性ならびに障害からの復旧の担保とい
う要請がある。これを担うのが事業継続管理であり、適正な事業継続計画のもとに定期的な演習
と見直しなどの適切な管理が要求されるところである。
iii)
クラウド事業者の災害復旧対応
前述の事業継続管理のうち、災害によるサービスの停止が、どんな時間軸内にどのレベルまで
復旧できるかは、クラウドをどのような用途にどこまで利用できるかに大きな影響を与える。こ
のために適切な災害復旧計画が用意され、必要なときには速やかに発動されて早期の復旧を実現
できる体制の構築と維持が求められる。
127
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
災害復旧がどの程度担保されるかは、利用者のクラウド利用の意思決定やコンティンジェンシ
ープランニング96に大きな影響を与える。したがって、災害復旧計画の目標値である RTO97(復
旧時間目標)RPO98(復旧時点目標)は明示され、SLA の中で約束されることが必要である。
iv)
データセンタ施設の立地環境に関わるセキュリティ
クラウドサービスを担うデータセンタは、大量のコンピュータやストレージを擁し、持続的運
転が可能である必要がある。そのために次の点に配慮する必要がある。
・地震や風水害などの自然災害、腐食性ガスなどの環境脅威の影響を受けない環境での立地
・近隣の工場の爆発や交通災害の影響を受けない場所への建設
・電力、水道などのユーティリティの安定的かつ潤沢な供給が得られる社会環境
・従業員の通勤やサービス委託先事業者の訪問が容易である立地・社会環境
v)
データセンタ施設への物理的アクセス管理
データセンタの運転や保守に関わる担当者について、その物理的アクセス管理が必要である。
物理的アクセス管理とは、担当者ごとに立ち入りできるエリアを限定する、重要なエリアへの
単独での立ち入りを禁止する、立ち入りの証跡を記録するといったルールの策定と運用を指す。
vi)
データセンタの運用管理
データセンタの適正かつスムーズな運用と、顧客のプロセスやデータの保護・保全のためには、
データセンタの運用が適正に行われる必要がある。そのためには、次のような事項が実現されな
ければならない。
・システムに対するオペレータのアクセス管理
・システムに対するオペレータの特権管理
・外部ネットワークからの不正アクセスに対する適正な防御措置とモニタリング
・ウイルス感染、不正侵入、ウェブ改ざんなどのインシデントに速やかに適切に対応できる能
力の確保と体制の維持
・システムの脆弱性を排除するために適正なパッチ対応、アップデート管理、ウイルス対策ソ
フトの定義ファイルなどの最新版への更新管理など
・アプリケーションの脆弱性をモニタリングし適正に是正すること
96
97
contingency planning:不測の事態により、当初想定していた目標が達成できなかったときの、緊急避難策。
RTO Recovery Time Objective: 復旧までに要する時間の最大値の目標値。短いことが望ましいが、冗長性要求が高くなり、コストに
跳ね返ることになる。
98
RPO Recovery Point Objective: 一連の処理作業のどこまで遡って復元できるかの目標値。できるだけ直近まで復元できることが望
ましいが RTO 同様コストは高くなる。
128
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
データセンタ要員の信頼性の確保
vii)
vi)の運用管理は、データセンタの運用や保守に従事する要員が、善良な管理者として業務を遂
行することを前提としている。例えばいくつかの仮想化ソフトウェアでは、そのコモンクライテ
リア認証99のための ST(セキュリティターゲット)において、管理者は攻撃しないことを前提と
するという制限条件をつけている。現実問題としてオペレータの不正を前提としたシステムの構
築は著しく困難と考えられ、データセンタ要員の職務忠実義務の管理は、クラウド事業者の管理
責任として認識され対応が取られる必要がある。
データセンタ要員の採用におけるチェックはより厳格な条件設定がされているとの情報もあ
るが、それに加えて作業自体における不正の排除や適切性の確保は、例えばログ監視、モニタリ
ング、権限の分離、複数人作業、レポーティングなどの具体的手段により担保されるべきである。
また、継続的な教育やコンプライアンス意識の醸成も重要と言える。
②
i)
システム監査、法制度に関わるもの
監査への対応
クラウド利用は、ビジネスプロセス・アウトソーシングの一形態と言える。ビジネスプロセス
は会計監査、内部統制監査、あるいは業務監査などの対象となる。また ISO27000 などの規格適
合性認証を取得している場合は、その監査や審査の対象となる可能性がある。
これらの法令や規格の要求事項が、クラウドサービスの中で適正に実施されているかの確認は、
その監査手続きのために必要である。したがって、クラウド事業者は、顧客の要求に応じて、そ
の監査要求に対応できるログやエビデンスの管理を提供する必要がある。
なお、これら要求に個別的に対応することは現実的でない可能性があり、一般的に必要と考え
られる監査項目については、クラウド事業者が共通的に備えるべき監査対応準備事項のリストな
どを整備することが現実解となる可能性が強い。
ii)
デジタルフォレンジック100対応
監査対応とは別に、セキュリティ・インシデントの被害範囲や内容の解明、犯罪捜査のための
証拠取得などの目的で、システムログやアプリケーションログの保全と提供、記憶装置の電磁的
記録や書き換え履歴の保全や復元といったことが要求される場合がある。
クラウド事業者が「当然のこととして」これら要求に対応する義務を負うかどうかは議論の余
地のあるところであろうが、ある特定の用途や状況下では対応の必要がある場合が想定されるの
で、そのような対応を可能とする技術的運用的体制の準備は必要である。
(なお、デジタルフォレンジックに関する技術としてのログの管理については、2.3(3)④を参照の
こと。)
99
ISO/IEC15408 規格に基づく機器・システムのセキュリティ認証。その母体となった制度からコモンクライテリアと呼ばれる。ST は
セキュリティ実装仕様の記述文書。日本における認証は IPA が行っている。http://www.ipa.go.jp/security/jisec/index.html
100
IT に係わる犯罪や法的紛争があったときに、原因究明に必要な機器やデータ、記録を収集・分析し、その法的な証拠性を明らかに
する手法。
129
-__-
クラウド・コンピューティング社会の基盤に関する研究会
iii)
報告書
個人情報保護関連法制の影響と要求への対応
個人情報保護やプライバシー保護のために、世界の各国や地域などで様々に法制度が設けられ
ている。その中には、個人情報などに関わるデータの保管場所を物理的に自国内などに制限する
ものがある101。
その場合は、クラウドに保存されるデータの物理的な所在について、ユーザが条件指定できる
ことや、一定の範囲から外にデータが流れない管理ができることが求められる。
また、場合によっては法による強制開示の対象となることが考えられ、機密性の阻害要因とな
る可能性がある。
iv)
法的強制に伴うデータの喪失・差押えや機密性の侵害のリスク
米国パトリオット法102は、捜査当局に令状なしでデータやディスク装置などの差押えを認めて
おり、FBI がディスクを押収したためにデータの可用性が損なわれた事例も出ている。クラウド
では、データが国境を越えて移動し、場合によっては分散されて保存される可能性があり、その
経由国において検閲を受けたり押収されたりするリスクがある103。
これらリスクを回避する必要のある用途やデータでクラウドを利用する場合は、そのサービス
の実行場所やデータの格納場所の所在国について注意を払う必要がある。
v)
法制度などの要求への対応
金融商品取引法における内部統制報告制度などでは、「i)監査への対応」で見たようにクラウ
ドに対する監査や検査の要求が生じる。米国 FISMA104や日本の政府機関統一基準のような政府
調達における要求への対応も必要になる。また PCI DSS105のように業界標準準拠の確認過程に
おいてもプロセスやデータの提示、監査の受け入れなどの要求が生じる。これらへの対応もクラ
ウドの課題の一つと言える。
なお、個人情報保護法や ISMS106などの制度では、外部委託に際しては、委託先における情報
セキュリティ管理について、委託元の管理責任を規定している。クラウドの利用がこの委託関係
と解釈される場合には、クラウドサービス事業者がユーザの情報をどう管理しているかの情報を、
101
日本の法制ではそこまでの要求がない。そのため、日本国民の個人情報が他国の司法の管理下に置かれて持ち出せなくなる事態や、
EU 規制のように海外の個人情報を日本国内で利用することが制限される事態が起こりうる。
102
PATRIOT: Provide Appropriate Tools Required to Intercept and Obstruct Terrorism Act
2001 年米国同時テロ直後に成立した通称愛
国法、反テロリズム法。
103
テキサス州のデータセンタが、過去の顧客の犯罪捜査に関連して FBI に機材全てを押収された結果、他のユーザがデータセンタに
ある全ての機能とデータを数日間にわたって利用できなくなった事件がある。
http://b.hatena.ne.jp/entry/www.publickey.jp/blog/09/reputation_fate_sharing.html
http://www.publickey.jp/blog/09/reputation_fate_sharing.html
http://sites.google.com/site/mnsclec/index
104
105
106
Federal Information Security Management Act:連邦情報セキュリティマネジメント法
Payment Card Industry Data Security Standards:PCI データセキュリティ基準
ISMS(Information Security Management System):企業や組織が自身の情報セキュリティを確保・維持するため、ルール(セキュリ
ティポリシー)に基づいたセキュリティレベルの設定やリスクアセスメントの実施などを継続的に運用する枠組みのこと。
130
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
クラウド利用者が確認する義務が生じる。このような状況に対する委託側・受託側双方の責任範
囲について、統一的な解釈が確立されることが望まれる。
③
ユーザ端末、クラウド−ユーザ間の通信に関わるもの
i)
クラウド−ユーザ間通信のセキュリティ
クラウドの利用は、インターネットその他の通信を介して行う。その通信路において、通信内
容が変化したり失われたり盗まれたり盗み見られたりしてはならない。そのためには、通信の品
質が確保され、暗号その他の技術により、データの秘密性と完全性が担保される必要がある。
セキュリティを確保するために、VPN 接続等のサービス提供を開始した回線事業者も現れ始
めているが、それらのサービスは、現時点では高価であるため、メリットを享受できるユーザは
限定されていると考えられる。
ii)
情報のライフサイクル管理
クラウドのサービスを利用する場合の多くは、利用者に帰属する情報をクラウド側に預ける状
態を必然とする。情報には入手・生成、加工、保存、移動、廃棄といったライフサイクルがある。
その各ステージにおいて、情報が意図したとおりに処理され保存され、あるいは廃棄される必要
がある。このことを確実にし、ユーザが必要に応じ自らの情報の処理の状態を確認できる仕組み
が、クラウドサービスの提供側で担保されなければならない。
iii)
利用端末のセキュリティ
クラウドは、コンピューティング資源のほとんどをデータセンタ側で持つため、サービス利用
のための端末では、高い処理能力を必要としない場合がある。このためにスマートフォンやモバ
イル端末、あるいはゲーム機といった装置からクラウドを利用することも可能である。
一般にクラウドの利用に際しては、ユーザ認証や機器認証を組み入れるが、端末の小型化やポ
ータビリティにより、権限のない第三者のクラウド利用に悪用される危険性が増大する。したが
って、利用端末の物理的管理や、端末利用に対するアクセス管理が重要になる。
また、通信のセキュリティのために端末に暗号を使用する場合、小型端末の限られたリソース
の中で十分な強度を持った暗号を透過的に使えるための暗号とその実装技術(鍵管理を含む)が
必要となる。
端末の機器認証の導入も重要である。これは小型化や可搬性の有無と無関係に、全てのクラウ
ド利用端末に適用されることが望ましい。機器認証により、クラウドにアクセスできる端末が特
定でき、第三者による権限外利用の防止になる。またクラウドと端末間のエンドツーエンドトラ
ストを確立することで、クラウド利用の相互信頼性を確保できる。
(なお、機器認証に関する技術については、2.3(3)⑥を参照のこと。)
iv)
ユーザ認証とアクセス管理
ユーザ認証については、まず利用端末におけるユーザ認証を実装し、端末の権限外利用や第三
者の成りすまし利用を防止する必要がある。
次にクラウドへのログオンにおいて、そのサービスの利用を許可されたものだけが利用でき、
それ以外が排除されるための認証の仕組みが実装されなければならない。
131
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
このようなアクセス権の管理は、ユーザ側においてはアイデンティティ管理の体系を確立して
実施すべきである。クラウド側においては、ユーザのアイデンティティ管理とそれに基づくアク
セス管理に対応できるアクセス管理機能を実装しユーザに提供すべきで、ユーザのアイデンティ
ティ管理システムとの間の統合・連携までサポートすることが理想的である。
これらアクセス管理が複数のクラウド事業者とユーザの間で互換的に実現されるためには、
OpenID や Liberty Alliance107などの標準化された認証システムの活用が有効と考えられる。
また、アクセス管理が適正に行われ、権限外のアクセスや成りすましなどが発生していないこ
とを確実に管理するためには、アクセスログを適正に取得すること、それを安全に保存すること、
常時又は定期的にモニタリングし異常の有無を確認することなども求められる。
④
システム運用、データ運用に関わるもの
i)
データ及びアプリケーションのポータビリティ保証/ロックインリスク
プロセスの変更や取引モデルの変更に伴い、クラウドサービスの変更要求が生じる可能性があ
る。その場合にクラウド事業者の変更や自社内設備への収容という変化が生じる可能性がある。
また、クラウド事業者との取引関係の変化や信頼性の見直しなどによる事業者の切り替えという
ニーズも想定される。
その時にアプリケーションやデータをクラウド事業者間や自社設備との間で大きな負荷や遅
延やデータロスなく実現できること(ポータビリティ)が担保されるべきである。これはクラウ
ド間の共通 API やデータフォーマット統一の要求となって現れる。このような必要に答えて、例
えば OVF (Open Virtualization Format)108 などの共通仕様も開発されている。クラウド業界と
してのこれらへの対応が具体化することが望まれる。
逆にそれが実現しない、あるいは担保されない状態であれば、それはロックインと呼ばれるリ
スクとなる。利用者としては、ロックインの可能性は利用開始の前に排除もしくは回避する慎重
さが必要である。
ii)
相互運用性への期待
前述のポータビリティの要求は、複数のクラウド事業者間で、同一のアプリケーションを透過
的に稼動させたり、異なるアプリケーションを連携させて処理させたりという要求にまで発展し
うる。これはクラウドと自社設備の間にも言える。さらにはデータ処理プロセスとそのインプッ
ト・アウトプットデータの格納場所を異環境間にまたがらせる姿も想定される。
これらが実現できる共通インターフェース化や標準化も検討課題と言える。
iii)
スケーラビリティ109の保証
クラウドのスケールアウト特性は、一時多量の処理や、急激に負荷が変動するようなアプリケ
ーションの処理に向いている。そのような用途への積極活用により、IT をうまく利用することや
107
108
109
インターネット上でのシングルサインオンサービスの提供を目指し、技術開発などを行なう企業連合。
http://www.vmware.com/appliances/getting-started/learn/ovf.html
コンピュータシステムの持つ拡張性。例えば、システムの利用者や負荷の増大/減少に応じて、柔軟に性能や機能が対応できること。
2.3(1)①参照。
132
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
業務効率の向上が期待できる。しかし、クラウド事業者のリソースの装備、配置、運用、管理の
仕方によっては、所期のスケールアウト性能が得られない可能性がある。
このような機能又は能力をどこまで保証するかは SLA の中で取り交わされると想定されるが、
SLA が一定の能力の保証ではなく、能力未達の場合の価格調整に留まっているのが現状の大勢で
ある。
クラウドのメリットをより一層活用してその利用を広める意味でも、性能を直接保証するよう
な SLA の枠組みを実現する方向に向けてのクラウド事業者の取組みが期待される。
iv) データ転送のボトルネック
クラウドの利点の一つにスケーラビリティと処理能力の大きさがある。これをうまく活用する
ことで短時間に低コストで大量のデータ処理が実現できる。しかし、それに見合うネットワーク
の帯域の確保や、通信系路上の隘路回避の保証があって初めて、クラウドの利点を十分生かした
利用が可能になる。このようなボトルネック回避・解消の保証も課題の一つである。
v)
可用性の保証
上述と同様の問題は、サービスの可用性においてより現実的かつ切実な問題となっている。現
在多くのパブリッククラウド事業者の SLA は 99.95%程度の可用性の保証に留まっている。ビジ
ネス用途に使うにはこの数字は決して高いとは言えないという問題がある。
さらに、この稼働率保証は、それだけの時間の稼動を保証するものでなく、それを下回った場
合に利用料を値引くといった条件に過ぎない。サービスが停止した場合に、最大どれだけの時間
で復旧するかの約束もない。これらの点が担保されて初めて利用側にとってリスクの定量化が可
能になり、どんな用途にどこまで使えるかの評価が可能となる。この点について、クラウド事業
者がどう応えられるかは重要なポイントである。
(3) クラウドにかかわる関係者のセキュリティ対策のための役割
クラウドに対するセキュリティ上の脅威とインシデント事例は(1)で、主にクラウドの「制度
面・ビジネス(取引)面及びクラウドの利活用」領域と「データセンタの管理・運用」の領域に
おけるセキュリティ課題については、(2)で見てきた。クラウドのシステムに内在するセキュリテ
ィ上の技術的課題(脆弱性や、データストレージの保全など)については、2.3(3)で検討を行っ
た。本項では、これらの課題を踏まえ、クラウドにかかわる関係者のセキュリティ対策のための
役割について検討する。
以下では、クラウド事業者がクラウドサービスを提供するに当たりセキュリティ上対策として
整えるべき点や、クラウド利用者がクラウド利用する際に留意すべき点、さらには中立的立場の
第三者の関与が期待されるべき点を中心に取り上げる。
①
クラウド事業者にとってのセキュリティ課題
クラウド事業者は、クラウドの処理能力、スケールアウト能力、ストレージの容量と拡張性な
ど、クラウドの利用価値を高める要素を強化して自らのサービスの魅力を増し、競争力を高める
133
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
努力を続ける一方で、セキュリティ面については、セキュリティポリシーを開示し、SLA110を示
すことで、利用者が安全性、信頼性や可用性について判断するために必要な情報を提供していく
ことが望まれる。稼働率保証や事業継続管理における RTO、RPO(6.2(2)①の脚注を参照のこと)
についても競争を通じてサービスレベルとサービスコストのバランスが形成され、価値の向上が
進むことが期待される。
一方、データの保管場所の制限などについては、情報の非対称性などの要素によりユーザの要
請だけでは整備が進まない可能性がある。これは監査や個人情報の保護といった法益の担保にも
関わる問題となることから、これらを考慮しつつ、適切な水準についての認識の共有化やその確
認のあり方についての検討が望まれる。
(1)で見たように、クラウドが悪意ある第三者から攻撃を受けることで利用者に被害が及ぶ事態
や、クラウドが悪意ある第三者が行う攻撃や不正行為の手段として利用される事態が現実化して
いる。これらの防止のためにクラウド事業者が引き受けるべき予防・監視・対策のための努力は、
社会的に極めて重要な意味を持つことになる。各クラウド事業者は、インシデントや脆弱性につ
いて、情報収集を行い、解析する CSIRT111のようなチームを用意することが望ましい。また、
個別事業者で独自に対応を行うだけではなく、クラウド事業者同士で情報共有することで、クラ
ウドの業界全体における包括的なインシデントや関連脆弱性に対する防止体制が構築されるこ
とが期待される。
このほか、(2)で見てきたデータやプロセスのポータビリティとロックインの排除については、
API やデータフォーマットの共通化、標準化といった環境を整備することが有効と考えられる。
②
クラウド利用者にとっての課題
クラウドの利用者が留意すべき点の第一として、利用者のアクセス権管理があげられる。クラ
ウド事業者は、利用者に対する認証の仕組みを(複数の強度の選択肢を持って)提供することが
望ましい。利用者側においては、誰がどのサービス、どのデータのどのレベルの利用権を持つか、
その認証はどんな手段と強度で行うか、その権利のプロビジョニング(配置とその管理)をどう
するかといった要件について、体系的に管理の枠組みを整える必要がある。
また、利用者自身のビジネスプロセスのうち何を、どの程度までクラウドのサービスに委ねる
かも、利用者が判断すべき点と言える。自社のプロセスや保有データの重要性の評価と、利用す
るクラウドサービスの信頼性やセキュリティの評価の組合せについて、利用者が判断する必要が
ある。その場合に、クラウド事業者から判断に必要となる情報が十分に提供されることが必要で
あるが、現実問題としてそれが担保されない可能性がある。(個別取引における需給の力関係や
技術力の差による。)この点に関しては、クラウド事業者が開示すべきセキュリティ、信頼性、
サービスレベル、災害復旧計画などの項目とその開示の程度について比較できるチェックリスト
のような枠組みが整備されることが有効ではないかと考えられる。
110
111
Service Level Agreement
Computer Security Incident Response Team:セキュリティ・インシデントやその怖れの発生に対応して情報収集・分析や対策実施
に携わる専門家のチーム。
134
-__-
クラウド・コンピューティング社会の基盤に関する研究会
③
報告書
中立的立場から整備が検討されるべき課題
クラウドに対する脅威や脆弱性への対応に関しては、各クラウド事業者のセキュリティ対策の
向上の観点から、クラウド事業者などから提供されるインシデントや脆弱性情報を中立的機関な
どが収集・解析し、それをクラウド事業者の関係者で共有することが有効になる。それにより必
要な情報が必要な組織に共有され、必要な対策が足並み揃えて実施に移される姿が実現すること
が期待される。さらには、クラウドの利用者においてもクラウドサービス利用に際してのセキュ
リティ意識の向上が図られ、クラウド事業者、利用者相互にセキュリティ対策が進むことが望ま
れる。
また、①②でも触れたようなサービスレベルやセキュリティ対策に関する情報の開示や確認、
比較を可能にする枠組みも、中立的機関などにより検討されるに相応しい課題であると言える。
なお、会計監査や内部統制監査は、ビジネスプロセスの検証過程を必要とする。ビジネスプロ
セスやそこで処理されるデータがクラウドの中にある場合、そのクラウドサービスは監査対象と
なる。この場合に、クラウド事業者において監査の要求に答えることがまったく任意の判断に委
ねられては、必要とされる監査が機能しなくなる恐れがあるので、クラウド事業者の監査対応は
必要であると考えられる。具体的には、一定レベルのログの取得と保存、法令に基づく監査への
対応義務などが検討対象としてあげられる。
以上、クラウドにかかわる関係者のセキュリティ対策のための役割について見てきた。これを
踏まえて、各関係者がクラウドの利活用におけるセキュリティ上の課題を検討し、更なる対策を
進めていくことが重要と考えられる。
135
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
クラウドの今後の進展に関する技術的課題
6.3
(1) クラウドに対応したソフトウェア・エンジニアリング技術の開発
クラウドは、情報システムの「所有」から「利用」へのパラダイムシフトと言われている。こ
れは言い換えれば、業務システム構築が、自分専用のオーダーメード開発から、既成のサービス
の組合せによる構築に移ることを示している。つまり、これまではそれぞれの業務に合わせて必
要な業務プログラムをゼロから開発をしていたのに対し、外部のサービス提供業者が提供する標
準サービスをできるだけ利用することを基本に、不足部分のみをカスタマイズ、あるいは独自開
発で補う、というスタイルが主流になってくると言える。
これまでのソフトウェア・エンジニアリング技術は、ともすればゼロからの独自開発を主たる
スタイルに想定して組み立てられている。これを、提供されているサービスの組合せによるシス
テム構築を主たるスタイルにおいて見直すことが必要になると見込まれる。
具体的には、基礎となるソフトウェアライフサイクルのプロセス定義をこのような観点で見直
すこと。その上で、契約上の修正点の、見積もり方法の見直し、品質保証の方法など、ソフトウ
ェア・エンジニアリングの全ての側面についての見直しを行う必要がある。
そして、この内容はクラウドへの対応だけではなく、日本では欧米に比べ遅れていると言われ
るパッケージの活用によるシステム構築にも適用できるものであると考えられる。
(2) クラウドに関する技術についての特許などの権利問題
クラウドは発展途上の技術であり、主要な技術、プログラムは、オープンソフトウェアを中心
に進展してきたため、特許の問題が顕在化することはこれまでにはなかった。しかし、クラウド
が実際的な商用技術となり、ベンダ間の競争が厳しくなると、特許など法律面での問題が顕在化
してくるものと考えられ、クラウドの提供や利用に当たって、事前に権利関係などの確認を行う
ことが重要である。特許に関する問題には、以下の 2 つの類型があると考える。
i) 技術的優位を維持するための特許戦略に関するもの。
ii) ライセンスの競合に関するもの。
i)
技術的優位を維持するための特許戦略に関するもの
クラウドの特許に関する事例としては、2010 年 1 月に明らかになった Google による
MapReduce 技術の特許取得に対する反響があげられる。本文執筆時点で、Google として、そ
の後の利用方法についてのコメントは出ていないが、一般的に、クラウドベンダの今後の特許
戦略としては以下が考えられる。
・今後の特許紛争に備えて、防衛的な備えをする。(抗弁資料、クロスライセンス対応など)
・今後起きうる、クラウドベンダ間での合従連衡を有利に進めるための武器とする。
ii)
ライセンスの競合に関するもの
クラウドに限る話ではないが、オープンなソフトウェアを複数利用する場合の問題として、
ライセンスの競合があげられる。ライセンスごとで微妙に内容が異なるため、ライセンスが異
なる複数のプログラムから新たなシステムを構築した場合、どのライセンスにしたがうか、し
136
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
たがわなければならないかで対応が大きく変わってくる(GPL の場合、利用形態によって、派
生物はすべて GPL にしたがうこと、プログラムソースは公開することを要求される場合があ
る)。
また、Google などにおいてオープンなソフトウェアを改変して利用している可能性もあるが、
Google のサービスは広く無料で公開する一方、サービス提供の基盤となるシステム自体は「社
内システム」として外部非公開としていることもあり、ライセンスを巡る議論は表面化してい
ない。
このように、クラウドの提供側でオープンなソフトウェアを活用する場合、従前と異なりソ
フトウェア自体を公開せずサービスとしてのみ提供することをどう捉えるか、有償・無償によ
り扱いは異なり得るか、仮想化技術により複数のサーバなどで利用することをライセンス数と
してはどう捉えるかなど、ライセンス上の扱いには未だ議論の余地があると考えられ、十分注
意する必要がある。
(3) ネットワークに関する課題
i)ネットワーク遅延・可用性に関する課題
クラウド、特にパブリッククラウドではインターネットを利用することが前提であるため、遠
隔地のデータセンターとのやり取り時に発生するネットワーク遅延によるレスポンスの問題、イ
ンターネット回線に対する可用性の課題等も存在すると考えられる。
クラウド内のデータセンターへデータを転送する場合は所要経費にも留意する必要があるだ
ろう。また、クラウドを利用している企業がその企業の顧客(エンドユーザ)に一定のレスポン
スでサービスを提供し続けるには CDN112の利用も検討すべきであろう。
ii)IPv4
から IPv6 への移行期(混在期)における課題
これも、クラウド特有の問題ではないが、今後のクラウド提供や利用にあたっては、考慮す
べき課題である。2.3(3)⑥、6.2(2)③にも述べたように、クラウドにおいては、クラウド−ユー
ザ間の通信のセキュリティを確保するために機器の認証が特に重要となり、その前提となる IP
アドレスも重要な役割を果たすことになる。IPv4 と IPv6 の混在が当面続くと考えるため、機
器認証、ユーザ認証の扱いについて混乱なく、どのように運用すべきかが喫緊の課題となると
考えられる。
(4) クラウドにおける相互運用性
クラウドを活用したサービス提供においては、計算過程で生成されるデータも含め、あらゆる
データやソフトウェアがシステム側で運用される。このため、6.2(2)④でも触れた相互運用性に
ついて適切な配慮を怠ると、これらを外部へ持ち出したり、他のベンダへ移動したりすることが
できなくなり、激しいベンダロックインが生じてしまう恐れがある。
クラウドで用いられるアプリケーションやデータ、さらには運用管理などにおける相互運用性
を確保し、事業者間の健全な競争環境を維持するため、業界がコンソーシアムを作るなど、さま
ざまな動きがでてきているが、国際標準の場でも検討が行われ、2009 年 10 月、ISO/IEC JTC-1
112
CDN:(Contents Delivery Network):ウェブコンテンツをインターネット経由で配信するために最適化されたネットワーク。
137
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
に、クラウドに関する標準を議論するグループとして SC38 を設立することが承認された。SC38
設立については、後述するように、我が国のこれまでの多くの活動が布石となっており、今後も、
我が国がここへ積極的に関与することが期待されている。
[SC38 の設立について]
2009 年 10 月 18 日∼22 日にイスラエルのテルアビブで開催された JTC1 総会において、新た
な専門委員会として SC38 を設立することが承認された。
SC38 の正式名称は DAPS (Distributed Applications Platforms and Services)である。SC38
は、SOA の相互運用性について議論している Web Services Study Group(WSSG)からの提案と、
Green IT について議論していたグループからの提案のうちのクラウドに係る提案とがまとめら
れる形で設立された。
Green IT に関して議論されていたもののなかで、クラウド関連以外の部分については、Smart
Grid SWG、 Energy Efficiency of Data Centers (EEDC) スタディーグループの設立が承認さ
れている。EEDC での議論対象は、
「仮想化」など、クラウドで対象とする分野と重なることか
ら、この分野については SC38 と連携することとされた(図 6-5 参照)
。
SC38 のスコープは「分散されたアプリケーションプラットフォーム」の相互運用性確保であ
る。具体的には
・Web Service
・SOA(Service Oriented Architecture)
・Cloud Computing
の 3 つを柱とすることとなった。
なお、このうち、Web Service については、Web Service Interoperability について、ISO か
ら既に ISO/IEC 29361:2008 (Basic Profile)、 ISO/IEC 29362:2008(Attachments Profile)、
ISO/IEC 29363:2008(Simple SOAP Binding Profile)の三つの標準規格が発行されている。
IPA では、これら 3 規格に対応する国際一致規格としての JIS 規格策定を進め、日本規格協会
による規格調整を終え、2010 年 2 月に JISC(日本工業標準調査会)への申請を行った。まもなく、
それぞれが JIS X 7361、 JIS X 7362、 JIS X 7363 として JIS 化される運びとなっている(2010
年 2 月現在)。SC38 に設けられる Web Services に関するワーキンググループは、これら標準規
格のメインテナンスを中心とし、さらに新しい規格の検討を開始することとなった。
SOA を扱う WG の設立も決められており、SOA のコンポーネント間の相互運用性拡大のため
の各種標準化へ取り組むこととなった。
SOA については、その活用が今後の情報処理にとって重要であり、我が国では、その活用を
図るべきであるとの経済産業大臣告示が「電子計算機利用高度化計画」の一環として発せられて
おり113、中小企業基盤強化税制において、その取得費用の一部を減税の対象とするなど、振興策
がとられているところである。
113
平成 20 年経済産業省告示第 61 号 (http://www.meti.go.jp/press/20080331005/080331_kokuji.pdf)
138
-__-
クラウド・コンピューティング社会の基盤に関する研究会
図 6-5
報告書
JTC1 に新たに設置されたクラウド関連グループの位置付け
(出典:情報処理学会
情報規格調査委員会 SC38 専門委員会資料(SC38JN0002))
クラウドを対象とするワーキンググループはまだ設立には至っていないが、その準備のために、
スタディーグループの設立が決まった(Study Group on Cloud Computing (SGCC))。SGCC で
は、用語の定義などに着手し、業界団体などを含む他の組織でクラウドに関連するどのような技
術規格がなされているかについての調査を開始することとなった。クラウド環境では SLA の定
義や異なる運用者や利用者の間での合意に基づいた運用が重要になることから、2010 年 2 月に
JIS 化された「グリッドシステム要求事項策定のための指針」(JIS X7301)114 や「SaaS 向け SLA
ガイドライン」115なども大いに参考とされ、これら、あるいはこれらを発展させたものが、日本
からの提案として ISO 化されることも期待される。
(5) 技術面からみたクラウドの今後の普及に関する展望
我が国の主要 IT ベンダを含む産学の専門家で構成される日本 OSS 推進フォーラムでは、2009
年 4 月にクラウド検討チームを設置し、クラウドが今後どのように普及して行くかについて、ロ
ードマップの検討を行った。この検討においては、クラウドについて以下の視点から検討してい
る。
利用者の視点
「ネットワーク(LAN を含む)の向こう側で情報処理がなされるシステムであり情報処理
の行われている物理的場所については興味の対象外」であるような情報処理システム
114
日本規格協会情報技術標準化研究センター(INSTAC)と産業技術総合研究所が共同で提案し、 2010 年 2 月 22 日に JIS 規格として
制定された。
115
「SaaS 向け SLA ガイドライン」, 平成 20 年 1 月 21 日. 経済産業省 http://www.meti.go.jp/press/20080121004/20080121004.html
139
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
システム構築側の視点
「仮想化技術」、「分散コンピューティング技術」
、「分散ストレージ技術」などにより、オ
ンデマンド・ベースのサービスを柔軟に提供できるように構築されたシステム
この概念は、システム規模や利用者の広がりの規模とは独立した概念であり、現在 Google や Amazon
などが提供しているような地球規模にサービスを提供する大規模なシステムから、オフィスの中に閉じた
小規模なシステムまでが同様の概念で構成できる。
図 6-6 に示すように、本検討では、社会的な基盤を提供するクラウドであるソーシャルクラウ
ドに焦点を当てて、クラウドシステムの進展を(a)パブリッククラウド、(b)プライベートクラウ
ド、(c)ソーシャルクラウドの 3 つに分類し考察した。ここで注意すべきは、クラウドのステージ
が進展しても前のクラウドが消滅するわけではないこと、また、あくまでもこの進展はソーシャ
ルクラウドを念頭に置いた場合の進展であることの2点である。
図 6-6
◆
クラウドコンピューティングの今後の普及に関するロードマップ
パブリッククラウド
米国のクラウドベンダを中心に普及の始まっているサービスであり、クラウドはこの形態か
ら始まったと言える。検索サービス、E コマース、ポータルサイト、SNS、電子メールなど、
ミッションクリティカルでないサービスを公衆向けに提供するシステムである。
◆
プライベートクラウド
パブリッククラウドの普及に伴ってパブリッククラウドで利用されているクラウドの技術
要素(仮想化技術、分散技術、スケールアウトの技術など)を応用し、社内向けのシステムを
再構成したものである。
140
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
センタサーバ
(基幹サーバ)
各部門のサーバ
現状
OSSクラウド
各社プライ
ベートクラウド
基幹サーバ
パブリック
クラウド
今後
図 6-7
プライベートクラウドへの移行
クラウド技術の初期の段階では、まだシステムのセキュリティ機能や、契約方式、法的環境
などが未整備であり、企業の機密データなどを安心して社外のパブリッククラウドに預けるこ
とは難しい。しかし、当該技術水準のままでも、システムが社内に閉じているのであれば、十
分実用可能と考えられる。
現在は、企業・自治体などが、内部の部門ごとに独立したハードウェア、ソフトウェアを備
え、情報処理に利用することが多い。クラウド技術によりこれらのハードウェア、ソフトウェ
アを統合し、プライベートクラウドとして運用して各部門の情報処理の需要に応えて行く姿が
考えられる(図 6-7)
。
このようなシステム統合により、ハードウェア・ソフトウェアへの投資コスト、エネルギー
消費量、オペレーションやセキュリティ対策などの運用コストなどを抑えることが期待できる。
◆
ソーシャルクラウド
ソーシャルクラウドは、個人や企業のクラウド利用から発展した社会基盤としてのクラウド
利用である。ソーシャルクラウドにおいては、高いセキュリティ技術(特に、「安全な依頼計
算」と呼ばれるような分野のセキュリティ技術)
、QoS 技術などの確立が要求され、機密性の
高い情報、ミッションクリティカルな情報についても安心して託すことができるようになるで
あろう。
今後、情報システムの更新時期を迎えた企業などは、更新にあたり、導入や運用コスト削減
の見地から、上記「プライベートクラウド」に相当するシステムを検討することが多くなると
考えられ、ここ数年以内に、「プライベートクラウド」が急速に普及することが予想される。
米国では、健康情報のような個人情報を一億人規模で利用可能とすることを目指す Google
Health116のようなサービスも始まっている。真に安全・安心なクラウドの実現には、「安全な
依頼計算」など、解決すべき技術的課題も多いが、これら課題解決を含め、果敢に取り組む姿
勢が重要であろう。
116
米国 Google よる個人の健康情報を一元化するためのサービスである。このサービスを利用すると、Google ユーザは、自身の健康
記録を Google Health のシステムに自主的に提供することが可能となる。これにより、潜在的に分割されがちな健康記録を、Google
Health profile1つにまとめることができる。提供するプロフィール情報としては、
「健康状態、医薬、アレルギー、 検査結果」な
どが含まれる。
(出典:Wikipedia)
141
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
(6) クラウドにおいて活用されるソフトウェアについて
日本 OSS 推進フォーラムの検討では、プライベートクラウドの普及は、主に OSS によって構
築されるものと、主に商用ソフトによって構築されるものとの 2 つの方向から始まるものと予想
している。この理由は、初期においては、既存ソフトの活用を目指すベンダが多く有ると予想さ
れること、また、同じく、初期においては、クラウドに用いられる新規の OSS の性能に未だ十
分ではない部分があると予想されることによる。
超高信頼(99.99)
高価
プライベートクラウド
(商用ソフト活用)
小規模
大規模
(数百台)
(数万台)
データ
パブリッククラウド
(社内)
データ
(社外)
プライベートクラウド
(OSS活用)
安価
高信頼(99.5-9程度)
図 6-8 各種クラウドの関係(近未来)
近未来において、プライベートクラウド(OSS 活用型、商用ソフト活用型)
、パブリッククラ
ウドの関係は図 6-8 のようになると考えられる。
クラウドシステムの基盤的部分などにオープンでないライセンスによるソフトウェアを用い
ると、その供給会社の倒産や、M&A といったことにより、メインテナンスやライセンスが不意
に停止した場合、事業(サービス)継続で深刻な事態へ発展する可能性がある。OSS でなければ、
内部の技術情報が公開されていない上、ライセンス上も内容に手を加えることはできない。その
結果、セキュリティアップデートが停止するなどにより、事実上、サービス停止と同時に使用も
中止せざるを得なくなる。
大規模で分散したシステムにとって、このような事態への不安は極めて深刻である。
また、システムの日々の改良や障害対策にあたり、その都度ライセンス元の企業に依頼しなく
てはならないか、あるいは、その同意を必要とすることも、大規模システムを運用する上での不
安要因となる。
クラウドシステムの基盤部分へ OSS を活用することへの要求は、コストが安いという面より
も、むしろ上記のようなリスク管理に関する理由によることが多い。
そのため、OSS の性能や信頼性を上げることにより、OSS の活用を加速することが期待され
ている。
プライベートクラウドにおいては、OSS と商用ソフトとの共存が予想されるが、徐々に OSS
の割合が増して行くものと考えられる。ソーシャルクラウドにおいては中核部分の多くが OSS
によって構成されるとの見通しが示され、そのための OSS の技術や信頼性向上にかけられる期
待は大きい。
142
-__-
クラウド・コンピューティング社会の基盤に関する研究会
6.4
報告書
クラウドの構築と OSS
(1) クラウド構築における OSS 適用拡大に向けた我が国の取組み
6.3(6)で見たように、クラウドシステムの構築においては、OSS が適用される場面が増えると
考えられるため、OSS 推進フォーラムの事務局をも務める IPA のオープンソフトウェア・セン
ターでは、クラウドを構成するために用いられる OSS について、仕様、性能などの調査に着手
することとした。現在、以下の調査を実施中である。
「社内向けクラウド構築のために活用できるソフトウエアカタログの作成」
「OSS 仮想化機構 KVM についての調査」
「アプリケーション実行基盤としての OpenJDK の評価」
「クラウド運用管理ツールの基本機能、性能、信頼性評価」
「社内向けクラウド構築のために活用できるソフトウエアカタログの作成」は、クラウドの構
築での活用が期待される OSS について全体的な調査を行うものである。クラウド構築にとって
特に重要なソフトウェアである、KVM(仮想化ソフト)、OpenJDK(アプリケーションプラッ
トフォーム)及び Eucalyptus(運用管理ツール)については、実際の動作検証を含む掘り下げ
た調査を実施している。
カタログ作成の事業では、取り上げた各 OSS について、それを作成しているコミュニティの
状況についての調査も実施中である。
これは、OSS においては、
「コミュニティがどのような成り立ちになっているのか」、
「ドキュ
メンテーションなどソフト開発自体以外の活動も活発に行われているか」、
「バグ修正などの活動
は活発か」
、などの観点から調査を行うものである。現在、このような視点での OSS の評価につ
いては、欧州が中心になり評価手法、評価基準の検討が行われているが、そこでの検討中の評価
手法を一部取り入れている。これは、将来的に欧州と同一基準での評価を本格的に行うことにつ
いての準備段階との位置づけもある。
また、カタログ化にあたっては、比較対照として OSS と同様の機能を持つ商用ソフトについ
てもその概要を調査し、収録することとした。
現在、カタログ化の事業で調査対象として計画しているのは以下のソフトウェアである。
143
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
(a) 仮想化機構
ソフトウェア名
開発企業/コミュニティ名
商用/
OSS
VMware ESXi
VMware
vSphere
Sun xVM
VirtualBox
KVM
VMware
商用
VMware
商用
Sun
Red Hat
商用/
OSS
OSS
ソフトウェア名
開発企業/コミュニティ名
商用/
OSS
Xen
Citrix
XenServer
Xen コミュニティ
OSS
Citrix
商用
Hyper-V
Microsoft
商用
ソフトウェア名
開発企業/コミュニティ名
商用/
OSS
ZABBIX
Hinemos
Nagios
Xymon
ZABBIX SIA
NTT データ
Ethan Galstad 氏ら
Henrik Stoerner 氏ら
OSS
OSS
OSS
OSS
(b) システム管理 1(汎用的管理)
ソフトウェア名
開発企業/コミュニティ名
商用/
OSS
JP1
SystemWalker
Tivoli
日立製作所
富士通
IBM
商用
商用
商用
(c) システム管理 2(仮想化機構の管理)
ソフトウェア名
Sun xVM
Ops Center
VMware vCenter
Server
開発企業/コミュニティ名
商用/
OSS
ソフトウェア名
開発企業/コミュニティ名
商用/
OSS
Sun
商用
Citrix Essential
for XenServer
Citrix
商用
VMware
商用
virt-manager
Red Hat
OSS
ソフトウェア名
開発企業/コミュニティ名
商用/
OSS
Amazon
商用
あくしゅ
OSS
Proxmox Server
Solution
OSS
(d) システム管理 3 (クラウドの管理)
ソフトウェア名
開発企業/コミュニティ名
商用/
OSS
Eucalyptus
UCSB
OSS
CloudWatch
Amazon
商用
Auto Scaling
Amazon
商用
ソフトウェア名
開発企業/コミュニティ名
商用/
OSS
ソフトウェア名
開発企業/コミュニティ名
商用/
OSS
Active Directory
Microsoft
商用
Enterprise Java
XACML
Google
OSS
Microsoft
商用
JBoss XACML
JBoss
OSS
Sun
OpenID Foundation
OSS
OSS
XACMLight
OAuth
Oleg Gryb 氏ら
OAUTH WG
OSS
OSS
Elastic
Loadbalancer
Wakame
Proxmox
Virtual
Environment
(e) ユーザ認証機構
Windows
CardSpace
OpenSSO
OpenID
144
-__-
クラウド・コンピューティング社会の基盤に関する研究会
(f)
報告書
分散化機構
ソフトウェア名
開発企業/コミュニティ名
商用/
OSS
ソフトウェア名
開発企業/コミュニティ名
商用/
OSS
Hadoop
Eucalyptus
AppScale
eyeOS
Globus Toolkit
Apache
UCSB
UCSB、 Google、 NSF
eyeOS コミュニティ
Globus Alliance
OSS
OSS
OSS
OSS
OSS
MySpace Qizmt
Fairy
ROMA
Cloud Crowd
Skynet
Myspace
楽天技術研究所
楽天技術研究所
Document Cloud
Adam Pisoni 氏ら
OSS
OSS
OSS
OSS
OSS
また、OSS について、その開発コミュニティの評価の試みの実施内容の例を図 6-9、図 6-10
に示す。これは、メーリングリストの活発度を尺度とし、利用者コミュニティや開発コミュニテ
ィの活性度を測ろうという試みである。これらの試みを始めとし、ドキュメンテーションの状況
など多様な視点からの評価を試みているところである。
図 6-9 Nagios117のユーザメーリングリストの投稿数
図 6-10
Nagios の開発者メーリングリストの投稿数
(図 6-9、10 とも、縦軸は投稿数。横軸の上の数字は、リリースされたバージョン番号、下の数字は、
時期。)
117
Nagios:オープンソースによるコンピュータシステム及びネットワークの監視のためのアプリケーション・ソフトウェア。
145
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
(2) 欧州におけるクラウド構築への OSS 活用に向けた取組み
欧州では、欧州企業のソフトウエアビジネスへの参入障壁の軽減を目指し、オープンソースの
普及、相互運用性拡大へ向け、政府調達ポリシーの策定や、研究開発支援など、さまざまな取り
組みを行なっている。
情報技術に関する研究開発支援を担当する欧州委員会情報社会・メディア総局が第 6 期計画
(FP6:Framework Programme 6)の下で実施した OSS 関連プロジェクトには以下のものがある。
クラウドに直接関係したプロジェクトとしては、XtreemOS プロジェクトがあげられるが、他
のプロジェクトもソフトウェア評価などや、分散共同開発支援ツールなどを開発することにより、
今後のクラウド構築への基礎力を高めるために成果が活用されてゆくものと考えられる。
i) QualiPSO プロジェクト(FP6)
http://www.qualipso.org/
予算:10.42 M Euro ,期間:2006-11-1 ∼ 2010-10-31
概要:高信頼、高品質な OSS の開発の利用を促進するため、ツール、開発環境、ビジネスモ
デル、法的課題などについて調査、研究を行う。プロジェクト終了後に OSS コンピテン
シセンタを各国に立ち上げ、OSS に関する情報サービスを提供する。
ii) FLOSSMETRICS プロジェクト(FP6)
http://flossmetrics.org/
予算:0.6M Euro ,期間:2006-09-01∼2009-02-28
概要:多数存在する OSS 開発プロジェクトについて、その評価を行う。
iii) QUALOSS プロジェクト(FP6)
http://www.qualoss.org/
予算:2.05 M Euro ,期間:2006-09-01∼2009-02-28
概要:OSS の頑強性、持続性、発展性などについての評価手法を研究する。
iv) SQO-OSS プロジェクト(FP6)
http://www.sqo-oss.eu/
予算:1.64 M Euro ,期間:2006-09-01∼2008-08-31
概要:OSS の品質を測定し、一覧表を作成する。
v) XtreemOS プロジェクト(FP6)
http://www.xtreemos.eu/
予算:14.2 M Euro ,期間:2006-06-01∼2010-05-31
概要:クラウドコンピューティングなどで必要とされる分散処理に適したオペレーティングシ
ステムを OSS として開発する。
146
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
vi) EDOS プロジェクト(FP6)
Project Acronym: EDOS
予算:2.22 M Euro ,期間:2004-10-01∼2007-06-30
概要:コミュニティによる分散的開発をより効率的に行えるようにする開発環境を構築する。
vii) FLOSSWORLD プロジェクト(FP6)
http://flossworld.org/
予算:0.66 M Euro ,期間:2005-05-01∼2007-06-30
概要:世界の OSS プロジェクトの動向を調査・収集する。
viii) TOSSAD プロジェクト(FP6)
予算:0.78 M Euro ,期間:2005-02-01∼2007-02-28
概要:欧州域内の OSS 開発コミュニティの連携を強化するため、情報共有のためのプラット
フォームを構築する。
また、FP6 に続く FP7 では、以下のようなものが開始されている。
このうち、クラウドに関する技術開発プロジェクトとして、RESEVOIR プロジェクトが開始
されていた。同プロジェクトでは、プロジェクト名に示されるように、特に分散環境を制御する
ための相互運用性拡大に重点が置かれている。
ix) RESEVOIR プロジェクト(FP7)
http://www.reservoir-fp7.eu/
予算:10.53M Euro
,期間:2008-2-1∼2011-1-31
概要:RESERVOIR:Resources and Services Virtualization without Barriers 管理ドメイン
や IT プラットフォーム、物理的な場所が異なる場合でも、IT サービスをシームレスに接
続する技術の開発(つまり、クラウド)を目指す。
x) FLOSSinclude プロジェクト(FP7)
http://www.flossinclude.org/
予算:0.7 M Euro ,期間:2008-02-01∼2010-01-31
概要:OSS 開発のための国際協力のロードマップを作成する。
xi) MANCOOSI(Managing the Complexity of the Open Source Infrastructure)プロジェクト
(FP7)
http://www.mancoosi.org/
予算:3.32 M Euro ,期間:2008-02-01∼2011-01-31
概要:OSS のサポートをしやすくするため、コンポーネント間の依存関係を管理するなどの手
段を開発する。
147
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
欧州では、FP6 で行なわれたプロジェクトの一つである QualiPSo の成果普及を図るため、各
国に OSS Competence センタを立ち上げ、これらを連携させる QualiPSo network を設立し、
各センタが連携して OSS 開発支援ツールの提供、OSS に関する情報提供を継続するほか、OSS
の評価を実施する計画である。
QualiPSo network では、FP6 による QualiPSo プロジェクト参加機関だけでなく、一定の要
件を満たす OSS 支援組織の参加を世界からもとめており、IPA も 2010 年からここへ参加するこ
とが決定した。IPA では、QualiPSo network 参加機関共同による OSS 評価基準の策定に参加し、
その基準に基づいた OSS 評価を実施する計画である。クラウドの構築に当たっては、特に継続
的なメインテナンスへの要請から OSS の活用への期待が高い。
この要請を満たすためには、信頼性の高い OSS の供給が不可欠であるが、OSS 評価への国際
的な取り組みは、この要請を満たすために有効であると考えている。
148
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
クラウド利用の進展に伴い求められる人材とその育成
6.5
情報システムをユーザが利用する目的は、経営戦略の実現、業務プロセスの改革、新たなビジ
ネスモデルの創出や製品開発など多岐にわたるが、経営にとっての道具、手段であるという本質
は変わらない。しかし、従来は、経営の道具であり手段である情報システム自体の資産価値、保
有そのものに対する価値が過大評価されていた傾向がある。クラウド技術の進展は、情報システ
ムの位置づけを「保有するもの」から「活用するもの」へ変えていくものであり、情報システム
の評価を本来の役割どおりに改めるきっかけになるものであると考えられる。
一方、情報システムを支える情報技術に求められる本質は、大きく変わるものではない。
情報シテムを安心して経営に活用するために情報技術に求められるものは、RASIS(Reliability,
Availability, Serviceability, Integrity, Security)すなわち、信頼性、可用性、保守性、保全性、
安全性である。しかし、クラウド環境においては、これらの実現には、従来以上に高度な技術力、
あるいは従来とは質的に異なる素養が要求されるようになると考えられる。
同時に、ユーザ企業の果たす役割、ベンダ企業の果たす役割の重点にも変化が起きてくると考
えられることから、以下においては、このような変化において、
・クラウド利用の進展に伴いユーザ企業、ベンダ企業、それぞれにおける IT 人材の求められ
る役割の変化
・クラウド利用の進展に伴うユーザ企業、ベンダ企業、それぞれにおいて重要となる技術者像
・クラウド時代に活躍できる技術者となるために必要なこと
の 3 点からクラウド利用の進展に伴い求められる人材とその育成について述べる。
(1) クラウドが企業に与える影響
①
ユーザ企業に与える影響
クラウドは、SaaS を例に考えるとユーザ企業にとって次のメリットが考えられる。
・情報システム投資不要・・・情報システムを所有せず利用することが可能になる。
・情報システム・コストの変動費化・・・利用量に応じた支払いが可能になる。
・情報システムのクイックスタート、クイックエンド・・・必要なときにすぐに情報システ
ムの利用を開始でき、不要になったときもすぐに利用をやめることができる。
・インフラコストの価格破壊的な低価格化・・・仮想化技術でインフラ設備が共用化される
こと、クラウドの専門事業者間の競争が期待できることからインフラ関連のコストは大
きく下がることが期待できる。また自社で設備を持つ必要がないためスケールアウトの
心配も少ない。
PaaS、IaaS の利用についてもインフラ部分では、同様の効果が期待できる。
ユーザ企業にとってこれらのメリットはビジネスニーズに応えるにあたり大きな強みになる。
「情報システムを作るものから使うものへ」の流れは確実に進展するものと考える。
一方、クラウドを企業システムとして利用する場合には、既に 4.及び 5.でも述べたように、技
術的な課題の他、信頼性、セキュリティ、可用性、被監査可能性、ベンダロックインなどの課題
が考えられる。
149
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
これらの課題はいずれも、クラウドがまだ黎明期であり、情報システムという経営にとって重
要なインフラを他社に依存するのに十分なほどサービスが成熟していないことに起因する。現時
点ではミッションクリティカルな情報システムをクラウドで行おうとする大企業はない。しかし
これらの課題もいずれは技術的及び運用面の整備で解決に向かうと期待される。
現在 SaaS、PaaS を活用している企業では、仮に最悪の場合そのシステムが停止しても経営に
深刻な影響を与えないノンミッションクリティカルな分野に採用していることが多く、従来の自
社個別開発に比べサービスインまでの時間が圧倒的に早く、コストも大幅に削減したところを評
価している。このように、従来型システムは徐々にクラウドを活用したシステムに変わっていく
ことが想定される。
ユーザ企業にとってクラウドのもう一つの使い方は、新しいビジネスモデルや競争力のある新
しいプロセスモデルの創造(クリエイティブクラウド)である。クラウドのコスト構造だからこ
そ実現できるモデルをいち早く見つけ経営に活かして行くことこそユーザ企業の本分である。
②
クラウドがベンダ企業に与える影響
ベンダ企業の顧客であるユーザ企業がクラウドを活用し始めるとベンダ企業も必然的に変わ
らざるを得ない。
クラウドが進展してくるとユーザ企業は SaaS、PaaS、IaaS をそれぞれの業務ごとに使い分
ける。従来型の独自構築のシステムは残るものの、ノンコアの領域から徐々に SaaS、PaaS、IaaS
に移行する。図 6-11 は、クラウド導入に伴う IT 利用の変更を図示したものである。企業内で各
形態のシステムが混在する形となり、それぞれが連携して企業としてのシステムの全体像を形成
する。したがってそれぞれのシステムはサービスとして認識されることになる。
顧客
RFP
顧客
サービスの
垂直統合
イン
ンテグ
グ
レーション
System Integrator
Service Integrator
アプリケーション
サービス
SaaS Application
PaaS
ハード
IaaS
HaaS
ハード
現状
今後
図 6-11
(従来型)
(IaaS利用)
Public & Private
(PaaS利用)
基盤
盤
クラウド環境
固有
アプリケーション
開発
or
パッケージ
カスタマイズ
SaaS Application
固有
アプリケーション
開発
or
パッケージ
カスタマイズ
固有
アプリケーション
開発
or
パッケージ
カスタマイズ
SaaS Application
開発
ニーズ
は減少
傾向
徐々に移行
固有
アプリケーション
開発
or
パッケージ
カスタマイズ
サービスの
水平分業
提案型
(SaaS利用)
クラウド導入による垂直分業から水平分業の動き
従来ベンダ企業は顧客企業の課題を解決するためのソリューションをハード、システム構築、
運用まで一括して提供してきた。クラウドの利用が進展すると顧客に対する価値の提供形態が多
様化する。特にクラウド環境の提供は規模の経済が働くため、クラウド環境を提供するベンダ数
150
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
は限られると考えられる。そのため各ベンダの競争領域が基盤、サービス、インテグレーション
の各領域に分かれることによりベンダ企業のビジネスモデルは垂直統合モデルから水平分業モ
デルに移行していくと予測される。
水平分業の世界ではベンダ企業はビジネス形態ごとに複数のプレイヤーに分かれる。ここでは
次の 5 つを想定してみた。
1) クラウドベンダ・・・クラウド環境を提供
2) アプリケーション・ディベロッパー・・・クラウド環境下で固有システムを開発
3) SaaS ベンダ・・・SaaS を提供
4) サービス・インテグレータ・・・顧客ニーズを複数のサービスの組み合わせで対応
5) ツール・ベンダ・・・クラウド環境下で汎用ユーティリティやソフトウェアパーツなどを提
供
(2) クラウド時代に重要になる IT 人材
クラウド時代にどのような IT 人材が必要になるのかは、まだはっきりとした結論は出ていな
い。そこで、(1)で述べた企業への影響を踏まえつつ、先進的にクラウドサービスに取り組んでい
る事業者からのヒアリングなどを踏まえて、ユーザ企業、ベンダ企業の別に重要となる IT 人材
像を整理してみた。
①
ユーザ企業において重要になる IT 人材
ユーザ企業の IT 部門は、経営に必要な IT システムの構築を主に担当してきた。経営の中で IT
システムが重要性を増すにつれ、業務効率化のためのシステム開発中心から最適な経営プロセ
ス・業務オペレーションの提案、改善、情報セキュリティやコンプライアンスに対するガバナン
スなど従来経営企画部門が担当してきた領域まで担当業務範囲を拡大しつつある。
ユーザ企業にとって、クラウドの進展により情報システムは、作るものから使うものに変わる。
この流れは、IT 部門の業務変化を加速させると考えられる。4.2(3)④でも述べられたとおり、IT
部門の業務の中で情報システムの構築や運用に関するウエイトは下がり、どのように IT を使っ
て経営を効率化させるか、顧客価値を生み出すか、というユーザ企業の IT 部門本来のミッショ
ンにさらに重点がシフトしていく。
そのためユーザ企業にとっては、クラウドの特性を理解し、クラウドだからできる新しいビジ
ネスモデルやプロセスモデルを創造していく人材が求められる。
一方、ユーザ企業が直接クラウドを使いこなして全社のシステムを整備していくためには、特
定ベンダにシステムごと丸投げすることはできない。企業システム全体像を設計するアーキテク
ト人材が必要になる。
さらにクラウドは、発展途上の技術であり、使いこなして企業として必要なサービスレベルを
確保するためにはクラウド基盤上でシステムを設計、構築する人材も必要と考えられる。
②
ベンダ企業において重要になる IT 人材
クラウドの進展は、ベンダ企業にとり新たなビジネスチャンスを生み出す。クラウドの特性を
活かしたスケーラブルで低コストのソリューションの実現は、顧客であるユーザ企業に新たな IT
151
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
の活用を目覚めさせる。今後ビジネスの中で映像や音声の活用が進むであろうし、RFID118の活
用に代表される膨大なボリュームのセンシング情報の活用も可能になるだろう。
また、SaaS などの進展は、今まで IT をあまり活用してこなかった中小のユーザ企業にも IT
利活用の恩恵を受けやすくする。メールやスケジュール管理、ナレッジ共有、ワークフローなど
のオフィスワークの生産性向上だけでなく、受発注業務、会計業務など基幹業務での IT 活用も
一段と利用しやすくなる。また、ウェブプロモーションやオンライン販売など IT を活用した新
しい取り組みへの可能性も広がる。さらには地図情報など既存の他のサービスとのマッシュアッ
プでこれまでの延長線上では考えられなかったサービスを顧客に提供できるかもしれない。
ユーザ企業を支える IT ソリューションの提供は、今後も発展し続ける。その中でベンダ企業
の提供する付加価値は、図 6-12 に示すように、開発から企画、運用に移行していくと思われる。
このような環境変化の中、ベンダ企業にはいろいろなタイプの IT 人材が必要になると考えら
れる。以下そのタイプごとに整理してみる。いずれの場合も高い専門性を持つもののみが求めら
れる。
図 6-12
◆
クラウドの進展でベンダに求められる人材ニーズの変化
新たなサービスや活用方法を創造する人材
クラウドを利用するからこそ実現できる新しいサービス(クリエイティブクラウド)がこれか
ら次々出てくると思われる。大量のセンシング情報や映像情報を使ったサービスなど Google や
Amazon とは異なる日本ならではの新しいサービスが日本発で出てくることを期待したい。その
ためにはしっかりとした技術ベースがあり、かつ発想の豊かなクリエータとしての人材が望まれ
る。
まったく新しい分野でなくてもクラウドを使うことによりユーザ企業にとって使いやすいサ
ービスが出現すれば、そのサービスにより恩恵を受けるユーザ企業は多くなる。ひいては企業の、
そして産業全体の IT を活用した生産性や競争力の向上につながっていく。SaaS ベンダにとって
はこのようにユーザニーズの高いサービスの企画、開発が勝負になる。ユーザ企業に選ばれるサ
ービスを開発するために、その分野においてユーザ企業と同等以上の業務知識が必要になる。
その他の視点で見ると、クラウドの時代には、ソフトやサービスなどが容易にグローバルで販
118
RFID(Radio Frequency IDentification):ID 情報を埋め込んだ RF タグから、電磁界や電波などを用いた無線通信によって情報をやり
とりするもの、及び技術全般を指す。
152
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
売できるようになり、ニッチなビジネスが成立しやすくなる。技術的に優れた汎用性の高いツー
ルやサービスは、グローバルに需要があり、今まで世界を相手に仕事ができなかった中小企業に
も大きなチャンスになる。世界で戦えるソフトウェアを生み出す人材が育ってくることを期待し
たい。
企業経営の中でクラウドを活かす人材
ベンダ企業が従来から担ってきた「ユーザ企業の経営課題について IT を活用して解決する」
という役割は今後も変わらないだろう。今まではこの役割を、システムを構築することで果たし
てきた。クラウドが進展するとそのソリューションの選択肢が増える。例えば、ユーザ企業の経
営を熟知し非競争領域については、
「SaaS などの汎用的なサービスを用いて生産性をあげ、競争
領域は固有サービスを開発することで競争優位を図る」という提案も必要になる。システムを構
築することに重点があった従来のシステムインテグレータに比べ IT を活用してどのようなビジ
ネスモデルを実現するのか、どのようなプロセス改革で差別化を図るかという提案力がより強く
問われる。またソリューションを複数のサービスの組み合わせで実現することからサービスイン
テグレーション能力が重要になる。
中小企業にとってクラウドは IT を活用しやすくするものであるため、中小企業に対し適切な
IT の利活用を支援するニーズは増える。但し IT そのものにかかるコストに対し支援にかかるコ
ストのウエイトが大きくなるため、中小企業への IT 活用の支援はさらに経営に踏み込んだもの
にならざるを得ない。
◆
クラウド上でシステムを構築する人材
クラウドの進展により、従来は自前のシステム構築を行っていた案件がサービス活用に移行す
ることは大いに考えられる。しかし、すぐドラスティックに変わってしまうとは言えない。また、
クラウドが進んでも IT を企業経営の差別化手段として用いる限り各企業固有のシステム開発は
あり続けるし、クラウドを活用するからこそ実現できる IT 活用も次々と出てくるのでシステム
開発需要が極端に減少することは考えにくい。
しかしながら、システム構築の質は変化し続ける。従来のように各ユーザ企業が同質の情報シ
ステムを構築し続けることは、もはや期待できない。かつシステム構築プロジェクトの中で単純
化された業務は、オフショアなどで流出あるいは低価格化することが予測される。この状況の中
で現在 IT 産業の人材のボリュームゾーンとなっているシステム構築に携わる人材は、クラウド
基盤上でのシステム構築に適した開発スキルやソフトウェアの再利用率を高めるなどのビジネ
ス感覚を身につける必要がある。
◆
クラウド環境を構築、維持、運用する人材
クラウド環境では、複数のユーザが同一の基盤を利用するため、その稼動を保証するには技術
的に極めて高度な基盤構築力、維持運用力を必要とする。保証するサービスレベルが上がるほど
ユーザ企業にとって利用価値が高まり、技術力をベースにしたサービス競争が進むと予測される。
そのためクラウド基盤を設計、構築する人材には高信頼性、低コスト、スケーラビリティを実現
する能力が、クラウド基盤を維持、運用する人材には同一基盤上で複数のシステムを安定的に高
い信頼性かつローコストにオペレーションできる能力が求められる。クラウド基盤を提供できる
企業は限られ、高度なスペシャリスト集団がこれからの様々なイノベーションに対応していくで
あろう。
◆
153
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
(3) クラウド時代に活躍できる技術者になるために必要なこと
①技術者個人の心構え (変化への対応に敏感になり、自ら努力せよ)
図 6-13 は、IT に関連する企業と個人に「SaaS やクラウドは産業のビジネスを大きく変える
か」、
「この産業で働く人材の仕事の内容は大きく変わるか」という設問に対する回答である。企
業、個人ともビジネスが変わると考えている割合が高いが、ビジネスが変わるほどには仕事内容
は変わらないと考えており、その危機意識は、企業より個人のほうが弱い。
設問:SaaS やクラウドは、IT産業のビジネスを大きく変えるか
A:大きく変える
B:産業の主流ビジネスは変わらない
設問:IT 産業で働く人材の仕事の内容は変わるか。
A:大きく変わる
図 6-13
B:基本的には現在の延長
クラウドの進展に伴う意識調査の結果(「IT 人材市場動向調査 2010」から)
154
-__-
クラウド・コンピューティング社会の基盤に関する研究会
報告書
IT 技術者の個人の意識については、次の世代で活躍できる IT 技術者であるためには自らが必
要な人材へと変わっていく強い思いが必要であると考えられる。IT 業界の中で今何が起ころうと
しているのかを常に探り、自分にどのように影響するのかを考え、それに対応するための取り組
みを始めるべきではないか。
②
企業としての人材育成(組織のビジョンと必要な人材像を従業員へ伝える)
今後のユーザ企業、ベンダ企業それぞれの役割がより分業化、明確化していき、人材には高度
なスペシャリティが求められるようになっていく。このような変化の下で、人材育成にとって重
要となるのは、それぞれの企業がどのようなビジョンをもって進んでいくかを明確にし、それを
従業員に伝えることである。従来のように、何でもできそうな人を漠然と育てて仕事が来たら何
でもやらせるといった方針では、人材は育たない。明確なビジョンの下、必要な人材像に向け必
要なスキルを磨いていき、企業と技術者が win-win の関係を構築することが、それぞれの企業で
真の戦力となる高度な人材を育成することになると考える。
(4) クラウド時代の人材育成
以上で述べてきたとおり、クラウドの利用が進展し、社会に浸透していくにしたがい、求めら
れる IT 人材像が変化していくことは不可避であると考えられる。
今後、ユーザ企業、ベンダ企業、また、それら企業で働く IT 技術者一人一人はもとより、公
的セクタにおいても、産学官の関係者の協働を通じてクラウド時代の IT 人材像に合わせた育成
策の検討、実施に取り組んでいくことが重要であると考えられる。
155
-__-
クラウド・コンピューティング社会の基盤に関する研究会
<参考>
報告書
技術を中心としたクラウドのロードマップ
クラウドコンピューティングのロードマップを以下に作成した。
作成においてはクラウドコンピューティングを「パブリッククラウド」、
「プライベートクラウ
ド」に分け、別途「クラウド基盤」についての見通しを記述した。
2010 年
マイルストーン
2009 年
99.95%
2014 年
2013 年
・データセンタ向
模 1600 億ドル
けサーバ可用性
けサーバ可用性
99.999%
・IPv6 への移行開始
・Microsoft(MS)で
パブリッククラウド
SaaS サービス利
Windows Azure 商
用開始
用サービス開始
・日本でもベンダ
・MS Office の web
でクラウドサービ
Application サービ
ス供用開始
ス開始
・J-SaaS サービス
2012 年
・クラウドの市場規
・データセンタ向
・一部ユーザが
2011 年
・パブリックとプライベートのクラウドの連携などクラウ
ド間の連携が進む
・ユーザ企業の自社導入サーバ数の減少
(自社システムとパブリックとの並行運用)
・今までローカル PC で処理していた、メール、スケジュール管理、
文書作成、表計算などのオフィスソフトが、Google、Yahoo!など
が提供する SaaS 型サービスに移行開始
プライベートクラウド
・米国、英国で政府がクラウドを推進
・大企業のミッションクリティカルな業務でも一部にクラウド
技術が導入され始める
・自社内にク
・仮想化技術によるサーバ統合が一層進む
ラウド環境
をつくるソ
・DaaS(Desktop as a Service)の普及
フト・ハード
製品が提
供され始め
る
・グローバルサービスを展開している企業を中心
・大規模データセンタの建設
に、プラットフォーム間の連携や淘汰が進行
・データセンタ間の連携
クラウド基盤
・ガイドラインに基づいた、セキュリティ技術、相互運用性などの
標準化、実装が本格化
・各種団体・組織
・携帯端末の高機能化に対応した試用サービス提供開始
がクラウド技術
の提言
・日本において、クラウドに関連した各種提言・ガ
イドラインが提示される
・政府などで各種
研究会立ち上
げ
*マイルストーンの可用性については、新エネルギー・産業技術総合開発機構(NEDO)「技術戦略マップ 2009」コンピュータ技術分野のロードマ
ップを参考に作成
156
-__-
Fly UP