第3回クラウド利用者会議　レポート

2016年11月15日
CSAジャパン　諸角昌宏

第3回クラウド利用者会議は、「AWSクラウドの進化と真価　～クラウド利用の新しい段階～」というテーマで、渥美俊英氏に講演していただいた。会議は、9月30日(金)に開催し、クラウド利用者を中心として12名に参加いただいた。ここでは、会議の概要について記述する。

渥美氏からは、以下の3点について説明していただいた：

1. AWSのエンタープライズ拡大と効果　－　組織・開発の在り方の変化
   AWSは、日本において20,000ユーザ、世界で100万以上のユーザを抱えている、文字通り世界のIaaS市場のリーダーである。AWSの機能は年々拡張されており、今では提供するサービスの数は70を超えている。その中で、特徴的なのは、新たに提供された機能のおよそ1/4がいわゆるセキュリティ機能で、コンプライアンス、統制、監査が含まれている点である。
   機能拡張は、基本的に利用者からの要望に基づいてAWSが自ら考えて社内実装している。これまでの他のITベンダは、事業拡大に際して買収合併を通じて新しい製品や機能を追加することが少なくない。このため必ずしも首尾一貫した製品体系でなかったり、利用者にとっては不必要な機能過多で、価格がより高額になることが現実に多い。この点、AWSの姿勢は大きく異なり、利用者が必要な機能について優先的に基本機能を早期に提供し、細かな機能は利用者からのフィードバックから次々と機能を追加し完成度の高い製品に仕上げてゆく。これを実現できるのは少数精鋭（2枚のピザを共に食べられる程度の小さなチーム）の社内開発チーム組織による。そして、このAWS自身の高速な開発を支える仕組み、開発・配備・運用のIT基盤自体も新しいサービスとして次々と提供している。利用者はこれらの様々な機能を使い自らの開発の仕方も変えてゆく段階に入っている。
   今年6月に開催されたAWSサミットでは、国内の大手企業による事例やクラウドの取組みを語る講演において、AWSは単なるIaaSとしてではなく、自社の開発やビジネスの在り方、社内組織の在り方、SIerとの付き合い方を変えてゆく段階にはいっていることが数々と語られた。
2. AWSのセキュリティ　－　コンプライアンスの進化
   顧客の要求に対しては高額な対価で個別に対応するのが今までの多くのITベンダーのビジネスのやり方であった。これらは、エンジニアやコンサルタントの人手をかけた人間的な対応ということで行われていることが多い。これに対して、AWSでは、あらゆる顧客の要求というものに対して、自前でソフトウエアで対応しサービス化するという方法を取っている。これにより、重要顧客への個別対応ということではなく、すべての顧客に対して利用できるようにし、全く同じ機能をその他の顧客に対しても（個人であっても）同じプライスで提供している。金融機関や医療系、政府系などのセキュリティ、統制が厳しい利用者の要求を満たした同じサービスが、自分から要件を固めなくても安価に利用できる。小規模で資金の乏しいスタートアップ企業でも、グローバルの巨大企業と同じレベルのIT基盤サービスを利用できるわけで、これがいわゆる、ITの民主化というものを実現している。
   AWSのサービスは責任共有モデル（OSより上はユーザ責任で、仮想OS以下はAWSが責任を持つ）という考え方による。AWSにおけるセキュリティとコンプライアンスの対応は、この数年で以下のように進化してきている：

   ①   ISMS等の認証取得や業界ガイドラインへの準拠
   ②   Customer enabler docs（ホワイトペーパー等の様々な公開文書）
   ③   Customer case studies（利用者の事例と知見の共有）
   ④   Security by Design （設計にセキュリティを組み込む）

   上記の流れを説明すると次のようになる。最初は、ISMS等の認証を取得することで、安全かつ信頼できるプロバイダであることを示してきた。2番目のステージでは、その対策や管理策を文書の形で公開することで、顧客に対して透明性を保つようにした。これにより、顧客は自社のリスク管理に対して、クラウドを利用した場合のプロバイダのセキュリティ対策を判断できるようになる。さらに3番目のステージでは利用者の数々の事例が公開され、利用者側がセキュリティをどう考えてコントロールしているかなどの情報が共有される。個々の要件に対して人間系の個別対応ではなく共通のソフトウェアでサービス提供をしているので、他社の事例は具体的な実装の参考にし易い。 さて、このような流れの延長として次に進められているのが4番目のステージで、Security by Designという考え方である。これは、顧客が必要とするセキュリティ対策をAPIを用いてコントロールできるようにし、それをシステムの設計段階からアーキテクチャの中に組み込んでいくものである。AWSのインフラストラクチャーで共通の、アクセス管理、ログ記録、暗号化、鍵管理、監視、構成変更、アプリケーション配備等のサービスを組み合わせて、システム開発から運用監視、監査までも含めて一気通貫でコントロールすることが現実的なソリューションになりつつある。さらに人間系の設定ミスや考慮漏れを低減するサービスも高度化されてきている。たとえば、AWS Trusted Advisorサービスでは、利用者の現状のシステム構成や設定に関して、AWSのベストプラクティスの蓄積データから、コスト削減やセキュリティ上の警告、改善のアドバイスが人手を介さずにソフトウェアで自動的に開示される。また、Amazon Inspectorサービスでは、顧客毎にポリシーを設定し、それに反する設定はリアルタイムで通知がされる。これらは全てソフトウェアによるサービスのため、無料か、サポートに含まれるか、または極めて安価である。AWSはこのように様々なサービスを組み合わせることで、オンプレミスの代替えというIaaSの段階を越えて、システム開発から運用までを、安全に効率化、俊敏化する利用価値を持つものに進化している。今年12月に行われるAWS最大のイベント、re:Invent では毎年数多くの革新的なサービスが発表され、興味深い先進的なユーザ事例を聞くことができる。ここで新たに公開される情報に期待する。

3. クラウドを取り巻くガイドライン、規制　－　FISC安全対策基準、EUデータ保護
   AWSは、数多くの認証、国際標準や各国の業界ガイドラインを満たしてきているが、満たすだけではなくクラウド事業者の透明性として幅広くその情報を公開している（重要なものは日本語化されている）。例えば、クラウドセキュリティの統制に特化した第三者監査のSOC2対応については、利用者はNDAベースでAWSから監査レポートを取得することでセキュリティ対策についての情報を入手することができるようになっている。このように、セキュリティ監査の仕組みを取り入れて利用者に開示することで、「技術」＋「監査/コンプライアンス」というAWSの保証プログラムが展開できている。 金融機関はクラウドから縁遠いと思われているが、既にソニー銀行、ジャパンネット銀行では業務システムでAWSを利用する事例が公開されており、また、今年のAWSサミットではMUFGの役員がパネル登壇してクラウドの必要性を語っている。金融機関のITシステムは、金融庁の外郭団体である金融情報システムセンター（FISC）が発行する「金融機関向け安全対策基準」を業界ガイドラインとしている。2012年のAWSサミットでは、このFISC安全対策基準にAWSが準拠しうる、というドキュメント一式がボランティアで作成され無償公開が発表された。その後、2015年の安全対策基準追補改訂においてクラウド利用の項目が追加され、AWSのようなデータセンターの訪問を認めないクラウドについて、金融機関がリスク管理する実践策の例としてSOC2監査レポートの活用が具体的に示された。このように金融業界においても金融機関が直面するグローバルな競争を鑑み、クラウド活用を推進する方向にある。
4. また、プライバシーの観点からは、EUのデータ保護指令（2018年からデータ保護規則として施行）に対してAWSは個人データの国外移転に関してEUとの調整が完了している。これにより、AWSの利用者は一定の手続きで、EUで自社が管理する個人データをAWS上の各国のリージョンに移転が可能で、個人情報を一貫して扱うことができる（注：AWSだけでなく、マイクロソフト、セールスフォース等がこの調整を完了している）。しかしながら、日本でEUの個人情報を扱う場合には、AWSのクラウド上でデータを扱うことはできるが、日本国内の他のデータセンターにダウンロードしたりプリントしたりすることは、そのままではできないことに注意が必要である。そのほか、日本の個人情報保護法では個人データの国外移転に関してクラウド環境は念頭におかれていない。各国で定められている個人情報に関する規則のうち、日本の個人情報保護法はAWSをはじめとするグローバルなクラウド事業者との調整対象から外れているというのが現状である。

以上の渥美氏からの講演を受けて、参加者全員でディスカッションを行った。今回は、上記の講演中に突っ込んだ議論が行われたため、ディスカッションにあまり時間が割けなかった。その中で、ディスカッションの中心は、これだけ進化しているAWSを支えているAWSの文化という点になった。

まず、このように進化しているAWSを利用者側の企業が積極的に使っているのかどうかという点では、まず大局的な動向として、AWS、MSのクラウド事業は年40％以上拡大しており文字通り急成長している。この数年の利用者は先進的なユーザが多く、これからは必ずしも先進的ではないマジョリティユーザの比重が大きくなってくるため、現場では様々な考え方がでてくる。これらのユーザ企業では、社内的にAWSを積極的に利用していきたいという人とオンプレや従来の慣習にこだわる人がいて、なかなかAWSの採用に踏み切れないケースもあるということであった。AWSなのかオンプレなのか、何らかの評価方法があれば判断できるのかもしれないが、コスト比較の積み上げでも既存のデータセンターや組織維持のコストが過少になりがちであったり、適正な比較が難しいケースもある。さらに、日本では購買部署においてITベンダへの個別値引きを当然とする長年の慣習があるが、AWSでは個別値引きやパートナーの仕入れ価格という考え方は基本的に無く、定価そのものを誰に対しても共通に値下げをするというこれまでのITベンダに無い独特の考え方がある。これが理解できないと、現場部門では技術やサービス面で良い評価なのに購買規定や購買慣習で意外に手間取るケースもある。今後クラウド市場は伸びるが、CIOあるいはCISOが部長レベルである日本企業においては、企業としてAWSを採用するというような意思決定には、まだまだ様々な有形無形の抵抗要因があるようである。

一方、会議参加者の中から、クラウドプロバイダとしてAWSを採用しているファイルフォースは、その経緯について次のように説明している。IaaSを利用するにあたっていくつかのクラウドを評価した結果、AWSは他のクラウドに比べて価格は高い。しかしながら、複雑なECOシステムを構築するにあたっては、マネージドされたサービスが提供されているAWSが魅力であるということであった。クラウドをコスト削減の選択肢という観点だけで捉えるのでは不十分であり、総合的にプロバイダを評価することが重要であるとのことである。

それでは、この進化し続けるAWSを支えている要因はということであるが、以下のようなAWSの企業としての特徴によるものと考えられるということであった。

• 徹底した顧客（エンドユーザ）志向。顧客志向という言葉はおよそどの企業でも掲げているが、従来のITベンダでは、ややもすると新製品や買収の投資回収のために、高価格、高付加価値、高機能スイート製品のまとめ買いの営業を重視することが現実だった。AWSは徹底して、低価格、ユーザが必要とする機能、革新的な製品を素早く提供することを重視し、組織もそれに特化している。
• 従来のITビジネスの基本である仕入れ、仕切りの考え方が基本的に無い。エンドユーザもパートナーもAWS利用料は基本的に変わらない。「パートナーに与えるマージンやキックバックの余裕が少しでもあるなら、全てエンド向けの製品サービスの値下げをする」とAWSのトップは公言している。SIerの伝統的な経営には辛いスキームで、これゆえにSIer社内にはAWSビジネスへの抵抗や無関心も当然あるが、中期的にはSIerならではのソリューションに特化することが求められており、これは結局IT業界としてエンドユーザへの貢献となる。
• AWSは従来のITベンダ（だけではないが）が常識としてきている営業接待にはコストをかけず、その余裕があれば値下げをする。前述の米国で開催されるre:Invent イベントへの日本からの参加（今年は500名以上）は、ユーザ企業もパートナー企業も開発者個人も基本的に自費である。AWS推進者の多くはAWSを追う強い熱意を持っており、このような意識の関係者がAWSを支えている。
• AWSは他企業の買収は限られたケースだけで他のITベンダのような多数の関連買収を行わない。自前の開発にこだわっている。顧客の要望（XXに困っている、というレベルでもいい）、要件をソフトウエアでゼロから実装するため、出来上がったものの一貫性が保たれるとともに完成度も高くなる。
  AWSは顧客とのミーティングを重視している。特に米国本社のトップ、製品マネージャとのミーティングは、経営や製品開発への直接のインプットとして最大限重視している。但し、日本企業の幹部がやりがちな、いわゆる、”Say Hello”的な挨拶や面識作りだけの顧客訪問は時間の無駄として良しとされない。これは他のこれまでのITベンダの営業文化とは大きく異なる。顧客とAWSが、要望や要件をベースに真摯に話し合い、それをソフトウエアで実装していく。顧客も、エスカレーションや自分の意見を積極的に示す姿勢であることが期待されている。

これらは、AWSが持っている独特の文化、行動様式であり、これが続く限り、そう簡単に他社の追従を許すことはないだろうという結論になった。

最後に、これは時間が足りずに議論することができなかったのであるが、今後クラウド利用者会議で議論していきたい話題を１つあげる。それは、クラウドがセキュリティ人材の不足問題を解決するのではないかということである。セキュリティを、ソフトウエアおよびサービスで提供するAWSのアプローチは、提供されたセキュリティ機能を利用してセキュリティ対策を行うとともに、サービス化された仕組みを組み合わせて、自らのガバナンス、ポリシーを効率的に実現することができるようになる。しかも、グローバルで一貫しているので、企業の規模などにとらわれずにセキュリティ対策を取ることができるようになる。このクラウドにおけるセキュリティ対策により、有象無象なセキュリティ課題に対して一貫した対策を取ることができ、セキュリティ人材の不足をカバーすることができるのではないかと思われる。また本格的なクラウドの進展により、求められる人材像も変わってくる。これまでの個々のベンダー製品に関する製品固有の知識やコマンド操作ではなく、本来のセキュリティやネットワークの原理・原論の知識と応用、利用企業のビジネス要求の理解とコントロールのしっかりした考え方は、逆に極めて重要になってくる。さらに進んで、言われた通りのベンダー製品の導入運用監視をするだけのセキュリティ人材は、かつての電話交換手のように、いらなくなる時代が来るかもしれない。

クラウド、特にAWSのセキュリティの進化には、これからも注目していきたい。

以上

日本クラウドセキュリティアライアンス
諸角　昌宏

1月25日に行われた第19回CSA勉強会では、「欧州の社会課題解決型イノベーションと個人データ保護」ということで、笹原英司氏に講演していただいた。今回は、勉強会としては初めて「特定非営利活動法人横浜コミュニティデザイン・ラボ」との共同開催ということで、いつもとは違った交流を行うことができた。

ここでは、勉強会で解説された内容をいくつかトピック的に記述する。なお、内容について笹原氏にレビューしていただいた。

1. EUにおけるeHealthの考え方
   EUにおいては、イノベーションのベネフィットと個人データ保護のリスクのバランスを図ることが政策目標となっている。EUでは、国境を超えたヘルスケアが日常的なため、複数の国で利用されることを前提としつつ、eHealthによるイノベーションの成果を社会課題解決のためのソリューションとしてパッケージ化して海外に輸出することによって、雇用創出や経済発展につなげようとする考え方が一般的だ。このようなEUの発想は、日本にとって参考になる点が多い。
2. EUにおける個人データ保護
   EUの方が米国等に比べて、個人データの対象範囲が広く、かつ、厳しくなっている。ただし、あくまでもイノベーションと消費者保護のバランスを取りながら、時代の経済政策と共に変化している。 昨年(2015年)、新たに「EU保護規則」が合意された。従来の「指令」が「規則」に代わったことにより、すべてのEU加盟国に一律適用されるものとなった。ちなみに、「指令」の場合は、EUが定めた共通ルールに基づいて各国が具体的な対応策を決めることになる。これらの動きと同時並行で、IoTやBigDataのセキュリティ/プライバシー保護に関するルール作りも進んでいる。
3. デンマークの医療
   デンマークは、電子政府/オープンデータ基盤を非常にうまく利用している。高い普及率の電子カルテシステムをベースに、ナショナルデータベースを構築・運用しており、これに基づいた分析データが様々に利用されている。これは、国民共通番号制に基づくデータの収集および利活用を、中央政府と地方政府、市民、企業が協働することで実現しており、その背景には、子どもの時からの教育重視の姿勢がある。デンマークの教育では、社会参加意識を非常に重視しており、市民参加を誘発するように教えられている。たとえば、デンマークで電子投票を行うと90%以上が投票するということである。また、ノーマライゼーションの原則があり、障害者と健常者が区別されることなく社会生活を共にするという意識が徹底されている。このような文化が根付いているデンマークでは、個人データの収集と利活用が全国民参加の上で実現できている。
4. 日本におけるデジタルヘルスラボ・プロジェクト
   演者が関わっている活動の1つとして、デジタルヘルスラボ・プロジェクトがある。これは、デジタルハリウッド大学大学院と横浜市が協業して行っているもので、「デジタル」＋「医療・健康」の分野で起業またはサービス開発を支援し、その「実装」を本気で追究している。通常、ビジネスモデルの検討で行き詰るのは、お金の問題等で実装ができないということが多い。このプロジェクトでは、実装を追求することで企業およびサービス開発を支援していくということである。医療系のサービス開発に際しては、個人情報保護やセキュリティ対策が常につきまとうので、早期から取組を始める必要がある。
5. CSAは何をやっているか？
   EUとCSAの協業活動として、以下の2つを進めている。
   1. Cloud Security Alliance Privacy Level Agreement WG
      EUのレベルでの個人情報保護のチェックリストを作成し、米国のクラウドベンダーがEUでビジネスを行うためにどうすれば良いかを記述したドキュメントを公開している。これには、従来のセーフハーバー対策も含まれており、今後は「プライバシーシールド」への対応がテーマとなる。
   2. SLA-Ready
      EUの活動の一環として、中小企業向けの振興策としてのクラウド利用に対して、どのようなSLAであればセキュリティが担保できるかの検討を行っています。SLA-Readyについては、以下のCSAジャパンブログで触れているので、こちらを参照していただきたい。 http://cloudsecurityalliance.jp/newblog/2015/02/13/sla-ready%e3%81%8c%e3%83%a8%e3%83%bc%e3%83%ad%e3%83%83%e3%83%91%e3%81%a7%e7%99%ba%e8%b6%b3/

さて、上記のようなEUにおける個人情報の扱いを踏まえて、日本が今後どうなっていくのか。グローバルの視点に立って、我々も考えていく必要がある。また、「Privacy Level Agreement WG」や「SLA-Ready」の内容については、日本にも適用できる部分も大きいので、いろいろと検討を進めていきたい。

以上