BPStudy#54の発表資料です。 クラウドの導入可否を検討するポイントを法務、セキュリティを中心に簡単に解説します。

1. 2012/02/24 @BPStudy#54
発表資料
クラウドを
導入するまでの
ポイントを真剣に考えてみた
http://www.velc.co.jp
1

2. ヴェルクは
こんな事やってる会社です
クラウド

3. まだ設立して1年ちょっとですが

4. 世の中を少しでも便利で
楽しいものに
変えていきたいと
わりと本気で考えています

5. さて、本題に入る前に
ひとつお断りを。
5

6. 我々はクラウドが全てのシステムの
共通の最適解とは
考えていません。
6

7. 我々はクラウドが全てのシステムの
共通の最適解とは
考えていません。
ただし、多くの誤解や思い込みで
クラウドを必要以上に
敬遠してしまっている方が
多いのも事実
7

8. クラウド導入を検討する際の
ポイントをご紹介します
8

9. クラウド導入のカベ1
クラウド導入のカベ2
クラウド導入のカベ3
事例のご紹介
9

10. 第1のカベ
「企業としてのクラウドの導入可否」
10

11. パターン1
外部の会社へのデータ保存が
規定で明確に禁止されて
い
る
場
合
11

12. おとなしく
自社サーバルームorハウジング
使いましょう

13. 「あれ？規定があるのに
ホスティング使っているけど・・・」
というアナタ。
法務担当者、情シス担当者に
軽く詰め寄ってみましょう
13

14. パターン2
社内規程上のルールが特に無い場合
14

15. セキュリティの考慮を胸に
次の検討ステップに進みましょう
15

16. 第2のカベ
国内クラウド？海外クラウド？
16

17. 代表的な国内外の
パブリッククラウド事業者
17

18. 国内事業者と
海外事業者の
違いは？
DC自体が日本国内にあれば
実質同じなのでは？
18

19. 例えばAmazonクラウドの場合、
東京リージョンを利用していても
米国法の適用範囲となる。
19

20. 事例
2009/4/2 AM6:00
IDC事業者のCore IP Networks社が
米パトリオット法により
FBIによる強制捜査が入る
20

21. DC内全機器の
強制シャットダウンの後、押収！
社長宅にもSWATが急襲！

22. ホスティングしていた約50社が
予告なしにサービス停止
通信系企業も巻き込まれ
緊急電話911も
一部繋がらなくなる大惨事に
by CBS 11 News

23. おっかなくて海外クラウド事業者は
使えない・・・？
23

24. パトリオット法が日本に適用される
可能性は？
24

25. 日本の個人情報保護法はいいの？
25

26. なるほど。
最終的には利用者の考え方次第。
26

27. 必要な情報を提示して
経営層の判断を仰ぎましょう
27

28. 第3のカベ
「クラウドはセキュリティが
心配だよねぇ」
28

29. 下記のレイヤに
分けてお話しします
1.アプリケーションレイヤ
2.ネットワークレイヤ
3.管理レイヤ
29

30. 1.アプリケーションレイヤでの
セキュリティ対応
30

31. アプリレイヤ
基本的に従来と同じ。
・XSS対策
・SQLインジェクション対策
・鍵/パスワードの管理
・個人情報を含むテーブルの暗号化
31

32. アプリレイヤ
ここまでできればCOOL!!
・接続元IPの自動保存
・作業履歴の保存
・改ざん検知

33. 2.ネットワークレイヤでの
セキュリティ対応
33

34. NWレイヤ
グローバルIPが振られているので
・SSLで暗号化
・FWでIP/ポートレベルの制御
でアタリマエのセキュリティ対応を
しましょう
34

35. NWレイヤ
システム環境によっては
VPN化することをオススメします
35

36. NWレイヤ
Amazonクラウド
の
場
合
36

37. NWレイヤ
ニ
フ
テ
ィ
ク
ラ
ウ
ドの場合 37

38. NWレイヤ
VPNじゃ満足できないアナタには
38

39. NWレイヤ
Amazonクラウドと
専用NWで直結させる
AWS Direct Connect
なんて案もあります
39

40. 3.管理レイヤでのセキュリティ対応
40

41. 管理レイヤ
パブリッククラウドは
通常Webベースの
コントロール画面を提供しているが
デフォルトはIDとパスワードによる認証

42. 管理レイヤ
万が一、流出した場合
サーバの削除や改ざんも含め
システムがリモートから
完全に掌握される
42

43. 管理レイヤ
管理アカウントの
定期的なパスワード変更！
運用者の限定！
パスワードの複雑化！
運用に気を付けないとアブナイ
43

44. 管理レイヤ
もっと認証の強度を上げるには・・・
44

45. 管理レイヤ
Amazonクラウドでは
セキュリティトークンを
併用した多要素認証
が可能
45

46. 管理レイヤ
ニフティクラウドでは
乱数表を
併用して強度を上げられる
46

47. ここまでのまとめ
47

48. 社内規定や関係部署が許せば
セキュリティ面は技術でカバー可能
あとは対象システムの特性次第
48

49. では2つのパターンの
事例を紹介します
クラウドを導入したケース
×
クラウドを導入しなかったケース
49

50. まずはクラウド導入事例から
50

51. ここはとある某小売店様
日々の売上データを
本社情報系サーバに送って
分析処理をしている
51

52. 膨れ上がる情報系サーバの運用費用
打開策はクラウド化による
コスト削減
52

53. 社内規程はクリア！
VPN導入が必須と判断し
Amazonクラウドを選定
53

54. セキュリティを重視した
管理系システムの相互接続により
クラウドとデータセンターにまたがる
統合運用を実現しました

55. 検討の結果、
クラウドを導入しなかった
事例は・・・
55

56. 個人情報をガッツリ扱うシステム
会社としても個人情報の管理が生命線
56

57. 検討のポイント
パトリオット法 個人情報保護法
管理画面 57

58. セキュリティトークンでクリア
管理画面のセキュリティ
ID・パスワードのみなのでNG
＊検討当時の状況のため現在は異なります
58

59. 法務的リスクを整理した結果
パトリオット法 < 個人情報保護法
59

60. いかがでしたでしょうか？
最初にお伝えしたように
クラウドは万能解ではありません
ただ・・・
60

61. 「クラウドは何となくイヤ！」ではなく
61

62. システム要件や制約条件等の
情報を集め
62

63. 冷静な判断を経営に
促す事が重要です
63

64. enjoy life and creation
http://www.velc.co.jp
64