オンプレミスのセキュリティをクラウドと比較!自社に適したサービスはどっち?
企業に新しくシステムを導入する際、その運用環境にオンプレミスまたはクラウドを選択する必要があります。
一般的に、厳格なセキュリティを要する場合はオンプレミスが適しているとされていますが、コロナ禍でテレワークが進んだこともあり、昨今ではクラウドを取り入れる企業も増えました。
とはいえ、やはりセキュリティの観点からクラウドに踏み込めないという企業も少なくないでしょう。
そこで本記事では、オンプレミスとクラウドのセキュリティを比較し、それぞれのメリット・デメリットから、どのようなケースにオンプレミスが適しているかを解説していきます。
目次
オンプレミスとクラウドとは?
オンプレミスとクラウドの大きな違いは、「システムの構築に必要なサーバー・回線といった設備を自社で保有し、管理運用するか否か」という点です。分かりやすく例えるなら、オンプレミスがオーダーメイド型の製品で、クラウドが既製品といったところでしょう。ここではオンプレミスとクラウドの違いについて、概要やメリット・デメリットを紹介します。
オンプレミスとは?
オンプレミスとは、ITインフラの構築やシステムの稼働に必要となるサーバーやネットワーク機器、ファイルソフトなどのソフトウェアを自社で調達し、自社でシステムを構築・管理する運用形態のことです。
「オンプレ」「自社運用型」とも呼ばれ、クラウドサービスが普及する以前の、従来のシステム構築・運用の方法として、大半の企業がオンプレミスを採用してきました。
そんなオンプレミスの最大のメリットは、セキュリティの規模などを自社に合うよう自由にカスタマイズできるという点です。自社のデータを確実に守るためには、システムの構築にセキュリティ対策が欠かせません。クラウドでは満たせない要件もオンプレミスであれば開発可能なのです。
しかし逆を言えば、機器の調達からセキュリティの構築や確認、緊急トラブル時の対応にかかる全てのコストやリソースの確保が必要になるため、かなりの資金と人員が欠かせないということが分かります。これこそがオンプレミスのデメリットと言えるでしょう。
クラウドとは?
クラウドはオンプレミスの対となるもので、自社内にサーバーやネットワーク機器などを持ちません。外部のクラウドサービスをインターネット経由で利用してシステム運用します。
ITインフラの構築やシステムの稼働に必要なものは全てサービス事業者側が提供するため、基本的には業務に使う各種データもクラウド上に保存されることになります。つまり、クラウドを導入する企業の従業員は、インターネット環境さえあればどこからでもデータにアクセスできるのです。
そしてクラウド最大のメリットは、先述した通り、ITインフラを自社で調達・保有・運用する必要がないため、コスト削減や業務負担の軽減が可能な点です。このことから、スタートアップ企業や自社で運用するリソースが割けない企業に選ばれています。
しかし、サービス事業者の提供範囲内での運用となるため、オンプレミスと比較するとシステム構築の自由度やカスタマイズ性は劣るでしょう。
サービスによっては、自社のビジネスに必要な細かい要件が満たせないケースもあり、この点はクラウドのデメリットです。
関連記事:オンプレミスとは?メリット・デメリットについても解説
オンプレミスとクラウドのセキュリティの違いを比較
オンプレミスとクラウドの特徴やメリット・デメリットを簡単に説明しましたが、これだけでどちらの形態をとるか決めるわけにはいきません。システムを導入する上で重要なのは、両者の特徴を把握した上で自社に適したものを選定することです。ここでは、情報やデータを扱うITインフラにとって最も重要であるセキュリティに焦点を当て、両者を比較していきます。
セキュリティの責任範囲
オンプレミスでは構築したシステムが全て自社の責任範囲となります。そのため、必要な対策はすべて自社で行わなくてはなりません。
具体的には、サーバー、ネットワーク機器、ストレージシステムなどのハードウェアの管理やメンテナンス、ソフトウェアの導入、設定、アップデート、セキュリティの確保、データの保護やバックアップなどが含まれます。
また、オンプレミス環境では、自社が全体の管理とコントロールを持ち、外部に依存しないため、セキュリティとコンプライアンスへの責任も高まるでしょう。ただし、システムの可用性、パフォーマンス、セキュリティを確保するために、専門知識を持つITスタッフを配置し、適切なツールやプロセスを整備する必要があります。
一方、クラウドサービスの場合、提供者と利用者の両者が責任を負います。物理的な側面(サーバー機器や回線など)は提供者が、仮想サーバーやデータなどのサービス内リソースは利用者が対策を講じます。ただし、どちらか一方だけが全責任を負うことはありません。それぞれの役割を明確にし、適切な対策を取る必要があります。
特に、情報セキュリティ対策に関しては曖昧さが問題です。クラウド事業者によっては、責任範囲を示した「責任共有モデル」が採用されますが、そもそも利用者がセキュリティの実施に関して責任感を持ちにくい状況にあるため、設定ミスやインシデントの増加につながっています。
セキュリティの構築・保守
オンプレミスでは、自社でシステムを構築・管理するため、独自のセキュリティ要件やポリシーを適用し、厳格なセキュリティ体制が構築できます。
例えば、不正アクセスによる情報漏洩やデータの改ざんを防ぐために必須の機能であるファイアウォール、侵入検知システムなどのセキュリティデバイスの設置、アクセス制御や認証の強化、データの暗号化などが挙げられるでしょう。
そしてこれらを構築するためには、エンジニアを雇用してカスタマイズやセキュリティ対策を行い、万が一のサーバーダウンやネットワーク障害に備える必要があります。このようにオンプレミスの保守には、膨大なコストやリスクを伴うため、事業への影響も考慮しなければなりません。
一方、クラウドサービスでは、外部のシステムを使用するため自社でセキュリティ対策の構築をする必要はありません。保守に関しては、クラウドプロバイダーに委託され、障害時の復旧もプロバイダーが担います。また、24時間体制の堅牢なデータセンターを提供しているケースが多く、自然災害にも迅速に対応できるでしょう。つまり、データの分散管理やバックアップによってデータ損失リスクが軽減されるのです。
ただし、先述もしましたが、クラウドでは自社のセキュリティ要件を完全に満たせない場合があることと、クラウドが共有リソースであるという性質上、セキュリティの漏洩や脆弱性のリスクが常に存在するという点には注意が必要です。
情報漏洩のリスク
オンプレミスでは、社内ネットワーク内(社内LANなど)での利用が主体であり、外部からの攻撃は難しいとされています。それでもなお、外部スキャンや攻撃による情報漏洩のリスクがあることは否定できません。また、ルーターやプリンター、デバイスの脆弱性による攻撃も考えられるでしょう。
一方、クラウド環境は常にオンラインであり、インターネット上で利用されるため、外部からの不正アクセスやサイバー攻撃などのリスクが高まります。とはいえ、サービスとして提供しているので、クラウド事業者サイドで厳密な内部統制や、第三者の外部監査機関によって安全性も担保されています。決してクラウドのセキュリティが脆弱というわけではありません。
セキュリティ管理にかかるコスト
オンプレミス環境では、高いセキュリティレベルを維持するには、高額な初期費用や人件費が必要です。また、ハードウェアの老朽化やアップデートに対応するためにもメンテナンス費用がかかります。
一方、クラウドサービスは利用量に応じた料金体系を採用しており、一定のセキュリティレベルを維持することが可能です。初期費用や人件費、メンテナンス費用が削減されますが、サービスごとに料金が異なるため、事前に確認が必要です。
災害・障害が発生した際のセキュリティ
オンプレミスでは大規模な災害により情報を失うリスクがあります。そのため、バックアップシステムを確保し、データセンターなどを冗長化させておくことが必要でしょう。冗長化とは、システムに問題が発生した際に備えて、予備のシステムを平常時から運用し切り替え、稼働を停止させずに運用することで、情報システム運用には欠かせない仕組みです。
一方、クラウドサービスのデータを管理する仮想の保管場所は堅牢な設計になっており、ネットワークなども冗長化されています。そのため、災害時にサービスが停止するリスクは低い傾向にあると言えます。
また、オンプレミスでは、ハードウェアの故障やシステムダウン、通信障害などの障害が発生した場合、自社で対応しなければならず、ITインフラやセキュリティに関するスキルを持つ人材が必要です。
その一方で、クラウドサービスでは、障害が発生した場合、クラウド事業者が対応するので、ユーザー側での対応は必要ありません。ただし、復旧までに時間がかかることがあるため、複数のサービスを利用するという選択をする企業もあるでしょう。
セキュリティ観点からオンプレミスが適したケースは?
企業ごとに、オンプレミスかクラウドかの選択は異なります。クラウドも一定水準のセキュリティが担保されているため、高度なセキュリティ要件が必要ない場合はクラウドでも問題ありません。では、オンプレミスはどのような場合に適しているのでしょうか。
独自のセキュリティ要件を求められるケース
機密情報を取り扱い、独自のセキュリティ要件を満たす必要がある場合にはオンプレミスが適しています。これはクラウドのセキュリティが脆弱というわけではなく、オンプレミスには「独自のセキュリティ要件」を満たせるカスタマイズ性があるからです。
例えば、金融業界などでは情報漏洩が莫大な損失や顧客の危険を引き起こす可能性があるため、サーバーの物理的セキュリティや特定の要件を満たす必要があるでしょう。こういった場合に、オンプレミスの方がクラウドよりも適しているのです。
知見やリソースが自社にあるケース
情報収集やツールの選定・実装に関する知見やリソースがある場合には、オンプレミスが適しています。何度も言いましたが、オンプレミスではセキュリティ面を含めて、すべての責任が自社にあります。そのため、ツールの選定や構築、開発、実装、アップデート、メンテナンス、トラブル修繕など、全てを自社で行う必要があります。
このように、オンプレミスのカスタマイズ性は高く、セキュリティをより強化することが可能ですが、リソースが不足している場合は一定水準以下になる可能性もあります。安全な状態を維持するためには、常に情報収集が必要だと言えるでしょう。
少ないリソースで高いセキュリティ構築ができる「ホスティング型プライベートクラウド」とは?
「ホスティング型プライベートクラウド」は、オンプレミスとクラウドの利点を組み合わせたハイブリッド型の運用サービスの一つです。
オンプレミスの主なメリットである、独自のセキュリティ要件が満たせる一方で、その導入には非常に多くの初期費用や知見が必要となるデメリットがあります。
そして、このデメリットを解消できる可能性があるのが「ホスティング型プライベートクラウド」です。クラウド事業者から提供される専用のプライベートクラウド環境を、企業が専用で利用することで、オンプレミスのようにシステムに柔軟性を持たせながら、自社でインフラ構築をする手間とコストを大幅に削減できます。
このように、ホスティング型プライベートクラウドは、クラウドのメリットを享受しながらも、オンプレミスのようにセキュリティやコンプライアンスの厳格な要件を満たすことができるため、多くの企業にとって魅力的な選択肢となっています。
機密データや個人情報を安全に管理するための専用のプライベートクラウドが必要でありつつ、初期費用や導入にかかる労力を最小限に抑えたい…などとお考えの場合は、「ホスティング型プライベートクラウド」を利用したサービスの使用を検討してみてはいかがでしょうか。
自社独自のプラットフォームが構築できる「プライベートクラウド版SONR」
ホスティング型プライベートクラウドの仕組みを利用したプライベートクラウド版SONRは、自社専用のサーバーで運用するためセキュリティも高く、業務に合わせたオリジナル機能が追加できるなど、独自プラットフォームが構築できるパッケージとなっています。
このプライベートクラウド版SONRには、次の5つの特徴があります。
- 自社独自のコミュニケーションインフラを自由に構築できる
- 企業のニーズに合わせた機能を追加
- 既存ツールと連携が可能
- スマホアプリで外出先からアクセス
- 自社のセキュリティポリシーに合わせた運用
「自社のセキュリティ要件に合わせた運用がしたい」
「すべてのメッセージログを自社のサーバーで管理したい」
「クラウドに関する知識があまりないため具体的なアドバイスがほしい」
このようにお考えでしたら、まずはSONRにご相談ください。クラウドのプロによるアドバイスやサポートで、お悩みや課題点を解決することができます。