エンタープライズ企業が選ぶべきクラウドグループウェア【セキュリティ編】
2015.05.01
2015年3月12日(木)と13日(金)の2日間、ザ・プリンスパークタワー東京にて「Cloud Days TOKYO 2015」が開催されました。その中でサイボウズ ガルーン プロダクトマネージャー池田 陽介が、「エンタープライズ企業が選ぶべきグループウェア」をテーマにセミナーを行いました。
大企業に今必要なクラウドグループウェアの要件とは何なのか?本セミナーの様子を【セキュリティ編】【価格編】の全2回でお伝えします。
まず今回はセキュリティ編です。
大企業のクラウドサービスの利用動向
総務省のデータによると、平成23年と24年のクラウドサービスの利用動向の推移は、「全社的に利用している」「一部の事業所または部門で利用している」と回答した方が21.6%から28.2%に増加するなど、年々国内でのクラウドサービスの利用率は増加しています。
![[配布禁止]_【CloudDays2015春】Garoonセミナー資料_v.1.1.jpg](/assets_c/2015/04/%5B%E9%85%8D%E5%B8%83%E7%A6%81%E6%AD%A2%5D_%E3%80%90CloudDays2015%E6%98%A5%E3%80%91Garoon%E3%82%BB%E3%83%9F%E3%83%8A%E3%83%BC%E8%B3%87%E6%96%99_v.1.1-thumb-630xauto-599.jpg)
クラウド導入に踏み切れない二大要因とは?
一方で、クラウドサービスを検討・導入しないという選択をしている背景にはどんなことが障害となっているのでしょうか?
平成24年の総務省「通信利用動向調査」によると、「クラウドを導入しない理由」のトップとなっているのは、「情報漏洩やセキュリティに不安がある」と回答した方が34%、続いて「クラウド導入に伴う既存システムの改修コストが大きい」で22.6%となりました。
![[配布禁止]_【CloudDays2015春】Garoonセミナー資料_v.1.12.jpg](/assets_c/2015/04/%5B%E9%85%8D%E5%B8%83%E7%A6%81%E6%AD%A2%5D_%E3%80%90CloudDays2015%E6%98%A5%E3%80%91Garoon%E3%82%BB%E3%83%9F%E3%83%8A%E3%83%BC%E8%B3%87%E6%96%99_v.1.12-thumb-630xauto-602.jpg)
2014年 サイボウズで行ったユーザーアンケートでも同様の結果になっています。「サイボウズ ガルーン」を利用するユーザーに「クラウドへ移行しない理由」を聞いたところ、「パッケージ版より高くなるため」「セキュリティ面で不安があるため(情報漏洩、データ紛失など)」が上位を占めました。
![[配布禁止]_【CloudDays2015春】Garoonセミナー資料_v.1.13.jpg](/assets_c/2015/04/%5B%E9%85%8D%E5%B8%83%E7%A6%81%E6%AD%A2%5D_%E3%80%90CloudDays2015%E6%98%A5%E3%80%91Garoon%E3%82%BB%E3%83%9F%E3%83%8A%E3%83%BC%E8%B3%87%E6%96%99_v.1.13-thumb-630xauto-606.jpg)
このような結果から、なかなかクラウドの導入に踏み切れない2大要因として「セキュリティ」と「価格(コスト)」があることがわかりました。近年セミナーやイベントでお会いするお客様の現場のシステム担当者の生の声を聞いても、同様のお話をよく伺います。
クラウドに対する正しい知識を得よう!
時代の流れはクラウド化が進んでいますが、実際どちらがいいのでしょうか?
「なにがなんでもクラウド」、「絶対にオンプレミス」と決めつけるのではなく、自社に最適な環境を選択できることが大事だと考えます。そのためには、結果的にオンプレミスを選択する場合でも、クラウドに関する正しい知識を知っておくことが大切と言えます。
クラウド導入の際の課題である「セキュリティ」と「価格(コスト)」について、詳しく見ていくことにしましょう。
セキュリティについて
まずは、クラウドサービスのセキュリティについてです。
そもそも、セキュリティとはなんでしょうか? セキュリティとは、大事な資産を守ることです。サイボウズ(cybozu.com)の場合、主にお客様の情報資産を指します。 セキュリティというと、外的要因や悪意によるものというイメージが強いと思いますが、実際はそれだけに限りません。例えば、社員が悪意なく発生させうるリスクや脅威、社内の脆弱な運用や業務フロー、そして予期せぬ天災などから大事な資産を守る必要があります。
セキュリティの原則
セキュリティの原則とは、一般的に以下の3点が挙げられます。
○完璧なセキュリティはありえないという前提で
DDoS 等、完璧な防御が困難なものが存在する
インシデントは遅かれ早かれ発生する
○攻撃側・防御側どちらもリソースは有限
低いコストで実行できる攻撃を優先的に潰す
攻撃にコストがかかるようにする
○網羅的に対策をする
蟻の穴から堤も崩れる
ライフサイクルを通じた管理
人災・天災への対策
運用の原則
これらのセキュリティの原則を踏まえた上で、サイボウズでは運用の原則として、「データ優先」「開発者を信用しない」「オペレーターを信用しない」「ソフトウェアを信用しない」ということを掲げています。
顧客データの保護をまず第一に考え、サービスの再開や原因追究より優先させること。開発者と言えども、運用環境にアクセスすることはできず、開発者用には別で運営すること。
人が作業するとミスがおこりえるので、オペレーターを信用せず通常の運用はすべて自動化し、極力手作業で行わないこと。手動操作した履歴はログで保存し、誰がいつどのような作業をしたかわかるようにしておくことが大切です。
また、ソフトウェアも信用せずに、利用する範囲で安定運用ができるか評価したり、バックアップデータに正常にアクセスできることを定期確認する必要があります。
サイボウズのクラウドサービスのインフラ技術
このような原則のもとに運用しているサイボウズのクラウドサービスであるcybozu.comの「データ保全」、「認証」、「安定運用」についてご紹介します。
セキュリティが保たれたクラウドサービスには、安定運用をしながら、お客様のデータを守り、そして悪者のアクセスを遮断する強固な認証システムが必要です。これらの点について、cybozu.comは世界でも最高レベルのサービスを提供していると考えています。
「データ保全」は、"Square"と呼ぶ4重のバックアップ体制で守っています。
東日本のデータセンター内にある3台1組のストレージサーバー群と西日本データセンターのレプリケーション用サーバーで管理しています。
お客様のデータを管理するストレージサーバーは、1サーバーにつき12台のハードディスクで構成されています。そのうち10台をRAID 6で冗長化しているので、万が一、同時に10台中2台が故障してもデータが消失することはありません。また、残りの2台のハードディスクはホットスペアとして常に待機させ、ハードディスクに故障が発生した際は自動的に置き換えています。 東日本のデータセンターには、お客様が普段使うストレージサーバーと冗長化のためのレプリケーション用ストレージサーバーだけではなく、バックアップ専用のストレージサーバーが用意されています。1日1回それぞれのサーバーからデータを受け取っており、過去14日分のバックアップデータが保管されています。さらに、東日本にあるデータセンターで大きな災害があった場合の備えて、バックアップ専用のストレージサーバーで取得したバックアップデータは、西日本に設置されているデータセンターへ自動的に転送されています。軽度なハードのトラブルから重度のもの、そして大災害まで幅広い障害を前提に、多重のデータ保全の仕組みを作り運用しています。
また「認証」についても、個別のサブドメイン、任意のID、IPアドレス制限、クライアント証明書と悪者をはじく多重の認証システムを用意しています。
「安定運用」については、障害の自動検知と自動復旧の仕組みを用意しています。 サービスのプログラムやWebサーバーを稼働する仮想サーバーは、もしもの障害時も素早く回復できるよう、障害の自動検知、回復ができる「自律分散エージェントシステム」を構築しています。各サーバーは"月読"と名付けた「自律分散エージェントシステム」によって、障害を自動判定します。サービスのプログラムなどを管理するサーバーは相互に監視しあい、異常を検知した場合は合議の上で障害を判定します。
障害が検知された場合は、速やかにスペアサーバーに置き換える自動復旧プロセスが開始され、通常5分以内に回復します。 また、万が一のネットワーク障害などで短時間に多数のサーバーが異常を起こした際には連鎖障害を防止するモードに移行します。
今回はクラウドサービスのセキュリティの考え方とサイボウズのインフラの仕組みについてお伝えしました。
次回は、価格(コスト)の考え方とクラウドに移行されたお客様の事例についてお伝えいたします。
サイボウズ ガルーン アシスタントプロダクトマネージャー 小原
