マルチクラウド運用に関する課題とは?|CDEC7.0レポート

マルチクラウド運用に関する課題とは?|CDEC7.0レポート

 こんにちは、CDEC事務局の塩見です。

 日常が大きく変わった2020年も終わりを告げ、新たな年が始まりました。2021年はどのような年になるでしょうか。不安と期待に包まれています。

 さて昨年12月4日、オンラインにて「CDEC(CTC Datacenter Exchange Community)7.0」を開催いたしました。

 今回は「マルチクラウド運用に関するオンライン交流会」と称して、参加者の皆様とともにセキュリティやガバナンス、コスト管理などのマルチクラウドの運用や運営などに関しての情報交換を行いました。本記事では、その模様を簡単にお伝えいたします。

▼ 目次
ディスカッションテーマ
クラウド運用のガバナンスとポリシー管理、セキュリティ

1. ディスカッションテーマ

 まず初めに、伊藤忠テクノソリューションズ(以下、CTC)が2020年8月に実施した「マルチクラウドに関する意識調査」の結果(一部抜粋)をCTCクラウドサービス企画・開発部 大塚より共有いたしました。意識調査の詳しい解説は以下よりご欄いただけます。


関連資料を読む

 今回は、調査結果からみえてきた下記の3点に焦点を当て、「マルチクラウドは準備段階ではないか」「マルチクラウドの本格利用にはセキュリティや統制面でのルール整備や仕組みの実装が必要なのではないか」という仮説を探りました。

  • すでにマルチクラウドの形態にあるとの回答が4割を超えている
  • クラウド利用の阻害要因ではセキュリティに対する不安が大きい
  • 複数クラウドの管理において、「統制」に関する機能への注目度が高い
マルチクラウド運用






2. クラウド運用のガバナンスとポリシー管理、セキュリティ

 CTC大塚、布施(CTCクラウドサービス企画・開発部)も加わりCDEC事務局岩崎がファシリテータとしてオンライン交流会を行いました。

2-1. マルチクラウド運用で求められる機能とは?

 調査会社の定義などを参考に、マルチクラウドの運用に求められる機能としてCTCで12の項目を用意致しました。


マルチクラウド運用
図1.マルチクラウドの管理に必要な機能




 参加者の皆様には事前にアンケートを行い、優先度の高いものを選んでいただきました。アンケートでは以下の回答がありました。

  • ガバナンスとポリシー管理
  • モニタリング、メータリング
  • コストの可視化と最適化
  • セキュリティおよびID管理
  • サービス・レベル管理



 この中から「ガバナンスとポリシー管理」「セキュリティ」について、大塚から説明致しました。

  • ガバナンスとポリシー管理
    • 事業部門が新しいビジネスを推し進めるにあたり、クラウドの利活用を推し進めるのは珍しい話ではない。これにともない、情報システム部門とは別に事業部門で独自にクラウドサービスに契約するなど、情報システム部門の統制や管理外でクラウドを利用する実態もあるようだ。
    • 近頃では、クラウドセキュリティポスチャ管理(CSPM:Cloud Security Posture Management)というソリューションも出始めている。権限設計をあらかじめ設定し、設定どおりのインスタンス構築や年一度の棚卸評価、レポーティングなどの機能の活用が進んでいる。不適切な権限構築の対策への注目度の高まりが伺える。
  • セキュリティ
    • 従来、情報資産はデータセンターなど自社の管理内に置いており、セキュリティ対策はインターネットとの出入口にファイアウォールを置く、不正侵入の検知装置を置くなど境界型のアプローチがメインだった。
    • 一方で、クラウドサービスは情報資産がクラウド環境(自社の管理外)に置かれるため、すべての通信を疑うセキュリティ対策(ゼロトラストセキュリティ対策)が広がっている。
    • クラウドの利活用の中心が情報システム部門から、事業部門へと変わってきており、セキュリティ対策は従来の対応で賄いきれない特徴がある。



 事業部門のSaaS利用が広がる中で、管理の幅も広がってきていると捉えられます。

マルチクラウド運用






2-2. マルチクラウド運用のガバナンス課題

 マルチクラウド運用のガバナンス課題について参加者から以下の意見が挙がりました。

  • 社内の中でクラウドの知識を持っている人が少ない。
  • 事業部門がSaaSを独自に構築してしまったのち、運用のみ情報システム部門にお願いされることはある。各事業部門がそれぞれでクラウドを使っているため統制の仕組みづくりに苦労している。
  • IaaSなどのプラットフォームは管理しているが、1つ1つのクラウドサービスは管理しきれていない。一方で、エンドユーザーのクラウド利用をどこまで管理する必要があるのか、悩ましい。




 CTCの情報システムでもクラウド利用が増えてきており、インフラのみならずサービスとしてクラウドの利用が進んでいます。

 クラウド管理について大塚は以下のように語ります。

  • 事業部門は新しい事業を始めるためにクラウドサービスを利用するが、セキュリティや権限設定に対して関心は少ない。そのため情報システム部門の外でクラウドを利用し、課題が発生して手に負えなくなってから情報システム部門に相談するということが起きている。
  • クラウド利用が進む中で、情報システム部門の役割としては情報セキュリティ部門とともに、事業部門が利用するクラウドの統制やセキュリティをきちんと把握し、部門間で会話できるようなプラットフォームが必要ではないか。事業部門と情報システム部門で連携を行いながら統制機能について考える、今までにないプロセスが必要とされている過渡期にあると考えられる。
マルチクラウド運用







2-3. ガバナンスのコスト

 ガバナンスのコストについては、参加者から次の意見が挙がりました。

  • セキュリティは必須な一方で、ガバナンス等その他のコストはどこまでかけるべきかは悩ましい。予算の分配もあり次にどこを管理するか選択に苦労している。



 セキュリティが必須なのは広く認識されている一方で、ガバナンスについてはどのように整備するのか、コストをどこまでかけるのか模索しているようです。

 ここで大塚からある対処方法について話しました。

  • 「インスタンスによって統制レベルを設ける」という解決策もあるようだ。
  • 重要システムでは統制レベルを高め、設定外の権限設計を検知するとすぐにアラートが飛ぶ一方、そうでないシステムでは統制レベルを低くし、年に1度権限を棚卸する程度の設定とする。
  • 情報システム部門は事業部門のシステム要求をレベル化して、要求にあったサービスを提供する。事業部門が新事業に対してPoCレベルで新たな環境を試したい要望も多く、事業部門のスピード感と情報システム部門の仕組みが乖離するのを防ぐことができる。
マルチクラウド運用







2-4. クラウド利用のリスク ~大規模障害~

 クラウドの利用にあたり様々なリスクがありますが、巨大クラウドの大規模障害について、参加者から以下の意見が挙がりました。

  • クラウドサービスでも年1程度で大規模障害が発生している。複数のアベイラビリティーゾーンやリージョンの利用などで対応していても、障害発生時を想定した切り替えのテストは難しく、いざ障害が起こった時にうまく機能しない等のリスクは残る
  • システム設計時にコストダウンを求められマルチAZを断念したケースでも、実際に障害が発生し対応しきれなかったときに責められることもあるようだ。経営層と情報システム部門でコストとガバナンスの帳尻合わせが未だにうまくいっていない企業は多いと考えられる。
  • 大規模災害の恐れはあるが、パブリッククラウドへのサービスレベルの追及は難しく、利用をやめる選択肢はないように思う。特に電力会社の給電停止などはしょうがないと受け入るしかないところもあるかと。



 大規模障害はパブリッククラウドの利用では避けられない課題であり対応に苦労している様子がうかがえます。


 最後に「クラウドの連携時の想定外の障害」についての話題が挙がりました。

 CTCが自社クラウドの運用に利用していた複数の外部クラウドサービス間での連携に不具合が生じ、クラウドサービス単体では障害が起こっていないにもかかわらず業務の障害となったケースについて大塚が話しました。

  • 自社クラウドの運用管理は、とあるSaaS(以下、運用管理サービス)を、自社のメール環境は他のクラウドサービス(以下、メールサービス)を利用していた。運用管理サービスから自社クラウドの障害や問合せのチケットが発行され、自社クラウド運用側はメールを受信する。このメールに遅延が発生し障害となった。
  • 運用管理サービスとメールサービスどちらも障害が起こっていないのにこのような事態が発生。原因を追究すると、運用管理サービスが普段とは違うIPアドレスからメールを送信しため、メールサーバーがいつもと違うアドレスと判断、スパムチェックを行っていたことが遅延の原因であった。今は遅延を防ぐために、運用管理サービスのエラーログの監視を行っている。
  • どちらのクラウドサービスも正常のサービスレベルのなかで発生した障害で、クラウドサービスの連携で、思いもしれないようなことが起きると身をもって知った。



 通常のサービスレベルであっても、クラウド連携時に障害となる場合があるとのこと。マルチクラウド運用が一筋縄ではいかないことがよくわかります。

マルチクラウド運用








3. まとめ

 CDEC7.0ではマルチクラウド運用を行っている方々にご参加いただき、「マルチクラウド運用に関するオンライン交流会」をテーマに意見、情報交換を行いました。

 参加者の皆様はマルチクラウド運用にあたり、権限設定などのガバナンス管理に苦労している様子が垣間見られました。

 また、クラウド利用にも様々な障害はつきものですが、リスクを考慮した経営層との合意形成も課題のようです。


 冒頭で「マルチクラウドの本格利用にはセキュリティや統制面でのルール整備や仕組みの実装が必要なのではないか」という仮説を述べましたが、情報システム部門はマルチクラウドを導入しながら、クラウド利用の課題と向き合っていることが分かりました。

 クラウドは今までのシステムにはないセキュリティや統制のリスクがありますが、クラウド導入の前にすべてのリスクを排除するのは難しく、試行錯誤しながらクラウドを導入・活用されていると考えられます。

 この他にも興味深いお話が続きましたが、各社の機微に触れる内容も多く、本レポートでは割愛させていただきます。

お問合せ