今回は、ＴＶコマーシャルでも観るようになりましたクラウドサービス導入の際の留意点を二回にわたって纏めます。クラウドサービスは、ワークフローや、共有ファイルなどのグループウェア系から始まり、今では、勤怠、伝票作成などの特定業務に特化したサービスが登場しております。これらのクラウドサービスを企業において検討する際、多くの場合、現場部門が主体となって検討し、ＩＴ部門が後から関与するケースが多いことにも注意すべきと考えています。場合によっては、ＩＴ部門が関わらないで導入されているケースも増えてきております。その理由としては、殆どのクラウドサービスは、利用者数や伝票枚数などの従量制課金を月額方式で採用しており、初期費用もＩＴシステムに比べると安価で、且つ、初期設定なども業者が一括で行う為、専門知識が不要となっているものが一般的であることに起因していると愚考しております。又、導入後にうまくいかず短期間で解約するケースも見受けられます。

　クラウドサービスを導入する際の留意点は、セキュリティ確保と本稼働後の運用体制の構築の二点に集約されます。

1）せキュリティ確保

　セキュリティにかんしては、以下の全ての項目において、自社のセキュリティポリシーとの整合性を確認することが必須です。その条件にあっていないものを採用する為には、セキィリティポリシーの改訂が必要です。

・クラウドセンターの確認

　セキュリティポリシーには利用するクラウドセンターについて条件を規定しているものが多いです。例えば，センター所在地が日本国内であることや、通産省のセキュリティ認定を受けていることなどです。

・ネットワークの確認

　クラウドサービスは一般のインターネット回線を利用して接続するものが殆どです。インターネット回線は、利用者責任でセキュリティ確保をしないといけませんので、クラウドセンターでのセキュリティを確認する必要があります。特に、社内のネットワークから接続する場合には、仮想専用線（VPN　virtual private network）の使用を推奨することが多い為、その可否を確認することが必要です。

・他契約ユーザとの切り分けの確認

　クラウドサービスは、複数の契約者が共用するものが殆どですので、他契約ユーザとの切り分け方式を確認しておくことが必須です。ＩＤ／ＰＷ（パスワード）だけのものもありますし、ＩＤ／ＰＷに加えて契約ユーザ毎に接続するＵＲＬを分けているものもあります。又、クラウドセンターのデータ領域を論理的にユーザ毎に分割しているものあれば、完全に共用しているものもあります。クラウドサービス毎に、その方式は様々ですので、その点を確認しておくことが必要です。場合によっては、なりすましなどへの対応を契約者で考える必要があるかもしれません。

・使用端末の確認

　クラウドサービスでは、スマホを端末として利用するものが一般的です。スマホを利用する場合、会社支給のスマホを使用する場合は問題ありませんが、個人所有のスマホを活用する場合は、私物端末を業務利用するBYOD（Bring Your Own Device）について規定しておくことをお勧めします。加えて、会社支給端末を使用するとしていても、ＩＤ／ＰＷを知っていれば、自宅で個人所有のスマホを使うことは容易です。機械番号などで識別する方法の有無についても確認が必要です。

・セキュリティ事故対応の確認

　クラウドサービスの場合は、データはクラウドセンターで管理し、端末側にはデータを保有しないシンクライアント方式が多いものです。従って、センターへの外部からのアタックについては、クラウドセンター側でガードしていると思いますが、仮に事故があった場合の責任範囲を明確にしておくことです。契約書には記載されている筈ですが、検討段階でも明確にしておくことが肝要です。

　次回、運用体制について、お話しします。

以上