今回のデータ消失事故によって、事業の根幹に係わるダメージを受けた企業も少なくない。クラウド技術は、そういったITシステムにまつわるリスクやコストを下げるものとして喧伝されていたが、結果的にリスクもコストもその通りではなかった。多くのIT担当者そして経営者が「バックアップは大切」という言葉を認識しながらも、なぜ大切なのかという根本のところをどれほど深く考えていたのだろうか。クラウドや仮想化技術のメリットが強調される一方で、それらの技術が持つ難しさが無視されがちだ。一体、企業はこれらの技術に対してどのように向かい合うべきなのか、グロースエクスパートナーズ（株）に所属するITアーキテクト・鈴木雄介氏にうかがった。［聞き手：渡辺聡］

鈴木 雄介 氏（すずき・ゆうすけ）
グロースエクスパートナーズ株式会社 事業推進本部 本部長 / 日本 Java ユーザグループ 会長 / 日本Springユーザー会幹事。1975年生まれ。百貨店のシステム子企業で開発/運用/保守に携わった後、ネットサービスや企業システムのアーキテクト・PMとして活動。2008年より現職。「拡張する空間建築家とITアーキテクトがつくるもの」共著。「ソフトウェアアーキテクトが知るべき97のこと」監修。
Blog: http://www.arclamp.jp　/Twitter: @yusuke_arclamp

コストとリスクのバランスを妥当にするIT資産運用が大切

──今回の事件を受けて、周囲で議論などは起きていますか？

鈴木氏（以下敬称略）：僕自身は仕事上での直接の影響などはなく、とあるクラウドベンダーにうかがったら、この件の影響でだいぶ問い合わせが多かったそうで、「うちは大丈夫です」と説明するのに大変だったという話を聞いたくらいです。

ファーストサーバのサービスを指して「クラウド」という言葉で報道されたためユーザーが混乱したようですね。

──現実的には混同されてしまっていますが、業界全体でクラウドという言葉の中にいろいろなものを折り込んでしまった結果だと思われます。

鈴木：混乱していますね。いわゆるクラウドといわれるサービスでも高付加価値を売りにした大手企業から、低価格を売りにしたレンタルサーバ事業者のようなところがあり玉石混淆です。

「クラウドをやらなきゃ」と、とりあえず価格をマーケットにあわせた形でサービスを始めるところが雪崩を打ったように増えているため、リスクは全体的に高い状態が続いていると思います。

このような状況なので、大手企業のユーザーにとってはプライベートクラウドを組むことでリスクを自らコントロールするのが現実解と言えます。数百台あった社内のサーバを数十台に集約できた、というような例であれば長期保有によるコストメリットは大きいでしょう。

──ベンダー側にとって、クラウドはスケールメリット前提のビジネスなので、そもそもハイマージンな事業構造ではありません。オペレーションにもハードウェアにもコストは掛けられないため、潜在的にリスクは高く、利用する側も基本的にそれを認識しないと、と言われています。

鈴木：ホスティングサービスとクラウドサービスを比べると、仮想化層があるために物理サーバ1台当たりの収納ユーザー数はかなり少なくなりますが売値はあまり変わらない。クラウドサービスはベンダーにとって利益率の高いサービスではありません。実際、各社のサービスメニューを見ていても運用管理やバックアップはユーザー側にまかせるのが基本路線になっています。クラウドは「サーバ資源の従量課金利用」と捉える方がとよいでしょう。

──クラウドを利用する際に、どのようなサービスがいいのか、または利用形態がいいのかといった、大きなレベルでの選択について議論はなされていますか？

鈴木：移行するなら保有するIT資産の状況によります。パブリッククラウドに乗せるためにはクラウド側の仕様に合わせることが必要で、セキュリティや監視の制約、OSやハードウェアの制約などがあります。一方で、特殊な運用要件や性能要件があってクラウド側に合わせられない場合は無理にパブリッククラウドを利用しない方がいい。パブリッククラウドは、新規構築でトライアル要素が大きいものが合うでしょう。

当たり前の議論ですが、保有するIT資産をどう運用していけば、コストとリスクのバランスを妥当にできるのか、ということです。そこが見えていなければ、パブリッククラウドか、プライベートクラウドか、はたまた昔ながらのホスティングか、どれが良い悪いというのは一概には言えません。

===

クラウドや仮想化は「全体最適」の技術

──一方で、さほどリテラシーがない組織、例えば地方自治体や中小企業などの中でも、率先してIT化を進めたり、ECサイトを構築したりといったところほど、今回のようなリスクに直面しています。そういった事業者は、今後どうしたらよいのでしょうか？

鈴木：大前提として、クラウドや仮想化といった技術は全体最適なので「全体とはなんですか」という議論にきちんと応えられない組織には難しいです。

クラウドの罪のひとつに、初期コストが安いために「事業部ごとに導入判断をして良いもの」と判断のスケールを小さくしてしまった点があります。その結果、事業部ごとや部署ごとにITが浸透しましたが、ガバナンスの観点からは間違いです。

実際、クラウドサービスを部門で導入をしたものの、会社全体の標準化に適合させることができずサービスを解約する例が増えています。つまり、クラウドに取り組むなら、初めから全社のガバナンスとして取り組まないとダメなんです。それなのにベンダー側も「売れるから売っている」ということになってしまって、本来論との差が大きくなっています。

最近はどのIT技術もガバナンスの問題との絡みが非常に強いので全体最適の視点がないといけない。中でもクラウドは特に難しいです。

──とはいえ、例えば地方の食品メーカーなどは、もともと持っていたブランドを活かしてECに取り組むことで、全国に商圏を拡大することにより、すでに少なくない収益を得ているところも多いです。そういったIT業界から遠いところにいる、ITユーザーほど今回のようなリスクへの対応は悩ましいところもあります。

鈴木：流通・小売りに関しては、中小企業が各々でできることには限度があるので、例えばamazonや楽天のような「流通サービスを提供するプラットフォーム事業者」に任せるしかないと思います。ただ、きちんとしたブランドであればあるほど現状のサービスでは不満でしょう。個人商店が雑多に並んでいるだけでブランド訴求が十分にできない。

百貨店のように目利き力や編集力を持った事業者がプラットフォームを展開する、みたいなことが増えてくれば新しい流通の入口になるでしょうね。ユーザーにリテラシーを求めるのではなく、事業者がビジネスを拡げる形でカバーして欲しいと思います。

===

リスクコストを誰が負担するのか

──現実には、どうやってITに係わるリスクを事業から切り離すのか、それをどうやればいいのか、皆が一番悩んでいるところです。

鈴木：その通りです。売上数十億規模の会社でも、社内でそういう議論ができないというのは、よくあります。具体的な解があるのかと言われると難しい。わかっている会社は、エンジニアを内部に抱えるか、IT会社と顧問契約をするといった選択をしつつあります。信頼できる人を内側に取り込むことでしか解決できません。

──技術と経営を理解して判断できる人に話を聞くというは、ひとつのシンプルな回答です。ただ、経営責任を果たすにあたってのセオリーはありますが、それは技術論だけで解決するものではありませんし、技術者に説明させたからといって経営者の責任がなくなる訳ではありません。

鈴木：究極は法律でアセスメントの手段が何らか定義されているべきだと思います。

例えば、建築では建築基準法があって、耐震性など建物の品質について一定の基準を示していて、それを監査する体制も定義し、さらにそれを役所が審査するという、何重ものチェック体制になっています。

あれも建築が、長年にわたって積み重ねてきた歴史の中で、事故などを経た上で整備されてきたものです。ITも、ここから何十年もかけて法律を決めていく必要があるでしょう。

ただ、現状では法律に頼ることができないので、個人的な人脈や信頼関係のなかで事業者を選ぶことでしかリスクヘッジができないのです。せめてアセスメントをやってくれるIT事業者がいればいいのですが。

──アセスメントにコストをかけるという感覚がIT系では余りありません。また、個別システムの構築運用については属人的な部分も大きいので、外部から判定するのは難しいところもあります。

鈴木：確かに、アセスメントコストは安くないでしょうね。アセスメント自体が大変ですし、また責任もあります。結局は個人の能力に依存するしかない。現状では「できる限りのことをきちんと考えましょう」ということでしかありません。ユーザー側はそうやって真面目にやるしかありません。

ただ、ユーザーがきちんとすればするほど、今度はIT事業者側にリスクが寄ってきています。先日の某銀行と大手ベンダーの裁判は、ベンダー側の説明が良くなかったという判決でした。今のIT業界は産業として未成熟ですからシステムを開発すること自体のリスクが非常に大きい。そのリスクコストをどうするのかは課題です。

今回のファーストサーバの件でユーザー側の意識や統制が高まると、今度はベンダー側にリスクが寄ってくる。そうすると今度はベンダー側が契約条項で責任回避をする、とネガティブスパイラルが広がることも考えられます。

===

事業者はリスク、ユーザーは情報資産価値の認識を

鈴木：なんにしても、補償をどうするかは非常に難しいところです。ファーストサーバの約款は補償の限度額をサービス利用料の総額とするものです。これはパブリッククラウドでは一般的な契約ですが、重要なデータを預けているユーザーからしてみれば納得できないでしょう。情報の資産価値がまったく考慮されていないからです。本当はデータという貴重品を預けているのだから保険を掛けるべきですが、現状では保険会社も対応できていません。

──保険金で一時しのぎはできても、事業の継続という点では難しいケースもあります。

鈴木：そもそも事故を未然に防ぐ効果は期待できます。保険会社の約款の中にバックアップ体制についての項目を入れるのです。バックアップしていなければ保険金が下りない、とすれば強制力が出てきます。

現状では、IT部門がバックアップしたいと言っても、お金が掛かるからと承認がおりないこともあります。そういった場合は外部からの強制力が重要です。

──バックアップへの無理解の根本には、事業にとって重要データとわかっているものを、どう扱うべきなのかという問題があります。

鈴木：そもそも情報の資産価値を計るのはとても難しい。大量のデータが蓄積していくなかで、どれが重要なデータなのか見分けが付かないというのが、経営層にとって不安なのかもしれません。またデータは整合性がないと意味がありません。例えば顧客の情報だけ取っておけばいいわけではありません。

──その通りですが、そこでどう判断するかが経営の本質です。そこでデータ消失のリスクを見ないというのは、押し入れに一時的に怖いものを押し込めてるだけに過ぎません。。

鈴木：リスク認識が甘くなっている点は事業者側の責任も大きいです。ファーストサーバと同時期に富士通の館林データセンターで停電事故がありましたが、あまり情報が出ていません。こちらの方ももっと追求されてしかるべきだと思います。

クラウドサービス事業者というからには情報開示は社会的な責任です。その点、Amazonはよくわかっていると思います。こちらも大規模な障害が起きましたが、経過も含めてきちんとレポートを公開しています。事故そのものへの批判も出ますが、一方でユーザーも学べることが多い。

──Amazonの動きは緩やかな啓蒙活動でもあり、同時に株式市場に置けるIRの安定性、透明性にも通じる感覚です。

鈴木：グローバルな大規模ベンダーに関してはそこをきちんと考えているし、彼らはまさにそれが事業モデルに折り込まれています。ですが、国内についていえば館林の件を見る限り、潜在的なリスクが高いと判断せざるをえません。

業界全体を考えれば、リスクをユーザーに押しつけるのではなく、事業者側が頑張りながら、ユーザーに付いてきてもらう相互発展しかありません。ユーザー側も、現状では不幸な事故が起きうる状況だということを理解しつつ、保有する情報資産をある程度何かしらの価値に換算して、それが事業にとってどのくらい大事なものなのかを考える必要があります。双方の努力を通じて、業界全体を健全にしていくしかないのです。