いまさら聞けないオンプレミスとクラウドの違い!セキュリティ上のメリットとデメリットとは?
オンプレミスという言葉は、実は比較的新しい言葉です。クラウドが隆盛してきた頃から、クラウドと対比するレガシーな構成を指す言葉として使われるようになりました。クラウドが、ネットワークの向こう側に存在する自由に構成可能なコンピュータ資産であるのに対し、オンプレミスはコンピュータハードウェア、ネットワーク構成、OS、アプリケーションの全てを自社内に持ち、構成、管理、運用も全て自前で行います。
本稿では、オンプレミスとクラウドの違いを、そのセキュリティ上のメリットとデメリットに焦点を当てて解説いたします。
オンプレミスでセキュリティ対策を行うメリット・デメリット
オンプレミスのセキュリティ上のメリットは、何といっても「閉じて」いることです。オンプレミスでのネットワーク構成は、典型的にはDMZを内部ネットワークと外部ネットワークの接点に配置し、複数のファイアウォールでセキュリティ区画を自由に構成することができます。任意の箇所にIPSやIDSをセットしてネットワーク監視を任意に設計できます。「閉じて」いるというのは、自社で管理していないアクセスパスがないという意味です。これにより、個人情報など最重要なデータを管理しているサーバは最深のセキュリティ区画に配置し、DNSやWebサーバをフロントエンドに持ってくるといった、非常に影響をコントロールしやすいというメリットがあります。
また、サーバ上の管理もすべて自社で管理できます。セキュリティパッチをいつ当てるか、不要なポートは全部塞いでいるかといった管理も細かくできます。さらに、アクセス制御や導入するアプリケーションの管理、ログ取得の粒度など、すべて計画通りに細かく行うことができます。
すべてが自社で思い通りにできるということはその反面、すべてを自社の責任で行わなければならないということにもなります。つまり。それだけセキュリティ設計や設定、パッチ適用やログ監視などの運用など、すべてコストがかかります。これには、かなり専門的な技術や知識、ノウハウが必要です。しかもセキュリティ技術は年々すごいスピードで進化していますので、それに追従していくのも大変です。
こうした、自由に何でもできることに起因するデメリットが、オンプレミスのデメリットです。 総じて、オンプレミスはオーダーメイドの製品に例えることができるでしょう。
クラウドでセキュリティ対策を行うメリット・デメリット
一方、クラウドのセキュリティ対策のメリット・デメリットは、オンプレミスのそれを逆転させたものになります。メリットとしては、クラウドベンダに一任することができるので、社内にセキュリティに関するノウハウがあまりなくても比較的安全に運用することができます。特に早期にサービスを立ち上げたい場合には、セキュリティ関連の対応が後手に回りがちです。こうした時は、クラウドを利用することで、セキュリティリスクを下げることができます。
また、SLA(Service Level Agreement)を締結することで、サービスやセキュリティのレベルを契約面からも保証することができます。オンプレミスに比べると、セキュリティにかかるランニングコストは格段に下げることができます。しかし、細かいセキュリティ要件をすべてクラウドベンダに要求するのは難しいでしょう。これがデメリットです。
こうした観点から、たとえば、個人情報などセンシティブな重要情報をクラウド上に上げることにはリスクがあるといわざるを得ません。取り扱いに細心の注意が必要な情報は、クラウドで扱うことはリスクが高いと考えた方が良いでしょう。
まとめると、クラウドでのセキュリティ上のメリットは、セキュリティに関するノウハウがなくても、一般的なレベルとして堅固なセキュリティが保証されること、デメリットとしては重要なデータをクラウドに預けることにはリスクがあります。
オンプレミスとクラウドのセキュリティは一長一短
以上のように、セキュリティの観点で両者を比べた場合、どちらかが一方的に優れているというわけではありません。重要な情報を管理する場合は、やはりオンプレミスでセキュリティを堅牢にすべきでしょうし、こうした重要な情報がない場合は、クラウドを使って手軽にある程度堅固なセキュリティを利用するのも良いと思います。ランニングコストもクラウドの方が安価になるケースの方が多いでしょう。つまり、用途に合わせてオンプレミスとクラウドを使い分けるのが得策であるといえます。
ケースによっては、重要な情報はオンプレミスのシステムに搭載し、クラウド上のシステムを連携させて費用対効果を向上させる、といったハイブリッドな方法もあり得ます。どちらに優劣があると決めつけるのではなく、それぞれの長所を活かして賢く利用していくようにしましょう。