(上部写真:セミナーに登壇した4人。左からさくらインターネット・滝島、武蔵大の小野理事、広島大の西村教授、NIIの吉田特任教授)

2017年12月13日、広島市の広島国際会議場で大学ICT推進協議会(AXIES)2017年度年次大会が開会した。翌14日にはさくらインターネット主催のセミナー「いかにしてクラウド導入のハードルを越えるか 実践編」が開かれ、大学のクラウド導入における様々な課題が話し合われた。司会は、大学ICT 推進協議会クラウド部会副査を務める、さくらインターネット・滝島繁則。パネリストには、武蔵学園理事でNPO法人CCC-TIES副理事長を務める小野成志さん、広島大学情報メディア教育研究センター長の西村浩二教授、そして国立情報学研究所(NII)クラウド基盤研究開発センターの吉田浩特任教授の3人が登壇した。本稿ではその詳細をお送りする。

*  *  *

滝島:これまでの経緯を簡単にご説明させていただきます。昨年度のAXIES 2016でも同じテーマでパネルディスカッションをさせていただきました。ただ、前半の総論部分が終わった時点で質問を受け付けたところ、大変多くの質問をいただいてそのまま時間切れとなり、本来やるべきであった各論まで辿り着くことができませんでした。昨年の総論部分については、さくらのナレッジにてインタビュー形式で掲載させていただいております。

<第1回>【インタビュー:武蔵大学】私立文系大学のクラウド化は進んでいるか?大学のクラウド化によるメリットと今後の課題
<第2回>【インタビュー:広島大学】クラウド化する大学~ISMSクラウドセキュリティ取得の最先端セキュリティポリシーに迫る
<第3回>【インタビュー:国立情報学研究所(NII)】アカデミッククラウドの未来はいかに。NIIが推し進める「学認クラウド 導入支援サービス」とは。

今日は前回と同じパネリストの皆さんですので、まずは昨年度の振り返りという形で、昨年度の内容を簡単に発表お願いします。まずは小野先生からお願いします。

クラウド導入における4つの壁

クラウド導入の4つの壁について語る小野成志・武蔵学園理事

小野先生:前回、私立大学の情報センターは非常に多様なスタイルを持っているというお話をさせていただきました。この私立大学の多様性は経営の意志決定プロセスにも及んでいます.しかし、それをおおまかに分類すれば、理事長主導型の大学と、教授会主導の大学の2つに分類できるかと思います。理事長主導型というのは、理事長によるワンマン経営によって、教授会の意向とかはあまり反映されないのが特徴です。あまり大きくない大学においてはこのような形のところも多いといいます。トップダウンで素早い意思決定ができる反面、コンプライアンスに欠けてしまう部分があります。

理事長主導型の大学がクラウドを導入しようとした場合、理事長が「クラウドを入れましょう」と言って、クラウド業者も理事長が連れてくるという流れになります。そこまではいいのですが、理事長が「じゃあこの人連れてきたからよろしくね」と言って、そこから先を現場に丸投げしてしまうことが往々にしてあります。こうなってしまうと、ここから先には進みません。現場の人達と業者さんがどういう会話をしたらいいのか、現場の人もわからなければ、その業者さんもわからない、お互いにらめっこしてそれで終わってしまうということが起こります。

教授会主導型というのは、反対にボトムアップの意思決定プロセスになります。これはとにかく物事を変えないという事においては、非常に上手く出来ているシステムと言えます。例えば教授会で今回我が学部のシステムをクラウドに移行しましょうと決めようとします。こういう決定一つでも、時間をかけて根回しが必要になります。そしていざみんなで合意しようとすると、一度も教授会に出てきたことがないような長老の先生が現れて、「私は反対だ」と突然言い出し、それで全部ひっくり返ってしまうということがあります。

理事長主導型や教授会主導型のどちらも、このような効率の悪さがあります。最近は文部科学省が大学にもガバナンスとかアカウンタビリティを求めるようになってきましたので、小さな私立大学はこうした旧来の組織構造を頑張って変えようとしています。

一方で、私立大学の45%は赤字で、豊かな学校から非常に経営が苦しい学校まで幅があります。こうした財務状況によっても、多様な類型があります。先ほどの「意思決定プロセスの類型」と、「財務状況の類型」という2つのかけ算によって、物事が複雑になってくるということが言えるのではないかと思います。

ここで、今日の会のテーマにもなっている「いかにしてクラウド導入のハードルを越えるか」について考えてみることにしましょう。私は大学でインターネット運用を20年以上やってきたのですが、学内の人の情報システムに対する態度は、3つのタイプがあるように思います。一つは「それが何の役に立つかわからない」という人。もう一つは「コンピューターだからなんでもできるでしょ」という人。残りの一つが、「それは私には関係がない、誰かがなんとかしてくれる」という人です。先ほどの理事長主導型の例で言えば、せっかくいい業者さんがいて一生懸命クラウドを導入してあげたとしても、この3つの考え方が現場に阻まれて、クラウドに対する理解が広まらず、利用率も低いままという場合があります。

また、クラウド導入時には、見かけ上の4つの壁というものがあると思います。一つは教授会主導型のように、意思決定に時間がかかってしまい導入のタイミングを逸してしまうこと、もう一つはクラウドというものに対してなにも理解がないために、導入そのものに関心がないこと。さらには導入に失敗を恐れて導入をためらうこと、そして、情報センターの人が、そんなものを入れたら自分たちが働く場所がなくなるといって、導入を恐れてしまうことがあります。

一方で,クラウド導入が進まない大学では、職員の人達が、実はDropboxなどのクラウドストレージを勝手に利用しているという場合があります。ポリシーが定められないまま、勝手な運用を始めてしまうという例は今までもいくらでもあります。こうなると、セキュリティがやがてボロボロになってしまいかねません。クラウド導入における壁で物事が停滞しているうちに、セキュリティリスクが顕在化してしまうということが、いつ起こってもおかしくないという状況が生まれてしまいます。

この壁をどうやって乗り越えたらいいか。「クラウドはコスト削減に役立ちますよ」と言って説得する方法もあるでしょう。しかし、そのようにコストセンターの削減に役立つ考え方では、結局は0円が一番良い、だったらタダでやってねという話で終わってしまいます。そうではなくて、「価値創造のためのクラウド」ということを相手に理解してもらう必要があるのではないでしょうか。

ただ、相手が望んでないものを入れようとしても、それはできません。これがクラウド導入における一番大きな壁だと思います。牛丼でいいと言っている人に、フランス料理のフルコースを食べさせても喜んでくれません。このへんの意識の壁をどう乗り越えていくかというのが、クラウド導入の時の一つの大きな課題なのかなと思います。

滝島:ありがとうございました。昨年のお話よりも大分いろいろと肉付けがされている内容かなと思います。続いては西村先生お願いします。

第三者認証を活用した円滑なセキュリティガバナンスに向けて

組織内ガイドラインや第三者認証を用いた施策について語る、広島大の西村浩二教授

西村先生:前回は、クラウド導入の壁をどうやって越えていくかにおいて、「クラウド成熟度」というのが企業さんのほうでいろいろ行われており、これを学術機関向けにアレンジしてやってみたらどうだろうという内容をお話しました。その際には大学で一番問題だと言っているセキュリティのガバナンスの観点が必要だろうということで、評価基準を4つ作ってやってみました。この上で5つの階段状の段階を作ってみて、それを今まで大学に実施したいろいろなアンケート結果を用いて、国立大学を分類してみたものを前回お見せしました。

この結果、ステージレベル「2」のところに大体の大学が集まり、つまり成熟度はまだいまいち、というような感じのことがわかりました。特に組織立ってやっているかという観点で見てみると、意外とあまり高いレベルにはないというのが見えてきます。一方でセキュリティに対する考え方が組織で成熟していないにもかかわらず、「勝手クラウド」という形で 個人が独自にサービスを利用していたり、あるいは組織全体でクラウド化を推し進めようとしていたりするところもありました。しかし、特にセキュリティガバナンスという面で成熟できていないに段階にもかかわらず、クラウドを使おうとする動きがあって本当に大丈夫でしょうか、ということを前回の問題提起としてお話をさせていただきました。

広島大学では、クラウドサービスを使う時にあらかじめガイドラインやチェックリストを設けて確認をしてそれで問題がないようだったら使っていいと判断する方針にしました。これらをベースに大学の中で、いろいろクラウドを使うか使わないか、使って良いかいけないかという判断をしています。具体的にはクラウドを使う準備の段階では誰が責任者なのか、あるいは契約やセキュリティポリシーなどが、大学組織のポリシーに反していないかどうかという部分からチェックしていって、その後クラウドらしい使い方がきちんととできるかどうかを確認していきます。最後はそういうクラウドらしい使い方をしても、今まで通りのセキュリティガバナンスがきちんと効くかどうかという流れでチェックしているわけです。

前回の発表では、広島大学で使っている教育研究系のシステムというのは、3つに分かれたクラウドをハイブリッドで使っているという話をしました。そしてその過程で広島大学では、その中のユーザー管理、個人情報は大学できちんと管理をして、それぞれの情報を必要なところに提供していくという管理の仕方が大学のICTシステムが持つべき将来像になるのではないか、というように考えました。しかし、この一連の考え方、自分達が作ったこうしたガイドラインが本当にこれでいいのかという検証をする必要があります。そこで、この確認を「ISMS」という第三者認証によって評価しようとしました。この「ISMS」そのものはセキュリティガバナンス全般を審査するもので、広島大学は2015年3月に取得していました。この「ISMS」に加えて、クラウド固有のセキュリティガバナンスが効いているかどうかという認証を、2017年の3月に取得しました。これはつまり、「ISO/IEC 27001」という「ISMS」の土台の上に、「ISO/IEC 27017」という「ISMSクラウドセキュリティ」が乗っかった形になります。ですので当然、「ISMS」の認証を受けてないと「ISMSクラウドセキュリティ」も取得できないということになります。

「ISMSクラウドセキュリティ」の認証を受けるためにいろいろやってきた中で、私たちもなんとなく変わってきたなという部分があります。情報システムというのはどの大学にもあって、オンプレミスでPDCAサイクルをきちんと回していて、管理していると皆さん思っているわけです。この中を少し見てみると、自営設備によって機能実現をした上で自分達が思っているセキュリティ対策をやっているわけですけど、これをクラウド化するということは、自営設備の部分をよそ様が運用する形に置き換えていくことになります。そうすると、これまでとは少し違う管理の仕方に、自分達が思い描いていたセキュリティとのギャップが出てきます。このギャップをきちんと埋められるかどうかというのが「ISMSクラウドセキュリティ」の認証を受けられるかどうかの肝になるだろうと考えています。このギャップをリスクアセスメントだとか、管理策というもので上手く補い、これまでのセキュリティ対策との整合性を上手くとっていくことによって、自分たちが元々持っていたPDCAがきちんと回るようになることがわかりました。

滝島:ありがとうございました。続いて吉田先生お願いします。これまで私立大学の立場から小野先生、国立大学的な立場から西村先生からお話いただきまして、次に支援組織としてNIIさんから吉田先生のお話をいただきます。

「学認クラウド 導入支援サービス」の1年の取り組み

「学認クラウド 導入支援サービス」の取り組みを振り返る、NIIの吉田浩特任教授

吉田先生:まず、NIIが提供する「学認クラウド 導入支援サービス」を中心に、ここ1年ぐらいの進展についてお話します。16年9月に、「学認クラウド 導入支援サービス」を開始したわけですが、17年7月には「クラウドゲートウェイ」というポータルサービスを新たに始めました。これは大学で法人契約されているクラウドを一覧に並べて、大学の構成員が利用可能なクラウドを一目瞭然にするものです。学認対応しているクラウドに対してはシングルサインオンもできます。さらに、「オンデマンドクラウド構築サービス」も準備中です。これはクラウド資源を活用したアプリケーション環境の構築をテンプレートによる自動化で支援するというものです。既にテスト運用の段階まで進んでいて、18年度提供開始予定となっております。

最初に述べた「導入支援サービス」を始めて1年3ヶ月ぐらいになるわけですが、どういうサービスなのかもう一度簡単にご紹介させていただきます。基本的には情報の共有サービスで、大学・研究機関がクラウドを選択する基準や導入・活用に関する情報を整備・流通・共有するというものです。一番の特長はチェックリストの提供です。これはクラウド導入チェックリストをNIIが策定し、全項目をクラウド事業者様に記入していただいて、それをNIIが検証して大学にお渡しするという仕組みになっています。このほか、クラウド導入に関しての個別相談、クラウド導入にあたって考慮すべき事項をまとめたスタートアップガイドの公開、それからクラウド利活用セミナーなどを実施してきました。このうち、スタートアップガイドとクラウド利活用セミナーの2つは、導入支援サービスに利用登録していただいていない機関の方でも、大学・研究機関ご所属の方であればどなたでもご参加いただけます。

チェックリストの中身をより詳細にご説明します。現在バージョン3.0までアップデートされていて、項目数が121あります。大学・研究機関で適切にサービスを選択して導入できるように、信頼性やセキュリティ、契約条件といった、大学・研究機関がクラウド導入の上で懸念されるであろう項目を充実させるようにしています。これをクラウド事業者様にお渡しし、自社のサービスに即して各項目の回答を書いていただきます。これをNIIで受け取ってから、チェックリストに回答されている内容が客観的に他の情報源から確認できるかどうかというところまで検証させていただいております。サービスに関する基本的な説明や回答では、例えばウェブとか機能説明書に同様の記述があるかということをチェックします。また、例えば契約条件についてこうなっていますと回答されていたら、その契約書や約款をいただいて、実際にそのような文言があるかどうかを調べるというレベルの検証をやっております。さらに、同じ用語であっても事業者様ごとに異なった解釈をされている場合もございますので、そういった用語や回答のレベル合わせの作業も含まれています。そこまで細かく検証させていただきますので、事業者様とのやりとりは1回ではまず終わりません。各項目について、ここはどうなっていますか、という質問を我々がお出しして、事業者様に回答していただくことを、3回、4回、5回というふうに行いますので、それなりに時間がかかっています。しかし、こうすることで大学・研究機関にとってはそのままお使いいただけるチェックリスト回答ができあがります。それぞれの大学・研究機関の方がこのようなチェックを個別にやられたらこれは大変な手間だと思いますけども、我々が1回やっておけばそこは緩和されるだろうという意識でやっております。

「学認クラウド 導入支援サービス」は2017年12月12日現在、64の大学・研究機関にご利用いただいています。国立大が多いのですが、もちろん公立・私立大や独立の研究機関にもご利用いただいております。一方、クラウド事業者様には23社さんにご参加いただいており、36サービスのチェックリストが公開されております。特に、IaaS (Infrastructure as a Service)と呼ばれている、インフラとしてVMやストレージなどを提供するサービスでは、著名な事業者様・サービスはほぼ網羅されており、利用価値が上がってきたのではないかと思います。

チェックリストの改版も絶えず実施しています。サービスを進めていくうちに、もっとこういう項目を入れて欲しいとか、こういうことを知りたいとか、様々なご要望をいただきます。あるいは、事業者さんのほうからこの質問は答えにくいといった声もいただきます。こうしたものをまとめて、大体年に1回はチェックリストの改版をしています。16年9月にサービスを開始した時はバージョン2.0だったのですが、17年7月に3.0に改版しました。このバージョン3.0に対応した事業者様のご回答も10月から順次公開しておりまして、8割方ぐらいは新しくなりました。どういうことを改版したかというと、例えば契約とか支払い関係の項目においては、支払い方法としてクレジットカードではなく請求書で払えるのかどうかといった内容や、さらに支払い方法が金額によって変わる場合があるので、こういった条件を明記していただくようにしました。また、セキュリティ関連の項目に関しては、例えば多要素認証をやっているかどうかという項目を追加し、暗号化の鍵をどうやって管理しているか、監査情報を大学に開示できるのかといった項目も拡充しました。他には、第三者認証について一つの大項目にまとめ、そこを見ればどういう認証を取得しているのか一度でわかるような形にしました。

第三者認証について大学にいろいろ伺いますと、調達される時に調達条件として仕様書に書かれる場合もあります。また、学内でこのクラウドを利用することに決めましたという説明を幹部の方にされる際、「信頼性は大丈夫なのか」というご質問をいただいた時に、「第三者認証としてこういうものを取得しています」と答えることによって説明がやりやすくなるという話も伺っています。

他には、広島大学の西村先生と協働で、「クラウド活用度調査」を実施しました。これは「学認クラウド 導入支援サービス」の一環としても進めているもので、自分のいる組織がどこまでクラウドを活用できているのか、活用のレベルはどうなっているのか、あるいは他の大学・研究機関と比べてどういう状況にあるのかといった、ご自身の現状を把握していただくための材料を提供しています。

大学はクラウドのメリットを享受できないのか

セミナーのコーディネーターを務めたさくらインターネット・滝島

滝島:大学のクラウド導入はセキュリティを中心にした大学のガバナンスの問題を顕在化させるといったところがあります。逆にクラウド導入によってこうした問題が解決できるところもあって、鶏と卵みたいな関係にあるということを小野先生や西村先生も仰っていたかと存じます。クラウド導入は大学のありかたを変えるきっかけにまでなるのかなという、とても大きい話になったというのが前回の結論だったように思います。

そこで今年は、その先にある、実際クラウドを導入するときにどうしたらいいのかという、実際大学でシステムの責任者の方々が持っている疑問にお答えしようというのが今日の趣旨になります。私が大学の方とお話して一番聞く機会が多いのは、「クラウドというのはどうやって調達したらいいんですか」みたいな質問を結構いただきます。クラウドは従量制で使った分だけ払えばいいというのが本来のメリットなわけですが、大学では予算制があって、従量制を受け入れられない大学さんもございます。このように、クラウドが本来持つメリットが大学では享受できないところがあるように思うのですが、これについて皆さんから一言ずつお願いします。

小野先生:個別具体的な話はちょっとできないんですけども、例えば私学でもいろんなタイプの私学があります。確かに国立大学みたいにがちがち経費運用しているところもありますけれども、従量制だと上手く予算当局に聞き入れられないというのは、まさに学校次第というのが私立学校の実情です。従って問題は、コミュニケーションを組織の中でどれだけできるかという部分ではないかと思っています。先ほど例で出した理事長主導のケースにありますように、一方的な指示ばかりで,コミュニケーションが取れてないと誰も何も動けないということになってしまいます。だから上から下まで、たかがクラウドと思わず、きちっとコミュニケーションがとれているかということが大事です。もう一つは、さっきの情報ガバナンスは、実はリスクマネジメントという全体の中のごく一部であり、大学全体のリスクマネジメントを考える中に位置付けなければならない、ということをどう言い続けるのか。この2つのことができれば、組織内部の問題はなんとかなるというふうには思います。

西村先生:広島大学の場合は、事務系のシステムをAWSにどんどん出していくというのを進めました。このAWSという一つのIaaSの上にいろんなシステムをどんどん乗せていくと、あるところで枠を越えてしまうということが起きてしまいます。国立大学の場合、一定の額を超えると今度は政府調達というのをやらなきゃいけなくなります。こうなってくると時間とコストの無駄が生じてしまいます。結局のところ、単価契約で一時間いくらという形で収まったようですが、青天井はやっぱり怖いという問題もあります。そこで、契約担当とどのぐらい使う予定があるのか、それを使うとどのぐらいの金額になると思われるかについて、コミュニケーションをかなり密に取っています。結局のところ、組織内でしっかりと話をして、材料をきちんと揃えて、どういうふうな使い方をしているからこうなりますというところからちゃんと話をすれば、こうした内部の問題は乗り越えられるのかなと、実際に中にいると思います。

吉田先生:導入支援を行っている立場から言いますと、まずはチェックリストの支払条件に関する項目を充実させることで対応しています。また、個別相談においても、仕様書にどう書くかというところまでできるだけ検討させていただくようにしています。また、我々がただ外野で言っているだけでは説得力がないので、実はNIIの中でもクラウドを研究目的で使う実証実験を行っており、その中で、クラウドを単価契約かつ従量課金で調達することを試みまして、一応実施することができました。ただし問題も残っています。業務系システムと違って、研究目的の場合では、例えばサーバーは何台でこのタイプとこのタイプしか使わないというふうに事前に制約を付けることが難しい傾向にあります。いざ研究を進めてみたら、サーバーが想定よりも多く必要になったとか、利用量が思ったより多かったり少なかったりということが多々あります。そういう意味で従量制は必須になりますが、この場合、単価については、サーバーのインスタンスタイプやサイズを決め打ちにしてこれしか使わないとすれば簡単なんですけれども、なかなかそういうわけにはいきません。そのため、多数のインスタンスタイプの単価を列挙するということも行いました。仕様書を作るにあたっては、会計の担当部門とも密にコミュニケーションをとりました。こういったそれぞれの実績や前例、ベストプラクティスというものを上手く積み重ねてゆくことで、導入支援サービスとしてもだんだん標準的なやり方というのが決まってくるのではないかなと思います。

クラウド調達の仕様書はどうやって書くべきか

滝島:ありがとうございます。調達の次は仕様書の問題を取り上げる必要があると思っておりました。しかし、これを書けばいいという魔法の呪文みたいなものはありません。さらにクラウドの場合、有用な表現がしづらい問題もあります。例えばインスタンスの表現はありますけど、それは必ずしも性能保証ではないとか、既存の仕様書の書き方がなかなか通用しないところがあると思うのですが、そこの問題はどう考えればいいでしょうか。

吉田先生:これも仰る通りで、正解があるような話ではないように思います。先ほど話した、従量制かつ単価で契約するという仕様書の作り方も、いつも正解かどうかわかりません。導入支援サービスの個別相談の中でも、仕様書の書き方については結構お尋ねをいただきます。しかし、これも大学ごとに求める要件などが全部違うので、必ずこう書いてくださいと言うことはできません。例えばセキュリティをとっても、その大学がどういうセキュリティポリシーをお持ちなのかが異なるので、答えを一つにすることはできません。いつも相談をお受けする時にこちらが申し上げているのは、セキュリティに関してどんな着眼点があるかを把握するためにチェックリストをご覧くださいというお願いです。また、各クラウド事業者様のチェックリストを並べてみると、こういう項目は大体どこでも実現できているから仕様書に書いてもかなりの事業者様が受けられる、一方こういう項目は誰も対応できていないので書いても受けていただきにくいというように、世間相場的なものが見えてきます。こうしたものを踏まえて、それぞれの大学のご事情に合わせて仕様書をお作りいただくことが必要かと思います。これもベストプラクティスが蓄積されてくることである程度答えが固まってくるとは思うのですが、今はそこまでの積み重ねはまだないかなと思っています。

滝島:西村先生はいかがですか。

西村先生:今まで私たちのような情報系センターが調達する際、このCPUが入っていることとか、こういうメモリで何ギガ以上みたいなことを書いていたと思います。こうした根拠は何だったのかということを考えてみると、逆に考えてみるといいんじゃないかなと思うんですね。つまり、こういうことやりたいですということを仕様書にきちんと書く。サービス仕様をきちんと書くということがまず第一歩で、こういう処理を何分以内に終了させられることっていうのを例えば書く。そしてクラウドなんだからこうした仕様が満たせなかったらあとで足せばいいじゃんというふうに私たちの場合は考えました。ただし、業者さんとは事前に徹底的にリソースに関する打合せをして、これだったらなんとかなるかなという着地点をお互いに見出していくことをやりました。こうするとことで、落札したあとで実はちょっと足りなかったというような事態を防ごうとしました。結局のところは難しく考えずに、こんなことしたいですというところから始めて、そこから業者さんと話を進めていけばいいと思っております。

滝島:なるほど、試行錯誤の時代なんですね。時間も残り少なくなってきましたので、会場のほうから質問を受け付けたいと思います。

質疑応答

――クラウドというのはサービスを買うという立場だと思うんですけども、サービスを使いたいときに本当に使えるのという素朴な疑問があります。というのも、クラウドは大丈夫なんだけど、ネットワークがおかしくて使えないということがあるのではないかと思います。そうなると、と思うんですよね。ネットワークを含めたサービス品質保証(SLA)みたいなものがあったほうがいいのかなと思うのですが、そういうモデルというのはあるのでしょうか。もしあれば、クラウドの調達とか仕様書も書きやすいかなと思うんですけども、そのへんはいかがでしょうか。

西村先生:クラウドサービスに関してはSLAというのは必ず提供されてまして、先ほど吉田先生からご紹介されたチェックリストの中でも、可用性何%かというのを記入するようになっています。多くの大学さんはネットワークにSINETを使ってらっしゃると思うんですけど、正直実際のところネットワークが問題になって使えなかったことはほとんど、まずないと思います。それよりも、オンプレで自分達が運用しているハードがトラブルを起こす場合のほうが圧倒的に多いんじゃないでしょうか。実際にこれまで、自分たちが運用しているシステムがトラブルをして、授業が飛んでしまったというのは20何年ある中で確か2,3回ありました。ですけど、クラウドでというところでは今のところないですし、仮にクラウドが使えなかったとしても、最低限のリソースを手元に置いておくなど、もし何かあった時の落し所を見つけることで対応できるのではないかなと思っています。

吉田先生:SLAのことに触れていただいたのですけども、残念なことにSLAは、そのサービスレベルに満たなかったらお金を返しますといった対応を規定する話であって、障害が起きないことを保証するものとは言えません。チェックリストの中では、問題にしていただいたネットワークの機能や帯域保証をしているのかどうかを聞いていたり、さっき申し上げたSINET接続の有無に関する項目もあります。また、クラウド事業者様がクラウドを提供しているデータセンターやリージョン(地域)が複数あるかといった項目もあります。このような情報は前提知識として把握した上で、やはり、全体として可用性を担保するシステムというのは、使う側でもある程度意識して構築しないといけないと思います。ここで重要となるのは、例えば複数の地域やデータセンターにシステムを配置するというのをオンプレミスでやろうと思ったらとても短期間では構築できませんけれど、クラウドだとそれが本当にワンクリックで構築できるということです。最終的にはベストプラクティスを確立するという話になってくるのかもしれませんけど、ともかく事故の確率というのは0にはなりませんので、そこを担保する仕組みというものをクラウドの特性を使いこなして構築するという方向に持ってゆくほうが、将来を考えた時にはよりよいのではないかなと私は思っております。

――クラウド利用に際し、ファイルやフォルダ、システムかサービスレベルでそれぞれ考えるべきだと思うんですけども、セキュリティレベルを使う時にファイル、フォルダ、アプリケーション、システム、サービスそれぞれにセキュリティのプロトコルみたいなものを設けた形にしたときに、オンプレでやっている時と違う部分が出てくると思います。そこは事業者さんとクラウド事業者さんと三者で作っていくというほうが一番いいものを作れるものなんでしょうか。一重にクラウドといっても、ファイルだけをクラウドで使いましょうとかフォルダだけ使いましょうとかアプリケーションだけをやりましょうとかシステムとしてクラウドを使いましょうとか、それぞれセキュリティレベルを別々に作るべきなのか、作るのだったら、オンプレと違って業者さん交えてそれぞれきちっと話し合ったほうがいいのかという部分がよくわかりません。

西村先生:広島大学では、クラウドを使うということをとても簡単に考えてみようというふうにしました。先ほどご紹介したガイドラインでは、あれは利用者の立場で、私たちがどうやって考えていくべきかを定めたものなのですが、そこでは、個別のサービスだとか何を守るべきかとか、そういう細かいところまではあまり考えないで単純にクラウドにデータを預けるという考え方で進めています。ですから、ご質問の例で言えば、ファイル単位とかフォルダ単位ぐらいのところだけ考えて、それを守るために、クラウドサービスに至るまでの経路をきちんと保護しましょうねとか、データがいった先のところをきちんと守りましょう、というところだけをきちんと考えるようにしています。これはオンプレにおいても、例えば同じ大学でもキャンパスが分かれていますとった場合や、あるいはデータセンターを間借りしてサーバーを置いていますという時に、そこをファイアウォールで囲ってその間はVPNトンネル張ってというのと同じレベルじゃないかなと思います。クラウドの場合も同じように考えて、土管をきちんとする、それで壁をきちっと作るというところを忘れずにやりましょうねというだけで考える。あまり細かく考えてしまうと、どんどん深みにはまっていくだろうと思ったので、私たちのところではあえて難しく考えないようにしました。繰り返しになりますが、肝心なのはファイアウォールをきちんと作りましょうというのと、その間のデータ通信のところはVPNで持っていくか、httpsを使いましょうねといったことを決めておくことだと私たちは思っています。

滝島:ありがとうございました。最後に、パネリストの皆さんからまとめの言葉をいただきたいと思います。

おわりに

質疑応答に答える吉田先生

小野先生:クラウドの導入も、他の一般的な情報システムの導入と同じ課題があります。担当者、経営者、利用者などのステークフォルダーが互いにコミュニケーションをしっかりととり、導入の必要性について価値観を共有しないと導入に失敗してしまいます。クラウドの本当の壁は、コミュニケーション不足にあるのだと私は思います。クラウド化は、大学にとって価値を作り出す多くのチャンスを持っているはずです。その価値観を共有できることがクラウド導入の秘訣ではないでしょうか。

西村先生:クラウド導入の障壁を超えるカギは、「自分を知り、クラウドという相手を知ること」にあると思っています。自分を知るのが広島大学のガイドライン、相手を知るのがAXIESクラウド部会のクラウドソリューションカタログであり、NIIの学認クラウドチェックリストです。ガイドラインで自分が今やるべきことを知り、統一された基準で整理されたカタログやチェックリストでクラウドの機能を知ることで、クラウド導入の不安を解消することができるようになると思います。

吉田先生:クラウドの利用には新たな考慮や対応が必要になると考えがちですが、実はオンプレミスの情報システムでも存在していた課題が、クラウドという環境でより顕在化すると考えたほうがよいでしょう。このような特にクラウドにおいて考慮すべき点に関しては、チェックリストを始めとする情報提供・情報共有という形で、今後もNIIとしてご支援していければと思います。一方で、クラウドの大きな特長としてスモールスタートが可能という点があります。そこで、まずは可能なところから小規模でもクラウドを利用してみることを始め、知識・技術・ノウハウの獲得と見出した課題の解決を図りながら拡大していくことが、クラウド導入のハードルを越えるための一つの実践的な取組みなのではないかと考えています。

滝島:ありがとうございました。これにてディスカッションを閉めたいと思います。