クラウド サービス プロバイダーはどのように選べばよいのでしょうか?
クラウド コンピューティングへの移行を決めたら、次はクラウド サービス プロバイダーの選定です。組織のアプリケーションやデータを委ねようとしているサービス プロバイダーの信頼性や能力を評価することは非常に重要です。考慮事項の一部を以下に示します。
ビジネスの健全性とプロセス
- 財務状態: 安定した実績があり財務の状態も良好で、長期にわたり問題なく運営していけるだけの資本を十分に持っているプロバイダーをおすすめします。
- 組織、ガバナンス、計画、リスク管理: 管理体制が正式に決まっていて、リスク管理方針を確立していて、第三者のサービス プロバイダーやベンダーに対する正式な評価プロセスが用意してあるプロバイダーをおすすめします。
- 信頼: 企業とその基本方針に好感を持てることが推奨されます。プロバイダーに対する評価や、そのパートナーを確認しましょう。クラウドに関してどの程度の経験があるのかを調べましょう。レビューを読んだり、お客様と似たような状況にある顧客に話を聞いたりしましょう。
- ビジネスの知識と技術のノウハウ: お客様のビジネスや計画を理解し、それらに合致した技術的な専門知識を有するプロバイダーをおすすめします。
- コンプライアンスの監査: 第三者による監査を通じてお客様の要件にすべて準拠していることを確認できるプロバイダーをおすすめします。
管理サポート
- サービス レベル アグリーメント (SLA): お客様が安心できる基本的なレベルのサービスを保証できるプロバイダーをおすすめします。
- パフォーマンス レポート: パフォーマンス レポートを提供できるプロバイダーをおすすめします。
- リソースの監視と構成管理: プロバイダーは、顧客に提供するサービスやシステムに加えられたあらゆる変更点の追跡と監視を十分に管理できる必要があります。
- 請求と会計: これらは、使用しているリソースや費用をお客様が監視できて、予定外の請求がかさまないように、自動化されている必要があります。また請求に関する問題に対してのサポートも必要です。
技術的な機能とプロセス
- デプロイ、管理、アップグレードの容易さ: ソフトウェアやアプリケーションのデプロイ、管理、アップグレードを行いやすいしくみをプロバイダーが用意していることを確認しましょう。
- 標準的なインターフェイス: お客様の組織がクラウドへの接続を簡単に構築できるよう、標準的な API やデータ変換を使用しているプロバイダーをおすすめします。
- イベント管理: 監視/管理システムと統合した正式なイベント管理システムを確立しているプロバイダーをおすすめします。
- 変更管理: 変更の要求、ログ作成、承認、テスト、許可に対して、文書化された正式なプロセスが用意してあるプロバイダーをおすすめします。
- ハイブリッド機能: 当初はハイブリッド クラウドを使用する予定がない場合でも、プロバイダーがこのモデルに対応できることを確認するようおすすめします。後になって、お客様がそのメリットの活用をご希望になる可能性があるからです。
セキュリティの実践
- セキュリティ インフラストラクチャ: あらゆるレベルと種類のクラウド サービスを包括するセキュリティ インフラストラクチャが必要です。
- セキュリティ ポリシー: プロバイダーおよび顧客システムへのアクセスを制御する、包括的なセキュリティ ポリシーおよび手段が整っていることが必要です。
- ID 管理: アプリケーション サービスやハードウェア コンポーネントに対する変更はすべて、個人またはグループ ロール ベースで承認する必要があります。また、アプリケーションやデータを変更するすべての人に対して認証を要求する必要があります。
- データのバックアップと保持: 顧客データの整合性を確保するポリシーおよび手段が整っていて、実施可能な状態である必要があります。
- 物理的なセキュリティ: 併置されたハードウェアへのアクセスを含む、物理的なセキュリティを確保する制御手段が整っている必要があります。また、機器やデータを破壊的なイベントから守れるよう、データ センターには環境面での保護機能が備わっている必要があります。ネットワークと電力には冗長性があって、ディザスター リカバリーおよびビジネス継続性について文書化された計画があることが望まれます。
詳しくは、Microsoft Azure セキュリティ センター: セキュリティをご覧ください