ERPにリスクはあるのか?

 2013.04.17  クラウドERP編集部

グローバル標準のクラウドERP

クラウドコンピューティングに対する関心がますます高まり、企業のクラウド移行が進む中、常にクラウドへの移行を阻む要因の一つとして指摘されるセキュリティやリスク。今回、クラウドでERPCRMなどを提供するネットスイートのマーケティング部 部長である内野氏へセキュリティやリスクに関して率直にお伺いしました。

インタビューア:昨今、クラウドの導入が加速している感がありますが日本国内での状況をお聞かせいただけますか?

内野氏:日本国内においては、東日本大震災以降クラウドへの移行が加速していると感じています。元来、クラウドコンピューティングの最大の特長である持たないメリットはお客様に受け入れられていたのですが、データの保護やセキュリティ、クラウドリスクに関して躊躇していた企業が多かったのも事実です。しかし、震災を機にデータ保護やセキュリティに関する概念が大きく変わったと認識しており、おかげさまで多くの引き合いをいただいています。

インタビューア:具体的にクラウドのリスクに関して、企業は、どのような懸念を抱くのでしょうか?

内野氏:企業がクラウドへ移行する際には大きく分けて7つのリスクを考えています。「情報漏洩」「サービス停止」「障害対応」「契約」「法令遵守」「ITガバナンス低下」「コスト増」に分けられます。ネットスイートでは、これらの疑問をお客様に丁寧にお伝えしています。

インタビューア:情報漏洩では、どのような懸念を抱かれているのでしょうか?

内野氏:実はほとんどがクラウドだけでなくオンプレミスでも起こりうることに懸念を抱いている企業が多い実態があります。たとえば、サーバ設置国やネットワーク経由国の法令(米国愛国者法、EUのデータ保護指令等)によって情報開示が義務付けられる場合に、データの機密性が守られず、情報が強制的に閲覧される可能性があるのでは?ということが言われますが、NetSuiteでは裁判所が発行した正式な令状がない限り、お客様のデータを開示することはありません。また、当局がデータ開示を要する可能性は米国・EUだけでなく、日本においても等しく存在します。しかもその対象はクラウドに限定されませんので、本リスクはクラウドのみに特有のものではありません。

インタビューア:IDやパスワードが漏洩した場合も同じですね。

内野氏:はい。その通りです。IDやパスワード漏洩のリスクは、クラウドに特有のものでなく、オンプレミス型のシステムでも同様に有ります。このようなデータ漏洩のリスクを最小にするため、NetSuiteには各種のコントロール手段が用意されています。例えば、アプリケーションのロール定義により、ユーザーが不必要なデータにアクセスできないように制限をあらかじめかけておくことが出来ます。また、NetSuiteにアクセス可能なIPアドレスの制限や、監査証跡などにより、複数手段でのコントロールが実現されています。

インタビューア:通信の傍受に関してはいかがですか?

内野氏:お客様のクライアント端末とNetSuiteのデータセンター間の通信は128bitSSLにより暗号化されています。128bitSSLはオンラインバンキングなどでも利用されている強固な暗号化技術であり、通信における情報漏洩のリスクは現時点ではほぼないと考えています。

NetSuite SuiteSuccess 新登場!!

インタビューア:もしNetSuiteの悪意ある社員やプログラムミスがあればデータは洩れますよね?

内野氏:実はここはクラウドベンダーの生命線だと思っています。データセンターオペレーションは各種のモニタリングツール、運用ポリシー、統制により、高度なセキュリティを確保しております。また、NetSuiteはSSAE 16 (SOC1)/ISAE 3402 Type II、PCI DSS、EU米国間セーフハーバーなどの第三者認証を受けており、オンプレミス型では実現することが困難なレベルのセキュリティとリスクマネジメントを達成しています。NetSuiteのデータセンターは24時間365日監視されており、ハードウェア、アプリケーション共に正常に動作しているかがモニタリングされています。NetSuiteの包括的なリスク管理のプロセスは、アメリカの国立標準技術研究所 (NIST)が特別に発行した「ITシステムのためのリスクマネジメントガイド(800-30)」とISO27000に準拠して構築されました。情報漏洩のリスクがゼロであることを証明することは困難ですが、セキュリティに関して考えられうる全ての対策は取られており、これまで一度も情報漏洩等の事故は起きていません。

インタビューア:法令に関してお客様はどのような懸念を抱いているのでしょうか?

内野氏:いくつかあるのですが、EU圏内に現地子会社を有する企業がクラウドを利用する場合、第三国への個人データ移転とみなされる可能性があるのでは?ということを言われます。NetSuiteは「EU米国間セーフハーバー協定」に準拠していますので、「EUデータ保護指令」の例外扱いとなっており、第三国(この場合は米国)への個人データの移転を認められています。また、営業秘密をクラウドで管理した場合、不正競争防止法の秘密管理性の要件を満たすことができなくなる可能性があるのでは?と言われたりします。NetSuiteではお客様のデータに権限のない第三者がアクセスすることは出来ませんので、秘密管理性の要件を満たしていると言えます。さらにNetSuiteでは、SSAE 16 (SOC1)/ISAE 3402 Type IIに準拠しており、顧客データが適切に保護されていることが第三者の監査により証明されています。

インタビューア:法令に関して、それ以外にありますか? 

内野氏:日本国内におきましては、利用者がデータを削除したときに、すべてのデータが削除されないと、データの不正利用による著作権侵害や個人情報保護法違反に問われる可能性があるということが指摘されます。もちろんCRMEコマースにおいてはオプトイン、オプトアウトの管理はしっかりと行うことが可能です。また、NetSuiteではお客様の契約解除後90日経過後に、お客様のデータを完全に削除いたします。また、お客様データの全ての権利及び知的財産権はお客様が有しますので、NetSuiteがお客様のデータを不正利用することはありません。

インタビューア:ITガバナンスに関してはいかがですか?

内野氏:利用者が内部監査を行う場合に、必要な監査証跡をクラウド事業者が提供できない可能性があると言われます。NetSuiteでは、ユーザーの活動は監査証跡としてトラックされます。監査証跡では、誰がいつどんな活動を行い、結果どういった変更がレコードになされたのかが、全て記録されます。これは内部監査上の監査証跡として十分なレベルの情報であり、必要な監査証跡が取得できないという問題は起きていません。また、NetSuite自体がSSAE 16 (SOC1)/ISAE 3402 Type II、PCI DSS、EU米国間セーフハーバーなどの第三者からの監査を受けています。NetSuiteのお客様であれば、監査の内容を確認することも可能です。さらにごく一部ですが、お客様からデータ削除に関しての証明を求められることもあります。その場合には、データ削除の証明を行っております。

インタビューア:サービスの停止やサービスレベルに関してはいかがですか?

内野氏:他社ユーザーとのリソースの取り合いで、パフォーマンスの低下が発生する可能性があると思われている企業がいらっしゃいます。NetSuiteアプリケーションには、一部のユーザーがリソースを占有しないように、ガバナンス機能がビルトインされています。これにより、極端にリソース消費が大きい処理には制限がかかるようになっています。また、Netsuiteに対するDoS攻撃やDDoS攻撃により、自社使用領域に対して直接的なサービスの妨害が発生する可能性があると言われます。サービス妨害が発生する可能性を100%排除することは出来ませんが、その影響を最小限に留める対策は取られています。NetSuiteでは多くの侵入検知システム(IDS)によってネットワークへの侵入を試みる悪意のあるトラフィックを識別しています。データセンターへの認証されていないアクセスはブロックされます。また、認証されていない接続は、すべて記録され、調査されます。もちろん、エンタープライズクラスのアンチウイルスソフトウェアが配置されており、トロイ、ワーム、ウイルス及び、その他のマルウェアによる企業内のソフトウェアやアプリケーションへの影響を防いでいます。さらに、外部からのネットワークへの侵入テストを行い、セキュリティのチェックを継続的に行なっています。侵入テストには、例えば、SQLインジェクション、クロスサイトスクリプティングなども含まれているのです。

インタビューア:突発的なメンテナンスによりお客様は困りませんか?

内野氏:突発的なサービス停止の可能性はあります。但し、NetSuiteでは99.5%のサービスレベルコミットメントをしています。通常のメンテナンスは週に約20分です。また、直近12ヶ月の稼働実績は99.98%となっています。Netsuiteでは、サービスレベルをコミットメントしています。免責条項は合理的なものであると考えております。

インタビューア:お客様は障害でのトラブル原因特定の困難さにより、NetsSuiteへの責任追求が困難となる可能性があるのではないでしょうか?

内野氏:障害の種類にも依存しますが、お客様のインスタンスに特有の障害はNetSuiteのサポートセンターを通じてトラブル原因の特定は可能です。あるいはhttp://status.netsuite.com/ に情報は開示されています。データセンター全体の障害に関しては、サービスレベルコミットメントを下回らない限りは、原則弊社Webサイトを通じたコミュニケーションとなります。99.5%を下回った場合はサービスクレジットが提供されます。

インタビューア:Netsuiteの障害対応に関しては問題ありませんか?

内野氏:NetSuiteはデータセンターインフラからアプリケーション開発までを自社で行なっています。これにより他社のインフラを間借りしたクラウドサービスと比較して、問題点を迅速に特定することができます。

インタビューア:コストに関してお伺いします。従量課金性の場合、EDoS攻撃(不正アクセスにより膨大な従量課金の料金を発生させる手法)によるサービス利用料金増加の可能性があると思いますがNetsuiteではないと考えてよいでしょうか?

内野氏:はい。Netsuiteは従量課金制ではないので問題ありません。

インタビューア:サービスの利用料金について、有償のOSやミドルウェアの使用料が月額料金に含まれている場合、OS、ミドルウェアの料金改定に伴いサービスの利用料金が一方的に値上げされる可能性がありますか?契約後、いきなり値上げされても困る企業がいるかと思います。

内野氏:OSやミドルウェアの料金改定を理由に一方的に値上げをすることはありませんが、各種の経費やインフレなどの調整のために長期的に価格が変更になることはありえます。そのような場合でも短期的に大幅に価格を引き上げることはありえません。NetSuiteでは毎年全てのお客様に確実に契約更新していただくことがビジネス上最も重要な要素と考えています。

インタビューア:ありがとうございました。

内野氏:ありがとうございました。

[RELATED_POSTS]

NetSuite SuiteSuccess

Oracle ERP Cloudまるわかりガイド
RFP(提案依頼書)サンプル新統合基幹システム導入プロジェクト提案依頼書

RELATED POST関連記事


RECENT POST「ERP」の最新記事


ERPにリスクはあるのか?
Oracle ERP Cloud とSAP S/4HANAとの比較 (英語)
No.1 クラウドERP Oracle NetSuite公式カタログ
成長企業がこれから12ヶ月で変えていくべき3つのこと

RANKING人気資料ランキング

RECENT POST 最新記事

RANKING人気記事ランキング

New Call-to-action