基幹系システムのクラウド移行が進む中、どのような基準でクラウド基盤を選定すべきかに改めて注目が集まっています。特にSAP ERP を稼働させるシステムは高い可用性と信頼性が求められるため、クラウド事業者が信頼できるIT基盤を提供できるか否かが問われます。選定の基準の1 つとなるのが第三者認証の取得状況です。SAP ERPのクラウド移行の際にチェックするべき第三者認証を紹介します。

▼ 目次
１．クラウド移行が活発化する中知っておきたい「第三者認証」
２．第三者認証の取得状況を確認することはクラウド選定の第一歩
３．SAP ERP システムのクラウド化で見ておきたい第三者認証
４．CTC「CUVICmc2」はSAP ERP 稼働に推奨される認証を取得済み

１．クラウド移行が活発化する中知っておきたい「第三者認証」

　国内企業における基幹系システムのクラウド移行が進んでいます。調査会社のIDC Japan によると、2021 年の国内パブリッククラウド市場は前年比28.5%増で1兆5,879億円（※1）となりました。システム領域は、情報系システムから基幹系システムに広がり、今後はDX（デジタルトランスフォーメーション）領域やデータ駆動型ビジネス関連へと拡大する見込みです。

　基幹系システムの代表格であるSAP ERPでもクラウド移行の意欲は高いです。ジャパンSAPユーザーグループ（JSUG）が会員向けに実施した意識調査（※2）でも、SAP ERPをクラウド基盤へ移行することに積極的な企業は6 割を超え、SAP S/4HANA導入済み企業では8 割近くがクラウド基盤を採用しています。

※1 出典：IDC Japan 国内パブリッククラウドサービス市場予測を発表 2022年3月31日
※2 出典：ジャパンSAP ユーザーグループ（JSUG）『JSUG 会員意識調査2021』2021 年12 月発行

　情報系システムなどの基盤にパブリッククラウドを採用する場合、IT基盤の可用性は99 ～ 99.9%程度にとどめ、システム構成を工夫することでコスト効率と可用性のバランスをとるアプローチが多いのではないでしょうか。しかしSAP ERP のようなミッションクリティカルなシステムの場合、稼働させるクラウド基盤も99.999%クラスの高い可用性と信頼性が求められます。3 システムランドスケープなどSAP 社が推奨する構成を安定的に動作させるためです。SAP ERPのクラウド移行ではそのほかにも、セキュリティやガバナンス、内部統制の確保など気をつけるべきポイントは多いです。

　では、どのような基準でクラウド基盤を選択すればよいのでしょう。その基準の1つとなるのが第三者認証の取得状況です。

２．第三者認証の取得状況を確認することはクラウド選定の第一歩

　第三者認証とは、例えば多くの企業が取得する情報セキュリティマネジメントシステム（ISMS）の国際規格「ISO/IEC27001」、品質マネジメントの国際規格「ISO9001」、またIT サービスマネジメントの国際規格「ISO/IEC 20000」などのことです。

　クラウドサービスの場合も、サービスマネジメントやセキュリティマネジメントを対象にした国際規格や認証が整備されています。クラウドサービス事業者を選定する際には、事業者がどのような第三者認証を取得しているかを確認することが重要です。

　なぜなら、クラウド環境はオンプレミス環境とは異なり設置場所やシステムの設計内容についてクラウド事業者側で管理しており、利用者はそれらすべてを把握できないためです。海外の事業者をはじめとする多くのパブリッククラウドプロバイダーは、データセンターへの立ち入りを厳しく管理しており、自社のシステムがどのようなIT基盤上で運用されているかを把握することは困難です。利用者にかわってクラウドサービスの実態を調査し、その結果を示してくれる第三者認証は、情報不足を補う上で必要不可欠になってきます。

　クラウド向けの第三者認証にはさまざまな種類があります。海外のパブリッククラウドベンダーが有している例としては、米国立標準技術研究所（NIST）のSP 800 シリーズや米国政府システム向けセキュリティ保護制度のFedRAMP、米国医療情報保護制度のHIPPAといった認証があります。このほか、欧州やアジアなど自社のシステムを展開する地域やシステムの特性に応じて、自社システムに適用される法規制を確認するとともに、必要になる第三者認証の取得有無を確認することが重要です。

３．SAP ERP システムのクラウド化で見ておきたい第三者認証

　第三者認証は多く取得しているに越したことはないですが、例えば日本国内で基幹系システムを運用するのにあたって、そのすべてが必ずしも必要となるわけではないです。日本国内向けのシステムには適用されない認証や特定の業界・業種を対象にした認証など、自社が事業を行ううえで必ずしも必須ではない認証を取得しているかまでチェックする必要ありません。重要なのは自社に必要な第三者認証が何なのかを見極めることにあります。

　基幹系システムを稼働させる場合に、確認しておきたい主な第三者認証等は図1 の通りです。このうち、SAP ERPシステムを稼働させるクラウド基盤としては必ずしもすべてを取得している必要性はないですが、最低限のものとしてクラウドサービスにおけるセキュリティマネジメントの認証である「ISO/IEC27017」と、サービス事業者の内部統制評価監査である「SOC1」の2つは押さえておきたいところです。

図１：クラウドサービスに関する主要な第三者認証等

　また、利用者によっては社内のセキュリティ基準などによって、クラウドサービス事業者のデータセンターを現地視察したり、現地調査したりすることが必要になる場合もあります。基幹系システムのような重要なシステムであるほど、現地視察や現地調査の必要性は高まります。クラウドサービス事業者が現地視察や現地調査に協力的かどうかも1 つの判断材料になるでしょう。

４．CTC「CUVICmc2」はSAP ERP 稼働に推奨される認証を取得済み

　伊藤忠テクノソリューションズ（CTC）が提供するクラウド基盤サービス「CUVICmc2」は、SAP ERP を稼働させるのに最適な基盤を提供しており、第三者認証等である「ISO/IEC 27017」「ISO 9001」「SOC1」に加えて、SAP ERPシステム運用事業者に対するSAP 社の認定プログラムであるSAP 認定を取得しています。

図2：SAP ERP に最適化した「CUVICmc2」の主要な第三者認証・認定・監査対応

　SAP 認定には、対象領域ごとにいくつか種類があります。CUVICmc2 では、このうちクラウドとインフラ運用の「SAP Certified in Cloud and Infrastructure Operations」、ホスティング運用の「SAP Certified in Hosting Operations」、SAP HANA 運用の「SAP Certified in SAP HANA Operations」の3 つを取得しています。

　さらには、機密保持やセキュリティ確保とのバランスを図りながら利用者による現地視察（データセンターへの立ち入り）にも柔軟に対応しています。

　また、医薬品・医療機器関連企業向けには「コンピュータ化システムバリデーション（CSV）」にも対応しています。CSVへの対応を評価して採用を決めた製薬企業が多いこともCUVICmc2の特徴です。

　CTC ではこうした第三者認証に裏付けられたIT 基盤を提供することで、企業がSAP ERP システムをクラウド環境で安全に安心して利用できるよう支援しています。