クラウドへの「不安」の原因と、それを取り除いて建設的な議論を進める考え方

 登場から僅か10年ほどで、情報システムのプラットフォームの有力な選択肢となったクラウドコンピューティング。

 様々な企業でクラウドの活用が進み、いまや情報システムを新しく構築したり、次期システムを検討する際は、クラウドサービスの採用を第一に検討する「クラウドファースト」が企業のスタンダードとなっている。

 その一方、これまでオンプレミス環境に親しんだ企業にとっては、データをクラウドに預ける上で一抹の不安を抱える。

 そこで今回は、不安の心理状態を取り除き、クラウド導入の検討を建設的に議論する上での考え方を紹介する。




▼ 目次
1. 不安とは
2. 一般にB2Bの購買プロセスを考える上での4つの心理的課題
3. 「認知的不協和」を建設的に解消するために、まず使ってみる
4. ISOに基づいたクラウド環境のリスクアセスメント





1. 不安とは

 不安とは、はっきりしない事象や未来に対して抱く漠然とした嫌な予感を指します。対象が明確になる「恐怖」とは異なり、対象がはっきりしないのが特徴だ。

 疑問に感じる点が明確になっていれば対策の立てようはあるが、クラウドコンピューティングを導入するにあたっての漠然とした「不安」は、クラウドの導入を躊躇させる。

  • クラウドを使って、情報漏えいしたらどうしよう
  • コストが低減できず、社内から批判されるかもしれない



 不安は主観的なものであり、客観的に考えれば、論理的な議論ではない場合も多い。

 極端な例として、オンプレミス環境を使った経験がなく、クラウド環境に慣れ親しんだ人間を想定してみよう。

 おそらく、下記に挙げる不安を感じるだろう。

  • 同地域のデータセンターで運用していて災害が起きたら、どうしよう
  • 急にアクセスが増えても、すぐにサーバーが追加できないかもしれない



 立場や知識の量によって不安に感じる項目は異なり、見方さえ変えれば、不安に思う程ではないケースも少なくないのだ。






2. 一般にB2Bの購買プロセスを考える上での4つの心理的課題

 クラウド導入に際しては、担当者がどの心理状態にあるかを知るのが必要だ。購買プロセスは、現場の担当者から管理者、経営者まで、それぞれの立場があり、それぞれが主観的な不安を感じている。例えば、担当者は「不感」の状態にあり、経営者は「不知」に当てはまるといった具合だ。クラウドを推進したい情報システム部やクラウド・ベンダーは、その心理状態を十分に理解するよう心がけるとよい。


クラウド移行への不安を取り除く

図 1. クラウドコンピューティングに対する「4つの不」



    • 不感
      • 「不感」の段階にある企業は、手工業的なコンピューティング環境から標準化によるITプロセスの高度化という課題が、クラウド反対派にとって理解されていないケースが考えられる
    • 不知
      • 「不知」の段階にある企業は、クラウドコンピューティングの仕組みや利点が理解されず、解決手段として未だに真剣に検討されていない企業が当てはまる
    • 不信
      • 「不信」の段階にある企業は、クラウド環境によるコスト最適化や柔軟性の確保といった有効性が理解されていない
    • 不急
      • 不急」の段階にある企業は、これまでのオンプレミス環境で運用できてきたからといって、クラウドへ移行する必要を感じない企業が当てはまる






3. 「認知的不協和」を建設的に解消するために、まず使ってみる

 「頭では分かっているが、実際に行動に移せない」このような状態にストレスを感じる心理は「認知的不協和」と呼ばれる。

 「クラウドコンピューティングが優れているのは分かっているが、導入には二の足を踏んでしまう」というのも、認知的不協和の良い例と言える。


 このストレス状態を解消するために、人は行動を取りやすくなる。

  • クラウドコンピューティングの粗探しをして、デメリットを指摘する
  • これまでのやり方を改めて、クラウドを試すという行動が考えられるだろう。


 日本企業では前者の対応をとる人が多いように報じられているが、後者の方が建設的なのは言うまでもない。


 不安は“見えないもの”に感じるケースが多い。

 例えば、将来の不安を感じるのは、将来が見通せないからだ。同様に、クラウドに不安を感じるのは、クラウドへの知識や経験が不足している点に尽きる。


 闇雲にクラウドに移行するのではなく、情報系アプリケーションのようにクラウド利用に適したものからクラウド環境を使ってみれば、クラウドの価値を理解できる。


 クラウドを経験した企業は総じて満足度が高いことからも、まず「使ってみる」態度が必要だと分かるだろう。



クラウド移行への不安を取り除く





4. ISOに基づいたクラウド環境のリスクアセスメント

 クラウドを“見えないもの”にしないために、どこにリスクがあり、何を検討すればよいかを明らかにする取り組みは重要だ。

 情報マネジメントシステム認定センターが発表した「ISO/IEC 27017:2015に基づくクラウドセキュリティの構築のポイント」では、クラウド環境におけるリスクアセスメント・リスク対応のフレームワークを公開している。


クラウド移行への不安を取り除く

図 2. ENISA(EU情報セキュリティ当局)によるリスク評価分析




 まず、組織関連リスクとして、ベンダーロックイン・クラウドサービスのサービス終了・サプライチェーンにおける障害などの項目が提案されている。

 次に、技術関連のリスクとしては、リソースの枯渇・クラウドプロバイダ従事者の不正・管理用インターフェースの悪用・データ転送途上における攻撃・不完全なデータ削除・暗号鍵の喪失などが挙げられる。

 そして、法的リスクとして、証拠提出命令と電子的証拠開示・司法権の違いから来るリスク・データ保護に関するリスク・ライセンスに関するリスクなどがある。



 クラウドに限らず、あらゆる情報システムに共通するリスクとしては、ネットワーク管理・ネットワークトラフィックの改変・ログの消失または改ざん・バックアップの毀損・構内への無権限アクセス・コンピュータ施設の盗難・自然災害などが挙げられた。

 それぞれ、どのくらいの発生確率があり、その影響度はどのくらいかを理解した上で、適切な対応策が求められている。





最後に

 失敗を容認しない文化のある企業では新しいものの導入は難しいかもしれない。

 しかし、長期的な視点に立ち、本当に避けるべき事態は何かを考えれば、クラウドに挑戦するよりも、硬直化した情報システムを持ち続ける方が大きな「恐怖」を引き起こすのではないだろうか。

-

関連記事はこちら