クラウドへの「不安」の原因と、それを取り除いて建設的な議論を進める方法

5f-title2

これまでオンプレミス環境に親しんだ企業にとっては、システムを他人に預けるクラウド環境に不安を抱く心理も理解できる。その心理を紐解き、建設的に議論を進める方法について考えてみよう。

「4つの不」に代表されるクラウド導入における心理的課題

不安。はっきりしない事象や未来に対して抱く漠然とした嫌な予感を指す。対象が明確になる「恐怖」とは異なり、対象がはっきりしないのが特徴だ。「クラウドを使って、情報漏えいしたらどうしよう」「コストが低減できず、社内から批判されるかもしれない」疑問に感じる項目が明確になっていれば対策の立てようがあるが、クラウドコンピューティングを導入するにあたって漠然とした「不安」を抱いては、導入に至るまでの道のりは険しい。

不安は主観的なものであり、客観的に考えれば、論理的な議論ではない場合も多い。極端な例として、オンプレミス環境を使った経験がなく、クラウド環境に慣れ親しんだ人間を想定してみよう。おそらく「同地域のデータセンターで運用していて災害が起きたら、どうしよう」「急にアクセスが増えても、すぐにサーバーが追加できないかもしれない」といった不安を感じるだろう。立場や知識の量によって不安に感じる項目は異なり、見方さえ変えれば、不安に思う程ではないケースも少なくないのだ。

一般にB2Bの購買プロセスを考える上で、4つの心理的課題があると言われる。

  • 不感:課題が腹落ちしていない
  • 不知:課題は感じているが、解決手段を知らない
  • 不信:解決手段は認知しているが、その有効性を信じていない
  • 不急:手段の有効性は認識しているが、相対的に解決すべき優先度が上がらない

クラウド環境の導入も、“4つの不”が当てはまる。「不感」においては、手工業的なコンピューティング環境から標準化によるITプロセスの高度化という課題が、クラウド反対派にとって理解されていないケースが考えられる。また、「不知」については、クラウドコンピューティングの仕組みや利点が理解されず、解決手段として未だに真剣に検討されていない企業が当てはまる。

「不信」の段階にある企業は、クラウド環境によるコスト最適化や柔軟性の確保といった有効性が理解されていない。そして、これまでのオンプレミス環境で運用できてきたからといって、クラウドへ移行する必要を感じない「不急」のケースがある。

クラウド導入に際しては、どのレベルの担当者がどの心理状態にあるかを知るのが必要だ。購買プロセスは、現場の担当者から管理者、経営者まで、それぞれの立場があり、それぞれが主観的な不安を感じている。例えば、担当者は「不感」の状態にあり、経営者は「不知」に当てはまるといった具合だ。クラウドを推進したい情報システム部やクラウド・ベンダーは、その心理状態を十分に理解するよう心がけるとよい。

4-Fuクラウドコンピューティングに対する「4つの不」

「認知的不協和」を建設的に解消するために、まず使ってみる

「頭では分かっているが、実際に行動に移せない」このような状態にストレスを感じる心理は「認知的不協和」と呼ばれる。「クラウドコンピューティングが優れているのは分かっているが、導入には二の足を踏んでしまう」というのも、認知的不協和の良い例と言える。このストレス状態を解消するために、人は行動を取りやすくなる。一つはクラウドコンピューティングの粗探しをして、デメリットを指摘する。もう一つは、これまでのやり方を改めて、クラウドを試すという行動が考えられるだろう。日本企業では前者の対応をとる人が多いように報じられているが、後者の方が建設的なのは言うまでもない。

不安は“見えないもの”に感じるケースが多い。例えば、将来の不安を感じるのは、将来が見通せないからだ。同様に、クラウドに不安を感じるのは、クラウドへの知識や経験が不足している点に尽きる。闇雲に使うのではなく、情報系アプリケーションのようにクラウド利用に適したものからクラウド環境を使ってみれば、クラウドの価値が理解できる。クラウドを経験した企業は総じて満足度が高いことからも、まず「使ってみる」態度が必要だと分かるだろう。

ISOに基づいたクラウド環境のリスクアセスメント

クラウドを“見えないもの”にしないために、どこにリスクがあり、何を検討すればよいかを明らかにする取り組みは重要だ。情報マネジメントシステム認定センターが発表した「ISO/IEC 27017:2015に基づくクラウドセキュリティの構築のポイント」では、クラウド環境におけるリスクアセスメント・リスク対応のフレームワークを公開している。

enisaENISA(EU情報セキュリティ当局)によるリスク評価分析

まず、組織関連リスクとして、ベンダーロックイン・クラウドサービスのサービス終了・サプライチェーンにおける障害などの項目が提案されている。次に、技術関連のリスクとしては、リソースの枯渇・クラウドプロバイダ従事者の不正・管理用インターフェースの悪用・データ転送途上における攻撃・不完全なデータ削除・暗号鍵の喪失などが挙げられる。そして、法的リスクとして、証拠提出命令と電子的証拠開示・司法権の違いから来るリスク・データ保護に関するリスク・ライセンスに関するリスクなどがある。

クラウドに限らず、あらゆる情報システムに共通するリスクとしては、ネットワーク管理・ネットワークトラフィックの改変・ログの消失または改ざん・バックアップの毀損・構内への無権限アクセス・コンピュータ施設の盗難・自然災害などが挙げられた。それぞれ、どのくらいの発生確率があり、その影響度はどのくらいかを理解した上で、適切な対応策が求められている。

最後に

失敗を容認しない文化のある企業では新しいものの導入は難しいかもしれない。しかし、長期的な視点に立ち、本当に避けるべき事態は何かを考えれば、クラウドに挑戦するよりも、硬直化した情報システムを持ち続ける方が大きな「恐怖」を引き起こすのではないだろうか。

編集:ビジネスon IT

STAR_F00

Pocket

コメント