企業におけるクラウド利用は、クラウドに対して慎重とされていた日本企業の間でも、もはや当たり前となりつつある。しかし、普及が進むのに合わせて深刻度が増しつつある課題がある。それは、データの保存場所に関する不安だ。

クラウドサービスを利用すると、業務データをクラウド事業者に預ける形となるため、自社の資産であるにもかかわらず、どのような場所にデータが置かれているのか把握できないという状況になりがちだ。特に広く普及しているクラウドサービスには、ストレージを海外に置いていることも多い。そうなると、クラウド事業者がストレージを設置している国の法制度が、意図せずして自社のデータに対しても適用されてしまう可能性もある。例えば、米国にあるストレージにデータが保存されていた場合には、日本国内のみでの利用であっても、自社のデータが愛国者法に基づいた監視対象となる恐れがあるのだ。

さらに問題なのが、アクセス権だ。クラウドに置かれた機密データの情報漏えいを防ぐためには、第三者からの不正アクセスのみならず、クラウド事業者による不正アクセスについても何らかの対策を施しておくことが望ましい。もちろん、ほとんどのクラウド事業者は、顧客の重要な情報を守るためセキュリティ環境の改善に努めている。しかし、もしも悪意のあるスタッフが特権管理者(Administrators、スーパーバイザー)だった場合、顧客のデータを閲覧したり、さらには窃取したりといったリスクはゼロとは言えないのだ。

昨年、経済産業省は「クラウドサービス利用のための情報セキュリティガイドライン」を発表し、クラウドサービスの利用者は、サービス上で利用できる暗号化機能が提供されていることを確認することが望ましいとした。このように、情報を守る手段として、暗号化の有効性が特に注目されている。ただし、前述のように暗号化をクラウド側で行った場合には、事業者に対する信用の問題が残ってしまう。そのため、「クラウドに預けても良いデータ」と「クラウドに預けてはいけないデータ」を分けているような企業もよくあるが、この場合ユーザの利便性が阻害されかねない。

クラウド事業者のインシデント実態(2011-2012) 出典:平成24年度経済産業省委託調査

また、クラウド側で暗号化を行うと、アプリケーションの一部の機能が使用できなくなったり、アプリケーションの変更が必要となったりするケースも多く、そうなると専門的な知識や手間が必要となってしまうことになる。