システムを構築する上でセキュリティは非常に重要な要素です。クラウドファーストが一般化しつつあるものの、セキュリティの観点からクラウド化に踏み切れない企業も少なくありません。

そこで、本記事では、オンプレミス型とクラウド型をセキュリティの観点から比較しました。自社に適したITシステムを選定する際の参考にしてください。

サービスの導入形態2つ　オンプレミスかクラウドか

業務システムを導入する際に非常に重要な課題となるのが、オンプレミス型かクラウド型かという運用環境の選択です。従来は自社にサーバー機器やネットワーク機器などを導入し、オンプレミス環境でITインフラを運用するのが常識でした。しかし、近年はデジタル技術や情報通信技術の発展に伴って、クラウドサービスの市場も加速度的に成長しており、クラウドファーストやクラウドネイティブという概念が浸透しつつあります。

多くの企業が自社の業務システムをクラウド環境へ移行しており、もはやオンプレミス型は時代遅れと揶揄する声もあります。しかし、オンプレミス型にはクラウド型にはない特有のメリットがあるため、必ずしも時代遅れとは言えません。例えば、自由度やカスタマイズ性といった観点ではオンプレミス型に優位性があります。そのため、基幹系システムや情報系システムの導入を検討する際に、どちらを選択するか悩む企業も少なくないでしょう。

システムを導入する上で重要なのは、自社の事業形態や組織体制に適したソリューションを選定することです。単純にオンプレミス型かクラウド型かという形態で比較するのではなく、それぞれの特徴を把握した上でメリットとデメリットを分析し、自社に適した製品やサービスを選ばなくてはなりません。そこで、まずはそれぞれの特徴や機能など、基本的な概要について見ていきましょう。

オンプレミス型とは？

「オンプレミス型」とは、自社の管理施設にサーバー機器やネットワーク機器といったハードウェアを導入し、システムを構築する形態を指します。「Premises」は「建物と敷地」といった意味合いを持つ言葉であり、そこから派生して自社でシステムを構築・運用する形態を「On-Premses」と呼称するようになりました。いわゆる「自社運用」と呼ばれるシステム環境です。

最大の特徴は、独自のシステム要件を満たせる自由度とカスタマイズ性の高さです。ハードウェアやミドルウェア、ソフトウェアなどを自社で選定・調達してITインフラを整備するため、自社独自の要件に最適化されたシステム環境を構築できます。この自由度とカスタマイズ性の高さによって、自社に必要な機能を実装できる点が最大のメリットです。他方クラウド型では、サービス事業者が提供する機能を利用しますので、一般にカスタマイズ性は低くなります。

しかし、オンプレミス型実現に向けて自社にITインフラを構築するためには、ハードウェアやソフトウェアなどの導入費用など、莫大なコストを必要とします。例えば、組織の基幹業務を統合的に管理するERPシステムをオンプレミス環境に構築するためには、数千万円から数億円の導入コストと年単位による開発期間が必要です。もちろんシステムの規模や機能によって大きく異なりますが、ITインフラの保守・運用管理における継続的なランニングコストも必要です。このように、大規模かつ高度なシステム環境を構築するためには、相応の資金力が求められるのです。

クラウド型とは？

クラウド型とは、コンピュータネットワークを経由して提供されるサービスを利用する形態です。サーバーやストレージ、ソフトウェアやアプリケーションなどをはじめとする、さまざまなITリソースをインターネット経由で利用するサービス形態を「クラウドコンピューティングサービス」と呼びます。代表的なものに、「Google Cloud」があります。

最大のメリットは、ITインフラを自社で保有する必要がなく費用が抑えられる点です。先述したERPシステムの開発を例に挙げると、オンプレミス型の場合はサーバー機器やネットワーク機器などのITインフラを構築し、さらにライセンスコストや導入コスト、アドオン開発コストといったコストを要します。一方、クラウド環境にERPシステムを構築する場合、ライセンスコストや導入コストなどは必要ですが、ITインフラを自社内で構築する必要がないため、その分のコストと開発期間を大幅に削減可能です。

また、システムの運用に大規模なITインフラを必要としないため、システム管理部門の保守・運用管理における業務負担が軽減され、人的リソースの最適化とそれに伴う人件費の削減につながるというメリットがあります。しかし先述のように、クラウド型はサービス事業者が提供するリソースを利用する形態のため、オンプレミス型と比較すると自由度やカスタマイズ性が劣ります。そのため、自社のシステム要件を必ずしも満たせるとは限らない点がデメリットです。

オンプレミス型 VS クラウド型　セキュリティ面で比較ならどちら？

それぞれの特徴を端的に表すなら、オンプレミス型は「必要な機能を100％実装できるものの高額」で、クラウド型は「コストパフォーマンスに優れるものの要件を満たせない可能性がある」と言えます。

このようにオンプレミス型とクラウド型はそれぞれ異なる特徴を持ち、特有のメリットとデメリットがあるため、どちらが優れているとは一概に断定できません。そこで、ここからはセキュリティの観点に主眼を置いた上で、オンプレミス型とクラウド型のメリットやデメリットを比較します。

【関連記事】オンプレミス型とは？セキュリティに特化してクラウド型と比較

厳格なセキュリティ設定をするなら？

オンプレミス型は独自の機能要件を搭載するアドオン開発が可能なため、クラウド型よりも堅牢かつ強固なセキュリティ環境を構築できます。厳格なセキュリティ機能を求めるのなら、企業独自のセキュリティ要件を満たすシステムを設計しなくてはなりません。システムを自社で設計・開発・運用するオンプレミス型は独自のセキュリティ要件やセキュリティポリシーを設定可能です。そのため、自社のセキュリティポリシー次第で、いくらでも厳格なセキュリティ体制を構築できます。

一方でクラウド型の場合は、サービス事業が提供するソリューションのセキュリティポリシーに準じざるを得ず、自社のセキュリティ要件を満たせるとは限りません。特にパブリック型のクラウドサービスは、ユーザーがクラウド環境のリソースを共有するという特性上、セキュリティの脆弱性が懸念されます。もちろん、クラウドサービスのセキュリティも年々向上しているものの、機密度の高い情報を取り扱うシステムであれば、オンプレミス型による設計が適していると言えます。

近年はクラウドサービスの利用を優先的に考える「クラウドファースト」という概念が広く浸透しており、多くの企業が自社のシステムをクラウド環境へと移行しています。しかし、クラウドサービスはセキュリティの脆弱性を懸念する声も多く、クラウド移行を検討しつつも踏み切れない企業が少なくありません。先述したように、オンプレミス型を時代遅れと揶揄する声もあるものの、独自のセキュリティポリシーによって堅牢なシステム環境を構築できるという特性はクラウド型にはない特有のメリットと言えるのです。

情報流出のリスクが低いのは？

セキュリティインシデント発生のリスクという観点から見ても、優れているのはオンプレミス型です。自社に構築されたITインフラを運用するオンプレミス型は、基本的にローカルネットワーク環境でシステムを運用するため、常時インターネット接続されているクラウド型と比較して、情報の流出や漏えいといったセキュリティインシデントのリスクが大幅に軽減されます。

例えば、ファイルサーバーをクラウド環境へ移行した場合を考えてみましょう。ファイルサーバーとは、LANやWANなどのネットワーク上でファイルを保管・共有するためのシステムであり、企業ではファイル共有基盤やデータバックアップ基盤として用いられるシステムです。このファイルサーバーには従業員の個人情報や顧客情報、または契約書や決算書などの機密情報が保管されています。オンプレミス環境であれば、外部ネットワークから遮断された環境で機密度の高いファイルを保管可能なため、セキュリティインシデントのリスクを最小限に抑えられます。

一方、クラウド型のファイルサーバーは基本的にオンライン環境でしか利用できず、常に不正アクセスやマルウェアといったサイバー攻撃の脅威に晒されています。もちろんオンプレミス環境であっても、「Emotet」のような不正メールを介して社内ネットワークに侵入を許してしまう可能性は否定できません。しかし、ローカルネットワーク環境で運用可能なオンプレミス型と、常時インターネット接続されているクラウド型では、情報の流出や漏えいといったセキュリティリスクが低いのはオンプレミス型と言えるでしょう。

クラウド契約サービス機能比較｜安全性やメリットデメリットは？

高度セキュリティ人材が求められるのは？

オンプレミス型は独自のセキュリティ要件を定義し、堅牢かつ強固なシステム環境の構築が可能です。しかし、それは裏を返せば、適切なセキュリティ要件を定義できる知見を備えた人材が必要であることを意味します。サーバーダウンやネットワーク障害が発生した場合、自社のリソースで対応する必要があるため、高度な技術と深い知識を有する人材を常時確保しておかねばなりません。

何らかのアクシデントによってシステムダウンしたり、通信障害が発生したりした場合、迅速に対処しなければ事業活動の継続に支障をきたし、効率性の低下や機会損失によって経済的損失を招く恐れすらあります。このような事態を防ぐためには、システムの安定的な稼働を担保する保守・運用管理が必須であり、システム環境の規模が大きくなるほどそのコストも跳ね上がります。

つまり、オンプレミス型は厳格なセキュリティ環境を構築できるものの、その安全性と堅牢性を担保し続けるためには、高度なスキルを持つ多くの人材を確保しなくてはなりません。ハードウェアやソフトウェアに精通しているのはもちろん、セキュリティ関連やネットワーク分野に深い知見を持つプログラマーやエンジニアが必要です。少子高齢化に伴う生産年齢人口の減少によって、さまざまな産業でIT人材の不足が叫ばれるなか、ITインフラとセキュリティに精通した人材を確保するのは容易ではありません。

担当者のレベルに依存せずセキュリティを確保できるのは？

オンプレミス環境では高度な知見を持つ人材の存在が不可欠です。しかしクラウド環境なら、プログラマーやエンジニアのレベルに依存することなく、一定のセキュリティを確保できます。ただし先述したように、クラウド型でのアドオン開発は基本的に不可能なため、企業が求める独自のセキュリティ要件を満たせない場合もあります。

しかし、オンプレミス型のように厳格なセキュリティポリシーは設定できないものの、クラウドサービス事業者が提供する一定のセキュリティ基準を確保できる点は大きなメリットの1つです。例えば、オンプレミス型は自由度とカスタマイズ性の高さによって、独自のセキュリティ要件を定義できますが、必ずしもその要件に則ったシステム設計が最適解とは限りません。

Amazon Web ServicesやMicrosoft Azureなどは、クラウドセキュリティに関する「ISO/IEC 27017:2015」や、情報セキュリティに関する「ISO/IEC 27701」など、国際標準であるISO規格のセキュリティ認証を得ているサービスです。つまり、こうしたクラウドサービスを活用することで、オンプレミス型のようにプロフェッショナルに依存することなく、国際水準のセキュリティレベルを担保できると言えます。

セキュリティ管理のコストが高いのは？

オンプレミス型は堅牢なセキュリティ環境を構築できるものの、ITインフラの保守・運用管理が必要です。システムの安定稼働を担保するためには知識と技術に卓越した人材を確保しなくてはなりません。システムの規模が大きくなるほど保守・運用管理に多くのリソースを要するため、オンプレミス型はクラウド型よりも多大な管理コストが必要です。

例えば、オンプレミス環境におけるセキュリティを確保するためには、ハードウェアの故障や老朽化に対応しなくてはなりません。物理的なサーバー機器やネットワーク機器によってITインフラを構築するオンプレミス環境では、ハードウェアの故障や不具合の発生は免れず、可用性を確保するためには相応のコストが発生します。日本は地震大国と呼ばれる国であり、自然災害によって自社のITインフラが運用不可になれば、システム環境を刷新しなくてはならない可能性もあるでしょう。

クラウド環境でシステムを運用する場合であれば、ハードウェアの故障や老朽化といった問題から解放されるため、セキュリティ管理におけるさまざまなコストの削減に寄与します。また、オンプレミス型であれば自社で対応しなくてはならないセキュリティパッチの更新も、クラウド型であれば自動的に更新される点も大きなメリットです。「厳格なセキュリティ」という観点ではオンプレミス型に利があるものの、「管理コスト」の面ではクラウド型が優位と言えます。

オンプレミス型 VS クラウド型 他社はどちらを選択している？

冒頭で述べたように、クラウドファーストという概念が浸透しつつあるものの、セキュリティの観点からクラウド移行に踏み切れない企業も少なくありません。特に金融機関や官公庁など、一般企業よりも強固なセキュリティが求められる業界ではオンプレミス環境でシステムを運用する組織が多く、クラウドサービスは敬遠されてきました。

しかし、時代の潮流は確実にクラウド推進の方向へ進展しており、国内の大手金融機関のM社でも、IT戦略の一環としてクラウド移行が本格化しつつあります。また、創業100年を超える大手物流企業のY社は2020年1月に経営構造改革プランを発表し、データドリブン経営への転換に向けてMicrosoft Azure上で稼働するデータ分析プラットフォームの活用を推進しています。

クラウド推進の潮流は保険業界にも波及しています。全国に約1,500拠点の支社や支部を構える大手生命保険会社のS社は、組織体制のデジタル化とデータ活用を目的として、クラウドファーストを掲げた業務改革に取り組みました。こうした堅牢なセキュリティ環境が求められる業界全体で、現状クラウド移行がますます進展しています。このことから、今後もさらにクラウドファーストの潮流は加速していくと予測されているのです。

クラウドサービス利用の割合が上昇　総務省「通信利用動向調査」より

クラウド市場のシェアは年々拡大傾向にあります。総務省が令和3年6月に公表した「令和2年通信利用動向調査」によると、国内企業の約7割がクラウドサービスを導入していることが示されています。具体的には、令和2年度に一部でもクラウドサービスを利用している企業の割合は約7割で、そのうち約8割が、「非常に効果があった」、または「効果があった」と回答しています。

利用しているクラウドサービスとしてもっとも多かったのは、ファイルサーバーやストレージなどのデータ共有基盤です。クラウドサービス利用企業の約6割が「ファイル保管・データ共有」の領域をクラウド化しており、次いで「電子メール」が約5割、「社内情報共有・ポータル」が約4割、「社内情報共有・ポータル」です。

参照元：令和2年通信利用動向調査｜総務省（8P）

オンプレミス回帰の動きもあり

世界的に見てもクラウド市場は拡大傾向にあるものの、「オンプレミス回帰」や「脱クラウド」を推進する企業も少なくありません。特に海外市場においてオンプレミス回帰の動きが活発化傾向にあり、脱クラウドを大規模に実行した企業として知られるのが「Dropbox」です。Dropboxは2008年に社名と同じクラウドストレージの提供を開始し、その分野における代名詞と呼ばれるサービスに成長しています。

Dropboxは自社のデータセンターと併用して、Amazon Web Servicesをプラットフォームとして運用していたものの、サービス開始から約7年後の2015年にオンプレミス回帰を宣言し、大きな話題となりました。脱クラウドの理由は、「Amazon Web Servicesで膨大なデータを抱えるようになったため、自社のデータセンターで対応する方が望ましい」と判断したためです。このケースはあくまでも一例であり、オンプレミス回帰は非現実的ですが、クラウド化を再検討する動きもあることは事実です。

オンプレミス型 VS クラウド型　セキュリティ面では互角

オンプレミス型はシステムの規模や機能によって相応の導入コストと管理コストを要するものの、自由度やカスタマイズ性に優れ、自社独自の機能要件を満たすシステム環境の構築が可能です。クラウド型は、「サービス事業者が提供するITインフラへの依存度が高く、自由度やカスタマイズ性は低い」という傾向にあります。しかしハードウェア導入が不要なため、オンプレミス型と比較してシステムの導入コストや管理コスト、開発期間などを大幅に削減できます。

本記事で解説してきたように、オンプレミス型とクラウド型は相反する特徴を備えており、それぞれに一長一短があるのです。システムの導入においてもっとも大切なのは、自社に適したソリューションの選定であり、「セキュリティ・コスト・可用性・柔軟性」など、複数の考察ポイントから総合的に判断しなくてはなりません。

また、「機密性の高いファイルはオンプレミス環境に保管し、社内外で共有するデータはクラウド環境で管理する」など、相互補完的に組み合わせて運用するも有効です。こうした工夫によって、コストを抑えつつセキュアなシステム環境の構築が可能となるでしょう。

▶契約プロセスの構築と契約管理で契約業務を最適化『ContractS SIGN』の安全性について

まとめ

時代の潮流はクラウドファーストへと加速しているものの、オンプレミス型にはクラウド型にはない独自のメリットが存在します。どのような物事にもコインの表と裏のように二面性があり、オンプレミス型かクラウド型かという議論においても絶対的な正解はありません。

「オンプレミス型とクラウド型のどちらが有用なのか」という問題については、自社の事業形態や導入するシステムなどによって最適解が異なります。したがって、オンプレミス型とクラウド型を単純な形式のみで比較するのではなく、セキュリティや拡張性、そしてコスト面などを含むすべてを総合的に比較し、自社に適したシステムを選定するという意識を持つことが大事です。

【無料ダウンロード】電子契約システム比較ガイド：導入のポイントや各サービスの特徴を解説

ContractS編集部

ContractSは、契約プロセスの構築や契約管理・案件管理を通じて、契約業務を最適化するシステム「ContractS CLM」を開発・販売しています。大企業から中小企業、スタートアップまで、幅広い企業の契約業務改善を支援してきた実績があり、そのコンサルティング経験を活かして、契約業務に関わる読者が参考にできる情報を発信しています。

私たちについて