パブリッククラウドを利用する前提として、会社でセキュリティチェックリストを埋めないといけないケースがある。今回はオラクルクラウドでそのケースを考えてみます。
(※本記事は見出しに対する明確な回答には至れてません、スミマセン、先に謝っておきます。)
結論からすると
- オラクルが公開しているコンプライアンス対応情報は下記ページくらいしかなさそう
- これ以上の詳細が知りたい場合は、日本オラクルに問合せるしかないと思われる。
(2021.2時点)
パブリッククラウドを会社として利用する場合
会社特有のセキュリティチェックリスト項目をすべてクリアしないと会社のインフラチームが許容しないという慣習が日本の企業では多いです。パブリッククラウドに限らず例えば経理システム系のSaaSなどでも、他社サービスを利用して社内のデータを管理する場合には、セキュリティチェックリストを満たす必要性がある企業が多いと思います。
今回はオラクルクラウドについて、会社で使う場合を検討してみたいと思います。
早速ですが、オラクルクラウドでそういったセキュリティ面で公開されいるのは下記ページのコンプライアンス対応になります。ISO27001やPCIDSS、SOC1、SOC2、FISCなど日本でも使われる主要なところは流石に抑えられており、たいていの場合、問題なくパブリッククラウドとして利用して問題ないと思います。(もちろん個人の見解なので会社の規定をよく確認の上判断してください。)
https://www.oracle.com/cloud/cloud-infrastructure-compliance/
また、注意点としては、オラクルクラウドにはDC(データセンター)が世界中に存在し、現時点(2021年2月時点)ではおよそ30箇所にDCがあります。
そして、DCの拠点によって微妙に利用できるサービスが異なっていたり、上記のコンプライアンス対応も微妙にリージョンによって異なっていたりするそうです。
ですので、もし日本のDC(東京か大阪)を利用する場合には、リージョンを「JAPAC」を選択し、国を「Japan」を選択するようにしてください。
上記サイトに掲載されいているよりももっと詳細の情報が必要な場合は、日本オラクルに聞いてみるしかないと思います。
DCが世界に30拠点もあるのはクラウドベンダーの中でもトップレベルですね。
また、話は逸れますが、
AWSなどのクラウドベンダーを利用するときにの注意点としてもう一つ。
それはリージョンごとに値段設定が違うということです。
同じコンピュートのIaaSのサービスを利用しようとしても東京リージョンの値段とアメリカリージョンの値段では違っていますので注意深く見る必要があります。
この点、オラクルクラウドでは、リージョンが違っても全世界で値段は同じ。という利点があり、国際企業さんで海外と日本国内合わせてクラウドでシステムを扱うような会社にとっては面倒な悩みが1つ消えます。
セキュリティ面に関しても、正直、今の主要クラウドベンダー(AWS、GCP、Azure、OCIも)であれば、下手に自社内で頑張ってセキュリティ対策をして構築するよりも断然クラウドベンダーにデータを預けた方が安全。というレベルまでちゃんとセキュリティ対策されています。一昔前は、それこそ会社のデータをパブリッククラウドに持ってくなんて危険だという説がありましたが、それはもうだいぶ昔の話でして、クラウドベンダーも日々改善されセキュリティ対策も万全になってきているというのが実情ではないかと思います。
個人的な思いとしては
ということで、この企業のセキュリティチェックリスト文化をそろそろ廃止にしても良いんじゃないかと個人的には思う今日この頃でございます。
チェックリストって企業にもよると思いますが、多いと何百項目といった項目をチェックする必要があったりして、インフラ担当者の工数をめちゃめちゃ食う業務じゃないかと思います。だから廃止は言い過ぎでも、今と昔では状況が違う事を鑑み、チェックリストの内容を見直しスリム化を図るべきではないかと思います。
それではなくてもIT人材不足しているんだから、こういうところからDX(デジタルトランスフォーメーション)として始めてみるのもいいのではないでしょうか。