企業がコアアプリケーションをSaaSに移行し始めた当初は、データのバックアップに対するアプローチは無頓着でした。多くの企業は、SaaSプロバイダーのリサイクルボックスを頼りに、データを安全に保管していましたが、今日、その考え方は変化しています。Veeamの調査によると、SaaSとバックアップの管理者は、Microsoft 365やSalesforceなどのプログラムは、サイバー攻撃やヒューマンエラーでの誤削除からデータを保護するために、より強固なバックアップが必要だと考えていることが判明しました。
しかし、多くの企業が「導入したら、あとは大丈夫」だという言葉を信じ続けています。多くのユーザーは、SaaSプロバイダーがプラットフォームに組み込んだ機能的なツールに頼って、データをバックアップしています。これは、より強固なバックアップを否定しているわけではなく、これ以上の保護は必要ないという前提で進めているのです。
そのようなケースは、運に賭けているのです。彼らの多くは、緊急にデータのバックアップが必要になるような状況を経験していません。データ損失、ユーザー管理の失敗、自動化の失敗など、ロシアンルーレットのようなゲームをしているのです。確率のわからない賭けに出ているようなもので、壊滅的な被害を受けることはないかもしれませんが、その影響に驚かされることになるかもしれません。
SaaSは、効率性においては目に見えて多くのメリットがあります。例えば、導入のハードルが低いこと。利用した分だけ支払う企業は従量課金モデルを活用することができる。また、SaaSプロバイダーは、データセンターにはないソリューションの設計、構成、最適化、管理に関する専門知識を提供することが多いことなどです。
しかし、SaaSプロバイダーへの過度な依存は、デメリットももたらします。そのひとつが、SaaSプロバイダーがサービスの提供やインフラストラクチャを制御し、導入している企業はそれができなくなることです。これは一見メリットにも思えますが、インシデントが発生した場合にはデメリットになります。つまり、インシデントが発生した際、それがSaaSの仕様にも影響を与えうることを物語っています。
クラウド移行にまつわるよくある誤解
企業がクラウド移行を行う際に持つセキュリティやデータ保護に関する最大の誤解は、「SaaSプロバイダーは、やってほしいことをすべてやってくれるわけではない」というものです。多くの企業がオンプレミスのExchangeからSharePointに移行して以来、Microsoft 365への移行が最適な傍証となっています。Microsoft 365のユーザーは、アプリケーション、ネットワーク制御、オペレーティングシステム、物理ネットワークなどに関わる障害は、SaaSプロバイダーが当然すべて管理してくれるものであると思っています。
しかし、実際に起こる障害の多くは、SaaSプロバイダー自身によって引き起こされているわけではなく、サイバー攻撃のような悪意を持った攻撃、あるいは単なるヒューマンエラーなど、問題を引き起こしているのは他の要因なのです。最も大きな障害は、誤ってデータを消してしまった場合で、堅牢なバックアップをとっていなければデータの復旧ができない可能性があります。例えるならばレンタカーのようなもので、SaaSプロバイダーは、車にガソリンを入れて出発できるようにしてくれますが、一度道路を走ったら、何が起こるかわからず、それは利用者自身の責任になるのです。
新しいモデルが普及するたびに、人々は問題がどうなるか間違った仮定をすることは、これまでの歴史を振り返ってみても明らかです。データのバックアップに関しても、それが今起きているのです。ITの意思決定者は、導入、アップグレード、容量のシフトといった責任を分散させるメリットを認識していますが、データの実際の責任は通常テナントにあることを認識していない人が多くいます。SaaSプロバイダーの責任共有モデルは、この点を明確に打ち出しています。データ管理は利用者自身の責任である。これは、クラウド上で一貫している唯一のポイントです。
バックアップ戦略の策定
企業や組織がSaaSのバックアップ戦略を策定する上で考慮すべきポイントを紹介します。
● 準備に重点を置く
問題が発生するかどうかわからないものに備えることは困難です。しかし、データがあれば、そのようなインシデントにも十分に対処することが可能になります。SaaSアプリケーションも、今後発生するかもしれないインシデントに備えておけば、いざという時にもデータを管理することができます。
● 最悪の事態を想定する
オンプレミスであろうとオフプレミスであろうと、障害は起こり得ます。クラウドはインフラストラクチャの観点から耐障害性に優れているため、機器の故障は起こらない可能性が高いですが、データ保護に関しては何らかの障害が起こる可能性があります。
● コンプライアンスを念頭に置く
規制機関がデータを数年間は保持するよう企業や組織に要求することはよくありますが、SaaSのバックアップ保存期間は最大120日間に設定されているケースが多いです。このことを前もって考慮しておかないと、事後に気づくことになりがちです。バックアップしていないものを復元するのは難しいのです。
● 責任の所在を確認する
企業や組織は、SaaSプロバイダーが提供する「責任共有モデル」についてよく理解しておく必要があります。データがどこにあるのかを把握し、いざという時の状況を円滑に進めることができるようにしましょう。
● 出口戦略の計画
出口戦略のコストと方法論を交渉するのに最適な時期は、SaaSバックアップソリューションを統合する前です。SaaSプロバイダーがその時点で決めた価格帯で、データを人質に取られる可能性も考えられます。
結論
企業は、ミッションクリティカルなビジネス機能を実行するためにSaaSを利用するようになり、データバックアップの重要性に注意を払うようになっています。しかし、多くの企業はデータが直面するリスクをまだ軽視しています。データは企業の生命線であり、SaaSのバックアップだけに頼っていると、取り返しのつかない結果を招くことにもなりかねないことを認識しておくことが大切です。
(寄稿:Veeam Software)
この連載の記事
-
第3回
TECH
クラウドとランサムウェアが並存する今、行政機関にも慎重な行動が求められる -
第2回
TECH
AIと機械学習の発展は、SaaS市場をどう変えるのか? -
第1回
TECH
SaaSのデータ保護に関する「オーナーシップ」を確立する - この連載の一覧へ