【2017年版】一般消費者向けクラウドと組織向けクラウドの本質的な違い【10/21 更新】


3 年ほど前に一般消費者向けクラウドと組織向けクラウドの違いについて書いてから少し月日が経ちました。その間に様々なクラウドサービスが新しく登場したり統廃合されたり、はたまたクラウドサービスを取り巻く法律やコンプライアンス要件も変わってきましたので、ここで最新の状況についてまとめておきたいと思います。

クラウド コンピューティング ベンダーには、「フリーミアム」に代表される、最初に無料でサービスを使ってもらい気に入った人たちの一部に課金をするモデルや、広告収入により利用者には直接課金をしないモデルによって利用者を拡大してきている企業と、最初から企業向けのサービスを提供している企業の 2 通りが存在します。ターゲットとしている顧客はそれぞれ一般消費者、および企業・組織・団体がメインとなります。

一般消費者の個人向けに提供されているものの多くは無料で提供されています。一方、組織向けクラウドサービスというカテゴリのサービスでは、組織向けに有料サービスとして提供されています。ユーザーが利用できる機能はぱっと見た目には両者であまり違いがあるように見えません。それでは、なぜ組織向けクラウド サービスというカテゴリが存在するのでしょうか。

 

1. 一般消費者向けクラウドの特徴

1-1. 収益モデルと利用規約、プライバシーポリシー

一般消費者向けクラウドは無償で提供されているものが多くありますが、その背後にはそれでビジネスが成り立つモデルが存在しています。企業は慈善団体ではありませんので、儲けなしでサービスを提供しているわけではありません。その裏には儲かる仕組みがあるのです。

クラウドベンダーは、一般消費者向けクラウドにおいて「広告」もしくは「フリーミアム」またはその組み合わせによって収益を得ています。

「広告」は、文字通り他の企業にスポンサーになってもらって広告を出してもらい、その料金で収益をあげるモデルです。ただし、今の時代は広告をマスメディアのようにすべての人に一様に垂れ流すのではなく、さまざまな情報にってターゲティングを行うことにより、効率が格段にいい仕組みを使っています。一見、ユーザーからは何も支払っていないように見えますが、実はターゲティングを行うに当たって、クラウドベンダーはユーザーの個人情報やデータを利用していることがあります。その方がより適切なターゲットに広告を届けることができ、広告メディアとしての競争力があがるからです。つまり、大雑把にいうと「ユーザーは自分の個人情報やデータを切り売りすることで無償の一般消費者向けクラウドを利用している」ことになるわけです。これで一般消費者向けクラウドサービスを「タダ」で利用しているわけではないことがお分かりになったでしょうか。

自分の情報が実際に切り売りされているかどうかは、サービスの「利用規約」や「プライバシーポリシー」を見れば知ることができます。重要なデータを扱う場合は必ず利用規約とプライバシー ポリシーをチェックしましょう。

 

1-2. 情報が世界中と共有されてしまう可能性がある

もうひとつ、一般消費者向けクラウドを利用するにあたって気を付けるべきことがあります。それは、情報共有の範囲が全世界のユーザーに及んでしまうことがあるということです。もちろん、情報をアップロードするときは、通常アクセス権の範囲をコントロールすることができ、情報を公開するのか、セキュリティをかけるのかを選ぶことができます。ここでポイントになるのは、「重要な機密データを扱う場合、操作方法によっては全世界のユーザーに情報漏洩してしまう可能性がある」ということです。注意深く操作をすればそんなことにはならないかもしれません。しかし、あなたは大丈夫かもしれませんが、組織において5 人、10 人、20 人、と人が集まってきた時に、コンピューターのリテラシーも様々なレベルの人がいることでしょう。悪意がなかったとしても、うっかり間違った操作で大事な情報を公開してしまう可能性がある、ということも考慮しなければなりません。

 

1-3. 組織向けクラウドが対応しているセキュリティ/コンプライアンス要件に対応できない

組織が様々な国と地域で、その場所の法令を遵守して活動を行うには、様々な要件が課せられます。クラウドサービスの利用に関する規定もその 1 つであり、後述のGDPR など、遵守しなければ高額の罰金が科せられるようなものまで存在します。一般消費者向けクラウドは、あくまで個人での利用を想定しているため、組織で対応しなければならないこのようなセキュリティ/コンプライアンス要件には対応しておらず、利用していることで要件に違反してしまう可能性があります。

 

2. 組織向けクラウドの特徴

2-1. 有料だが一般消費者向けにはない組織向けの安心安全が付属

それでは、次に組織向けクラウドについて見ていきましょう。組織向けクラウドでは、一般消費者向けクラウドで行っていたような「広告」「フリーミアム」といった収益モデルではなく、会員から費用を取る有料モデルを採用しています。このため、ユーザーの個人情報やデータをクラウドベンダーが活用する必要がないため、これらの情報は安全に守られます。サービスの「利用規約」や「プライバシー ポリシー」を見ると違いが分かるかと思います (※ ただし、クラウドベンダーによっては一般消費者向けクラウドと組織向けクラウドの両方を提供しており、共通の利用規約やプライバシー ポリシーを設定している場合がありますので注意が必要です)。

マイクロソフトでは一般消費者向けクラウドと組織向けクラウドで異なる利用規約を設定しています。また、いずれのサービスの場合も「お客様のデータはお客様のものである」という定義がなされています。

加えて、組織向けクラウドが一般向けクラウドと異なる点として、サービス稼働率を保証するための「サービスレベル契約 (SLA)」が設定されていることが多いことです。 いくら便利なサービスであっても頻繁に停止してサービスが利用できなくなるようでは、業務に支障が出てしまいます。

 

2-2. 情報公開範囲は管理者が管理できる

組織向けクラウドが一般消費者向けクラウドと大きく考え方が違うのは、管理者が中心にいて、ユーザーの利用方法は管理者がすべてコントロールできるということです。 一般消費者向けクラウドを利用する場合は、うっかりミスを管理者が防ぐことはできません。また、機能によっては悪意があるユーザーが使った場合、もしくは悪意がなくてもうっかりミスで情報漏えいをしてしまう可能性があるものがありますが、そのような機能だけ利用禁止を強制することもできません。組織向けクラウドであれば、管理画面でポリシーの設定や機能の ON/OFF の制御を行うことで、適切な利用ポリシーを設定することができるのです。また、一般消費者向けクラウドと異なり、情報共有の最大限の範囲は組織全体にとどまるため、誤操作をした時の被害も最小限にとどめることができます。

 

2-3. 退職者の持つ情報制御も可能

また、組織向けクラウドを使っていると、退職者に所属するデータの管理も管理者が行うことができます。一般消費者向けクラウドを使っている場合、その情報にアクセスできるアカウントは退職者しか持っていないため、組織が情報を消去したり取得したりすることができません。組織向けクラウドであれば、このような心配はありません。データへのアクセス権や処分方法など、管理者がすべて制御することができます。

 

3. マイクロソフトのサービスの場合

クラウド コンピューティングには、無償の一般消費者向けと有償の企業向けの 2 つのタイプがあります。 マイクロソフトでは、これらの異なる 2 つのユーザーの異なるニーズをくみ取るために、2 つのクラウドのブランドを展開しています。

一般消費者向けクラウド サービスは「Microsoft アカウント (旧 Windows Live ID、古くは .NET Passport)」 と呼ばれるユニバーサルな ID でログインすることができます。電子メールサービスの Outlook.com、クラウドストレージサービスのOneDriveをはじめとする様々なサービスをご利用になれます。一方、企業向けクラウド サービスは「Microsoft Cloud」という名前で展開しており、企業向けに必要な情報共有サービスである Office 365 や顧客管理の Dynamics 365、デバイス管理の Microsoft Intune など、こちらも様々なラインアップがあります。また、ID も企業向けクラウドで統一された ID である Azure Active Directory ID (Office 365 ID やクラウド ID などと呼ばれることもある) でシングルサインオンが可能です。


図: Microsoft アカウントおよび Microsoft Cloud

 

3-1. 一般消費者向けと組織向けは名前が似ていても仕組みや保証内容、セキュリティ、運用実態が異なる

マイクロソフトのクラウドでは、電子メールサービスというカテゴリで見ると、Outlook.com と Exchange Online (Office 365 の一部) の 2 つのサービスが存在することになります。これらは名前が違いますが、クラウドストレージサービスは OneDrive  OneDrive for Business といった名前が似た 2 つの異なるサービスが存在します。

これは一般消費者向けクラウドと組織向けクラウドでは、対象顧客が異なるだけでなく要求される仕様が異なるからです。これらのサービスは、同じカテゴリに属していて、名前が似通っていて、ユーザーインターフェイスもほぼ同様に作られていたとしても、バックエンドのシステムは全く異なっています。サービスが構築されるインフラの仕組み自体も信頼性や要求される機能の優先度が違うからです。マイクロソフトが、同じような内容のサービスを 2 種類別々に提供している理由はここにあります。

サービスの種類 一般消費者向けクラウド 組織向けクラウド (Microsoft Cloud)
メール、予定、連絡先 Outlook.com Exchange Online
ストレージ OneDrive OneDrive for Business
Office Office Online (Office.com, OneDrive)、Office 365 Solo Office Online (SharePoint), Office 365 ProPlus/Office 365 Business
ポータルとチームサイト (なし) SharePoint Online
音声、ビデオ通信、チャット Skype Skype for Business、Teams
ノート OneNote.com OneNote Online (SharePoint)
ソーシャル LinkedIn Yammer
ゲーム Xbox Live  (なし)
オンライン ストア Microsoft Store Microsoft Store for Business 
開発環境  (なし) Microsoft Azure
顧客管理/ERP  (なし) Dynamics 365
デバイス管理  (なし) Microsoft Intune
ID マイクロソフト アカウント Azure Active Directory ID
Windows 10のサインインへの統合 マイクロソフト アカウント Azure Active Directory ID

表: マイクロソフトが提供する主なクラウドサービス (太字は3年前と比較して更新されているところ)

 

たとえば、クラウド ストレージである OneDrive と OneDrive for Business を例にとって見てみましょう。一般消費者と組織ではクラウドストレージに対するニーズは大きく異なっています。まず、組織の中ではデータの区分として「組織内個人」と「組織共通」の 2 通りが存在しています。組織内個人のデータとは、最終的に所有権が組織に属することになったとしても、通常はほかのメンバーには開示されないデータや作成中のデータです。

一方、組織共通のデータはチーム、部門、全社など公開範囲が定義されたある一定のグループ内で共有されるデータです。これらはデータの管理ライフサイクルも異なってくるため別々の領域で管理することが望ましいのです。部門内でファイルサーバーを運用していて、組織内個人のデータとメンバー共通のデータを混在して格納して後で消せなくなって困る例をよく見かけます。組織向けクラウドにおいては、組織内個人のデータを OneDrive for Business に、チーム共通のデータを SharePoint チームサイトに格納します。

その他にも99.9% の稼働率を保証するサービスレベル契約 (SLA) がついていたり、バージョン履歴の保持、チェックイン/チェックアウト、ワークフロー連携や、管理者による機能制限やポリシーの適用まで、組織で利用するのに足る信頼性と組織化された管理機能を提供します。

Microsoft Office 365 の場合は、「99.9% の稼働率を保証する返金制度のあるサービスレベル契約」が設定されており、稼働率 99.9% を下回った月はサービス料金の返金処理が行われます。実際の稼働率もオープンになっており、2015 年第3四半期以降、99.98~99.99% で推移していることなどが分かります。

また、サービス停止を防ぐために、Microsoft Office 365 の場合は標準で 2 拠点のデータセンターを利用して、さらにその中でクラスター構成を取って、たとえ一部のサーバーが稼働を停止してもサービスに影響なくほかのサーバーや拠点に切り替わることで、データを失うことなく稼働し続けるといった仕組みをとっています。このように、ストレージやサービスのインフラそのものにかける注意も変わってくるわけです。

また、クラウドにデータを預けるからにはデータのセキュリティについても気になるところと思います。マイクロソフトの組織向けクラウドでは日本独自のマイナンバー法CSマーク (ゴールド)を含む、ISO 27001 、EUモデル契約条項、HIPAA BAA、FISMA をはじめとする各種認証に対応しており、組織において世界にまたがりデータを管理する場合にも十分対応できる仕組みで運用されています。Office 365Microsoft Azure でそれぞれ対応リストが公開されています。 Microsoft Azure IP Advantage と呼ばれる「Microsoft Azure 顧客に対して特許侵害訴訟などの知的財産(IP)リスクへの保護」を提供する仕組みも特徴的です。

また、犯罪捜査などの目的で政府がクラウドにあるデータの開示をベンダーに要求してくることがあります。マイクロソフトにもそのようなリクエストは来ており、実態は Law Enforcement Request Report という形で定期的に公開されています。マイクロソフトが公開している集計データによると、刑法や国家安全保障に関連する政府機関による要請の対象となっている顧客はごく一部である (1% よりもはるかに少ない) ことが明白です。エンタープライズ顧客については、さらにその中のほんの一握りです。テロ活動などに加担していない多くの一般的な組織であれば、そもそも請求をうけるようなことはないためです。詳しくは「政府機関または法執行機関が顧客データへのアクセスを要請した場合の対応」を参照してください。

 

3-2. 統合されるアカウント (マイクロソフトアカウント、Azure AD) の違い

また、Windows 10 とクラウドの統合について触れておきたいと思います。Windows 10は PC を購入してからすぐにクラウドを利用できるように OS の機能にクラウドが統合されています。たとえば、OS へのログインにはクラウドの ID を利用することができますし、アプリもメールやクラウドストレージアプリが標準で添付されており、ログインをクラウドの ID にしておくと、関連するメールサービスやストレージアプリがすぐに使えるようになります。この統合は「一般消費者向けクラウド」と「組織向けクラウド」で別々の方法で行われています。「一般消費者向けクラウド」では、Windows 10 へのログインに使えるID は マイクロソフト アカウントで、既定の状態で統合されているのは Outlook.com や OneDrive などの一般消費者向けサービスとなります。

組織向けの ID は ローカルの Active Directory へのログインで、Azure Active Directory とディレクトリ同期やフェデレーションで間接的につながる方法があるのと同時に、Azure Active Directory ID で直接統合することも可能です。ただし、組織向けの Exchange Online や OneDrive for Business は、管理者が設定して展開をするため、クライアント OS のインストールと利用開始のタイミングで自動的に利用開始できるわけではありません。管理者があらかじめ企業向けクラウドを設定しておき、クライアント PC にその設定を自動的に展開されるようにあらかじめ設定しておくことで、同様のエクスペリエンスを提供することは可能です。また、一般消費者向けクラウドを OS に統合させたくないということであれば、ポリシーにより禁止することも可能です (ただしブラウザーを通しての利用を禁止したい場合はネットワークトラフィック制御など別の仕組みが必要です)。

 

3-3. マイクロソフト アカウントと Azure Active Directory ID を統合できますか?

これは残念ながらできません。同じアドレスを使って Microsoft アカウントと Azure Active Directory ID に別々にサインインすることも 2016 年 9 月以降できなくなりました。

 

3-4. GDPR への対応の違い

2018 年 5 月に、欧州のプライバシー法「一般データ保護規則 (GDPR, General Data Protection Regulation)」が施行されます。GDPR は、欧州連合 (EU) の居住者に商品やサービスを提供する、あるいは EU の居住者に結び付くデータを収集、分析する企業、政府機関、非営利団体、その他の組織に課せられる新しい規則です。GDPR は欧州に事業所がある組織のみだけでなく、欧州で活動するすべての組織に適用されます。つまり、組織の所在地に関係なく適用されることを意味し、日本国外でも活動するほぼすべての日本企業・組織はGDPRへの対応が必須となります。

GDPR では、個人情報の「処理」と「移転」について規定しており、処理ルールの明確化、厳格化、移転はEU域外への移転は原則禁止という厳しいもので、罰則も上限は2,000万ユーロ、または世界売上高の4%の高い方、という大変高額な罰則が科せられる可能性があります。

クラウドサービスは世界中のデータセンターにデータが存在し、GDPR のような規則に準拠するのが難しいと思われがちですが、マイクロソフトの組織向けクラウドサービスはあらかじめ GDPR を考慮して設計され、かつEUモデル条項や欧米間のプライバシーシールドなどを活用した例外措置に対応済みです。同様のことをオンプレミスだけで自分の組織独自で対応しようとするととても困難であり、実はオンプレミスよりもマイクロソフトの組織向けクラウドサービスを利用したほうがGDPRに対応しやすいということになります。詳しくは「Microsoft のクラウド製品およびサービスを GDPR 準拠に役立てる方法」を参照してください。

 

4. 法人・団体で組織向けでなく一般消費者向けクラウドを使ってしまった場合のインパクト

一般向けクラウドと組織向けクラウドの考え方の違い、そこからくる仕組みの違いについてご理解いただけたものと思います。組織向けクラウドを利用すれば、ユーザーの利用方法について管理者が中央から管理、制御することができるため、組織化された形でリスク管理を行うことができるのです。これがきちんとできるかどうかは組織の信頼度に影響してきます。

たとえば、クラウドを利用していても「プライバシーマーク」などの認証を受けることは可能です。日本マイクロソフトでも、「国内外のデータセンター (自社、委託)の利用」「米国本社が定めた統一セキュリティポリシーでの運用」という環境下においてプライバシーマークの認証を取得しています。ただし、この場合に利用するクラウドは「組織向けクラウド」であり、「一般消費者向けクラウド」の利用は一定以上の機密情報の場合、自社の一般消費者向けクラウドであっても利用が禁止されています。逆に言うと、きちんとした運用基準を設けて利用すれば、組織向けクラウドを利用する場合であれば組織としての信頼度を満たすデータ運用が可能である、ということになります。

単純に無料と有料の違いだけではない「一般消費者向けクラウド」と「組織向けクラウド」の利用、この機会にあなたの組織でも利用の仕方を再検討してみてはいかがでしょうか。

 

関連記事

 

 

Skip to main content