SAAJ近畿支部第142回定例研究会(報告者:馬場秀樹)

報告者:№2419 馬場秀樹

1. テーマ :「データセンター運用におけるシステム監査の有用性」
2. 講師  :西日本電信電話株式会社 京都支店 横山 雅義 氏
3. 開催日時:2013年11月15日(金) 18:30 ~ 20:30
4. 開催場所:大阪大学中之島センター 2階 講義室201
5. 講演概要:

saj講師が日頃のデータセンター誘致活動をする中で生じた疑問を、システム監査技術者の視点で、システム監査法制化プロジェクトの方々との意見交換を経てまとめた内容を、講演していただきました。
データセンター事業は、古くは一般的な建物に設置することが困難な、超重量、高発熱なメインフレームを設置・運用するための事業として存在していたが、ダウンサイジング、ITの高度化、インターネット拠点化、クラウド化等により、求められる機能、位置づけが大きく変化している。
また、2011年3月11日の東日本大震災以降、「セキュリティ対策」よりも「災害対策」としてのニーズが顕著になり、データセンター事業者の市場は増加傾向にある。
ユーザーから、「どの事業者のサービスも似たり寄ったりでどう選定すべきか分からない」という声を聴くことがある。事業者がどこまでの運用をリスクコントルールするのか分からない、何を拠り所に事業者・サービスを選定すべきなのか、結局は価格で決めるしかないのか、メニューの有無だけでは、真にサービスレベルを評価することができず、事業者がどこまで品質の担保、リスクコントロールしているのか明確でない。
データセンター業界で活用されている基準として、ISO9000、ISMS、ITSMSでは、国際性はあるが、具体性客観性に弱く、建物設備運用やコネクティビティ運用に関する評価ができない。また、FISC、JDCC-FSでは、適合証明により具体性客観性は確保できるが、コネクティビティ運用や情報システム運用に関する評価はできない。
現在のところ、データセンター事業を総合的に評価する基準は存在せず、ユーザーは担保に不足するサービス品質を、自らが評価し契約協議によって担保する必要がある。
データセンター事業者の評価基準を明確にし、その評価基準に基づいて、システム監査の査証により公にその品質の担保とすることで、ユーザーが客観的にデータセンターサービスを評価・選定することでき、消極的なコスト重視の潮流からサービス品質・技術の重視へと移行することも可能と考える。

6.所感

 データセンター業界で活用されている基準である、ISMS、ITSMS、JDCC-FS等、それぞれだけでは不十分であり、データセンター事業を総合的に評価する基準を明確にして、システム監査を行うことが必要であること、データセンター事業者のサービス品質を評価する上で、どのような運用業務が存在するか、それに対応する要求事項を、建物設備運用、コネクティビティ運用、情報システム運用で整理され、データセンター事業の運用を業務とする私には、考えさせられる点があり、参考となりました。