第３２回ニッポンクラウドワーキンググループ会合報告

「クラウドを活用するための最新技術とセキュリティを押さえる！」をテーマに第３２回ニッポンクラウドワーキンググループ会合を開催いたしました。

今回の会合はスターティア株式会社さんに会場をご提供いただき、多くの方々にご参加いただき活気ある会合になりました。
ご参加いただいた皆様、ありがとうございます。

【日時】２０１５年９月１１日（金）１７：００～１９：００
【場所】スターティア株式会社　本社　新宿モノリス 27F セミナールーム
【参加者】メンバー、協賛各社および関係者の方々を含めて４０名

１．開催のご挨拶
副会長 藤田浩之

本日会場をご提供いただきましたスターティアさん、ありがとうございます。
スターティアさんでの開催は今回が初めて、非常に真新しい会場で開催させていただくことになりました。
みなさんもスターティアさんと、またご参加いただいているみなさんと繋がっていただいて、クラウドビジネスを広げていただければと思っております。

本日のテーマは「クラウドを活用するための最新技術とセキュリティを押さえる！」ということで、ゲストお二方にご講演いただきます。

お一人目は「アプリケーションの内側からのセキュリティ」ということで、株式会社アスタリスク・リサーチの岡田さんにご講演いただきます。
私もアプリケーション開発者ですので、非常に興味をもっております。

お二人目は「OpenStackの活用」ということで、日本OpenStackユーザ会の長谷川さんにご講演いただくのですが、実は長谷川さんと私は大学の卒業研究を一緒にやったという仲です。
NCWGの活動をしていたことで長谷川さんに再会することができました。
我々の会はそういった機会を作り、場を提供していきます。
是非みなさんもどんどん参加して、どんどん繋がって、クラウドビジネスを盛り上げていっていただければと思っております。

本日はよろしくお願いいたします。

２．新規メンバー・協賛のご紹介

新規に西日本電信電話株式会社四国事業本部さんにご協賛いただきました。

３．部会報告

サムライクラウド部会
部会長 野元　恒志

7月にCBA（クラウド・ビジネス・アライアンス）さんと共同でSAMLを掘り下げるMeet-upイベントを行いました。
CBAさんとNCWGの連携部会を中心に我々は活動しており、SAMLの啓蒙活動を今後も強化していきます。
CEATECで連携部会の報告を行う予定があります。次回のワークショップはその後の開催を予定しています。

ワークショップではクラウドアプリケーションデスクトップ、APIまわりがセキュアに使えるものなのかどうかを研究していきます。
また、SAMLを実際のビジネスの事例にしていかないとみなさん興味をもっていただけないだろうということで、そういったところを掘り下げていくのが今年度の方針です。

次回は10月1日に連携部会を開催し、ワークショップの内容を検討します。
私としては具体的にSAML対応したSPを作るワークショップを行ってみたいと考えているのですが、どのレベルで行うかを検討します。

※発表資料はこちら

クラウドアプリケーション部会
部会長 前本　知志（代理 野元　恒志）

クラウドアプリケーション部会では今年度、「IoTの入り口として人の動線をデータ化し、クラウドに蓄積する」ということをテーマにし、位置情報を使ったアプリケーション作成を実践しています。
クラウド上に開発環境を構築しており、8月の部会は面白い試みとしてGoogle Hungoutを利用してオンラインで、部会自体をクラウド上で開催しました。

また、データベースはNoSQLのMongoDBを使用し、7月にセットアップを行っています。

内容としては、REST APIの実装を進めていますが、Google Hungoutを利用することで、場所を問わず開発を進められるようになりました。

次回開催は改めてFaceBookで告知するということですので、みなさんお待ちください。

※発表資料はこちら

クラウドビジネス推進部会
部会長 藤田　浩之

クラウドビジネス推進部会では、『クラウドビジネスの成功を導く！』をスローガンにディスカッションをしています。
クラウドの事例紹介や、実際に使用した検証の報告などを行っています。

次回の部会は、IDCフロンティアさんの会議室をお借りして9月29日(火)17:00～19:00に開催します。
内容は「クラウドビジネスを徹底的に活用するための勉強会」です。
みなさん、IaaSは積極的に活用されていると思いますが、IaaS以外のサービスについてはそこまで使われていないのかなと思っています。
データベースやメールなどIaaS以外の新しいサービスが、次々と各社から提供されています。
しかしどのようなサービスがあるか事前に知っておかなくては、案件があってもそれを使おうという発想が産まれません。
次回の部会ではそういったIaaS以外のサービスについて、一挙に徹底的に研究したいと思っています。

また、単にサービスを紹介するだけではなく、そのサービスの活用方法やメリット・デメリットを考えたり、各クラウドベンダーから提供されている同じようなサービスの比較などをディスカッションしたいと考えています。

ぜひ皆様ご参加ください。

※発表資料はこちら

クラウドサービス部会
部会長 小堀　吉伸

NCWGでの４部会のうち、クラウドサービス部会以外の３部会は技術的な視点から活動しています。
クラウドサービス部会はそれらとは異なり、ビジネスとサービスのポジショニングで活動しています。いろいろなサービスの有効性を考えていきたいと思っています。

クラウドサービス部会ではセオドア・レベットのホールプロダクトという考え方を使っています。
コアプロダクトを周辺のプロダクトが補完し、ホール化していく、コアプロダクトを完全化していくという考え方です。

先日カゴヤジャパンさんの協賛支援セミナーを行い、カゴヤさんのIaaS・ホスティングサービスを紹介いただきました。
カゴヤさんのサービスをコアプロダクトとすると、その周辺のプロダクトとして、実はNCWGでは7社がカゴヤさんにサービス提供を行っています。
先ほどのホールプロダクトの話と重なるので、支援セミナー内でクラウドサービス部会も兼ねて開催しました。
最後の一時間はサービス提供している6社に出てきてもらい、パネルディスカッションを行って各社のサービスを紹介しました。

このように各サービスが繋がっていき、サービスのメタ化ということも我々の会でできるのではないかと考えています。

NCWGは場の提供ということを言っておりますので、こういったところからクラウドサービスのお手伝いができるのではないかと思います。
次回は11月に部会を開催したいと思っています。
参加できるのがメンバー・協賛様のみということで、どうしても少人数でクローズドな会となっていますが、ご興味ある方はぜひご参加いただきたいと思います。

※発表資料はこちら

４．ゲスト講演①
「アプリケーションの内側からのセキュリティ」
株式会社アスタリスク・リサーチ
代表取締役社長　岡田　良太郎　氏

ビルトイン・セキュリティについてお話をさせていただきます。

安全で安心できる社会を作っていくために技術でできることはなんだろうという事業と、それにつながるコミュニティ活動を行っています。

他社や全く違うフィールドのみなさんの取り組みが分からないと技術者として膨らみが出ません。
これで正しいと思ってお客様と話をしても、通じないことがしょっちゅうあります。それはなぜかというと目的が違うからです。
ただ、目的が違っても本当に必要なものはなんだろう、コアなものはなんだろうと考えていくときに、やっぱりコンテキストを共有できる仲間、なおかつまったく違う視点をもってらっしゃる方とのつながりが効いてくるんだと思います。
今日の話の結論はそこになります。

私はOWASPというグローバルなコミュニティで、日本の代表をやっています。
関東圏だけで3500名の技術者がいて、３ヶ月に一度ミーティングを行っています。

開発者によるセキュリティの実現というのは今一番大変です。
開発者は大抵スケジュールとコストにプレッシャーがかかり、とにかく動作させることがすべてになっています。
その上でセキュリティをなんとかするために、高価な脆弱性テストやWAFが売れています。
これは、ソースコードを直さずに最低限のリスクコントロールをするためのものです。
中身に問題があるのに、門番を立てることでなんとかしようという技術の方が売れているという状態です。
これは確実に限界を迎えます。

開発会社は、脆弱性のあるソースコードを他社の案件にそのまま使います。
脆弱性を含んだまま、直さないまま、次のアプリを開発します。横展開です。
先日、日本の１４の銀行が共通した標的型攻撃にあっていて情報漏えいしているというレポートが出ました。
同じ攻撃にさらされる原因には、組織構造と業務フローの類似性があります。

セキュリティとは、問題をゼロにするという意味ではありません。
引き受けられる程度にリスクを下げることが鍵です。

Attack Surface の説明のため、例をあげます。
タイタニック号の脆弱だったところはなんだったか。タグボートの不足というのが一つ大きなファクターでした。
当時のイギリスのコンプライアンスとしては１６艘積んでいればよかったそうです。
そこでタイタニック号では、コンプライアンスに少し足してタグボートを２０艘積んでいました。
それでも全く足りないのですが、沈まないのだからそれでいいと思ってしまった。
極めて残念なことに、全員乗れるだけのタグボートを載せる設備はあったにも関わらずです。

これは思いこみ、という脆弱性です。
先ほど、セキュリティとは引き受けられる程度にリスクを下げることだと申しました。
ところが思いこんでいると、安全だろうという領域を勝手に広げてしまって、それ以上リスクを下げられません。

Attack Surface に関する思いこみとして、「自分の知らない間に自分のIDや認証を悪用されることは、まず、ない」という例をあげてみます。
ちょくちょく自分の秘密が家族にばれているのはなぜだろう？
それは寝ている間に自分の指をiPhoneの指紋認証に使われているのです。まさに標的型攻撃です。

IoT(Internet of Things)にも、結構頭の痛い問題があります。Attack Surface が無限に広がるに近い。
これまで、例えばクロスサイトスクリプティングは、これまで人がだまされるものだと思われていた。
ところが、IoTでは機械が機械をだまし合うことができるようになります。
そうなると、WAFも脆弱性テストも意味のないものになってしまいます。
この問題に気づいている人は決して少なくありません。

先日内閣府のサイバーセキュリティーセンターが発表した閣議決定の中で、IoTの時代ではセキュリティバイデザイン、つまり企画設計段階からセキュリティの確保をしていかないと無理だということが言われています。
奈良先端科学技術大学院大学 山口英教授も、「一般教養としてのセキュリティで今、いちばん情報が足りない分野はなんでしょうか？」 という問いに、「設計・開発段階からセキュリティの機能を組み込む『セキュアプログラミング』だろう」と答えている。
つまり、ソフトウェアそのものをどうやったらセキュアにできるのかといったことに関する学び方、チェックの仕方の情報が圧倒的に足りていない。
しかしこれは、常識だし一般教養でなくてはいけないのだということが言われているわけです。
私がやっていきたいのはまさにこういったことです。

ソフトウェアの開発で、納品前のセキュリティチェック報告では、ソフトウェアの機能について指摘されます。
例えば「このフォームにはクロスサイトスクリプティングの脆弱性があります」あるいは「SQLインジェクションへの対策が足りていません」みたいなことが言われます。
ところがそこから、プログラムのどの部分を修正すればそれが直るのか、というところまで戻るには非常にコストがかかります。
本来は企画・設計段階でリスクコントロールできるはずなのに、スケジュール等の問題でうまくいかず、後手に回れば回るほど対策にかかる費用は高額になっていく。

セキュリティリ問題を「見つける」だけだからうまくいかない。
「見つける」ことも必要ですが、どうやって「修正」して「改善」してサイクルを回すかが重要になります。
それによって、プログラムを書く側も学ぶことができ、悪いものではなく直されたものが大事なモジュールとして横展開されることになります。
負の連鎖がプラスの連鎖に変わっていきます。

PCI DSSでは、コーディング実践に関する要件が追加されています。
OWASP Internet of Things Top 10は、Attack Surface について挙げられています。
利用者や開発者、それぞれの立ち位置によって何を気をつけるべきかが書かれています。
こういった情報を企画の段階から盛り込んでいくことで、リスクを引き受けられる程度まで下げられる助けになると思います。

まとめます。
・最大のリスクは思いこみ。
・システムは人為的なものではないトラフィックに埋め尽くされていく。
・セキュリティ・バイ・デザイン、ビルトインセキュリティで対策する方が有効で、低コスト。

こういったところで、みなさんのお役にたちたいと思います。OWASPのミーティングにもいらしてください。
また、10/1にベルサール神保町でアプリケーションセキュリティスーパーブリーフィングを開催します。是非ご参加ください。

最初にも申し上げましたが、この場のように、全く違う立ち位置の方々が集まって一つの問題について話し合うことは本当に有効だと思います。
NCWG、これからもずっと続けて欲しいと思います。

Q.リスクを受容できるかできないか、そこを見極めるためのいいアドバイスがあれば教えていただけないでしょうか。
どういう基準やしきい値があるのか、どのように定めればよいのか。

A.お聞きになっているのは、リスクを特定して、それが起きたときのダメージがどの程度か、発生確率がどの程度か、計るためにはどうすればいいかということだと思います。
発生確率とダメージを掛け算するとか様々な手法があり一概には言えないのですが、今はどうやったら早く検知できるのかについてこだわるのがトレンドになってきています。
セカンドオピニオンが必要であれば僕を呼んでください。

Q.監査会社ごとのセキュリティチェックにレベルの差はありますか？

A.差はめちゃくちゃあります。
セキュリティに問題があることを見つけるのはとても簡単。大事なのはそれをどうやったら改善させることができるのか。
それを指摘、アドバイスしてくれるかどうかで大きな差があります。

また、フォルスポジティブとフォルスネガティブという言葉があります。
フォルスポジティブとは、見逃しが多く問題があるのに指摘しないことです。これは劣悪監査会社に多くあります。
フォルスネガティブとは、問題でないものもそうでないものもなんでも指摘します。その場合、やらなければいけないことも含んでいるのに相手にされず全て無視されてしまいます。これは最悪です。
会社ごとにこういった大きな差があります。

※発表資料はこちら

５．ゲスト講演②
「OpenStackの活用／OpenStack Summit Tokyo 2015のご紹介」
日本OpenStackユーザ会
長谷川　章博　氏

さきほどのセキュリティの話とは変わりまして、オープンソースのクラウドOSであるOpenStackの紹介と10月に開催されるOpenStack Summit Tokyo 2015について説明します。

まずみなさんはOpenStackをご存知ですか？

ニッポンクラウドワーキンググループは日本のクラウドの中でも濃い方が多いのでOpenStackなども詳しいと思っていますが、OpenStackはOSSのクラウドOSと言われています。
よく混同されることがあるのですが、仮想化ソフトウェアではなくてコンピュート、ネットワーク、ストレージという分散されたパーツをオーケストレーションというかコントロールするためのクラウドOSです。

元々はアメリカ航空宇宙局NASAと米国ホスティング事業者のラックスペース・ホスティングがそれぞれのソースコードを持ち寄って始めたのが最初ですが、現在ではコミュニティの開発者が20,000人を超え、参加している企業数も500を超える規模になっています。
最近では海外企業であるHPやDELLなどのハードメーカー、日本のYahoo Japanのようなコンテンツを持っている方、SIerだったり、海外ではウォルマートやスペインの銀行であるBBVAなどかなり幅広いユーザーがOpenStackをサービスとしてシステムで使用しています。

OpenStackとクラウドで一番有名なAWSと立ち位置の違いを説明すると、スマートデバイスで言うところのiOSがAppleのiPhoneのOSで、一方でGoogleが開発したandroidはオープンソースのOSとなっています。
OpenStackも類似している点があり、プロプライアトリーなクラウド、いわゆるパブリッククラウドであるAWSやAzure、SoftLayerというものに対して、オープンなクラウドを作ろうというのがOpenStackです。

OpenStack自体は最近では「何を持ってOpenStackと名乗るか？」という点が議論になっています。
オープンソースなので自分で一度ブランチし、特殊な仕様を入れて出すこともできるのですが、後ろのサードパーティの運用ツールをOpenStackの上にかぶせてクラウドの管理をしていく時に、間違いなくOpenStackであるという、APIのコンパチビリティー、インターオペラビリティーがないと実際に運用がちゃんと回るかというのもわからなくなってしまいます。
いずれにせよOpenStackのひとつの魅力というのは「APIが標準化されること」によって、その上にかぶせるPaaSや運用監視のようなものが複数の基盤上でも動作することができることが大きいと思います。

ここでOpenStackの構成について説明をしたいのですが、1～2年前だとOpenStackの話を持って行くと「あぁ、オープンソースの仮想化ソフトね」と言われるケースが多かったのですが、仮想化とクラウドはそもそも違います。
仮想化というのは元々はひとつのハードウェアを複数をエミュレートして、そこに対してシステムを動作・移行していくというレガシーマイグレーションなどから発生したケースが多かったです。
だんだんサーバーのスペックも上がってきて、サーバを1台で使い切るよりも、複数に切って違う用途で立てていきます。
基本的な考え方としては、CPUやメモリが足りなければ増やさなければいけないというスケールアップ式の考え方をしているケースが多いと思います。
あとは可用性の取り方ですが、HAなどは共有ストレージを使ってフェールオーバーのクラスタを組んでサーバ単位の可用性を保とうとするケースが多いのが仮想化の基盤です。
一方でクラウドに仮想化は必須ではありません。
複数のノードから必要なコンピュートリソースを引き出せればいいという考え方なので、よくあるスケールアウト・スケールインをさせるようなシステムを作っていく上では、コンピュートリソースが欲しい時に「API1本で引っ張ってこれるコンピュートのリソース群」がクラウドのあるべき姿であり、OpenStackというのはそれができるようにするためのツールです。
こういったクラウドの群の考え方であると可用性の取り方も、基本はサーバ単位やインスタンス単位ではありません。基本的にはゾーンやリージョンであり、このゾーンが万が一落ちたとしても、別のゾーンが生きていればシステムとしては動きますという設計をしていかなければいけません。
たまにアマゾンのインスタンスをいかにHAするかということに熱心に考える方がいますがあまり得策ではなく、ゾーン間のデータ同期にはKVSなどのリージョンをまたげるようなNoSQL系を使っていく、またオンラインストレージでACIDが必要な場合にはアマゾンであればRedshiftを使ったり、オンプレミスのハードウェアを組み合わせたりするケースも必要になるなど、適材適所でどういったシステムがどういったプラットフォームで必要となるかということを見極めて使わなければいけません。

いまOpenStackのプロジェクトは年々増えています。
OpenStackの元々はAustinというバージョンで2010年10月に出ていますが、NASAがNovaというアマゾンでいうところのEC2に当たるものを提供し、ラックスペースがSwiftというS3に当たる部分を提供したのが始まりです。
次にBexarとかCactus、Diabloと進み、Essexのあたりでイメージを管理するGlanceや、いわゆるWebのUIになるHorizon、認証管理するためのKeystoneというIaaSを提供するための基本機能ができました。
そのうちにSDNだとか、Storage as a Serviceなどのプログラマブルなストレージにしていくという発想が生まれ、FolsomあたりでQuantumというネットワークを管理するためのプラグインが出来、CinderというアマゾンでいうところのElastic Block Storeに当たるブロックストレージを出すためのプロジェクトが立ち上がってきました。
このFolsomやGrizzlyあたりでIaaS部分は固まり、HavanaあたりからCeilometer、HeatのようなPaaSであったり、メータリングのツール、そして現在のLiberty、更に次のMリリースであるMitakaにつながっています。

最近のOpenStackの活用例についても少し話をさせていただきます。
海外旅行サイトのExpediaはご存知の通りおそらく世界No.1のオンライン旅行サイトです。早くからアマゾンとかラックスペースとかパブリックのクラウドを使っていましたが、彼らのビジネスはクラウドにつながっているインフラが利益を生み出し、コスト面やビジネスの継続面という面からやはり自分自身でもコントロールできるインフラを組み合わせたほうがよいため、彼ら自身も2つのリージョンをOpenStackで構築しています。
ただ全部を持つのはコスト面や機能面で理に適わない部分があるため、オープンソースの「Scalr」を使ってパブリッククラウドと併用、そして構成管理には「Chef」を使ってパブリックやプライベートのすべてのクラウドをトータルで統合的に利用、管理しています。

そしてIoTの基盤についても海外のキャリアなどで事例として出てきています。
先ほど申したようにOpenStack自体は仮想化をさせるソフトでは無いのですが、Novaでは従来VMを使うケースがありました。しかし最近ではコンテナやベアメタルを直接使うこともできるようになってきました。
例えばセンサーデバイスからたくさんのデータが流れてくる時に、センサーデータ受けるところはCPUのコアがたくさんあったほうが有利です。
なぜならば1個1個のプロセスはそんなに大きくなくても、やはり細かいデータがすごく頻繁に来るためになるべくたくさんのコアを提供するほうがいいと考えると、マイクロサーバを使ったベアメタルを組み合わせたほうが効率が良かったりします。
逆に裏側でバッチを使って回すのであれば、XeonのしっかりしたCPUを使って複数ノードでMapReduceを使う、またはリレーショナルなDBに入れていきたい、場合によってはDWHに入れていきたい場合には、DB as a Serviceの「trove」を使うなど、そういった形でOpenStackのIaaS基盤をうまく使いながら、PaaSに近いところを含めIoTやビッグデータの基盤を持つケースが増えてきています。
日本でも製造業系や流通業系でこういった基盤を自社内で用意する際にOpenStackを使うケースが徐々に出てきています。

もう1つのユニークな取組としては、OpenStackのフェデレーションです。
例えばプロバイダーA社とB社が協定を結んでいると、A社の認証情報をB社側に連携させておけば、A社の認証後にB社のリソースを使うことができるようになります。
またグローバル企業だと各国で情報を外に持ちだしてはいけないなどの情報セキュリティのルールがあったりしますが、そういった場合にはそういう地域の支社ごとにフェデレーションを組むなどの、プライベートでクラウドを作り、作ったプライベートのクラウドを更に組み合わせて使っている、クラウドとクラウドをミックスしていくような発想が増えてきています。このOpenStackのフェデレーションというのも話題になってきている機能のひとつです。

これら以外にもOpenStackの事例はhttp://superuser.openstack.org/にグローバルで色々な事例が掲載されていますので、ご興味があればご覧ください。

さてOpenStackのSummitが10月に東京で行われます。私自身はOpenStack日本のユーザー会と、OpenStackの日本でやるイベントの実行委員長をやっていますが、OpenStack FoundationからはアジアのOpenStackコミュニティを盛り上げる役割を担っています。
OpenStackは6ヶ月に1回リリースしていますが、まずはじめにDesign Summitがあって、インプリメンテーションをしながらマイルストーンを切り、最終的にGAをするという、この一連のサイクルが6ヶ月です。この6ヶ月サイクルの最初にグローバルのOpenStackの開発者や開発リーダが集まりそこで次の仕様の最終調整を行うのですが、これがOpenStack Summitになります。前回は5/18からカナダのバンクーバーで行われ、世界各国から6,000人くらいが集まりました。
OpenStackのSummitの構成は大きく分けて4つあるんですね。
ひとつがKeynote Sessionであり、OpenStackの有名なユーザーやFoundation側からのメッセージングを伝えるキースピーチです。
ふたつめがBreakout Sessionであり、OpenStackのユーザーや開発者がそれぞれのテーマに沿ったセッションに応募し、公募で通ったセッションが同時並行で20～30くらい行われます。
３つめがMarketplaceという展示です。日本企業、海外企業が一同に揃い、OpenStackにまつわる技術情報を披露します。
最後が先ほどご説明したDesign Summitです。開発者が集まって次のリリースをどういう風にしていくかを話し合います。
開発する参加企業だけでも500社、参加者も20,000人規模になると、なかなか仕様を調整するのも難しく、こういうフィジカルな場で一気に問題を潰していきます。

OpenStackのSummitは半年に1回なので、年に2回あります。
基本は米国での開催だったのですが、一昨年くらいから秋のSummitは米国以外で開催することとなり、その1回めが香港でした。
アジアに来たんで、その1年後はパリで実施し、更にその1年後東京のSummitを誘致しました。
来年はスペインのバルセロナで開催されますが、いくら1年に2回と言ってもアジア地域での開催は2年に1回なんです。
2年に1回のSummitがここで来てしまったということは、もう僕らが生きているうちに東京のSummitはないかもしれません。
OpenStack Summitは、現在来場者の募集を絶賛しておりまして、https://www.openstack.org/summit/tokyo-2015/に行けばすぐに申し込むことができます。
Summitは4日間開催されますが、海外のストレージ、ネットワークなどのスペシャリストが一同に揃うので、ネットワーキングの場としても非常にいい場だと思います。
是非ご参加ください。

ご清聴ありがとうございました。

Q.海外を含めたOpenStackのサポート状況について教えてください。

A.基本はオープンソースですが、Linuxと同様にそれぞれディストリビューターがいます。
Redhatだったり、Canonical、OpenStack独自ではロシアの開発者が中心となって立ち上げたMirantisという会社があります。
Oracle、HPなど、独自のディストリビューターがいるので、現在は安心してサポートを受けながら使う体制ができてきていると感じています。

６．スターティア株式会社からのご紹介
「オンラインストレージの市場状況とセキュアSAMBAの戦略」
スターティア株式会社
クラウドストレージ部
部長　栗原　雅　氏

本日は、オンラインストレージの市場の状況とセキュアSAMBAの戦略を「黒船クラウドに負けるわけがない」と題して説明します。

弊社のオンラインストレージであるセキュアSAMBAを説明する前に、弊社の紹介をさせていただきます。
弊社はちょうど20周年になりまして、従業員はだいたい600名くらいです。本社は東京の新宿、拠点は大阪、名古屋、福岡と中国上海、台湾です。資本金は8億円、売上高が86億円、経常利益が8億ぐらいの事業体です。主にネットワークソリューション、Webソリューション、ビジネスソリューションの3つの事業で成り立っており、今回説明するセキュアSAMBAはネットワークソリューション事業に入っています。

サービスの概要ですが、セキュリティや使い勝手に優れた法人向けのファイル共有システムであり、PCクライアント、Webブラウザ、スマートデバイスからアクセスすることができます。また弊社が扱っている複合機からのアクセスにも力を入れてます。
サービスの実績としては2007年から約8年間運用しており、累計の契約数としては8月で1,200契約と集計しています。また売上規模の実績としては、10億未満の企業でシェア1位と調査会社の結果が出ています。

この市場はファイル共有の市場とファイル転送(ECM)の市場を累計したものであると考えており、2018年にはだいたい316億円の市場になると思っています。
市場動向の分析としては、クラウドサービスを利用している国内の企業はファイル保管やデータ共有をまずはじめに利用しているというデータになっていますが、この一番多いところが我々セキュアSAMBAの市場です。
国内市場の競合状況ですが、1位はソフトバンクテレコム、以降日本ワムネット、IIJ、スターティアという順です。
ソフトバンクは営業に強い会社であり、直販でiPadにバンドルして販売しています。2位の日本ワムネットは直販がほとんど無くて代理店に販売しています。スターティアもソフトバンクと比較的似ており99%直販でこれまでやって来ました。お客様は中小企業が多いので、約300名の営業部隊にてアプローチしてきた結果となっています。

次に日本に参入してきた海外のオンラインストレージについてご説明します。
Boxは法人向けに力を持っており、元々は米国のカリフォルニア州に本社で2005年に設立されています。2015年1月に赤字のままNY市場に上場しており、現在2500万人ユーザーと22万5千社を超える企業が利用しており、大手であるGE、P&Gなどにも導入されている、世界的に法人では一番使われているオンラインストレージの企業です。
戦略としては「ライフタイムバリュー」であり、顧客生涯価値を指標において戦略をたてています。成長のタイミングポイントとしては、元々中小企業に無料で提供していたのですが、これをエンタープライズ向けに変えました。なので、Boxの今の弱みとしては、無料で展開してしまった小規模事業者に対して無料分のコストがかさんでいるということだと言われています。
もう1社がDropboxです。導入者数としては世界シェアの14.1%くらいあるのではないかと言われていますが今はもっとシェアがあると思います。
MSのOSから直接DropboxにアクセスできるようなMSのパートナーシップを提携しており、上場はしていませんが、時価総額で1兆円を超えると言われています。ただ我々がみる弱みとしては、データが見える状態になっていたり、Dropboxのウィルスが出まわるなど、信用面で課題があると思っています。無料であるがゆえに攻撃されたり、無料ユーザーが多いということでターゲットにされやすいのかなと思っています。

この2社と私どもを比較するとBoxの売上が149億円、Dropboxは数値をだしていないので正確ではないのですがユーザー数や単価から240億円という数字を出しています。
またBoxについては日本に総代理店が3社ほどあります。Dropboxについてはソフトバンクコマース＆サービスの1社です。
この2社ですが、この2～3年である程度顧客数を伸ばすのかなと予想しています。ただ私どもとしては決して太刀打ちできないわけではないと考えています。そもそも日本企業自体は、まだまだITの活用というのは遅れておりますし、コラボレーションで攻めていくようなBoxやDropboxは日本法人を攻めるのは難しいと考えています。
また1ユーザーの単価が1500～1800円の費用感です。10ユーザーになるとそれなりの費用、100ユーザーであれば結構な費用、1,000ユーザーなんてなかなか使えないというような金額帯になると思います。そしてデータセンターが国内に無い点やすべて同じIPアドレスにアクセスする点が、比較的保守的な日本法人の感覚からは敬遠されやすいのではないかと考えています。

我々セキュアSAMBAはこれらの2社とは戦う領域が違うと考えていまして、まだまだやっていけるのではないかと思っています。
例えば先ほどの料金の話について我々は容量課金で戦っています。一方のBoxやDropboxはユーザー課金で展開しており、日本国内の事業者も容量とユーザーの組み合わせで展開したりしています。
実際の価格差は、Boxが仮に1,000ユーザーとすると月額180万円、これが当社では3万5千円になります。当然機能的な部分で劣っていたり、できるできないやセキュリティ面での甘さはあるかもしれませんが、やはりこの金額はなかなか出せないと思います。この点が我々の営業においても当社になびいてくる理由になっています。
セキュアSAMBAが選ばれる理由ですが、「セキュリティへの安心感」「使い勝手の良さ」「中小企業にも導入しやすい価格」というこの3つが大きな理由です。
安心のセキュリティということで、セキュリティは色々ありますが、パスワードポリシーが7段階で設定できる点や端末認証ができる点があります。
我々はセキュアSAMBAを広めたいなという使命感をもってやっています。日本の中小企業の生産性をあげるためにこの事業をしっかりと伸ばし、BoxやDropboxに負けないような事業にしていくよう動いています。

ここからはセキュアSAMBAの状況ですが、業種的にはサービス業、製造業、卸というところが上位3つですがどの業種でも使えます。
競合の状況ですが、比較的我々が当たるのがFUJITSU Cloud Service、次がextorage、3番めがDropboxです。
それから利用用途です。社内のファイル共有という単純なファイルサーバ的な使い方、社内間のリモートアクセス、他社とのファイル共有というところが上位3つに挙げられています。

ここから簡単に我々の成長戦略についてご説明します。
顧客は「クラウドを使うと便利そうだな」というようなイメージを持ち始めていると思うんですが、「本当に移行して大丈夫かな？」と悩まれているお客様がまだまだ多いと思っています。
一方でクラウド事業者の悩みは、「うちのクラウド基盤に切り替えて欲しいと思っているけど、いまの環境を全部切替えてしまって大丈夫？」という顧客の不安が大きいのでなかなか一気に切り替えてもらうのが難しいと考えているのではないでしょうか。

我々のセキュアSAMBAというのは、まずは一部署でセキュアSAMBAを使ったファイルサーバ運用してみたらどうですか？という感じで展開します。うまく行けば次に独自のファイルサーバ環境をクラウドで提供し、クラウドに抵抗が無くなったら全部クラウドで行っちゃいましょうという感じです。
またサービス単体販売から各クラウド基盤へサービスを提供していきたいと思っております。いままでは特定のデータセンターでの提供でしたが、今回ライセンスとかアプライアンスで提供を可能にしていくという方針で動いています。

それからOEMで自社サービスと組み合わせると、独自の価値を提供できて単価を自社で設定できるというようなメリットもあるかと思います。
セキュアSAMBAにプラス機能を付けて独自のサービスに見せているという、進行中案件の事例としては建築確認の電子申請が昨年の12月からできるようになりました。電子証明やタイムスタンプなどの機能を付加するだけで、我々のセキュアSAMBAでこのサービスが提供できます。
次にコンビニです。我々は大手コンビニにて印刷できるサービスを提供する予定です。元々そういうサービスはありますが、我々は独自にそういった基盤を持っていて、セキュアSAMBAにデータが上がっていれば、コンビニに行って印刷ができるサービスです。
またマイナンバーです。マイナンバーのサービスをセキュアSAMBAを元に作っており、9/24から提供します。収集機能にこだわりを持っていまして、ビジネスチャンスとして掴んでいきたいと思っています。
これらのように色々な形でセキュアSAMBAにちょっと付加するだけで、別のサービスとして展開することができます。皆様の普段接しているお客様やパートナーの方でも独自のサービスを持っていると思っていますので、それをうまくセキュアSAMBAと組み合わせることで面白いビジネスができるのではないでしょうか。

最後になりますが、弊社の社長がアジアNo1のITサービスを目指すということでホームページにも公表しております。このセキュアSAMBAという事業もアジアNo1を目指せと言われていますし、そのつもりでやっております。できればここにいらっしゃる方々と海外展開ができたら面白いのと思っていますので、是非この機会に弊社との組み方をご検討いただければと思います。

Q.実際にセキュアSAMBAを運用しているお客様何社かで作成されたファイルを私から見に行きたいと思っていますが、簡単にできる仕組みはありますか？
A.現状は、セキュリティの考え方から簡単にしたくありません。簡単にしてしまうとすぐに共有できるというメリットはありますが、まだそういった方針にするかは決めきれていません。
Q.コンビニから印刷ができるサービスについてですが、セキュアSAMBAからどうやって行うことになるのでしょうか。またページ数の制限などはありますか？
A.まずはスマホでセキュアSAMBAのアプリを開き、そこからコンビニで印刷する、といったボタンを押していただきます。その時に番号が発行されるので、その番号をコンビニのプリンターに入力すると印刷が可能になります。またページ数の制限についてまだそのあたりの仕様はつめていませんが、コンビニ側のプリンターの容量に依存しており、その範囲内であれば印刷は可能だと思います。

７．会長からの総括
会長　小堀　吉伸

皆さんお疲れ様です。

本日は岡田さんと長谷川さんのお二人に講演をいただきました。
またスターティアさんも眩しいほどの新しい会場をお貸しいただきありがとうございます。
実は8月は会合がお休みだったので、9月の会合は久しぶりの感があります。
そのためか若干スタート時に硬さはありましたが、ここから年末に向けてはかなりのペースで色々と実施していきます。
10/8はGMOクラウドさんでの第33回会合、11/13には大久保の健保会館で4周年を実施し、今年度の報告と来年度の計画に関する報告を行います。
12月は会合をお休みしますが、12/4には東京国際フォーラムの「パパミラノ 東京国際フォーラム店」でNCWG大忘年会を実施いたします。
クラウドとは少し外れる場もありますが、冒頭で藤田さんからも話があったとおり、私達NCWGでは色々なテクニカルな話も進めながら、また一方では場を作っていくことも大事であると考えています。
本日講演いただいた岡田さんとはかなり古いお付き合いであり、長谷川さんともこれまでにNCWGとは別の場でお会いしていました。
NCWGは「人のつながり」であると最近思っています。そして、その中でビジネスが生まれてくればと思っています。

本日の会合ではお久しぶりな方もいらっしゃっているので、新しい方の参加と合わせて、これまでの方々もこの「場」の中で是非とも肩を組んでいただければと思います。
そしてお願いですが、皆さんで組んで、成功した話をしていただきたいです。
そしてせっかくなのでこの会の中で絡んでいただきたいです。

NCWGは他にあるオープンな団体とは少し異なり、メンバさんや協賛さん、一部のご参加いただける方とのクローズドな集まりにしています。
オープンにすることによるいいこともありますが弊害も出てくるので、NCWGについてはクローズドな会にするというスタンスは決めています。
会合の後には懇親会も予定していますので、是非この会の中で「ビジネス」という関係を掴んでいっていただきたいと思います。

本日はお疲れ様でした。

８．懇親会
懇親会についても大いに盛り上がり、メンバー・ご協賛の方々との積極的な交流を図ることができました。

【ＮＣＷＧ実行委員　報告書作成者】
大澤　武史　（株式会社クリエイトラボ）
水木　真一　（株式会社クリエイトラボ）
尾鷲　彰一　（株式会社オープンウェーブ）