クラウド環境固有のリスクと管理活動
クラウド環境におけるリスク管理手続きは特別なものではなく、オンプレミス環境の考え方と大きな違いはない。しかし、大きく異なる点として、捉えるべきリスク項目のなかに、「クラウド環境固有のリスク」が存在する点がある。まずは、クラウド環境固有のリスクが存在している点をご認識いただきたい。
ポイントは、当該リスクをサービス導入検討時に、関連するクラウド環境固有のリスクを把握、判断し、投資の最終意思決定者と十分な認識共有を図るとともに、サービス開始後も継続的にモニタリングすることである。
クラウド固有のリスクの根源(イメージ)
クラウドサービスとオンプレミス環境は、技術面はもとより、ベンダーとユーザーの役割分担、サービス内容やカスタマイズの自由度など、各種制約事項が異なる。
これらのクラウドサービスの特徴は、システム特性、サービス特性が招くものであり、クラウド環境のメリットの根源でもあり、リスクの根源でもある。
クラウド環境固有のリスクは、前述の各種ガイドラインでも例示されている。近年では、サービス提供ベンダーが、一般的なクラウド固有のリスクに対する自社サービスの対応策について情報開示している場合が多い。
そのためユーザーは、これらの情報を収集し、自社のセキュリティポリシーや各種管理レベルとの整合性を評価し、残余リスクを踏まえたサービス採否の意思決定やリスク管理活動への連携が必要となる。
クラウド環境のリスク管理活動を推進するには、まずは捉えるべきリスクを知ることが肝要だ。次回以降で、クラウド環境固有のリスクの詳細について解説する。
- 酒井慎
- デロイト トーマツ リスクサービス株式会社 シニアマネジャー 金融機関を中心に、幅広い業種に対してシステムリスク管理や情報セキュリティ管理に関するコンサルティング業務を提供。クラウドの有効活用を目的とした、クラウドリスク管理に関する業務を多数実施している。