読者の皆様は「クラウドサービス特有のリスク」の存在をご存知だろうか。
クラウドはそのサービス特性からさまざまなメリットがある一方で、サービスの環境特性がもたらす、クラウドサービス特有のリスクを有している。
クラウドリスクの勘所と題した連載の第2回目は、「クラウドサービス特有のリスク」に焦点を当てる。クラウド利用に関する不安を解消する特効薬である「リスク管理活動」を効果的なものとするためには、まずは管理対象となる「敵」を知ることである。本稿から2回に渡り、クラウドリスクの本質を探る。
なお、本稿におけるクラウドはパブリッククラウドを対象とする。また、本稿は執筆者の私見である。
クラウド環境の特性とリスク
クラウドリスクの多くは、クラウド固有のシステム環境やサービス特性と深い関係がある。クラウド固有の特性の一つに「ITサービスの“利用”への転換」がある。これは、ユーザー自らがシステム資産を持ち、ITサービスの“提供”と“利用”の両方を担う形態から、ITサービスを“利用”する形態への転換を指す。
この転換は、自社情報の管理やシステムサービスレベルの維持管理をベンダーに委ねることにつながり、新たなリスクを生み出している。代表的なリスク事例として、ベンダーによる情報漏えいなどの情報管理に関するリスクや、システム障害や復旧などに関するサービスレベル管理に関するリスクが挙げられる。
また、新たなリスク視点として法令対応がある。ベンダーに預けた自社情報の保管場所(データセンター)が海外となる場合は、関連する現地法令への対応が必要となる。特にプライバシー関連法令は国や地域により異なることから、情報の移転や管理に関して新たなリスク認識が必要となる場合がある。
以上に限らず、クラウド環境のリスクは多岐に渡っており、サービス導入検討時から契約、サービスの利用、停止まで、広範囲に存在している。そのためユーザーは、サービスのライフサイクルに応じて継続性を持ってリスクをとらえ、管理していく必要に迫られている。この点は、特にクラウドサービス導入の最終意思決定者が認識するべき事項である。
なお、金融業界におけるクラウドリスクは、当局が想定するシステムリスク管理の一環として整理すべきだ。本稿では、業界を問わず幅広い読者を対象としており、金融業界で想定されるクラウドリスク管理については別整理としたい。