編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

クラウドのリスク管理はポリシー策定から--4つのステップと「捉え方の違い」

Judith Myerson (Special to TechRepublic) 翻訳校正: 川村インターナショナル

2015-01-20 06:00

 クラウドのリスク管理ポリシーの目的は、高リスクから低リスクへ、リスクのレベルを低減することである。そうしたポリシーを策定する場合は、次の4つのステップからなるプロセスに従ったうえで、異なるユーザーがそのポリシーをどう受け止めるかを考慮するべきだ(例えば、一部のユーザーは、ポリシーで定められた以上の柔軟性を求めるだろう)。


I. クラウドのリスク管理ポリシーを策定する手順


ステップ1:資産を特定する

  • ソフトウェア・アズ・ア・サービス(SaaS)ユーザーの資産は、SaaSアプリケーションへのアクセスに使用する、デスクトップ、ノートPC、タブレットに限られる。
  • プラットフォーム・アズ・ア・サービス(PaaS)開発者は、さらに多くの資産を扱っている。PaaS開発者は、コンピュータと独自のツールを使って、アプリケーションの開発と管理を行う。さらにそのアプリケーションを、サービスプロバイダーから提供されたOS上で動かす。
  • インフラストラクチャ・アズ・ア・サービス(IaaS)専門家は、サービスプロバイダーから提供されたネットワークやストレージ、コンピューティングリソースを扱っている。

ステップ2:リスクを評価する

 それぞれの資産のリスクを評価し、それらを低、中、高のレベルに分ける必要がある。リスクが人為的なもの(アプリケーションのロジックの不備など)なのか、自然災害(地震多発地帯など)によるのかは関係ない。

ステップ3:安全策を講じる

 安全策を講じる前に、それがリスクのレベルの低減につながることを確認すべきだ。安全策の例としては、フェイルオーバーメカニズム、うるう年認識、ネストされたファイアウォールおよび2要素認証(強力なパスワードと顔認識など)がある。ある資産の安全策がプラスの投資対効果が得られないのであれば、その資産に保険をかけるべきだ。

ステップ4:資産やリスク、安全策を見直す

 資産やリスク、安全策は定期的に見直すべきだ(通常は3カ月か6カ月おき)。見直せば、以下のようなことが分かるかもしれない。

  • 新しい資産を取得している。例えば、所属する組織からタブレットの最新モデルが支給され、それを使ってSaaSアプリケーションにアクセスしているといった状況だ。資産を特定するステップ1からやり直そう。
  • PaaSで開発しているアプリケーションのビジネス要件が変化したために、新しいリスクが生じている。棚卸ししても、新しい資産が増えているのでなければ、ステップ2に戻って、リスクを評価する。新しい資産がある場合は、ステップ1からやり直す。
  • 新しい安全策を講じなければならない可能性がある。これが起こるのは、新しいテクノロジの登場によって、低価格でより効率的な安全策を講じることが可能になった場合、あるいは新しいリスクが生じた場合だ。PaaS開発者であっても、IaaSインフラストラクチャ専門家であっても違いはない。この4つのステップのプロセスを再び行う。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]