クラウドのリスク管理ポリシーの目的は、高リスクから低リスクへ、リスクのレベルを低減することである。そうしたポリシーを策定する場合は、次の4つのステップからなるプロセスに従ったうえで、異なるユーザーがそのポリシーをどう受け止めるかを考慮するべきだ(例えば、一部のユーザーは、ポリシーで定められた以上の柔軟性を求めるだろう)。
I. クラウドのリスク管理ポリシーを策定する手順
ステップ1:資産を特定する
- ソフトウェア・アズ・ア・サービス(SaaS)ユーザーの資産は、SaaSアプリケーションへのアクセスに使用する、デスクトップ、ノートPC、タブレットに限られる。
- プラットフォーム・アズ・ア・サービス(PaaS)開発者は、さらに多くの資産を扱っている。PaaS開発者は、コンピュータと独自のツールを使って、アプリケーションの開発と管理を行う。さらにそのアプリケーションを、サービスプロバイダーから提供されたOS上で動かす。
- インフラストラクチャ・アズ・ア・サービス(IaaS)専門家は、サービスプロバイダーから提供されたネットワークやストレージ、コンピューティングリソースを扱っている。
ステップ2:リスクを評価する
それぞれの資産のリスクを評価し、それらを低、中、高のレベルに分ける必要がある。リスクが人為的なもの(アプリケーションのロジックの不備など)なのか、自然災害(地震多発地帯など)によるのかは関係ない。
ステップ3:安全策を講じる
安全策を講じる前に、それがリスクのレベルの低減につながることを確認すべきだ。安全策の例としては、フェイルオーバーメカニズム、うるう年認識、ネストされたファイアウォールおよび2要素認証(強力なパスワードと顔認識など)がある。ある資産の安全策がプラスの投資対効果が得られないのであれば、その資産に保険をかけるべきだ。
ステップ4:資産やリスク、安全策を見直す
資産やリスク、安全策は定期的に見直すべきだ(通常は3カ月か6カ月おき)。見直せば、以下のようなことが分かるかもしれない。
- 新しい資産を取得している。例えば、所属する組織からタブレットの最新モデルが支給され、それを使ってSaaSアプリケーションにアクセスしているといった状況だ。資産を特定するステップ1からやり直そう。
- PaaSで開発しているアプリケーションのビジネス要件が変化したために、新しいリスクが生じている。棚卸ししても、新しい資産が増えているのでなければ、ステップ2に戻って、リスクを評価する。新しい資産がある場合は、ステップ1からやり直す。
- 新しい安全策を講じなければならない可能性がある。これが起こるのは、新しいテクノロジの登場によって、低価格でより効率的な安全策を講じることが可能になった場合、あるいは新しいリスクが生じた場合だ。PaaS開発者であっても、IaaSインフラストラクチャ専門家であっても違いはない。この4つのステップのプロセスを再び行う。