クラウドサービスに対する漠然とした「不安」とは
クラウドサービスの利用における不安要素の多くは、セキュリティやサービス品質の継続的な維持に関するものである。
これは、システムの統制活動が、ユーザーの直接的な管理下から外れることによる不安ともいえる。自社において資産や運用管理体制を持たないことは、クラウドサービスの大きな利点の1つであるが、その一方で自社で直接的に管理できないことに伴うリスクを生み出している。
クラウドサービスは種別や範囲が多様化し、ベンダーごとにその内容が異なることが多い。また、ベンダー側もセキュリティ確保の観点から、情報開示に一定の制約を設けている場合が多い。
その結果、ユーザーがベンダーの管理統況を把握しようとしても、ブラックボックス化により十分にリスクを理解できないことも多く、「リスクの存在有無すら分からない」不安を招いている。
ユーザーが不安を解消させるには、まずは正しくリスクを把握することである。ベンダーの管理実態と自社のセキュリティ要求と比較して十分なのか不十分なのかを判断できるような情報を収集し、分析することが肝要だ。
言い換えると、このような活動が、クラウドに関するリスク管理活動の主軸なのである。
収集する情報のイメージ
以降で、クラウドリスク管理活動を検討する際に参考となる情報や概観について紹介する。
クラウドリスク管理活動のベストプラクティス
クラウド環境特有のリスクをふまえた管理策については、これまで米国や欧州連合(EU)を中心とした各種学術団体をはじめ、ベンダーとユーザー関連団体主導で検討が進められてきた。
日本では、経済産業省や総務省をはじめとした官公庁や、独立行政法人情報処理推進機構(IPA)他の各種団体が海外の情報の国内への展開をはじめ、国内のベンダーやユーザーに向けた各種レポートやガイドラインを発行している。
金融業界では、公益財団法人金融情報システムセンター(The Center for Financial Industry Information Systems:FISC)が、クラウドベンダーや主要金融機関をはじめとして、学識経験者、官公庁(オブザーバー参加)で構成された委員会を立ち上げ、国内の金融機関におけるクラウド利用の安全対策のあり方に関する報告書をまとめて発表している(2014年11月)。
この報告書は金融機関向けにまとめられたものだが、他業界の事業者もベストプラクティスとして参考になる内容である。特に、リスク管理対象の範囲を絞り込んだ、メリハリのあるリスク管理アプローチの考え方や、クラウド固有のリスクなどの情報が充実している。これらは業界を問わず共通事項といえるものが多いため、金融業界に限らず、自社の管理統制を検討する際の一助になるのではないだろうか。
その他、クラウド環境のリスクや管理策などについてまとめたガイドラインの一部をご紹介する。なお、以下に限らず、随時最新の情報が各所から公表される可能性があるため、ご留意願いたい。