編集部からのお知らせ
Pick up! ローコード開発の行方
「これからの企業IT」の記事はこちら
クラウドアレルギーの処方箋

クラウド特有のリスクを考える--押さえておきたい4つのポイント - (page 2)

酒井慎

2015-04-24 07:00

オンプレミス環境との違いから見るリスク

 これまでオンプレミス環境に馴染んできたユーザーが、クラウド環境のリスクへの理解を深めるためには、まずは双方の環境の違いを理解することが有効である。

 以降にて、クラウドリスクの前提となる、クラウドサービス環境の特徴やユーザーにとっての懸念事項を、著者が過去に支援したクライアントの事例をもとに紹介する。

 これらの環境上の特徴や、それらが招く懸念事項から、クラウドサービスにおける「リスク」が見えてくるはずである。なお、リスクの詳細説明は次回以降とし、まずは、環境上の特徴やユーザーの懸念事項を中心に整理する。

クラウドとオンプレミスの双方を取り巻く環境の主な相違点と懸念事項例

  1. システム環境の管理主体の違い(技術・マネジメント)
  2. 機能やサービス内容に関する制約
  3. ベンダーやサービスの多様化・グローバル化
  4. ベンダーやユーザー間の役割分担や責任範囲の多様化
  5. 導入に伴うハードルの低下

クラウドサービス環境から見たオンプレミスとの主な違い

クラウド環境の特徴と懸念事項例

(1)システム環境の管理主体の違い(技術・マネジメントルール)

「ベンダーによる」システム設計と運営管理

  • システム設計やマネジメントルールの確立、人材配賦などの投資活動がベンダーに委ねられており、セキュリティやサービスレベルの維持などの統制活動に対する投資が軽視されても、ユーザーが把握できない恐れがある
  • システム障害や情報漏えいなどのインシデント発生時の情報連携に、想定以上の時間を要する恐れがある
  • また、インシデントに関する情報開示範囲や原因究明作業に対するユーザー関与に制約があり、インシデントの全体像や根本原因の特定が十分になされない恐れがある。またその結果、再発する恐れがある
  • ベンダーのシステム環境と自社のシステム環境の移植性の問題により、サービス終了時にデータの引き継ぎに制約が生じる恐れがある
  • クラウド事業者がサービス品質に対して実施するリスク管理の有効性について、ユーザーが期待するレベルまで実施されていない、また、実施されていても情報開示の制約でユーザーが確認できない恐れがある

情報開示の限界

  • ベンダー環境におけるセキュリティ管理ルールの十分性や運営実態について、情報開示範囲に制約がある。その結果、契約で合意した内容の履行状況に関してユーザー側の確認が取りにくくなる恐れがある
  • ベンダーの情報開示の手段として、各種認証への適合や、内部統制の保証報告書(Reporting on Controls at a Service Organization:SOCレポート)の開示などがなされる場合があるが、掲載情報のみでは、自社のセキュリティポリシーなどとの整合性を十分に確認できない恐れがある

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    社員の生産性を約2倍まで向上、注目の企業事例から学ぶDX成功のポイント

  2. コミュニケーション

    真の顧客理解でCX向上を実現、いまさら聞けない「データドリブンマーケティング」入門

  3. クラウドコンピューティング

    家庭向けIoT製品の普及とともに拡大するセキュリティとプライバシー問題─解決策を知ろう

  4. クラウドコンピューティング

    クラウドの障害対策を徹底解説!4つの方法とメリット、デメリット

  5. セキュリティ

    サイバー犯罪の標的となるMicrosoft製品、2019年に悪用された脆弱性リストからの考察

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]