オンプレミス環境との違いから見るリスク
これまでオンプレミス環境に馴染んできたユーザーが、クラウド環境のリスクへの理解を深めるためには、まずは双方の環境の違いを理解することが有効である。
以降にて、クラウドリスクの前提となる、クラウドサービス環境の特徴やユーザーにとっての懸念事項を、著者が過去に支援したクライアントの事例をもとに紹介する。
これらの環境上の特徴や、それらが招く懸念事項から、クラウドサービスにおける「リスク」が見えてくるはずである。なお、リスクの詳細説明は次回以降とし、まずは、環境上の特徴やユーザーの懸念事項を中心に整理する。
クラウドとオンプレミスの双方を取り巻く環境の主な相違点と懸念事項例
- システム環境の管理主体の違い(技術・マネジメント)
- 機能やサービス内容に関する制約
- ベンダーやサービスの多様化・グローバル化
- ベンダーやユーザー間の役割分担や責任範囲の多様化
- 導入に伴うハードルの低下
クラウドサービス環境から見たオンプレミスとの主な違い
クラウド環境の特徴と懸念事項例
(1)システム環境の管理主体の違い(技術・マネジメントルール)
「ベンダーによる」システム設計と運営管理
- システム設計やマネジメントルールの確立、人材配賦などの投資活動がベンダーに委ねられており、セキュリティやサービスレベルの維持などの統制活動に対する投資が軽視されても、ユーザーが把握できない恐れがある
- システム障害や情報漏えいなどのインシデント発生時の情報連携に、想定以上の時間を要する恐れがある
- また、インシデントに関する情報開示範囲や原因究明作業に対するユーザー関与に制約があり、インシデントの全体像や根本原因の特定が十分になされない恐れがある。またその結果、再発する恐れがある
- ベンダーのシステム環境と自社のシステム環境の移植性の問題により、サービス終了時にデータの引き継ぎに制約が生じる恐れがある
- クラウド事業者がサービス品質に対して実施するリスク管理の有効性について、ユーザーが期待するレベルまで実施されていない、また、実施されていても情報開示の制約でユーザーが確認できない恐れがある
情報開示の限界
- ベンダー環境におけるセキュリティ管理ルールの十分性や運営実態について、情報開示範囲に制約がある。その結果、契約で合意した内容の履行状況に関してユーザー側の確認が取りにくくなる恐れがある
- ベンダーの情報開示の手段として、各種認証への適合や、内部統制の保証報告書(Reporting on Controls at a Service Organization:SOCレポート)の開示などがなされる場合があるが、掲載情報のみでは、自社のセキュリティポリシーなどとの整合性を十分に確認できない恐れがある
