クラウドアレルギーの処方箋

クラウド特有のリスクを考える--押さえておきたい4つのポイント - (page 2)

酒井慎

2015-04-24 07:00

オンプレミス環境との違いから見るリスク

 これまでオンプレミス環境に馴染んできたユーザーが、クラウド環境のリスクへの理解を深めるためには、まずは双方の環境の違いを理解することが有効である。

 以降にて、クラウドリスクの前提となる、クラウドサービス環境の特徴やユーザーにとっての懸念事項を、著者が過去に支援したクライアントの事例をもとに紹介する。

 これらの環境上の特徴や、それらが招く懸念事項から、クラウドサービスにおける「リスク」が見えてくるはずである。なお、リスクの詳細説明は次回以降とし、まずは、環境上の特徴やユーザーの懸念事項を中心に整理する。

クラウドとオンプレミスの双方を取り巻く環境の主な相違点と懸念事項例

  1. システム環境の管理主体の違い(技術・マネジメント)
  2. 機能やサービス内容に関する制約
  3. ベンダーやサービスの多様化・グローバル化
  4. ベンダーやユーザー間の役割分担や責任範囲の多様化
  5. 導入に伴うハードルの低下

クラウドサービス環境から見たオンプレミスとの主な違い

クラウド環境の特徴と懸念事項例

(1)システム環境の管理主体の違い(技術・マネジメントルール)

「ベンダーによる」システム設計と運営管理

  • システム設計やマネジメントルールの確立、人材配賦などの投資活動がベンダーに委ねられており、セキュリティやサービスレベルの維持などの統制活動に対する投資が軽視されても、ユーザーが把握できない恐れがある
  • システム障害や情報漏えいなどのインシデント発生時の情報連携に、想定以上の時間を要する恐れがある
  • また、インシデントに関する情報開示範囲や原因究明作業に対するユーザー関与に制約があり、インシデントの全体像や根本原因の特定が十分になされない恐れがある。またその結果、再発する恐れがある
  • ベンダーのシステム環境と自社のシステム環境の移植性の問題により、サービス終了時にデータの引き継ぎに制約が生じる恐れがある
  • クラウド事業者がサービス品質に対して実施するリスク管理の有効性について、ユーザーが期待するレベルまで実施されていない、また、実施されていても情報開示の制約でユーザーが確認できない恐れがある

情報開示の限界

  • ベンダー環境におけるセキュリティ管理ルールの十分性や運営実態について、情報開示範囲に制約がある。その結果、契約で合意した内容の履行状況に関してユーザー側の確認が取りにくくなる恐れがある
  • ベンダーの情報開示の手段として、各種認証への適合や、内部統制の保証報告書(Reporting on Controls at a Service Organization:SOCレポート)の開示などがなされる場合があるが、掲載情報のみでは、自社のセキュリティポリシーなどとの整合性を十分に確認できない恐れがある

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]