(2)機能やサービス内容に関する制約
個別カスタマイズの制約
- ユーザー固有のカスタマイズ要求への対応ができない恐れがある。技術的な要求事項のみならず、運用サービスや各種契約条件についても同様である
- 契約前にユーザー部門と十分な連携のうえ、ユーザー固有のカスタマイズが実現できないことに対する業務影響の見極めや対策について、検討が必要となる恐れがある
サービスに関する意思決定権
- ベンダーの事業戦略の変更や破綻などにより、一方的にサービスの終了や変更、また、サポート停止などの意思決定がなされる恐れがある。その結果、ユーザーの業務継続や顧客へのサービス提供に影響を及ぼす恐れがある
(3)ベンダーやサービスの多様化・グローバル化
データの所在
- 海外に設置されているデータセンターでユーザーの情報が保管されることで、データセンター設置国の法令への遵守が必要となる。特にプライバシー関連法令は国や地域により異なるため、データの取り扱いに関して想定外の制約を受ける恐れがある
- 同様に、海外の現地規制当局の強制執行などによるデータ閲覧やデータ収集、通信傍受により業務継続に支障をきたす、また、情報漏えいの恐れがある
ベンダーのグローバル化
- クラウドサービスはIT業界としては日の浅い分野であり、サービスの多様化が進んでいるとともに、新興ベンダーも多く参画している。本社拠点(各種意思決定機能)を海外に置くベンダーも多く、サービス内容や提供価格、契約条件などの調整がスピード感をもって推進できない恐れがある
- ベンダーの本社が海外にあることで、係争時の管轄裁判所が海外となり、海外の係争への対応が必要となる恐れがある
- インシデント発生時に時差や言語の問題から、ベンダー、ユーザー間のコミュニケーションに支障をきたす恐れがある
(4)ベンダ・ユーザー間の役割分担や責任範囲の多様化
ベンダーとユーザーの責任や役割の固定化
- ベンダーの役割や責任範囲についてサービス約款などにて規定されているが、ユーザーの個別要求事項を前提とした諸条件の調整が原則として受け付けられない。その結果、自社のニーズをふまえた「融通」が利きにくく、ユーザー側で追加の対応手続きやリソース手配などが必要となる恐れがある
- SaaS、PaaS、IaaSなどのクラウド形態の多様化により、マルチベンダーで一つのITサービスを実現する例が増えている。その結果、平常時や障害発生時のベンダーやユーザーの情報連携に混乱や支障をきたす恐れがある
(5)導入に伴うハードルの低下
簡単迅速なサービス導入
- 市場環境として、サービスの無償トライアル機会の提供など、ユーザーが気軽に体験利用できる環境が整っている。また、ユーザー環境では、サービス利用に伴うシステム環境(ブラウザやネットワーク環境など)が、既に整備済みであることや、導入に伴い必要とされるITの専門性が高くない場合が多い
- その結果、ユーザー部門が自社のセキュリティポリシーやシステム化方針などへの影響確認を十分に実施せずに単独で導入してしまい、全社的なシステム統制に影響を及ぼす恐れがある
懸念事項から見えてくるリスク
クラウド固有のリスクは、前項で挙げられたようなユーザーの懸念事項を整理したものともいえる。これらの懸念事項をリスクとして再整理すると、大きく以下の4つに分類できる。
- 法令 データの保管場所や係争時の所管裁判所などに関するリスク
- 採用技術 ベンダーによる技術的なセキュリティ設計に関するリスク
- サービス運用 可用性やインシデント対応などの運用業務に関するリスク
- ガバナンス 統制ルールの十分性や実効性に関するリスク
本稿ではクラウドリスクの前提となる、クラウドサービス環境の特徴や懸念事項を中心に整理した。次回は再整理した4つのリスク分類をふまえて、主なクラウドリスクの詳細を解説する。
- 酒井慎
- デロイト トーマツ リスクサービス株式会社 シニアマネジャー 金融機関を中心に、幅広い業種に対してシステムリスク管理や情報セキュリティ管理に関するコンサルティング業務を提供。クラウドの有効活用を目的とした、クラウドリスク管理に関する業務を多数実施している。
