クラウドアレルギーの処方箋

クラウド特有のリスクを考える--押さえておきたい4つのポイント - (page 3)

酒井慎 2015年04月24日 07時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

(2)機能やサービス内容に関する制約

個別カスタマイズの制約

  • ユーザー固有のカスタマイズ要求への対応ができない恐れがある。技術的な要求事項のみならず、運用サービスや各種契約条件についても同様である
  • 契約前にユーザー部門と十分な連携のうえ、ユーザー固有のカスタマイズが実現できないことに対する業務影響の見極めや対策について、検討が必要となる恐れがある

サービスに関する意思決定権

  • ベンダーの事業戦略の変更や破綻などにより、一方的にサービスの終了や変更、また、サポート停止などの意思決定がなされる恐れがある。その結果、ユーザーの業務継続や顧客へのサービス提供に影響を及ぼす恐れがある

(3)ベンダーやサービスの多様化・グローバル化

データの所在

  • 海外に設置されているデータセンターでユーザーの情報が保管されることで、データセンター設置国の法令への遵守が必要となる。特にプライバシー関連法令は国や地域により異なるため、データの取り扱いに関して想定外の制約を受ける恐れがある
  • 同様に、海外の現地規制当局の強制執行などによるデータ閲覧やデータ収集、通信傍受により業務継続に支障をきたす、また、情報漏えいの恐れがある

ベンダーのグローバル化

  • クラウドサービスはIT業界としては日の浅い分野であり、サービスの多様化が進んでいるとともに、新興ベンダーも多く参画している。本社拠点(各種意思決定機能)を海外に置くベンダーも多く、サービス内容や提供価格、契約条件などの調整がスピード感をもって推進できない恐れがある
  • ベンダーの本社が海外にあることで、係争時の管轄裁判所が海外となり、海外の係争への対応が必要となる恐れがある
  • インシデント発生時に時差や言語の問題から、ベンダー、ユーザー間のコミュニケーションに支障をきたす恐れがある

(4)ベンダ・ユーザー間の役割分担や責任範囲の多様化

ベンダーとユーザーの責任や役割の固定化

  • ベンダーの役割や責任範囲についてサービス約款などにて規定されているが、ユーザーの個別要求事項を前提とした諸条件の調整が原則として受け付けられない。その結果、自社のニーズをふまえた「融通」が利きにくく、ユーザー側で追加の対応手続きやリソース手配などが必要となる恐れがある
マルチベンダーに伴う情報連携に関する影響
  • SaaS、PaaS、IaaSなどのクラウド形態の多様化により、マルチベンダーで一つのITサービスを実現する例が増えている。その結果、平常時や障害発生時のベンダーやユーザーの情報連携に混乱や支障をきたす恐れがある

(5)導入に伴うハードルの低下

簡単迅速なサービス導入

  • 市場環境として、サービスの無償トライアル機会の提供など、ユーザーが気軽に体験利用できる環境が整っている。また、ユーザー環境では、サービス利用に伴うシステム環境(ブラウザやネットワーク環境など)が、既に整備済みであることや、導入に伴い必要とされるITの専門性が高くない場合が多い
  • その結果、ユーザー部門が自社のセキュリティポリシーやシステム化方針などへの影響確認を十分に実施せずに単独で導入してしまい、全社的なシステム統制に影響を及ぼす恐れがある

懸念事項から見えてくるリスク

 クラウド固有のリスクは、前項で挙げられたようなユーザーの懸念事項を整理したものともいえる。これらの懸念事項をリスクとして再整理すると、大きく以下の4つに分類できる。

  • 法令 データの保管場所や係争時の所管裁判所などに関するリスク
  • 採用技術  ベンダーによる技術的なセキュリティ設計に関するリスク
  • サービス運用 可用性やインシデント対応などの運用業務に関するリスク
  • ガバナンス 統制ルールの十分性や実効性に関するリスク

 本稿ではクラウドリスクの前提となる、クラウドサービス環境の特徴や懸念事項を中心に整理した。次回は再整理した4つのリスク分類をふまえて、主なクラウドリスクの詳細を解説する。


酒井慎
デロイト トーマツ リスクサービス株式会社 シニアマネジャー
金融機関を中心に、幅広い業種に対してシステムリスク管理や情報セキュリティ管理に関するコンサルティング業務を提供。クラウドの有効活用を目的とした、クラウドリスク管理に関する業務を多数実施している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
“真FinTech” 地域金融の行方
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
スペシャル
デジタル時代を支える顧客接点改革
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
エンタープライズトレンドの読み方
10の事情
座談会@ZDNet
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]