このような状況をふまえて、米国の主要ベンダーの一部は、EUデータ保護指令に対する自社の考え方や対応について、日本のユーザーに対して積極的に情報開示している例もある。ユーザーとしては、自社のプライバシー情報の運用計画などをふまえて、ベンダーとの十分なリスク認識の共有が期待される。
また、その他関連リスクとして、データ保管場所の現地法令に基づく規制当局の強制執行などによるデータの傍受や、差し押さえのリスクがある。
各国政府機関による強制執行や情報収集活動により、継続的なサービス提供に影響を及ぼす恐れや、情報漏えいの可能性が懸念される。ユーザーとしては、データセンターなどのサービス拠点が、社会情勢の不安定な国や地域にないかなど、ITとは別の視点でのリスク把握が期待される。
採用技術に関するリスク
採用技術に関するリスクは、ベンダーがクラウドサービス提供のために整備しているシステム環境に対する技術的なリスクである。
クラウドサービスを提供するためのシステム環境を堅牢なものとするためには、システムの設計や開発段階からサービス継続性やシステムセキュリティなどに関する多様な検討と確実な実装が欠かせない。
一方で、これらの技術的な施策にはベンダーの投資が伴うものであり、環境を構築するベンダーのセキュリティに対する姿勢が強く反映される傾向にある。
近年注目されている技術的なリスクの一つに、外部攻撃がもたらす影響がある。クラウド環境では複数の企業がシステムリソースを共有することから、例え自社が標的にならずとも、他者向けの攻撃の影響を受けてしまう恐れがある。
外部攻撃については仮に攻撃を受けても影響を受けないためのネットワーク設計を行うこと。また、仮に侵入などがあった場合でも、速やかに発見するためのログの相関チェックなどの技術を採用すること。そして、影響を極小化して速やかに復旧させるためのリカバリ環境を自動化することなど、多様な観点で整備することが期待される。
また、これらの環境は一度整備すれば終わりではなく、常に変化しつづけるセキュリティリスクに対応できる有効かつ継続的な環境整備も欠かせない。
ユーザーとしてはこれらのリスクへの対応のベンダーとしての考え方や実装状況、継続的な改善状況について確認し、自社の要求事項との整合を評価することが期待される。
その他の主な技術的なリスクとして、データ残存リスクがある。これは、データを保管する環境を複数のユーザーで共有していることが招くリスクである。
ユーザーは一般的に、サービス終了時などにクラウド環境から自社データの削除を実施する(依頼する)が、ここでの削除は論理的な手続きに留まり、物理的にはディスク上にデータが残存する。
その結果、専門的な復旧ツールなどを用いてデータを復旧できる可能性が残存する。オンプレミス環境の場合は、ストレージを物理的に粉砕して復旧困難な状況にできるが、クラウド環境ではその対応に限界が生じる。
一部のベンダーでは削除証明書などの正式な文書を提示する例もあるため、ユーザーとしては、クラウド環境での取り扱い情報ふまえたセキュリティ強度に関して、ベンダーとの十分なリスク共有が期待される。
