ガバナンスに関するリスク
ガバナンスに関するリスクは、ベンダーにおける内部統制の網羅性や有効性欠如が招くリスクである。これは、情報セキュリティ管理やシステム開発、運用業務に関してあらかじめ想定した管理強度や成果物品質をふまえた社内ルールが十分に整備されていない。また、これらルールの運用が徹底されていないことが招くリスクを指す。
ルール整備が不十分な場合や、運用が形骸化している場合は、総じてプロセスの属人化が進み、現場の最前線では経験者の個人的なスキルや経験に依存した手続きが実施される傾向にある。また、このような状況を会社として把握できない状況に陥ってしまう例が多い。
人間が実施する手続きに完璧はない。手続きが属人化するほど、「慣れ」による想定外のミスを招く場合がある。その結果、情報漏えい事故やシステム障害を招いたり、軽微なシステム障害でも必要以上に影響を拡大させたりしてしまうなど、サービス全体に影響を与えるリスクが拡大する。
また近年ではベンダーの委託先(ユーザーにとっての再委託先)が起因となる情報漏えい事故も散見される。再委託先管理については、契約書での条項設定のみに留まらず、本当に有効なルールが整備されているのか、また、それらが継続的かつ有効に機能しているかをベンダーが再委託先に対して確認しているかがポイントとなる。
ユーザーとしては、採用するサービスの重要度に応じて、ベンダーの内部統制に関するルールの網羅性や有効性について把握し、自社が要求する統制強度と比較したリスクの洗い出しが肝要となる。
最後に
本稿では、前回まとめた4つのリスク分類を踏まえたリスクの詳細について整理を進めてきた。これらのリスクは利用するサービス内容や提供するベンダーによっても大きく変化する。また、パブリッククラウドには、クラウドサービスの導入検討時から利用終了時まで、多様なリスクが散在しているため、ユーザーとしては幅広い視点で継続的なリスク管理が期待される。
次回は、自社の想定するサービスを踏まえたうえで、リスクをとらえ、測り、判断するためのリスク管理手続きについて整理を進める。
- 酒井慎
- デロイト トーマツ リスクサービス株式会社 シニアマネジャー 金融機関を中心に、幅広い業種に対してシステムリスク管理や情報セキュリティ管理に関するコンサルティング業務を提供。クラウドの有効活用を目的とした、クラウドリスク管理に関する業務を多数実施している。
