クラウドアレルギーの処方箋

パブリッククラウド特有のリスクをあらためて考える - (page 4)

酒井慎

2015-05-26 07:00

ガバナンスに関するリスク

 ガバナンスに関するリスクは、ベンダーにおける内部統制の網羅性や有効性欠如が招くリスクである。これは、情報セキュリティ管理やシステム開発、運用業務に関してあらかじめ想定した管理強度や成果物品質をふまえた社内ルールが十分に整備されていない。また、これらルールの運用が徹底されていないことが招くリスクを指す。

 ルール整備が不十分な場合や、運用が形骸化している場合は、総じてプロセスの属人化が進み、現場の最前線では経験者の個人的なスキルや経験に依存した手続きが実施される傾向にある。また、このような状況を会社として把握できない状況に陥ってしまう例が多い。

 人間が実施する手続きに完璧はない。手続きが属人化するほど、「慣れ」による想定外のミスを招く場合がある。その結果、情報漏えい事故やシステム障害を招いたり、軽微なシステム障害でも必要以上に影響を拡大させたりしてしまうなど、サービス全体に影響を与えるリスクが拡大する。

 また近年ではベンダーの委託先(ユーザーにとっての再委託先)が起因となる情報漏えい事故も散見される。再委託先管理については、契約書での条項設定のみに留まらず、本当に有効なルールが整備されているのか、また、それらが継続的かつ有効に機能しているかをベンダーが再委託先に対して確認しているかがポイントとなる。

 ユーザーとしては、採用するサービスの重要度に応じて、ベンダーの内部統制に関するルールの網羅性や有効性について把握し、自社が要求する統制強度と比較したリスクの洗い出しが肝要となる。

最後に

 本稿では、前回まとめた4つのリスク分類を踏まえたリスクの詳細について整理を進めてきた。これらのリスクは利用するサービス内容や提供するベンダーによっても大きく変化する。また、パブリッククラウドには、クラウドサービスの導入検討時から利用終了時まで、多様なリスクが散在しているため、ユーザーとしては幅広い視点で継続的なリスク管理が期待される。

 次回は、自社の想定するサービスを踏まえたうえで、リスクをとらえ、測り、判断するためのリスク管理手続きについて整理を進める。


酒井慎
デロイト トーマツ リスクサービス株式会社 シニアマネジャー
金融機関を中心に、幅広い業種に対してシステムリスク管理や情報セキュリティ管理に関するコンサルティング業務を提供。クラウドの有効活用を目的とした、クラウドリスク管理に関する業務を多数実施している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]