これまで主要なクラウドリスクを取り上げ、その背景や内容について解説を進めてきた。本稿では、これらクラウド固有のリスクを管理する際のポイントを整理する。
ユーザーは、クラウド環境で取り扱う情報種別や、安定したサービス提供への要求が高まるほど、クラウドリスクを正確に捉え、評価し、継続的にコントロールする必要にせまられる。
これまでのオンプレミス環境で「当たり前」であったことが、クラウド環境では通用しない場合があるからである。
そのため、あらかじめリスクを把握し予防策を打つこと、つまりリスク管理の必要性がオンプレミス環境よりも高い傾向にある。
情報漏えいやサービス停止など、顧客に影響があるインシデント発生時に、記者会見の場で頭を下げるのは経営者である。インシデントを起こした企業は、金銭的な保証などに関する経済的な損失にとどまらず、世評の低下が避けられない。また、例え外部委託先における事故においても、企業の管理責任を問われてしまう。
もはやITに聖域はない。自社のサービスがシステム上のリスクとどのように紐づいているのか、顧客サービスやIT現場の最前線から経営者が連携してリスクを把握し、管理すべき時代にきている。今回はクラウドの導入検討時から始まるリスク管理について、そのポイントを解説する。
なお、本記事は著者の私見である。
リスク管理は既存の手続きの延長で
金融機関などのシステムに関するリスク管理活動が日常的に行われている環境では、システム導入の予備検討から導入後の運営まで、リスク管理のための手続きがシステム導入や開発、運営手続きの一つとして組み込まれていることが多い。
一方で金融機関以外の大半の企業では、システムリスク管理に関する特別な手続きを有していない例が多く、また、そのリスク管理手続きはとてもハードルの高いものであるという印象をお持ちの方も多いのではないだろうか。
リスク管理活動は特別なものではない。システムの企画や開発、運営の各工程で通常実施している情報収集活動や意思決定プロセスにおいて、リスクの観点を追加考慮することで、インシデント発生率の低減、ひいては企業の世評を守ることにつながるのである。
