リスク管理手続きの主なポイント
クラウドのリスクを管理するためのポイントとして、以下の3点をとりあげる。
- リスクの早期把握
- リスクの洗い出しは「自社のセキュリティルール+クラウドリスク」
- “導入したら終わり”ではなく継続を
リスクの早期把握
クラウドリスク管理の大きな特徴として、サービスの企画段階からクラウドリスクに関する情報収集が欠かせない点が挙げられる。オンプレミス環境でも企画段階からのリスク情報の収集は求められるものの、クラウド環境のほうが、より一層丁寧な情報収集が必要となる。一般的にオンプレミス環境構築時に複数のSIerが契約候補先となった場合、コストやスキルに差異が生じても、サービス内容や契約条件に致命的な違いが生じる例は少ない。
しかしクラウドサービスの場合は、ベンダーやサービス種別に応じてサービスレベルやセキュリティへの対応状況など、さまざまな観点で違いが生じており、サービス利用時に致命的な障壁となりかねない。またオンプレミス時のように、各種障壁をベンダーと個別調整することが難しいという特徴もある。
そのため、クラウド環境の導入時は、サービス企画段階のできるだけ早い段階で、リスクに関する情報を収集し、把握されたリスクが受容できるものなのか否かについて判断した上で、サービスの選定や採否判断などの工程に進むことが肝要となる。
早期に収集したリスク情報をふまえた判断の結果、クラウド環境の採用が不適当との判断がなされる可能性もあるが、まずはそのような判断機会を持つことが必要なのである。近年では、クラウドファーストの考え方を徹底し、システム企画段階において、最優先で「クラウド環境での実現可能性」を精査したうえで、オンプレミスかクラウドの判断を進めている企業も多くなってきている。この精査においても、収集したリスク情報が判断時の重要なポイントとなるのである。
リスクの洗い出しは「自社のセキュリティルール+クラウドリスク」
リスクとして情報を捉える際には、自社としての判断基準が必要となる。同事象でも、A社にとってはリスクでも、B社にとってはリスクではない場合もある。
判断基準として最優先すべきは、自社のセキュリティポリシーや、事業継続方針などの会社としての規程、ルール類である。
それらのルールが、既にクラウド環境固有のリスクを考慮したものとなっている場合は、ルールへの整合性を確認することで、クラウド環境のギャップが浮かび上がる。しかしながら、多くの企業において、クラウド環境固有のリスクを考慮したルール整備が不十分な状況にあるため、自社のセキュリティルールに加えて、前回解説したクラウド環境固有のリスクに関する確認観点が必要となる。
ユーザーがリスク情報を収集する際は、まずは自社のセキュリティや事業継続などに関する要求事項に加えて、クラウド固有のリスクを整理したうえで、候補となるベンダーから縦軸の情報を俯瞰的に収集・整理することが必要となる。ベンダーからの情報を俯瞰的に整理することで、ベンダーやサービス選定時において候補先の強みや弱みが理解しやすく、リスクをふまえた選定や判断が容易となる。
例えば、A社はコストが高いがサービスの継続性が希望に見合う。B社はコストは安いがサービスの継続性に関する情報提供や裏づけが曖昧で十分な判断できないといった場合、コストを重視すべきか、サービスの事業継続性を重視すべきか、利用用途によって都度判断が異なる。このようなメリットとデメリットを、想定されるクラウドリスクも加えて複数の判断基準で多面的に評価することがポイントなのである。
また、この企画段階で収集したリスク情報は、以後の工程でも継続的に管理することが必要となる。その点について、次項で説明を続ける。
