クラウドアレルギーの処方箋

クラウド固有のリスクを管理する3つのポイント - (page 2)

酒井慎

2015-06-26 07:00

リスク管理手続きの主なポイント

 クラウドのリスクを管理するためのポイントとして、以下の3点をとりあげる。

  • リスクの早期把握
  • リスクの洗い出しは「自社のセキュリティルール+クラウドリスク」
  • “導入したら終わり”ではなく継続を

リスクの早期把握

 クラウドリスク管理の大きな特徴として、サービスの企画段階からクラウドリスクに関する情報収集が欠かせない点が挙げられる。オンプレミス環境でも企画段階からのリスク情報の収集は求められるものの、クラウド環境のほうが、より一層丁寧な情報収集が必要となる。一般的にオンプレミス環境構築時に複数のSIerが契約候補先となった場合、コストやスキルに差異が生じても、サービス内容や契約条件に致命的な違いが生じる例は少ない。

 しかしクラウドサービスの場合は、ベンダーやサービス種別に応じてサービスレベルやセキュリティへの対応状況など、さまざまな観点で違いが生じており、サービス利用時に致命的な障壁となりかねない。またオンプレミス時のように、各種障壁をベンダーと個別調整することが難しいという特徴もある。

 そのため、クラウド環境の導入時は、サービス企画段階のできるだけ早い段階で、リスクに関する情報を収集し、把握されたリスクが受容できるものなのか否かについて判断した上で、サービスの選定や採否判断などの工程に進むことが肝要となる。

 早期に収集したリスク情報をふまえた判断の結果、クラウド環境の採用が不適当との判断がなされる可能性もあるが、まずはそのような判断機会を持つことが必要なのである。近年では、クラウドファーストの考え方を徹底し、システム企画段階において、最優先で「クラウド環境での実現可能性」を精査したうえで、オンプレミスかクラウドの判断を進めている企業も多くなってきている。この精査においても、収集したリスク情報が判断時の重要なポイントとなるのである。

リスクの洗い出しは「自社のセキュリティルール+クラウドリスク」

 リスクとして情報を捉える際には、自社としての判断基準が必要となる。同事象でも、A社にとってはリスクでも、B社にとってはリスクではない場合もある。

 判断基準として最優先すべきは、自社のセキュリティポリシーや、事業継続方針などの会社としての規程、ルール類である。

 それらのルールが、既にクラウド環境固有のリスクを考慮したものとなっている場合は、ルールへの整合性を確認することで、クラウド環境のギャップが浮かび上がる。しかしながら、多くの企業において、クラウド環境固有のリスクを考慮したルール整備が不十分な状況にあるため、自社のセキュリティルールに加えて、前回解説したクラウド環境固有のリスクに関する確認観点が必要となる。

 ユーザーがリスク情報を収集する際は、まずは自社のセキュリティや事業継続などに関する要求事項に加えて、クラウド固有のリスクを整理したうえで、候補となるベンダーから縦軸の情報を俯瞰的に収集・整理することが必要となる。ベンダーからの情報を俯瞰的に整理することで、ベンダーやサービス選定時において候補先の強みや弱みが理解しやすく、リスクをふまえた選定や判断が容易となる。

 例えば、A社はコストが高いがサービスの継続性が希望に見合う。B社はコストは安いがサービスの継続性に関する情報提供や裏づけが曖昧で十分な判断できないといった場合、コストを重視すべきか、サービスの事業継続性を重視すべきか、利用用途によって都度判断が異なる。このようなメリットとデメリットを、想定されるクラウドリスクも加えて複数の判断基準で多面的に評価することがポイントなのである。

 また、この企画段階で収集したリスク情報は、以後の工程でも継続的に管理することが必要となる。その点について、次項で説明を続ける。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]