クラウドアレルギーの処方箋

クラウドベンダーの開示情報をどのように解釈するか - (page 3)

酒井慎

2015-07-29 07:00

ユーザーの留意点

 過去にあるユーザーでは、ベンダーがSOCレポートを公表していることを確認することで「セキュリティ上の問題なし」と判断している例があった。英語表記であり、内容の分析に相応の負担が掛かるのは否めないが、それは早計な判断である。SOCレポートはあくまでも評価レポートであり、自社で定めるセキュリティ基準への準拠性を担保したものではない。また、同じSOCレポートでも、詳細度や文書の物理的な厚みもさまざまな状況なのである。

 レポート内容によっては、十分な実態が把握できない表現にとどまっているレポートもあるため、SOCレポート入手後は、自社の要求事項との適合性の確認を実施いただきたい。

 コントロールレベルで例を挙げると、「特権IDは必要最低限の担当者に割り振っている」ことは確認しても、ここで「必要最低限」とは、日常的利用者、緊急時利用者、年に一度の利用者……など、どこまでを想定しているのかは、明記されているレポートもあれば、特に記載のないレポートもある。

 システムの用途や取り扱い情報の重要性をふまえて、必要に応じてSOCレポートの情報に加えて、ベンダーに個別照会するの対応が発生する場合もあることを留意いただきたい。

コンプライアンスや各国規制への対応

 クラウド利用におけるコンプライアンスの関心事項として、EUや英国で十分なデータ保護レベルを確認できない国へのデータ移動を禁止する法律「EUデータ保護指令」や米国を中心にした海外訴訟などで必要とされる電子証拠開示(eディスカバリ)が挙げられるが、多くのベンダーはその影響や対策について、ウェブサイトやホワイトペーパー、セミナーなど、さまざまな機会で説明している。

 また、各国固有の規制への対応状況の説明にも積極的な姿勢を見せるベンダーも多くなっている。例えば、一般的システムリスク管理の成熟度が高い金融業界に対して、金融業界で主に参考とする基準などへの準拠や、各種検討部会への参画も公表している。

 データセンターについても、一部の海外ベンダーは国内に一部センターを設置するなどの動きが出てきている。

まとめ

 クラウドリスクが議論されて以降、ベンダーとしても利用拡大の阻害要因にならないように、一つひとつ改善を進めているが、説明が不十分な点も否めない。またユーザーとしても、クラウド環境のリスクを十分に見極め、また、クラウドのメリットを十分に活かすためには、もう少し、時間と経験が必要だろう。

 まだまだ若い市場であるからこそ、引き続きユーザーとベンダーが信頼関係を築き、ともに改善を進めていくことが、お互いの利益につながるのではないだろうか。


酒井慎
デロイト トーマツ リスクサービス株式会社 シニアマネジャー
金融機関を中心に、幅広い業種に対してシステムリスク管理や情報セキュリティ管理に関するコンサルティング業務を提供。クラウドの有効活用を目的とした、クラウドリスク管理に関する業務を多数実施している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  5. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]