クラウド選定と運用におけるリスク管理
情報センサー2017年6月号 EY Advisory
EYアドバイザリー・アンド・コンサルティング(株)
公認情報システム監査人(CISA) 原 宏輝
2013年、当法人に入所。業務改善や基幹システム導入の経験を基に、業務およびシステムに関するリスクアドバイザリー業務に従事。業務・システムの構想策定支援、システム導入などのプロジェクト推進支援、システム運用におけるコストや有効性の評価などのアドバイザリーサービスを実施。
Ⅰ はじめに
クラウドという見えない仕組みを、誰が理解をして管理を行っているのか、という問いに答えられる会社は少ないかもしれません。本稿では、クラウドの選定および運用におけるリスク管理のポイントについてご紹介します。
Ⅱ クラウドの実態
クラウドを利用するメリットは、自社で構築するよりも早く、安価に高品質なシステムを利用でき、変更や廃棄が容易であることが挙げられます。
クラウドは、広い意味での外部委託であり、システム開発・運用作業に加えて、設備、機能や電力などをサービス価値として提供し、それに対して一定のルールをもって対価を払う仕組みです。いろいろな種類のサービスがあり、価格体系も個々に異なります。クラウドを提供するプロバイダーおよびその運用レベルの成熟度もさまざまです。
一方、利用するユーザー側も個人で業務用に利用している、業務部門で利用している、会社として利用しているなどの違いがあり、社内業務での利用、または自社のサービス提供のための利用など目的も異なります。
クラウド自体も日進月歩、多種多様に広がっており、日々新しいサービスが世の中に提供されているという状況です。このような状況下で、クラウドの選定・運用をどのように行っていくかということを考える必要があるといえます。
Ⅲ 選定時のポイント
1. 世の中のクラウドを知る
国内/海外、有料/無料問わず、膨大な数のクラウドが存在しています。全てを理解することは難しいかもしれませんが、やはり利用するユーザー自身が勉強して理解しなくては何事も始まりません。
クラウドやAI(人工知能)といった先進的な言葉を聞くと、人が何もしなくてもいいと思いがちですが、世の中はまだそこまではたどり着いていないようです。
2. サービス内容と制約事項の理解
クラウドが提供するサービスの内容を理解するだけではなく、制約事項を理解することも大切です。例えば多くのクラウドは、セキュリティの関係からサーバー所在地域を非公開にしていますし、利用可能エリアや内容に制限がある場合もあります。また、規約で国外の裁判所や準拠法を指定するクラウドもあり、変更の余地がないことも多くあります。
サービスが一定の前提条件の下に成り立っていること、不特定多数のユーザーに同一のサービスを提供することが安価につながっているというビジネスモデルを、ユーザー自身も理解する必要があります。
3. 公開情報の活用
実際に理解を深めるためには、プロバイダーが公開している情報を利用することが考えられます。主要なクラウドではユーザーの理解を促し、不安を払拭(ふっしょく)するために、膨大な量の情報を公開しているので、それらを活用してサービスを理解することができます。一方、公開情報が少ないクラウドの場合は、直接担当者に対して質問をして説明を求めることが必要な作業となります。
4. ガイドラインの活用
官庁や各団体からもクラウドに関するさまざまなガイドラインが提供されています。これらはオンライン上で提供されているものが多数あるので、理解を深めるための基礎情報として活用できます。
ガイドラインを使用する目的としては、網羅的な観点を得られることが挙げられます。体系的な理解を促し、検討事項の漏れを防ぐことができます。もし仮に、記載されている内容が専門的すぎて理解できないという場合は、外部の支援を受けることをお勧めします。
Ⅳ 運用時のポイント
1. バリューとコストとリスク
クラウドをなぜ利用するのかということは、運用時においても重要であり、価値(バリュー)と費用(コスト)とリスクのバランスを考える必要があります。クラウドサービスの利用中は、この三つの観点を絶えず意識して運用管理を行うべきです。(<図1>参照)
2. 誰が管理をしているのか
クラウドは実態としてどのように管理されているかが見えにくく理解が難しいサービスですが、往々にして利用するユーザー側の管理状態も見えなくなっていることがあります。
誰がどのサービスを利用しているか、という実態が管理できておらず、具体的には、利用しなくなったサービスの費用を支払い続けている、退職者などのアカウントが削除されておらず情報漏えいのリスクが高くなっているなどのケースが挙げられます。または新しく提供されたサービスを知らずに、クラウドを使い切れていないということも多く見受けられます。誰も管理をしていない状況になっていないかを確認し、現状を認識することが肝心です。
3. どのように管理をするべきか
運用管理、コスト管理、リスク管理を実際どの部門が行うべきか、またその際のルールや基準が確立されているか、ということも重要なポイントです。
会社ごとに、利用の目的、ビジネスや組織の形態が異なりますので、ベストな形は一つとは限りませんが、ルールや基準を定めて運用状況を管理することは、共通の命題であるといえます。
実際に現場に定着させるためにはさまざまな取り組みが必要であり、経営陣の理解とリーダーシップも求められます。どこかの一部署で検討を行うのではなく、全社で取り組む体制を構築することが望まれます。
Ⅴ おわりに
クラウドは便利なものですが、人が介在する部分(誰が理解してその管理を行うのかという点)を、運用が始まってからも考えていくことが大切です。
その際は、バリュー(価値)とコスト(費用)が見合っているか、リスクを適切に管理できているかという観点で考えることをお勧めします。
加えて、会社やグループという観点でルールや基準を確立し、運用できるように取り組むことが肝要です。
【クラウド選定運用における基本的な問いかけ事項】
- 誰がクラウドを理解していますか?
- 誰がコストの管理を行っていますか?
- 誰がリスクの管理を行っていますか?
- ルールや基準は定められていますか?
- 運用は正しく行われていますか?
- 利用する目的は達成されていますか?
- サービスを活用しきれていますか?
