サービス

クラウドセキュリティ規程・ルール整備支援

各種フレームワークおよびデロイトの知見を踏まえたクラウドネイティブな利用ルール

クラウド利用の運用性の向上やセキュリティの高度化等の観点から、組織のクラウド利用に係るルール整備や規程・チェックリストの策定を支援します。

クラウド利用ルールに関する課題への対応

クラウドは拡張性が高く進歩が速い技術です。それゆえに、企業は、クラウド利用ルールについて以下のような課題を抱えているケースが多くあります。

  • 数多なCSP(クラウドサービスプロバイダー)のビジネスモデルの特徴、新たな機能や仕様の変更などに対して、適切にキャッチアップできていない
  • SaaSやその基盤となるIaaSも統制対象にしているケースなど、責任共有モデル目線での責任分界点が区別されておらず、二重のチェックがなされている
  • 導入時点におけるリスクチェックはできているが、継続的な確認が十分ではない

本サービスでは、上記のようなクラウド利用ルールの課題に対応するための規程・ルール整備に関するコンサルティングを提供します。

 

クラウドネイティブなルールの必要性

オンプレミス用のポリシーや規程類では、クラウド環境に当てはまらない部分や、クラウド環境における考慮漏れが発生します。このため、真にクラウドで考慮すべきポイントを押さえ、既存のルールを更新またはクラウドネイティブなルールを策定することが必要です。

クラウドネイティブなルールの必要性

アプローチ概要

3カ月~6カ月程度を目安として、以下の流れで、クラウドセキュリティ規程・ルールの整備を行います。対応期間は、組織体制、対象とするクラウドシステムの規模、および作成する規程類の範囲等の諸条件により変動します。

アプローチ概要

GAP分析におけるフレームワークおよび対応方針策定のポイント

クラウドに係る一般的な規格・標準、各クラウドサービスのベストプラクティス、デロイト トーマツの知見といった観点で、企業のクラウド環境のギャップを識別し、目指すべき姿を明確化します。

GAP分析におけるフレームワーク対応方針策定のポイント

目指すべき姿を明確にする際は、以下2点のポイントを考慮します。

  1. 現場にフィットするルールの整備
    アジリティを抑制せず、かつカルチャーにフィットし、現場で使えるルールを整備します。
  2. 利用に即したドキュメント
    必ずしも基準・規程といった形式にこだわらず、チェックリストやツールの活用も検討します。

 

アウトプット(イメージ)

成果物として、規程類や各種チェックリストなどを作成します。

アウトプット(イメージ)

プロフェッショナル

石井 友貴/Tomoki Ishii

石井 友貴/Tomoki Ishii

デロイト トーマツ サイバー合同会社 マネージングディレクター

外資系ソフトウェアベンダー、大手システムインテグレータを経て2013年に有限責任監査法人トーマツに入社。2019年よりデロイト トーマツ サイバー合同会社のディレクターに就任。 ITおよびIoT領域におけるセキュリティバイデザイン(Security by Design)、サービス開発の超上流工程におけるセキュリティ構想策定、PCI DSS等の各種規制・ガイドラインに基づくセキュリティ要件定義が専門... さらに見る