クラウドセキュリティ規程・ルール整備支援

クラウド利用ルールに関する課題への対応

クラウドは拡張性が高く進歩が速い技術です。それゆえに、企業は、クラウド利用ルールについて以下のような課題を抱えているケースが多くあります。

• 数多なCSP（クラウドサービスプロバイダー）のビジネスモデルの特徴、新たな機能や仕様の変更などに対して、適切にキャッチアップできていない
• SaaSやその基盤となるIaaSも統制対象にしているケースなど、責任共有モデル目線での責任分界点が区別されておらず、二重のチェックがなされている
• 導入時点におけるリスクチェックはできているが、継続的な確認が十分ではない

本サービスでは、上記のようなクラウド利用ルールの課題に対応するための規程・ルール整備に関するコンサルティングを提供します。

クラウドネイティブなルールの必要性

オンプレミス用のポリシーや規程類では、クラウド環境に当てはまらない部分や、クラウド環境における考慮漏れが発生します。このため、真にクラウドで考慮すべきポイントを押さえ、既存のルールを更新またはクラウドネイティブなルールを策定することが必要です。

アプローチ概要

3カ月～6カ月程度を目安として、以下の流れで、クラウドセキュリティ規程・ルールの整備を行います。対応期間は、組織体制、対象とするクラウドシステムの規模、および作成する規程類の範囲等の諸条件により変動します。

GAP分析におけるフレームワークおよび対応方針策定のポイント

クラウドに係る一般的な規格・標準、各クラウドサービスのベストプラクティス、デロイト トーマツの知見といった観点で、企業のクラウド環境のギャップを識別し、目指すべき姿を明確化します。

目指すべき姿を明確にする際は、以下2点のポイントを考慮します。

1. 現場にフィットするルールの整備
   アジリティを抑制せず、かつカルチャーにフィットし、現場で使えるルールを整備します。
2. 利用に即したドキュメント
   必ずしも基準・規程といった形式にこだわらず、チェックリストやツールの活用も検討します。

アウトプット（イメージ）

成果物として、規程類や各種チェックリストなどを作成します。