最新動向/市場予測

パブリック・クラウドとリスク

利用者にとってのリスクとその対応

クラウド・サービスの利用については、コスト削減以外にも、サービスの立ち上げが早くできるなど多くのメリットがあるが、一方、クラウド・サービスを利用することによるリスクについても考える必要がある。本稿では、パブリック・クラウドを利用する場合のリスク、つまり利用者にとってのリスクとその対応について検討する。

パブリック・クラウドの特徴

パブリック・クラウドは、インターネット越しに不特定多数の複数のユーザーがある事業者の共通サービスを利用する形態といえる。

従って、パブリック・クラウドを利用するということは、基本的には外部委託と同じである。従来の外部委託との違いは、クラウドサービスを提供する事業者、つまり受託者が一律のサービスを提供することである。

従来は、委託者が受託者に対して必要なサービス仕様を伝え、受託者はそのサービス仕様に従ってサービスを提供してきたが、パブリック・クラウドの場合は、受託者が提供するサービス仕様は委託者の都合で変更することはできず、受託者が提示するサービス仕様に従ってサービスを受けるしかないということである。

したがって、契約についても、基本的には受託者が提供する契約書にサインをするかどうかという問題になる。

クラウドサービスの特徴は、定型契約、つまり約款契約形式による定型サービスということになる。卑近な例では、水道サービスを利用のようなものである。

一定の品質水準以上の水を決められた料金体系に従って一律に提供するのが水道サービスであり、家庭毎に異なる品質 の水を届けることはできない。

クラウドのリスクマネジメント

多くの金融機関では、システムリスク管理態勢として、外部委託先(ASP を含む)を活用する際のリスク管理手続が整備されている。

しかし、このリスク管理手続は画一的なケースが見受けられ、現状のままクラウドサービス(特にパブリック・クラウド)の導入時に適用しても、「雲の向こう側」で行われていることをクラウド利用者が把握することは難しく、結果としてリスクの所在が見えず、極めて限定的なクラウドサービスしか利用できない結果となってしまうことがある。

これは、クラウド利用者とクラウドサービスを提供するベンダーの力関係が、これまでのアウトソーシングとは大きく異なり、クラウド利用者側の要望(情報提供を含む)を受け入れてもらうことが困難になっていることにも起因している。

クラウドの導入を検討する場合には、クラウドで実現するシステムなどの要件(業務要件・データ要件)を評価するとともに、クラウドサービスに求めるセキュリティ要件を検討する。

このセキュリティ要件に合ったクラウドサービスを選定し、要件への充足度合いを継続的にモニタリングすることが求められる。 

パブリック・クラウド・サービスの保証

最後にサービス品質やセキュリティ水準の保証について説明する。

委託者は受託者が実際にどのようなサービス品質やセキュリティ対策を実施しているのかを確認することができない場合が多い。

たとえば、実際にシステム管理者が顧客のデータにアクセスできないようになっていると説明されても、システム上で本当にシステム管理者が顧客のデータにアクセスできないような設定になっているのか、顧客がシステム上の設定を直接見て確認することができないのが普通である。

また、そのようなシステム上の設定を適切に維持管理できるような社内の規定類の整備ができているか、実際に運用できているかなどについて、受託者の説明を信じるほかないのである。そこで、第三者による保証、つまり監査の利用が考えられる。

一般によく知られているのは、日本工業規格(JIS 規格)に対する適合性評価制度と、監査法人によるTrustサービス規準に基づく検証や内部統制の評価業務である。

JIS 規格では、情報セキュリティマネジメントシステムの規格(JIS Q 27001)やIT サービスマネジメントシステムの規格(JIS Q 20000-1)に基づく認証がある。

Trust サービス規準に基づく検証は、Trust 規準に適合する内部統制の整備及び運用状況についての保証をする業務である。

米国会計士協会及びカナダ勅許会計士協会で開発されたサービスであるが、日本でもTrustサービス業務として監査法人により行われている。

最後に

パブリック・クラウド・コンピューティングを利用する場合のリスク、つまり利用者にとってのリスクとその対応について検討してきた。クラウド・サービスという用語は新しい用語のひとつかも知れない。

しかし、クラウド・サービスのリスク管理は、サービスの利用者側から見えれば外部委託の場合のリスク管理と同じである。クラウドサービス特有の部分はほんのわずかである。そういう意味から目新しさはない。むしろ、難しいのはリスクをどこまでとるのか、どこまでコントロールするのかということである。

つまり、定型的なサービスゆえに自社が考えていたリスク水準を上回るリスクが残った場合に、それについてどのような判断をするのかということである。

法令、契約、規則等で遵守しなければならないことが実現できないのであれば、そのサービスの利用はあきらめるしかないだろう。

しかし、自社が定めたルールに適合していないサービスをどこまでリスクをとって、あるいは補完的な対策を実施してそのサービスを利用するのか、そのビジネスがどの程度の利益を生むのか等のメリットと合わせたビジネス判断を行う必要がある。

クラウドサービスを利用するかどうかの判断は、結局ビジネスをどうしたいのか、どこまでしたいのかというビジネスの問題と一体の問題であるということを理解しておくことが重要であろう。

サイバーリスクサービスについて、詳しくは以下のメニューからお進みください

サイバーリスクサービスTOP

サイバーセキュリティマネジメントサービス 一覧

プライバシー・個人情報保護サービス 一覧

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。

 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?