クラウド活用?「情報システムを安全かつ確実に運用する」視点から「ITガバナンス」を徹底せよ!

クラウド活用?「情報システムを安全かつ確実に運用する」視点から「ITガバナンス」を徹底せよ!

このページ内の目次

注目を集めているクラウドコンピューティング。

ユーザー企業にとっては、「所有から利用」「利用した分だけ支払う」などのメリットが強調されています。

「IT化手段の選択肢が増える」という視点は歓迎すべきでしょうが、ユーザー企業側にとっては「新たな視点でITガバナンス」の確立が必要となります。

プライベートクラウドやパブリッククラウド、どちらを利用するにしても、「情報システムを安全かつ確実に運用する」視点から、以下の点を考慮すべきと考えます。

1.セキュリティや法令順守などの「増大するリスク」の管理

2.様々なクラウドセンターで利用するサービスの継続性

3.クラウドベンダーに処理を依存することによる責任範囲

4.柔軟性やスケーラビリティ及びコストなど、クラウド利用のメリットの評価

なお、ITガバナンス向けのフレームワークのひとつで、世界的に普及が進んでいるのがCOBITです。

この基本原則の意味するところは、

「IT資源」を「ITプロセス」によって管理することにより、「ビジネス要件」に対応したIT目標が達成される。

というものです。

しかし、これまでの導入型やアウトソーシングにおいては、この3つの側面を満たすことはできましたが、クラウド利用においては変わってきます。

クラウド利用は「企業のIT化手段のひとつ」と考えれば、「ビジネス要件」「ITプロセス」の満たすべき基準には大きな違いはないでしょうが、「IT資源」は違ってきます。

特に重要となりそうなのは以下のプロセスですが、各プロセス配下に構成されているアクティビティ単位で多くの確認が必要です。

  • ・DS1 サービス・レベルの定義と管理
  • ・DS2 サードパーティのサービスの管理
  • ・DS3 性能とキャパシティの管理
  • ・DS4 継続的なサービスの保証
  • ・DS5 システム・セキュリティの保証
  • ・DS6 費用の捕捉と配布
  • ・DS13 オペレーション管理

これらは、クラウドサービスの形態によっても違ってきます。

プライベートクラウドであれば、これまでの導入型と同様のコントロールができる可能性はありますが、パブリッククラウドの場合はかなり困難になります。

そこで、クラウドサービスが企業側の基準を満たしていない場合は、企業側が個別に用意するか、利用を止める判断をしなければなりません。

例えば、IaaS(HaaS)やPaaSの場合は、コントロールに必要な仕組みを企業側が用意しなければいけません。

  • ・セキュリティは、どの様にして担保できるのか?
  • ・ユーザアカウント機能は、実装できるのか?
  • ・提供されるAPIには、充分なコントロール機能が用意されているのか?

一方、SaaSの場合は、加えて対応が困難になります。

  • ・データ保管に対するコントロールは、できるのか?
  • ・物理的なセキュリティは、施されているのか?
  • ・障害が起きたときの対応は、どうなっているのか?

このように、利用する企業側は、各クラウドのサービスレベル(SLA)やセキュリティ条件などを事前に確認し、ITガバナンスを確立していくことが必要です。

そして、クラウドを利用する際には、

  • ・IT資源の最適化視点、リスクとリターンの視点での経営判断
  • ・SLAの評価やプロバイダーとの契約など、従来と異なる知識

が、企業のIT部門に求められます。

以上、今回はCOBITのフレームワークに基づき概要を確認しましたが、クラウド利用に当たっては様々な課題を解決することが必要です。

情報セキュリティマネジメントシステム(ISMS ISO/IEC 27001)や内部統制、さらには個人情報保護の視点でも、適合性を評価することも必要になります。

COBITのガバナンスモデル

COBITのガバナンスモデル 【情報システムコントロール協会(ISACA)】

COBIT:Control Objectives for Information and related Technology

企業において、「ITを的確にコントロールしていくため」に考案されたガバナンスモデル(規格)

1994年に米国情報システムコントロール財団(ISACF)と情報システムコントロール協会(ISACA)によって策定が開始

1996年に初版が公開

プライベートクラウド、パブリッククラウド、IaaS(HaaS)、PaaS、SaaS

トップに戻る

関連記事

前へ

クラウド1とクラウド2、SaaSから、PaaSやIaaS事業に戦略的に展開

次へ

企業の成長段階における壁と課題、成長には4つの段階があり3つの壁を乗り越える必要あり

Page Top