クラウドサービス活用のガバナンスできていますか？

はじめに

クラウドサービス活用におけるガバナンスの課題

クラウドサービス活用をガバナンスしていく際には、どのような課題が発生するのでしょうか。以下に代表的な課題を3点挙げております。

• 1.組織内のクラウドサービス利用状況の把握
  従来であれば情報システム部門がオーナーシップを持ち、サービスの導入を進めるのが一般的でした。昨今のクラウドサービスの利用ニーズの増加に伴い、ユーザー部門による導入が進められています。その結果、情報システム部門が組織内で利用されているクラウドサービスを把握することが困難になっています。
  
  
• 2.クラウドサービス事業者と利用者の責任範囲の理解
  クラウドサービスの提供形態(IaaS/PaaS/SaaS)によって、クラウドサービス事業者と利用者の責任範囲が異なるため、利用者側で管理が必要な範囲を正しく理解することが求められます。しかしながら、クラウドサービス事業者ごと・各サービスごとに提供されているセキュリティ対策は異なるため、利用者がクラウドサービスの詳細な仕様を完全に把握していくことは簡単ではありません。
  
  
• 3.過度な機能制限によるクラウドサービス活用メリットの低下
  セキュリティインシデントを懸念し、クラウドサービスの利用機能を過度に制限されているケースも少なくありません。過度な機能制限は、スピーディーな開発やアジリティの高さを活かすことができず、ユーザー部門の生産性向上・開発効率化の妨げとなってしまいます。こうした利便性の低下は、シャドーITを生む原因になっていきます。
  
  これらの課題について、自組織にも思い当たる内容があったのではないでしょうか。
  クラウドサービスの強みを活かしつつ、リスク対策も行う、そんな理想的なガバナンスを目指すためには、どのようなアプローチが必要なのでしょうか？

理想的なガバナンスを模索するためのアプローチ

• 1.自組織特有のリスクポイントを洗い出す
  セキュリティインシデントは、エンドユーザーからの信頼喪失・経営危機につながるため、最重要です。セオリー的な対策に加えて、近年発生している外部のセキュリティインシデントを参考に実施します。例えば、「ベンダーやパートナーを含めた体制のため、情報漏洩や開発ポリシーの徹底に懸念がある」「複数のクラウドサービスを併用しており、各サービスごとにセキュリティ対策のレベルが異なる」等、自組織ならではの特有のリスクポイントを洗い出しましょう。
  
  
• 2.ユーザー部門を巻き込んだポリシー策定・対策を行う
  現場を考慮せずに策定したポリシーは浸透しません。現場であるユーザー部門の生産性向上・開発効率化を促進し、組織の変革を実現するため、互いの譲れないポイントを整理します。例えば、「ユーザー部門の利便性を妨げる予防的な統制（権限剥奪、機能制限）は、重要情報漏洩や不正操作に繋がる領域のみとする。生産性向上や開発効率化が見込まれる領域については、利用状況の可視化、事象検知後の対処を発見的に統制する」等、自組織における妥協点を見極めましょう。
  
  
• 3.定期的なフィードバックを行う
  事前にすべてのリスクを想定し、対策をしておくことは難しく、現実的ではありません。また、クラウドサービスの仕様変更や新機能の公開、起こりうるセキュリティインシデントは日々変化してきます。一度定めたポリシーや対策に固執することなく、世間の状況の調査や現場の声から、振り返りを行い、内容を成熟させていきましょう。

おわりに

クラウドサービスの普及によって、組織の業務に応じたオーダーメイド的なシステム開発から、必要なサービス・機能を選定していくシステム開発に変わりつつあります。
クラウドサービス事業者からはガイドラインやべストプラクティスが提供されているものの、まだまだ利用者だけでクラウドサービスを活用していくことは簡単ではありません。
他社の事例や外部のナレッジを参考に、DX推進の武器であるクラウドサービスを有効に活用し、自組織の変革を実現していきましょう。