クラウドセキュリティのガバナンス

企業ユーザは、クラウドサービスの利用により、自社が保有する情報の管理や処理をクラウド事業者に委ねてしまうため、サービスの利用時に、セキュリティなどのリスクのすべてをコントロールできないといった問題が生じる可能性があります。

クラウドセキュリティガバナンスの観点では、クラウドサービスにおけるインシデント、サービスの復旧など、個別に対応することが困難なクラウドサービスに関するコントロールや、クラウド事業者の突然の倒産やサービスの中止などによるクラウドサービスのサービスレベル及びサービスの継続性などのリスクが伴います。

クラウド事業者が提供するクラウドサービス上のデータのコピーや復元、バックアップなどのデータのライフサイクル管理に関するリスク、国外の法制度が適用される国外でのデータ保存・処理などのカントリーリスクにも留意する必要があります。

その一方で、クラウド事業者が提供するクラウドサービスの利用に伴い、ITサービスマネジメントや情報セキュリティマネジメントにおいて、情報漏えいリスクを低減する内部管理の徹底、個別監査の負担を軽減する監査の共通化、情報セキュリティマネジメントの共通化・自動化、システムの二重化や災害復旧によるリスク低減などの効果も期待されます。

クラウドセキュリティガバナンスでは、企業ユーザは、ククラウドサービス利用において、クラウド事業者が提供するサービスの特性を理解し、組織のITサービスマネジメントや情報セキュリティマネジメントの確立、クラウド事業者とクラウド利用者の間における責任分界点など、クラウドサービスを利用する際のガバナンスの適応範囲を整理しておく必要があります。また、クラウドサービスの特性をいかして、自社システムの効率化とガバナンス効果を高めるといったことも重要なポイントとなります。