クラウドのセキュリティ課題について、「Security Guidance for Critical Areas of Focus in Cloud Computing(略称CSAガイダンス)」では体系的に解説している。本連載では、CSAガイダンスに沿って、クラウド利用者が知っておくべき知識と、押えるべきポイントを解説する。前回は、クラウドの仕組みの基本とクラウドにおけるセキュリティの考え方を解説した。今回は、経営管理の視点からクラウドにおけるセキュリティの課題を示す。
企業にとってのクラウドコンピューティングは、組織における総合的なガバナンスの元にIT部門の一部として利用される。クラウドセキュリティも、情報セキュリティガバナンスの一部分として構築されることになる。
組織は、自らのミッション・ポリシーを実現するために、運営されており、そのためITを有効に活用することが極めて重要になっている。クラウドの採用が自己目的化するわけではない。
しかし、第三者が提供するクラウドサービスを導入するに当たっては、サービスのクオリティについて十分な情報を得られないという「情報の非対称性」があると同時に、サービスを一度導入すると、提供者側に一定のサービスを提供し続けることへのインセティブが働きにくくなるという「モラルハザード」が存在する。
このような状況を分析し、どのような要求事項のもとに、どのような推奨事項を提案するか。これらに対する業界標準とベストプラクティスを解説しているのが、CSAガイダンスの第2章~第4章である。具体的には、第2章「ガバナンスとエンタープライズリスクマネジメント」、第3章「法律問題: 契約と電子的証拠開示」、第4章「コンプライアンスと監査マネジメント」だ。
会員登録(無料)が必要です
- 1
- 2
- 次へ >
- 【第12回】クラウドベースのセキュリティサービス「SecaaS」を考える(後編)(2014/09/24)
- 【第11回】クラウドベースのセキュリティサービス「SecaaS」を考える(前編)(2014/09/09)
- 【第10回】クラウド利用における暗号化と仮想化のセキュリティ(2014/08/26)
- 【第9回】クラウドのID/権限管理では各種システムの連携が不可避(2014/08/12)
- 【第8回】クラウドアプリケーションのためのセキュリティアーキテクチャーの確立を(2014/07/22)