[クラウドのセキュリティリスクを管理せよ]

2014年5月13日(火)日本クラウドセキュリティアライアンス

　企業にとってのクラウドコンピューティングは、組織における総合的なガバナンスの元にIT部門の一部として利用される。クラウドセキュリティも、情報セキュリティガバナンスの一部分として構築されることになる。

　組織は、自らのミッション・ポリシーを実現するために、運営されており、そのためITを有効に活用することが極めて重要になっている。クラウドの採用が自己目的化するわけではない。

　しかし、第三者が提供するクラウドサービスを導入するに当たっては、サービスのクオリティについて十分な情報を得られないという「情報の非対称性」があると同時に、サービスを一度導入すると、提供者側に一定のサービスを提供し続けることへのインセティブが働きにくくなるという「モラルハザード」が存在する。

　このような状況を分析し、どのような要求事項のもとに、どのような推奨事項を提案するか。これらに対する業界標準とベストプラクティスを解説しているのが、CSAガイダンスの第2章～第4章である。具体的には、第2章「ガバナンスとエンタープライズリスクマネジメント」、第3章「法律問題: 契約と電子的証拠開示」、第4章「コンプライアンスと監査マネジメント」だ。

　ITシステムの運営については、GRC（Governance、 Risk、Compliance）がキーワードになる。組織の運営が、GRCによって管理・支援されることで、最終的に、倫理的な活動や、運営の効率性、運営の効果の向上につながることは極めて重要なことである（図）。

　以下、第2章から第4章までの順を追って見てみよう。

第2章「ガバナンスとエンタープライズリスクマネジメント」

　CSAガイダンスの第2章は、組織がクラウドセキュリティをどう位置付けるかを考えるための導入の役割を果たす部分である。企業活動における情報システムのあるべき役割や、リスクに対する考え方、情報システムの中でクラウドコンピューティングが果たすべき役割を描写している。

　「2.1　コーポレートガバナンス」ではまず、企業におけるガバナンスを簡潔に論じている。情報システムであろうが、クラウド利用に伴うリスクであろうが、企業組織として利用する限り、ガバナンスを再確認しようとする姿勢は重要である。

　コーポレートガバナンスとしては、5つの基本原則を上げる。（1）監査のサプライチェーン、（2）取締役会、経営組織、各種手続き、（3）企業の責任とコンプライアンス、（4）財政的透明性と情報公開、（5）統制権の所有構造と行使である。

　企業の歴史的経緯をみれば、株主が組織に一定のミッションを与え、社会的に資本を集積させてきたのだから、企業の真の所有者は株主ということになる。そこでの経営幹部は、株主の受託者に位置づけられる。

　この受託は、効率的でなければならず、統制が及ぶ仕組みが取られなければならない。ここに、（2）と（5）が関係する。そのうえで、株主には受託の結果が正確に報告されなければならないために（4）が必要になる。そして、企業が社会的存在である以上、法や倫理を遵守するべきであり、それは監査されなければならない。（3）と（1）はここに関係する。

　このような考察を元に、エンタープライズリスクマネジメントの枠組みのなかにクラウドコンピューティングを位置づけることが推奨されている。クラウドコンピューティングの利益を正確に認識し、リスク許容度と戦略に沿って、企業の実現すべき価値を最大にするために自然とバランスをとることが重要であるとする。

　リスクを認識して、そこで立ち止まるのではなく、組織の目的の達成に関連する好機をつかむために、組織が方法とプロセスを利用する。その際に、この問題をサプライチェーンのセキュリティ問題とみなすべきとの主張は、傾聴すべきであろう。

　特に「2.5　要求事項」に挙げられている3つの要求事項と、それに関する推奨事項は参考になるはずだ。企業は、これらを参考に、自らのリスクマネジメントの仕組みのなかで、組織の目的の達成に関連する好機をつかむためのクラウドコンピューティングを位置づけ、そこから生じるリスクに関して、どのようにしてバランスを取るかを考える必要がある。