最近、「業務データを外部に預けて大丈夫か」「内部統制に対応できるのか」など、クラウドのリスクに関する問い合わせを数多く受ける。クラウド導入を真剣に考える企業がそれだけ増えてきたということだろう。
企業にとって、クラウドがもたらすメリットは大きい。IT投資を固定費ではなく変動費として計上できる。必要なリソースを必要なときに利用でき、無駄なリソースを社内に抱える必要がなくなる。
だがその反面、クラウドにはオンプレミス環境では考えられないリスクが発生する可能性があることを忘れてはならない。所有モデルから利用モデルへと移行するに伴い、ITにまつわるリスクは変化する。クラウド利用において、これまでのITガバナンスのままでは通用しない場合がある。例えば、データ保管場所の特定が難しい。特定できたとしても、そのデータセンターが海外にある場合、日本の常識や法律を適用できない。「持たざるIT」により、企業はこうしたこれまで想定しなかった事態に直面することになる。
クラウドのリスク回避にはガバナンス強化が不可欠
それでは、クラウド時代に企業が直面するリスクには、どのようなものがあるのだろうか。筆者の所属するデロイト トーマツ リスクサービスは、企業がクラウドを利用する際に考慮すべきリスクを、13のグループ(リスクドメイン)に分類している(図1)。従来のいわゆる委託先管理と重なる項目も多いことにお気づきだろう。13ドメインすべてを詳説するのは、誌面の制約上難しい。そこで以下では、委託先管理とは異なるクラウドならではのリスクに絞って述べたい。
データの可視性
分散、符号化、暗号化といったクラウド特有の管理技術により、データの物理的な保管場所の監査や消去確認、目視による確認などこれまで可能であったことが困難になる。
サービスレベル
「所有」から「利用」に変わることにより、様々な制限が発生する。自由なカスタマイズが難しい、自社にとって不要なサービスが標準サービスに含まれてしまう、企業が求めるサービスレベルと提供されるサービスレベルに差異が発生する、といったことだ。
委託先管理
委託元(ユーザー)による委託先(クラウド業者)の管理が難しくなる。委託元より委託先の規模がはるかに大きい場合は特に、委託元による委託先管理、という構図が成り立ちにくくなる。
ベンダーロックイン
クラウド業者が提供するIT環境への依存度が高まるため、他社サービスへの移行が難しく、強行するには多大なコストが発生する可能性がある。
サービスの継続性
クラウド業者が法的・財務的な問題から業務停止に陥った場合、サービスを利用できなくなる。最悪の場合、自社の事業が滞る、機密データを損失する、といった可能性がある。
法的な懸念点の変化
クラウド業者がサーバーを設置する国や地域によって、データ管理や保護にかかわる法制度が異なる。暗号化データの開示を求める国は多く、機密データを強制的に閲覧される可能性もある。
委託先評価
外部監査を受け入れないクラウド業者は多い。このため、企業の社内規定や一部業法などで求められる委託先評価が難しい。
ITガバナンス
システム部門を経由しないIT調達が増え、機密データの所在や管理レベルを一元的に把握できない。このため、クラウド業者に預託したデータの破壊や滅損、紛失などによる影響範囲を事前に想定し、対策を立てることは難しい。
このように、クラウド化には様々なリスクが潜む。しかし、マイナス面を恐れるあまりに従来のコスト構造を踏襲していては、グローバル競争で後手に回ってしまうことになる。実際、レガシーのくびきを持たない新興国の企業は、コスト効率や柔軟性といったクラウドのメリットを存分に享受して競争力を急速に高めている。
重要なのは、上記のようなリスクを認識すること。そのうえで、社内におけるクラウド利用状況を把握する、クラウド業者の経営状態を事前に評価しておく、SLAを見直す、といったリスクコントロール手段を検討・実行する。さらに、ITガバナンスを強化してリスクの変化を絶えず管理する。こうしたサイクルを確立することで、コストや柔軟性といったクラウドの長所をあますところなく活用できるようになる(図2)。
会員登録(無料)が必要です
- 1
- 2
- 次へ >
