クラウド・コンピューティングは、組織がITリソースを活用する方法を変える一方で、インフラやアプリケーションを外部化することは組織にリスクをもたらします。
多くの業界がクラウド・ソリューションを導入していない主な理由も、このリスクの増大にあります。
クラウド・コンピューティングの主な利点をおさらいしましょう:
従来のITやITアウトソーシングを運用するためのインフラは、その構築や維持にコストがかかります。これに対し、クラウド・コンピューティングは、インフラ構築やITセキュリティ専門家の社内チームを編成するための投資が不要なため、コスト効率が非常に優れています。さらに、企業は使用したストレージ容量に対してのみ料金を支払うため、多額の費用を負担することなく、必要に応じてストレージ容量を調整することができます。その結果、企業は時間を節約し、重要なリソースを節約することができ、IT部門はより革新的な取り組みに集中する戦略的チームに変身することができます。
俊敏性:実際、CIOの多くがクラウド・ソリューションを導入しているのは、安価だからではなく、迅速な立ち上げと運用が可能だからです。社内のITプロジェクト管理、調達、統合、変更管理にかかるコストを削減しながら、ビジネス・メリットを迅速に実現することも重要な推進要因です。また、継続的な運用、更新、修正については、クラウド・プロバイダーが対応するため、組織は心配する必要がありません。
柔軟性:クラウド・コンピューティングは、さまざまな分野でイノベーションの道を開き、ビジネスの変化に迅速に対応することを可能にします。たとえば、オンライン小売業者はクラウドサービスを利用して、ウェブベースのオンライン購買アプリケーションを効果的に展開できます。組織は、従業員や主要な利害関係者が、従業員の所在地や使用するデバイスに関係なく、クラウド経由で企業リソースにアクセスできるようにすることで、生産性を向上させることができます。クラウド・コンピューティングは、多くの組織がビジネス・アプリケーションの多くをクラウドに移行していることから、ビッグデータをサポートすることもできます。
リスク要因の理解
ITマネジャーが最も恐れるのは、コントロールの喪失です。"インフラはもはや私のコントロール下ではなく、他の誰かのものであり、もし彼らが失敗したらどうなるのか?" ということです。リスクは、インフラ、ソフトウェア機能、データの観点から見ることができます。
データ・セキュリティ:クラウド・コンピューティング・ベンダーは、セキュリティ要素の確実性と可視性について曖昧な表現を使っています。企業データは組織の外部に置かれ、移動するため、データの盗難や攻撃のリスクは明らかに高まります。
サービスの信頼性:インターネット接続の停止やクラウドプロバイダーがダウンタイムを経験する可能性により、企業はクラウドサービスの信頼性とネットワーク依存性について考え始めています。
:: ソフトウェアの管理:ソフトウェアを管理することができなければ、ソフトウェアの調整やアップグレード、バグの修正は非常に複雑になります。
ビジネス情報やアプリケーションをクラウド・サービス・プロバイダーに移行することをためらう組織もありますが、これは社外のクラウド・サービス・プロバイダーが社内のITチームよりも哲学的なリスクを管理できることを理解していないためです。結局のところ、クラウド・サービス・プロバイダーは複数の顧客と協力することでベスト・プラクティスを開発しており、インシデントが発生した場合の風評被害はクラウド・サービス・プロバイダーの方がはるかに大きいため、データ漏洩を回避するインセンティブが高いのです。また、クラウド・サービス・プロバイダーは冗長リソースを多く配備しているため、単一障害点が少なくなります。
提案
クラウドに移行するかどうかを検討する場合、組織はリスクの問題を慎重に検討し、クラウドがどのように自社のビジネス価値を高め、リスクにさらされることなくIT目標を達成できるかを検討する必要があります。以下はその提案です:
:: IT管理者は、クラウド・サービス・プロバイダーが社内のIT部門の延長であることを認識する必要があります。これらのリスクはすべてクラウドサービス・プロバイダーにも作用します。重要な違いは、社内部門にとっては、リスクを管理するためのコントロールをより簡単に検証、実装、管理できることです。
クラウド・サービス・プロバイダーを選ぶ際には、そのプロバイダーが導入している管理体制を実証できるものを選ぶべきです。これらの管理には、SSAE監査、データ、アクセシビリティ、データセンターのセキュリティ管理、データの暗号化などが含まれます。
プライベート・クラウドまたは仮想プライベート・クラウドを選択し、システムを仮想的に分離し、パブリック・クラウド内の暗号化された環境に配置します。
どのレガシーアプリケーションがクラウド環境に適しているかを分析します。
:: ベンダーに対して、明確な災害復旧計画を提供するよう要求してください。社内の復旧戦略は、組織が代替ITサービスモデルに迅速に移行する際にも役立ちます。
重要なクラウドコンピューティング資産の定期的なバックアップを維持し、強力な暗号化でデータを保護します。
クラウドサービスプロバイダーに対し、定期的なセキュリティイベント警告の提供と、特定のミッションクリティカルな資産へのタグ付けを義務付けます。
:: 透明性を高めるため、サービス・プロバイダーに対して独立した監査報告書の提出を求め、クラウド・サービス・プロバイダーの業界認証(ISO 27001および27002、ISO 31000、Payment Card Industry Data Security Standardのコンプライアンス認証など)を確認します。
クラウドには、複数のクラウドアプリケーションへのシングルサインオンアクセスや、ITILやITSMなどのセキュリティフレームワークの活用など、追加のセキュリティ対策を追加します。
IT管理プロセスを強化し、信頼性の高い管理体制を確立することで、組織はクラウド・ソリューションから真の競争優位性を得ることができます。組織は意思決定を行う際に、リスクだけでなくコントロールも分析する必要があります。リスクとリターンを比較検討する際、CIOや主要なIT意思決定者は、リスク分析の観点ではなく、統制分析の観点から中核的な問題を検討する必要があります。
