1.組織が物理的セキュリティとアクセスにどの程度依存しているかの評価
2.クラウドのデメリットに対するガバナンス手法の評価
3.ガバナンスの変更が最終的に望まれる結果であることの確認
ガバナンスとセキュリティ慣行の評価
多くの組織は、内部ガバナンスの基礎となる主要なセキュリティおよび規制コンプライアンス戦略を構築するために、物理的な施設におけるコントロールに依存しています。単純なバックアップテープの盗難やソフトウェアバージョンの不正操作に対抗できるアプリケーションレベルの保護メカニズムや暗号化戦略はありません。しかし、ほぼすべての主要なクラウド・プロバイダーは、ISOや金融・ヘルスケアに関する特定の規制を含む、セキュリティと規制コンプライアンスに関する非常に詳細な認証を持っています。
ガバナンスの実践を "クラウド化 "することは、提案されているプロバイダーや他の実行可能な競合他社を特定することを意味します。プロバイダーを変更する場合、脆弱なガバナンス慣行があるかどうか、あるいはおそらくルールが欠如しているかどうかを知ることが重要です。グローバル・コンプライアンス・ニーズの追跡を専門とする企業もあり、各分野で起こりうるリスクを検討する上で有益なリソースとなります。
しかし、クラウド・プロバイダーの法規制コンプライアンス戦略を即座に導入したからといって、物理的なセキュリティを忘れる必要はありません。ガバナンス戦略を、内部プロセスのテストからプロバイダーの法規制コンプライアンスのテストにシフトする必要があります。そのためには、定期的な法的認証とプロセスの監査管理が必要です。プロバイダは最新の認証を維持する必要があるため、最初の認証チェックをプロバイダの標準として受け入れてはいけません。
クラウド・ガバナンスの脆弱性評価
次に取り組むべき課題は、クラウドに含まれるデメリットに対するガバナンス・プロセスの評価です。ほとんどの組織は、アプリケーションとインフラストラクチャの監視と制御を対象としたガス・アプリケーション・ライフサイクル管理プロセスを通じてITガバナンスを実践し、それを実現するための特定のツールを組み合わせています。クラウドへの移行は、これらの分野にも大きな影響を与えるため、ガバナンスも崩壊することになりますが、おそらく規制コンプライアンスはまだ崩壊していないでしょう。
ALM は、アプリケーションの変更と本番システムの整合性を検証し、法的な仕様に準拠したプロセスを実施します。クラウドのデプロイメントでは、マシンイメージや構成の整合性など、新しい変数が導入されます。これらの新しい変数を検証する仕組みは、バージョンによって異なります。最大の問題は、OS とミドルウェアの変更が、影響を受けるすべてのマシンイメージに適用されることを保証することです。
マシンイメージは、クラウドガバナンスにおいて問題を引き起こす可能性がありますが、他の機能では実現が難しい有用な機能をもたらす可能性もあります。マシンイメージを通してロードでき、アプリケーションとそれが存在する環境に関する情報を提供するアプリケーションまたはコンポーネントは、事実上、他のデータセンターへのプロキシのロードを管理します。バージョンテスト、状態テスト、およびパフォーマンステストをマシンイメージに組み込むことは、何が現在実行されていて、どのように実行されているかについての情報を提供するために使用できることを意味します。
インストールされたライブラリのコンポーネントのバージョンを確認するためにソフトウェアエージェント技術を使用することはかなり一般的であり、これらのツールが実際に実行されているマシンイメージのバージョンを確認できるかどうかを確認する価値は十分にあります。これにより、内部プロセスに起因するバージョン管理の問題や、クラウドプロバイダーがバックアップバージョンに戻したり古いイメージを実行したりできないことに起因する設定ミスを効果的に防ぐことができます。
クラウドにおける最後の newガバナンスの問題は、クラウドデータサービスです。クラウドプロバイダーは様々なデータベース/ファイル/ブロックストレージのオプションを提供していますが、当然ながらクラウドにデータを保存してもローカルと同じ物理的なセキュリティ管理はできません。また、クラウドへのアクセスがインターネットやVPN経由であるため、クラウドデータへのアクセス制御がローカルでの制御と異なる場合があります。
組織が適用される規制が多ければ多いほど、データのアクセス許可に気を配る必要があります。クラウドデータストレージにどの規制が適用されるかをガバナンス監査人に確認し、クラウドプロバイダーがどこにデータを保存しているかを確認してください。
最終的なクラウドガバナンス戦略の決定
クラウド・ガバナンス戦略を特定のプロバイダーに適応させるのは簡単ですが、クラウド全体となるとそう簡単ではありません。そのため、クラウドのデメリットをもたらす可能性のあるプラクティスに焦点を当て、そのデメリットに対処するための一般的な戦略と戦術を策定し、それを利用するプロバイダーごとに詳述します。大まかなクラウド・ガバナンス戦略が基礎となり、プロバイダー固有の要素ははるかに適応しやすくなります。この戦略があれば、新しいクラウド・プロバイダーやサービスを導入しても、組織が同じ過ちを繰り返すことはありません。
