クラウドサービス利活用上のリスク
(1)クラウドサービスに係るリスク領域(概要)
まずは、これまでの連載もふまえながら、クラウドサービス利活用上で検討すべきリスク観点(分類)について図表1にまとめました。
図表1:クラウドサービス利活用上のリスク分類例(KPMGコンサルティング作成)[画像クリックで拡大表示]
各領域ともに相互に関係し、かつ一部重複するものもありますが、大別すると「戦略」「ビジネス」「セキュリティ」「コンプライアンス」の4つに分類されると考えます。それぞれのリスク領域は、その内容だけではなく検討するタイミングも実施者も異なりますが、リスクを網羅的に把握するためにも、まずは全体的なリスクの棚卸しを実施することをお勧めします。
(2)クラウドサービスに係る各リスク領域について
戦略リスク
クラウドサービス利活用の方針がそもそも誤ってしまうリスクです。オンプレミス/クラウドサービスでの捉え方もあれば、クラウドサービス間での捉え方もあります。
クラウドサービスの採用は往々にして企業戦略(含むIT戦略)そのものであり、特にIaaS型やPaaS型といった企業基盤そのものに影響を与える形態であれば、その傾向は顕著となります。その一方、メリットを最大化するため、採用するクラウドサービスベンダーはある程度絞り込みを行うという傾向も存在します。つまりクラウドサービスを効率的に導入しようとすればするほど、そのリスクも増大していくということになります。
また、クラウド上で自社開発アプリケーションを稼働させる場合などにおいて、自社環境にそのまま構築することと比較して一部制約(システム間接続や大量情報のアップロード等)もあるため、結果、商品・サービスの市場投入が遅れるといったリスクも存在します。
企業戦略として、オンプレミスと複数のクラウドサービスをどのように組み合わせ、どのように受容できるレベルまでリスクをコントロールするのか、大きな視点での検討・分析・判断が求められます。
ビジネスリスク
クラウドサービス利活用の効果が想定通りに得られないリスクです。主にQCD(品質・コスト・期日)の観点で捉えると分かりやすいと思います。
クラウドサービス(特にパブリッククラウド)は、究極的にいえば、共同利用によるスケールメリットを活かすことを目的としたものであると考えます。ベンダーによって研究・構築された最先端のシステムや機器、大量購入と管理の一元化によってもたらされるリーズナブルなコスト、「使いたい時、使いたい量だけ使える」スピーディーかつオンデマンド形式での利用など、QCDの観点でのメリットは非常に大きいです。
一方、使い方を誤った場合のコスト増加や、画一的サービスに伴う自社の業務プロセスとの整合確保の困難性など、注意すべきポイントが多々あります。また、戦略リスクとも一部重なりますが、他社と差別化を図るべき業務上の自社コア領域や、自社にとってプロセスの変更が難しい領域については、上記クラウド特有の性質によって悪影響を被る可能性があります。
クラウドサービスを利活用する際、QCDの観点できちんとメリットが得られるかを丁寧に検証するとともに、それが自社の競争優位や固有プロセスを阻害しないかの検証が求められます。
セキュリティリスク
クラウドサービス利活用に伴いセキュリティ上の問題が発生してしまうリスクです。主にCIA(機密性・完全性・可用性)の観点で捉えることが一般的であると考えます。
クラウドサービスの利活用とセキュリティは切っても切り離せない関係です。「クラウドサービスから情報が洩れないか」「クラウドサービス上の情報が改ざんされないか」「クラウドサービスが止まらないか」等々、クラウドサービスに対してセキュリティ上の懸念を持つ方は、未だに多くいらっしゃると思います。
一方でこれまでの連載でも言及してきた通り、オンプレミスと比較して必ずしもクラウドサービスのセキュリティが劣るというわけではなく、クラウド特有のセキュリティリスクを「見える化」したうえで対応を検討することでクリアできる課題でもあります。クラウド特有のセキュリティ上のリスクを棚卸し、それを自社/クラウドサービスベンダー双方の視点で、お互いの責任領域(責任分界点)を見極めながら、対応策を検討・整理することが求められます。(特に可用性の観点において、障害/災害時の対応プロセスの評価・構築が肝要)
コンプライアンスリスク
クラウドサービス利活用において発生する法的リスク(コンプライアンスリスク)です。大きくクラウドサービスの利用契約で担保すべきものと、クラウドサービスの利用に伴い自社側で対策を検討するものという2つのパターンがあると考えます。
前者としては、図表1にも挙げているような係争時での管轄裁判所の場所に関する取り決めや、クラウドサービスの解約を行うために必要な事前申請期間などが挙げられます。第4回でも言及したように、業務委託契約と利用許諾の両形態に対応できるような準備が望ましいです。
後者としては、個人情報保護法やSOX法といったオーソドックスなものから、別会社が原因で自社が同居するクラウドサービスベンダーのサーバが差し押さえられてしまった際の想定対応など、幅広く検討を行う必要があります。
コンプライアンス部門とも共同しながら、クラウドサービスを利用する際の法的なリスクを事前に検討・対策を練ることが求められます。
