セキュリティの懸念を除けば、クラウドは「大きなオポチュニティ」
藤田 クラウド時代の企業リスクやセキュリティについて考える対談シリーズは今回で3回目です。今回は広義のリスクマネジメントも含めて、ガバナンスやリーガルなことを中心にお話しいただければと思います。
高橋 まずはリスクそのものについて考えると、リスクとは不確実性のなかから引き起こされるものです。不確実性からはリスクだけではなくオポチュニティ(機会)も生まれる可能性があります。広い目で見れば企業やビジネスはリスクもオポチュニティもある不確実な中で、どう進んで行くかということでもあると思うのです。
いかにオポチュニティをとるか。そのためにどうリスクに対処するか。人間はある程度の安全網がないと動けませんから、リスクに対してどう対処できるか知るのは大事です。「怖いですよ」「大変ですよ」と脅威ばかり目を向けて萎縮してしまうと先に進めなくなります。リスクを考えるときにここが大事なところです。
藤田 その考えはクラウドにもよく当てはまります。クラウドだと将来が不確実でも始められるというメリットがあります。例えばビジネスが急にヒットしてもクラウドなら容易に拡張できます。いろんな意味で参入障壁が低い。しかしリスクもあります。あらためてリスクやガバナンスを考えていければと考えています。
高橋 企業経営や意思決定の体系化、枠組みをどうしていくかというテーマになりそうですね。2005年ごろの内部統制ブームではいろんな議論がありました。いわゆる「COSOキューブ」から内部統制の3つの目的カテゴリーと5つの構成要素をベースに議論していた記憶があります。
振り返ると、情報伝達が鍵だったように思います。ビジネスの関係者がどうミッションを遂行していくか、どのような基準で具体的な行動指針にあてはめていくか。その評価基準はどうあるべきかなど。
藤田 J-SOXのときはCOSOキューブがありました。しかしクラウド時代のいま、そうした指針になる枠組みがないというのが実情です。COSOキューブは企業や国などある程度閉じた世界のためのもの。クラウドはグローバルですから前提が大きく異なります。
高橋 法律は国ごとに定められていますから、確かに国を出る、あるいは国をまたぐと法律が異なることが問題になります。ENISA(2004年3月に設立された欧州連合(EU)の機関)の「クラウドコンピューティング:情報セキュリティに関わる利点、リスクおよび推奨事項」(参考:日本語訳PDF)にはリスクのマッピングがありました。中でもリーガル系の項目はハイリスクだと指摘がされています。
藤田 従来のオンプレミスで運用しているシステムと比較すると、クラウドのリスクは複雑です。技術的な制約もあり、現実には、全部クラウドに移行できるわけではないので、混在環境となります。その場合の運用の指針やセキュリティリスク対応は一筋縄ではいきません。
セキュリティの懸念を除けばクラウドは「大きなオポチュニティ」です。システムの構想を練り、エンジニアを探す、など不要ですぐに開始できますから。対象が新興国なら停電や自然災害のリスクもありますから、クラウドを使うというのは不可避です。ただしリスクもあります。
藤田 ビジネスで海外展開を考えるとクラウドしか考えられないけれど、そうしたリスクも考慮して制御していかなくてはならないということですね。
クラウドに関わる全ての人へ!CSA認定「クラウドセキュリティ研修」
クラウドサービスが普及しつつある中で、セキュリティの問題を認識しつつも何をしたら良いかわからない方が多いのではないでしょうか?
日本HPでは、このような方々のためにクラウドユーザーが理解しておかなければならないリスクや課題を基礎から学ぶトレーニングを開始しました。クラウド&ビッグデータ時代に企業で求められる必須のセキュリティトレーニングです。
※本コースは、Cloud Security Alliance(CSA)のクラウドコンピューティングのためのセキュリティガイダンスに基づいています。
★CSA認定「クラウドセキュリティ基礎(1日間)」の詳細はこちらから!
★CSA認定「クラウドセキュリティプラス(2日間)」※の詳細はこちらから!
※クラウドセキュリティプラスはAWSを利用した演習を含みます。
基礎からガバナンスまでクラウドセキュリティが学べる!
HPの「セキュリティ研修」
HPの「セキュリティ研修」では、クラウドセキュリティのトレーニング以外にも、情報セキュリティの基礎を始めとして、リスク分析やBCP(継続性計画)の作成、組織全体のガバナンスまで、幅広いセキュリティ分野を体系立てて提供しています。
★HP「セキュリティ研修」の詳細はこちらから!
