TOPクラウド > クラウドのリスク緩和に役立つ7つのヒント(下)

クラウド

クラウドのリスク緩和に役立つ7つのヒント(下)

2018/06/15

Bruce Harpham CIO

 今回は、クラウドコンピューティングのリスクを評価し緩和するうえで役立つ7つのヒントを紹介する。

前回から続く)

重要な事業者への監査権を要求する

 クラウド事業者を監査する権利がユーザー企業側にあるかどうかという話題は盛んに取り上げられる。契約や合意事項にそうした条項がない場合には、もしインシデントが起きても、どうしようもないかもしれない。一方で、大規模クラウド事業者は、そうした要件の取り入れに抵抗する。

 米UpperEdgeでプロジェクト遂行アドバイザリーサービスのプラクティスリーダーを務めるTed Rogers氏は次のように話す。「監査については、クラウド事業者の多くは企業側に反発し、データセンターやそのプロセス、手順、セキュリティ対策などを監査する権利を認めていない。第三者が現れて監査を実施することに乗り気でないからだ。代わりにベンダーは、『コンプライアンスは万全だ』『心配無用だ』と言う。そうしないと、侵害の発生時などに、契約上の別の理由で困ったことになるからだ」

 解決策の1つは、クラウド事業者が定めた監査手法を批判的に評価することだ。Rogers氏が勧めるのは、クラウド事業者の監査文書を確認すること。「具体的には、データプライバシーを巡る米Facebookの問題を受けて更新を加えたかどうかを調べる。クラウド事業者の中には、自分たちはデータ処理業者にすぎないと主張するところもある。データをいじったり譲り渡したりはしないと主張する」。そこで当然生じる疑問は、クラウド事業者がその言葉を守っているかどうかを知るにはどうすればよいかということだ。

 ユーザー企業に監査権を与えることにクラウド事業者が抵抗する場合でも、リスク緩和の方法は残されている。確固たる報告を要求し、主要なリスク指標に重きを置くことだ。あるいは、契約の話し合いの中で情報を提供するよう内部監査部門に求める手もある。

↑ページ先頭へ