皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリストこと、ITコーディネータの元村憲一です。
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
ブログの第216回目は、このブログの本題になっている GEITについての続きです。
これまでほとんどは、ISACAの話題を中心にお伝えして来ましたが、第210回目からは、ISACAを離れて、日本のGEIT人材であるITコーディネータについて、お伝えしています。
【ITコーディネータ関連の環境変化の続き3】
ITコーディネータ制度は、経済産業省が、日本の競争力を回復する高度人材として、未来を見据えた構想の中で制度化した割には、10年以上経った現在でも、非常に認知度が低く、その活用も不十分な状態が続いています。
第213回から、この十数年の間に起こった、ITに関係する最大の環境変化の、オンプレミスからクラウドへの移行についてお伝えしています。
今回は、昨日の補足の続きとして、クラウドコンピューティング型のサービスを有効に利活用する方法について、説明します。
このクラウドコンピューティング型のサービスの利活用については、第213回のブログを読んでくださった、ITコーディネータ仲間や企業の経営者の方から、複数の質問やご意見、ご感想をいただき、注目度の高さが窺えます。
クラウドコンピューティング型のサービスについては、経済産業省などから多数の関連資料が出ています。
この中で、中小企業向けとしては、IPA(独立行政法人情報処理推進機構)のセキュリティセンターが、2011年4月25日に公表した、以下ページにある2つの資料が解りやすいと思います。
・「中小企業のためのクラウドサービス安全利用の手引き」、および「クラウド事業者による情報開示の参照ガイド」について
参照URL:
https://www.ipa.go.jp/security/cloud/tebiki_guide.html
省庁やその関連外郭団体等から出される資料は、非常に大部で読んだり理解するのが、嫌になるものが多いのですが、以下の紹介する2資料は、比較的ページ数も少なく、簡易に書かれています。
・『中小企業のためのクラウドサービス安全利用の手引き』
・『クラウド事業者による情報開示の参照ガイド』
『中小企業のためのクラウドサービス安全利用の手引き』の続きをお伝えします。
・中小企業のためのクラウドサービス安全利用チェックシートとその説明
クラウドサービスの導入を検討する際には、以下の両面の立場から検討する必要があります。
・経営者や経営管理に携わる
・クラウド利用を実際に所管するIT担当
この資料には、最低限これだけは確認しておく事が望ましいと思われる項目が、以下の3つの領域に分けて整理されています。
・A クラウドサービスの利用範囲についての確認項目(4項目)
・B クラウドサービスの利用準備についての確認項目(4項目)
・C クラウドサービスの提供条件等についての確認項目(6項目)
3つの領域を付録のチェックシートで確認して、チェックが付かなかった項目に関しては、クラウドサービスの導入・利用に際して、セキュリティ等に関するリスクが発生する可能性があります。
チェックが付かなかった項目から生じるリスクについて、許容可能か(経営上、業務上、大きな支障が発生する恐れがないか)どうかを改めて検討します。
・A クラウドサービスの利用範囲についての確認項目
(1)利用範囲の明確化
(2)サービスの種類とコスト
(3)扱う情報の重要度
(4)ポリシーやルールとの整合性
(1)利用範囲の明確化
問:クラウドサービスでどの業務、どの情報を扱うかを検討し、業務の切り分けや運用ルールの設定を行いましたか?
まず社内のどんな業務のどの範囲をクラウドサービスに移行すべきかを、判断する必要があります。
以下の手順で、クラウドサービスに移行する業務範囲と、そこで取扱う情報の種類・範囲を決定します。
・どのような業務でどんな負荷・負担が発生しているかを整理する
・次の(2)項で、サービスの種類とコスト確認する
・どんなサービスがどんなコストで利用できるかを照らし合わせる
・クラウドサービス導入に伴って発生する問題を明確にする
・以下についてを検討する
・他の既存のシステムや処理との連携
・既存の業務やシステムに与える影響
(2)サービスの種類とコスト
問:業務に合うクラウドサービスを選定し、コストについて確認しましたか?
様々なクラウドサービスが、様々なクラウド事業者から提供されています。
サービス内容や特徴について、以下を実施して、自社の業務に適したサービスを選択します。
・調べる
・比較する
・理解を深める
クラウドサービスの導入と運用に関するコストを試算して、メリットを確認します。
同条件で、必要なコストを比べます。
これまで必要であった以下が不要になる場合には、コスト面の利点が大きくなります。
・専任または、兼務のIT管理・運用要員
・IT資産(IT用のファシリティを含む)
サーバの更新時期に合わせて、クラウドサービスに切り替えるのも効果的です。
一時的な導入コストだけでなく、間接費も含めた月々の運用コストについても調べて比較します。
将来、利用の規模を拡大した場合に、どの程度のコスト増となるかについてもシミュレーションを行って検討しておきます。
(3)扱う情報の重要度
問:クラウドサービスで取扱う情報の管理レベルについて確認しましたか?
プライバシーや企業秘密に係る情報をクラウドサービスで取扱う場合には、適切な管理が必要になります。
情報の性質や重要度を考慮して、クラウドサービスで取扱って問題がないかを検討します。
情報が外部預託可能なものであるかを検討します。
例:個人情報をクラウドサービスで取扱うためには、個人情報保護法に基づき、委託先の適切な監督義務が生じる場合があります。
情報の重要度については、その情報が失われた場合の、経営にとってのダメージを評価します。
以下の様に、経営に重大な影響を及ぼす結果につながる場合があります。
・競争力の喪失
・顧客の喪失
・信用の失墜
・預金等の不正引出し
・経営管理情報の紛失
(4)ポリシーやルールとの整合性
問:セキュリティ上のルールとクラウドサービスの活用の間に、矛盾や不一致が生じませんか?
会社のセキュリティポリシーやルールで、以下の様な制約があると、クラウドサービスの利用が難しくなる場合があります。
・社外に情報を置く事を禁止している
・外部委託に関する制限をしている
現在上記の様なポリシーやルールが会社にある状態で、それらを変更してでもクラウドを利用する価値が大きいと判断できる場合には、情報をクラウド事業者に預けられる様に、これらの規則を見直し、ITの利活用の実態に整合させる事も必要となります。
その様な判断をする場合には、クラウドサービス利用時に起きるトラブルで、想定される不都合が、業務の上で許容される範囲内に抑えられる事を確認します。
以下を十分に理解・検討した上で、クラウドサービスを活用します。
・情報や情報処理プロセスを外部に預ける事に伴うメリット
・利用に伴うリスクの許容可能な範囲
少し長くなりましたので、チェックリストの説明の続きは、また次回とします。
この資料の中にも、以下の文章があるように、ITコーディネータは、大きく変化した環境に即応可能な人材として、常に知識を更新して、それを実践に活かし、スキルを向上して、経営者に役立つ人材であり続けなくてはなりません。
「お知り合いのコンサルタント、ITコーディネータ、システムインテグレータ等、専門家の方に相談するのもよいでしょう。」
この続きは、次回以降に、ITコーディネータ資格の変遷や、ITコーディネータのバイブルと言われるプロセスガイドラインの内容についても紹介して行きます。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの話題として、ITコーディネータを中心に、ISACAが認定している資格の最新版が明らかになった段階で、順次お伝えして行きます。
皆さまからの、ご意見・ご感想をお待ちしております。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/