皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリストこと、ITコーディネータの元村憲一です。
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
ブログの第220回目は、このブログの本題になっている GEITについての続きです。
これまでほとんどは、ISACAの話題を中心にお伝えして来ましたが、第210回目からは、ISACAを離れて、日本のGEIT人材であるITコーディネータについて、お伝えしています。
【ITコーディネータ関連の環境変化の続き6】
ITコーディネータ制度は、経済産業省が、日本の競争力を回復する高度人材として、未来を見据えた構想の中で制度化した割には、10年以上経った現在でも、非常に認知度が低く、その活用も不十分な状態が続いています。
第213回から、この十数年の間に起こった、ITに関係する最大の環境変化の、オンプレミスからクラウドへの移行についてお伝えしています。
今回も引き続き、クラウドコンピューティング型のサービスを有効に利活用する方法について、説明します。
前回同様、中小企業向けとして、IPA(独立行政法人情報処理推進機構)のセキュリティセンターが、2011年4月25日に公表した、以下ページにある2つの資料で、説明して行きます。
・「中小企業のためのクラウドサービス安全利用の手引き」、および「クラウド事業者による情報開示の参照ガイド」について
参照URL:
https://www.ipa.go.jp/security/cloud/tebiki_guide.html
・『中小企業のためのクラウドサービス安全利用の手引き』
・『クラウド事業者による情報開示の参照ガイド』
今回から、『クラウド事業者による情報開示の参照ガイド』についてをお伝えします。
このガイド(『クラウド事業者による情報開示の参照ガイド』)は、前回までお伝えしていた『中小企業のためのクラウドサービス安全利用の手引き』に対応する形式となっています。
『中小企業のためのクラウドサービス安全利用の手引き』は、クラウドサービスを利用するユーザ(利用者)側の立場で、以下を紹介し、利用に際して準備・確認すべき項目を示して、解説しています。
・解説
・利点
・留意事項
・利用事例
・期待効果
この利用に際して確認すべき項目の多くは、クラウドサービスの提供事業者(以下、クラウド事業者)が開示する情報に関するものです。
中小企業によるクラウドサービスの安全利用のためには、必要な情報が適時適切にクラウド事業者から提供される事が望まれます。
そこで、このガイドでは、『中小企業のためのクラウドサービス安全利用の手引き』に対応した視点から、クラウド事業者側に、以下の情報開示に関して、期待される姿を示しています。
・開示項目
・開示方法
クラウドサービスの特徴である、オンデマンドセルフサービスを実現するためにも、このガイドに則したクラウド事業者からの積極的な情報の提供が期待されています。
『中小企業のためのクラウドサービス安全利用の手引き』では、クラウド事業者の開示する情報について、説明してきた通り以下の6カテゴリを提示しています。
1. 事業者の信頼性
2. サービスの信頼性
3. セキュリティ対策
4. 利用者サポート
5. 利用終了時のデータの確保
6. 契約条件の確認
このガイドは、これらの6カテゴリ毎に、以下の3項目を示しています。
・対応する『中小企業のためのクラウドサービス安全利用の手引き』の記述
・開示が望まれる情報項目
・開示の方法(案)
このガイドで提示している項目は、クラウド事業者が、全てを公開しなければならないというものではありません。
利用者自らが、クラウドサービスの利用について判断する際に参照すべき情報として提示しています。
必要に応じて限定された情報項目や開示方法(既存会員限定など)で、提供するような事も考えられます。
以下の状況が実現する事を目標に、作成されています。
・クラウド事業者側に、特段の負担が増える事がない
・利用者側にとって、必要な情報が提供される
・中小企業によるクラウドサービスの利用が促進される
1. 事業者の信頼性
・対応する『中小企業のためのクラウドサービス安全利用の手引き』の記述
(9)クラウドサービスを提供する事業者は信頼できる事業者ですか?
そのサービスを提供するクラウド事業者の経営が安定して信頼できるか、サービスの提供が長期間安定して行われるかを確認しましょう。
事業者の信頼性とは、クラウドサービス利用者にとって、サービスの安定性と継続性は重大な関心事です。
経営の財務上および事業運営上の持続性と安定性を示す情報が求められています。
具体的には、以下の項目がそのようなニーズを満たすものと考えられます。
・開示が望まれる情報項目
・企業の存在に関する情報
・サービスの継続性に関する情報
・サービスの購入や利用に関する参考情報
・制度に基づいて開示される企業情報
◇企業の存在に関する情報
・企業名
・企業の所在地
・連絡先(電話、FAX、電子メール)
・その他
◇サービスの継続性に関する情報
・創業の時期
・当該クラウドサービスの開始時期
・当該クラウドサービスの利用実績
・その他
◇サービスの購入や利用に関する参考情報
・販売代理店
・提携先
・その他
◇制度に基づいて開示される企業情報
・株式公開
・内部統制報告書
・情報セキュリティ報告書
・情報セキュリティ監査報告書
・ASP・SaaSの情報開示指針に基づく開示
・その他
『中小企業のためのクラウドサービス安全利用の手引き』では、以下の様な項目が判断の参考になりますとして、示しています。
(ア)株式公開企業であるか
(イ)何年業務を続けているか
(ウ)利用者の数が多いか
(エ)事故の情報がたびたび聞かれたりしないか
万一の障害対応がきちんと行われているか
(オ)そのサービスを、事業実績のあるシステムインテグレータやITの販売店が代理販売しているか
(カ)対象のクラウドサービスが、大手クラウド事業者が提供するプラットフォーム上で提供されているか
・開示の方法(案)
事業者の信頼性に関する情報は、ウェブサイトやサービスカタログに記載されていると良いでしょう。
利用者は、サービスの詳細を確認するとともに、サービスを提供する事業者を確認しますので、サービスを紹介したウェブサイトやカタログから直接確認できることが望ましいでしょう。
少し長くなりましたので、『クラウド事業者による情報開示の参照ガイド』の説明の途中で終了して、続きは次回以降とします。
このガイドでは、クラウドサービスの利用が促進されるように、クラウド事業者側への情報開示を促しています。
このガイドに則した情報開示が行われて、多くの中小企業の方々にとって、以下の環境が整う事が、期待されています。
・クラウドを正しく安全に利用する
・IT利活用の効果を経営に活かす
・ITセキュリティのレベルアップを実現する
ITコーディネータは、以下の2つの資料を十分に理解して、経営者を支援できる人材であり続けなくてはなりません。
・『中小企業のためのクラウドサービス安全利用の手引き』
・『クラウド事業者による情報開示の参照ガイド』
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの話題として、ITコーディネータを中心に、ITコーディネータ資格の変遷や、ITコーディネータのバイブルと言われるプロセスガイドラインの内容、ISACAが認定している資格の最新版が明らかになった段階で、順次お伝えして行きます。
皆さまからの、ご意見・ご感想をお待ちしております。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/