クラウドガバナンスのベストプラクティス (2024 年版)
クラウドの活用を推進する組織では、データの制御性やセキュリティを確保するためのクラウドガバナンス が必要です
クラウドガバナンス計画を策定する際には、組織としての目標を定義することが重要です。効果的なガバナ ンス施策とは、ビジネス上のニーズに合致し、ビジネス目標の達成とデータセキュリティの両方を満足する ものです。
2 まずはニーズを特定し、次に、情報セキュリティを維持すると同時に業務効率を最大化するための方法を体 系的に成文化します。
本記事では、次の事柄を中心に解説します。
- クラウドガバナンスとは?
- クラウドガバナンスが重要な理由とは?
- クラウドガバナンスの課題とは?
- 2024 年版ベストプラクティス
- 「導入後放置」を避ける
- クラウド管理ソフトウェアの活用によるクラウドガバナンスの効率化
クラウドガバナンスとは?
クラウドガバナンスは、企業が策定する一連のルールであり、アクセス権、コスト、セキュリティなど、ク ラウドの利用に関する諸条件を規定します。ガバナンスを導入することで、IT システムの運用がスムーズに なり、業務効率が向上し、クラウドシステムの有効利用が可能になります。効果的なクラウドガバナンス は、クラウドコンピューティングのメリットの最大化および、コンプライアンス問題の検知と防止に貢献し ます。
業務のクラウド移行は、時間とコストの節約効果が得られる一方で、情報セキュリティについては、これま でとは異なる対策が必要になります。
クラウドガバナンスは、企業が利用するデータストレージソリューションを基礎として企業を保護します。 詳細なポリシーを作成してさまざまな課題に対処することで、クラウド利用効果の最大化が図れます。ガバ 3 ナンスのルールは企業ごとに異なります。ビジネス上の目標とユーザーのニーズに対応するよう、ポリシー をカスタマイズすることが重要です。
ガバナンス施策を成功させるには、適切なアクションやポリシーが必要です。しかし、正しい導入と、効果 的な実施に対するコミットメントがさらに重要な要件となります。
クラウドセキュリティガバナンスとは?
セキュアなクラウド体験を可能にするポリシーを持つことは、プラスの効果をもたらします。クラウドセ キュリティガバナンスは、クラウドフレームワークの一種であり、各企業のニーズに対応する効果的なセ キュリティ管理のための一連のルールです。セキュリティに焦点を絞ることでリスク管理戦略の策定と実施 が可能になり、悪用や改ざんを行うおそれがある組織や人物によるデータアクセスを防止できます。
クラウドセキュリティガバナンス戦略は、企業におけるより大きな目標の達成を可能にします。通常の業務 を妨げることなくセキュリティ上のリスクを軽減できれば、コストの削減と生産効率の向上につながりま す。
クラウドガバナンスが重要な理由とは?
クラウドガバナンスは、クラウドコンピューティングにおける重要な側面の 1 つです。業務に関する情報が 全てクラウド上に保存されている場合には、データアクティビティの追跡、コスト管理および、リスク回避 のための包括的な手段が必要になります。
クラウドのインフラは物理的なデータインフラとは異なるため、クラウド機能のガバナンスが重要になりま す。クラウドが登場するまでは、企業はデータセンターでファイルを保管していました。すなわち、リモー トからのハッキングが困難な、またはハッキングが不可能な場所に、情報の物理的なコピーを保管していま した。
しかし、物理的なインフラには、ストレージ容量の制限だけでなく、情報の検索・分類・送信に時間がかか るといった問題がありました。クラウドコンピューティングは、このような問題の解決策となります。
クラウドコンピューティングがもたらすメリットとは?
クラウドに保存されたデータには、世界中からいつでもすぐにアクセスできます。ストレージ容量はほぼ無 制限で、全てのファイルを保管するスペースを確保できます。また、どこからでもデータセンターにアクセ スできるため、企業が所有する情報のアクセス・共有が容易になり、コミュニケーションが促進され、迅速 な対応が可能になります。
さらに、クラウドソリューションの多くが、ユーザーが選択・利用しているリソースに対してのみ料金が発 生する従量課金制を提供しており、少ない初期コストで利用できるというメリットがあります。
クラウドコンピューティングは物理的なデータインフラとは異なるため、メンテナンス戦略も、物理的なイ ンフラとは異なるものになります。従来型の IT ガバナンス戦略では、クラウドプロセスには対応できませ ん。クラウドガバナンスでは、長期的に有効な完結した単一のシステムを設定するのではなく、継続的なメ ンテナンスを通じて、刻々と変化するインターネットセキュリティやデータ機能の現状に対応します。
クラウドガバナンスの課題とは?
クラウドセキュリティとガバナンスの導入においては、プラットフォームが提供するメリットを犠牲にせず に、十分なセキュリティ対策を講じなければなりません。保護対策のニーズは各社さまざまで、ニーズの内 容によっては、クラウドガバナンスポリシーの強化が必要になる場合があります。
ポリシーを作成する際に留意すべきクラウドコンプライアンスおよびガバナンスの課題を以下に示します。
1. 未整理の情報
物理的なモノがないため追跡しにくく、データの保存場所や送信先を把握できなくなるおそれがあります。 ファイルの分類が適切でないと、データを誤った場所に置いてしまう、情報を共有する際に十分なセキュリ ティが確保されない、といった問題につながります。コンテンツガバナンスが機能していない状況下では、 コンプライアンスの問題も生じやすくなります。
どのようなファイルがあるか、どこにあるのかの追跡を怠ると、ファイルの重複やバージョン管理の問題な どの発生リスクが高まります。また、重要な情報がすぐに見つからないことで、業務効率が低下します。 ファイルが正しく分類・整理・保護されていないと、権限のない人物が秘密ファイルにアクセスするリスク も高まります。
2. 不明瞭なポリシー
クラウドガバナンスポリシーは、セキュリティと運用に関するルールと期待値が明確化されている場合に最 も効果を発揮します。しかし、企業の目標や価値観が適切に言語化されていない、複雑で不明瞭な内容に なってしまうことも珍しくありません。そのような状況では、社員やパートナー、顧客は、どのルールに従 えばよいのかわからず、企業の信頼性にも悪影響が及びます。
さらに、不明瞭な定義や期待値によって誤解が生じると、結果として実効性のないポリシーになってしまい ます。また、経営幹部がガバナンスの意思決定プロセスに積極的に参加していない場合には、重要な要件や 徹底すべきルールが見逃されるおそれがあります。
3. セキュリティの問題
業界標準に沿ったクラウドガバナンスポリシーの実施や更新を怠ると、コンプライアンス違反のリスクが生 じます。さらに、そのような企業のクラウド環境では、システムの脆弱性、データ侵害、アクセス管理の不 備などのセキュリティ上の問題が発生しやすくなります。
クラウド環境では、情報や権限の共有が容易です。このことは、メリットでもあり、危険な点でもありま す。多くの企業が、コンテンツの共有を推進するあまり、必要のないアクセス権を付与しています。また、 権限の有効期限を管理しておらず、ユーザーがプロジェクトに関与しなくなったり、退職したりした後も、 ファイルへのアクセス権が残ったまま長期間放置されているケースも少なくありません。
ファイルへのアクセス権を持つ人の数が多ければ多いほど、ファイルの脆弱性が高まります。アクセスすべ きでない人物が秘密データにアクセスできる状況下では、データ保護への配慮がなされず、データが利用・ 共有されるおそれがあります。
4. 制御不能なコスト
クラウドガバナンスへの投資は、データセキュリティの実現において重要です。しかし、必要以上のコスト がかかっている部分は見直しが必要です。あらゆる業務がクラウド上で行われているケースでは、プロセス の追跡が困難になる点にも留意すべきです。
アプリケーションを実行したまま放置したり、クラウドストレージを必要以上に消費したりすることで、ク ラウドコストが増大することがあるため、注意が必要です。
5. 非効率性
生産効率は、いかなる企業においても全社的な最優先事項の 1 つです。しかし、ガバナンス計画を策定して も、クラウドサービスを最大限に活用できるとは限りません。
無秩序なデータ構造システム、必要以上のサービスの利用によるワークロードの分散や一貫性の欠如など、 さまざまな問題がクラウドの非効率性の要因となります。業務をセキュアに保護し、短い時間でより多くの 業務を遂行するには、クラウドサービスを戦略的に選び、利用することが極めて重要です
2024 年版ベストプラクティス
7 クラウドベースのデータストレージは進化しており、テック業界の成長とともに情報や業務のセキュアな保 護に貢献しています。クラウドソフトウェアも、かつてないほど優れたものになっています。しかし、強力 なデータストレージプラットフォームと進化するソリューションを最大限に活用するには、詳細なプランニ ングが不可欠です。
重要なコンプライアンス要件を満たすと同時に、必要なリソースに誰もが容易にアクセスできる環境を実現 するための、クラウドガバナンスのベストプラクティスを以下に示します。
1. フレームワークを構築する
クラウドガバナンスのフレームワークは、効果的なデータセキュリティを実現するための枠組みとなりま す。クラウドにおけるリスク管理のベストプラクティスを示すものでもあり、クラウドリソースを利用する 理由や、業界および企業の目標に沿った戦術をいかにして改善できるかといった事柄の明文化に役立ちま す。ビジネス上のニーズに適したものを、複数のフレームワークから選択できます。
自社に特化したガバナンス計画をめざすとしても、既に確立されたフレームワークを活用することで、優先 すべき事柄を整理しやすくなります。また、標準化された方法でのクラウドインフラの構築が容易になり、 ビジネスやクラウドの成長に対応しやすくなります。
業界や地域によっては、企業や顧客の情報の保護に最善を尽くしていることを示すため、特定のフレーム ワークへの準拠が義務づけられている場合があります。また、著名なフレームワークへの準拠は、一定基準 の情報保護が確保されることの証となり、潜在顧客やパートナーからの信用にもつながります。
2. コンプライアンスを優先事項とする
FedRAMP、HIPAA、ISMAP などの主要なデータセキュリティ基準へのコンプライアンスは、効果的なクラ ウドガバナンスの実践において極めて重要です。業界内での信用が高まるとともに、コンプライアンスを維 持することで、顧客や企業の重要なデータの保護が容易になります。
クラウドガバナンス戦略では、コンプライアンスの達成と維持に必要な全てのツール、プロセスおよび、責 任者を明確に定義する必要があります。
コンプライアンス戦略を確立するための主な手順を以下に示します。
- ポリシー・アズ・ア・コード」モデルの導入:セキュリティポリシーをシステムにコーディングして 組み込み、セキュリティの脅威が発生したときの対応を自動化する。手順が確実に実行されるよう、執 行エンジンを使用することも可能。
- 高頻度の監査:セキュリティ対策の定期的な監査により、重要なポリシーによるコンプライアンスを徹 底させる。この対策により、データの保護能力に対する信頼感を関係者に与えることができる。コンプ ライアンスを維持するには、監査手順、データ保持・証拠保全(リーガルホールド)レポートなどのド キュメントも重要。
- クラウド機能の活用:クラウドサービスプロバイダが提供するデータガバナンス機能を活用して自動化 を可能にする。ドキュメントの自動破棄、保持スケジュールの設定、コンテンツの削除に関する詳細な 制御、防御可能な証拠開示は、クラウドガバナンスのプロセスをフリクションレスにするために欠かせ ない機能となる。
3. ビジネス目標に沿ったクラウドインフラを構築する
クラウドサービスは、企業の目標や価値観に合致してこそ効果を発揮します。クラウドソリューションに移 行する際には、ビジネス面・財務面の長期的な目標を明らかにする必要があります。めざすところが明確に なれば、目標達成に直接役立つクラウドサービスを導入できます。業界を問わず、自社のビジネスモデルを 第一に考えることで、ニーズにあったクラウドガバナンスポリシーを策定できます。
クラウドソリューションは常に進化しています。したがって、柔軟に変化するビジネスパートナーとして捉 えるべきかもしれません。各ビジネス目標が現在と将来のクラウド利用にどのように影響するか、クラウド 自体の変化・進化が長期計画にどう影響するかを整理するとよいでしょう。
自社の目標に合致したクラウドの導入・運用をめざすには、自社の経営陣がガバナンスポリシーの策定に参 加し、それぞれの役割を果たすことが重要です。企業の責任者としてポリシーに関する意思決定を承認する には、クラウドが自社のビジネスの軌道に沿ったものであることを確認する必要があります。
経営陣が連携し、わかりやすく言語化された権威のあるポリシーを策定します。ビジネス目標に沿う内容を 明瞭に示すことで、ポリシーを遵守するにはどうすればよいか、ポリシーが業務にどのような影響を及ぼす かを、社内の全員が理解できるようになります。
4. ID・アクセス管理を導入する
どのようなデータがどこにあるかを把握できたら、次は、誰がどのファイルにアクセスできるのか、アクセ スすべきなのかを明確にします。ID・アクセス管理は、誰がデータを使用するかの制御を可能にします。 ユーザーポリシーは、誰がどのデータを閲覧できるか、不正アクセスをどのように保護するかについて、企 業が従うべきクラウドガバナンスルールを定めたものです。
自社に最適なアクセス管理ポリシーの内容は、管理対象となる社員や顧客の数によって変わります。小規模 な組織では、クラウドのアカウント管理ポータルを使用することで、権限の設定や全員の行動の追跡ができ ます。大規模な組織では、ユーザー認証プロセスをより複雑なものにする必要があるかもしれません。
多要素認証(MFA)などのツールは、システムにログインしようとする人物が本人であることを確認するの に便利です。MFA では、まずログイン認証情報を入力し、次に以下のようなタスクを完了することで、本人 確認を行います。
- スマートフォンのプッシュ通知に応答する
- 個人的なセキュリティ質問に答える
- 物理的なキーカードをスワイプする
- 指紋をスキャンする
- ワンタイムパスワードをメールで受信する
悪意のある行為者は、上記のタスクを完了できないため、クラウド環境は不正アクセスから保護されます。
クラウドシステムにおけるユーザーアクセスの管理方法にかかわらず、企業のデータに対して許される行為 と許されない行為を明確に区別する必要があります。社内の各役割を確認し、それぞれのニーズに従って認 証や権限の設定を行います。
また、企業の成長と変化にあわせて、アクセス権限の正確な監視を可能にする自動化や分析を取り入れるこ とも有用です。組織内の各人がどのようにデータを使用しているかを把握することで、不要なアクセス権 限、削除すべき高リスクなアクセス権限などの検知が可能になります。
個人またはグループのアクセス権限は、業務の効率化に必要なデータとアプリケーションに限定することが 重要です。過剰な権限が与えられた ID は、クラウドの脆弱性につながる要因の上位に挙げられています。ア クセス権限をできるだけ制限することで、セキュリティと生産効率の向上が図れます。
アクセス権限の定期的な見直しも必要です。また、社員や顧客の追加・削除などの変化に応じて更新しま す。社員や顧客が新しく加わったときには、業務に必要なリソースへの迅速なアクセスが重要になります。 10 一方で、企業のデータへのアクセスが不要になった人物の権限は抹消し、データ漏えいを防止しなければな りません。
5. コスト管理を行う
クラウドサービスに対する支出の追跡・分析は、対価に見合う活用の実証、すなわち投資効果の最大化に欠 かせません。クラウドコンピューティングは、企業の成長に役立つ複数の要素を提供します。自社には不必 要な要素にコストをかけているケースも少なくありません。
効果的なクラウドガバナンスポリシーを導入することで、過剰なコストをかけずにアセットを増やすことが できます。クラウドリソースを定期的に見直すことで、使用していないサービスの停止や、ソリューション の効果的な活用の推進など、業務の効率化につながる措置が可能になります。
分析は、各部門や社員がクラウドをどのように利用しているかを把握するのに役立ちます。この情報によっ て、必要な機能と不要な機能が明確になり、不要なクラウド機能を停止することで、コスト削減につながり ます。また、費用対効果を最大化できるよう、維持したいリソースの最適な利用方法を決定するのにも役立 ちます。
クラウド利用計画をより具体的なものにすることで、クラウドを利用するチームがコンテンツプラット フォームを整然とした状態に保ち、サービスを最大限に活用できるようになり、結果として生産効率が高ま ります。また、また、クラウドのコストを正確に把握することで、全社的なテクノロジー予算の策定にも役 立ちます。
6. 自動化を取り入れる
自動化とは、特定のプロセスにテクノロジーを適用し、人の介入を最小限に抑えて、スピード・信頼性・効 率性を向上させる行為です。クラウドコンピューティングサービスで自動化を行うことで、ヒューマンエ ラーの多くを回避し、業務活動を迅速化できます。
ガバナンスは、自動化対策を支援する有効な手段の 1 つです。クラウドガバナンスポリシーには、自動化対 策としてどのようなツールやプロセスを採用するかが明文化されている必要があります。これらを決定する 際には、生産性の向上を考慮しなければなりません。導入することで効率が高まり、課題が解決し、業務を 容易にするようなテクノロジーを選択すべきです。
データの保存と共有の自動化には、ビジネスの目標によってさまざまな形があります。例えば、モニタリン グやアラートを目的とする場合は高精度な自動化ツールが必要となり、組織全員による目標達成を迅速化す るには、データベースや Web サーバーの導入が有用です。自動化は、自律的なワークフローによってヒュー マンエラーを抑制し、組織全体の生産効率を高めるケースで大きな効果をもたらします。
導入後放置」を避ける
ガバナンスポリシーの定期的な見直しは、クラウドサービスの導入・運用において最も重要な取り組みの 1 つです。
クラウドストレージが登場するまでは、データの保護と整理は組織内のデータベースで自己完結していまし た。個別のデータセンターは、大規模・高速で、絶えず進化する昨今のクラウドテクノロジーよりも管理が しやすいという利点があります。多くのケースで、ガバナンス計画を一度策定すれば、変更せずに長期にわ たって効果的に実行できました。
一方、クラウドシステムは、より広範な保護機能を提供するため、従来型とは異なる管理が必要です。進化 する権限管理などの機能を常に監視し、企業の成長にあわせてデータをセキュアに保護しなければなりませ ん。さもなければ、偶発的または意図的なセキュリティ侵害が発生し、インフラを脅かすことになります。
ルールとポリシーを定期的に見直し、クラウドサービスをユーザーが十分に活用できる状態を維持すると同 時に、セキュリティ、整理・分類、コスト削減を最大限に実現できるよう、継続的な改善を行うことが重要 12 です。保護と安定性のレベルを長期にわたって一定以上に保つには、企業の成長にあわせてクラウドガバナ ンスルールを見直す必要があります。
コンテンツクラウドがお役に立ちます
Box のコンテンツクラウドを利用することで、あらゆるコンテンツを単一のセキュアなプラットフォームで 管理できます。ファイルの作成、共同編集、共有、電子サイン、分類、保管など、コンテンツのライフサイ クル全体の管理が可能です。また、社内外を問わず、誰とでも容易にコンテンツを共同制作できます。フリ クションレスな(摩擦のない)、エンタープライズグレードのセキュリティとコンプライアンスは、Box の 根幹をなす概念です。お客さまのコンテンツは確実に保護されます。Box は、1,500 以上のアプリとのシー ムレスな統合に加えて、Box Sign をはじめとするネイティブな機能を豊富に備えています。Box のコンテン ツクラウドは、各ユーザーが最適な環境で業務を遂行できるよう、単一のコンテンツレイヤーを提供しま す。
コンテンツクラウドは、お客さまの組織全体のゲームチェンジャーとなり、ワークフローを合理化し、全て の部門の生産性を向上させます。Box の導入に関するご相談・お問い合わせを承っております。こちらの ページからお気軽にご連絡ください。
**Box は、高度なプライバシー、セキュリティ、コンプライアンスを備えた製品とサービスの提供に尽力し ています。ただし、このブログ記事で提供される情報は、法的助言の提供を意図したものではありません。 適用される法律の遵守を検証する際には、見込み顧客および既存顧客が自らデューデリジェンスを実施する ことを推奨します。