見出し画像

リスク管理の目線でクラウドサービスの評価項目を考える

ぼんつと

今やビジネスの世界やプライベートにおいて当たり前のように活用しているクラウドサービス。一方で、情報漏えい、データ消失、サービス終了などの重大なリスクをはらんでいます。
特に業務でクラウドサービスに大きく依存していたり、個人情報や営業秘密といった機微な情報をクラウド上で管理している場合、万一こうしたリスクが顕在化したときの影響は計り知れません。

ここでは、リスク管理の一貫として、クラウドサービスを利用するにあたって「そのサービスを安心して利用し続けることができるかどうか」を評価するためのガイドライン策定の第一歩として、評価項目を洗い出してみたいと思います。

供給者の信頼性

まずは、そのサービスを供給している事業者(サービス供給者)の信頼性に関する評価項目です。
サービス供給者が信頼に値する組織であるだけでなく、その組織自体が今後も存続し続けられるかどうかが大きなポイントと考えます。

運営組織の基本情報
・運営組織名
・組織の所在地
・代表連絡先
・資本金
・従業員数
・株式公開
継続性
・運営組織の創業時期
・当該サービスの開始時期
・当該サービスの利用実績

サービスの信頼性

次にサービス自体の信頼性に関する項目です。そのサービスは安定して稼動するのか、稼動状況を把握することは可能か、停止するときには事前に連絡があるのか等、利用側としては一番気になるところだと思います。

稼動状況/稼動率
・ダッシュボード等の有無
・稼動率保証値
・稼動率実績値
・稼動率保証値未達の場合の補償内容
・サービス停止等の事故履歴
計画的停止
・事前通知のリードタイム
・停止の最大時間
障害時の復旧等
・障害発生時の通知方法
・通知のタイミング
・復旧までの見込み時間
・復旧途中での情報提供方法
・障害発生中のサポート体制
データの所在地
・サーバー所在国/地域

最後の「データの所在地」について簡単に補足します。
サーバーが所在する国/地域によっては、機微な情報を当該国/地域の域外に持ち出すことに対して厳しい規制や場合によっては罰則が設けられていたり、法的紛争になったときに不利な条件を強いられる可能性があったりするため、意外と注意が必要です。

セキュリティ対策

サービスの安定稼動と並んで利用者としていちばん気になるのがセキュリティ対策でしょう。ここ最近相次いでいる、誰もが知るような大企業での情報漏えい事件を取り上げるまでもなく、預けている情報がその企業にとって重要な価値を持つほど、クラウドサービスのセキュリティ対策というのは利用者にとって大きな関心事です。

規程類
・情報セキュリティに関する規定
・プライバシーポリシー
・ID/パスワード管理規定
システム
・OSアップデート方針
・セキュリティパッチ適用方針
・システム・バックアップ方針
・可用性を担保するための対策
データ管理・保護
・暗号化の自動実施
・データ・バックアップ
ネットワーク/通信
・ウィルス/マルウェア感染対策
・不正アクセスへの対策
・Dos攻撃への対策
・その他、ネットワーク障害・攻撃に対する監視・検知、解析、防御策
データセンター
・防犯
・入退出管理
・災害対策
・死活監視

利用者サポート

利用者目線で考えると、サポート体制がどれだけ充実しているのかも、長くサービスを利用し続ける上での重要な評価ポイントのひとつです。

操作方法の説明等
・オンライン・ヘルプ
・ユーザーズマニュアル
FAQ
・FAQの使いやすさ、有効性
サポート窓口
・受付方法
・受付時間
・費用の有無
通知
・メンテナンス等の事前通知
・障害発生時の通知
ユーザーコミュニティ
・サポート掲示板
・ユーザーグループ

利用終了時

最後に、利用終了時における対応です。
サービスの利用を終了するシナリオとして、利用者の判断で利用を終了するケースと、サービス供給者の都合でサービスを終了するケースがあります。
特に後者の場合、そのサービスに対する業務の依存度が高ければ高いほど、早い段階で代替手段を検討しなければなりません。
また、クラウド上に預けたデータを利用者側が保存した上でクラウド上から確実に消去されることの保証も重要です。

リードタイム
・サービス終了時の告知期間
・解約に要する期間
データの確保
・終了/解約時のデータ保存方法
・保存できるデータ形式
データの消去
・利用終了後のユーザーデータのクラウド上からの抹消についての保証

最後に

以上、ざっと項目を並べただけですが、少しでもクラウドサービス選定の参考になれば幸いです。
冒頭でも述べたとおり、クラウドサービスは非常に便利で今やなくてはならない存在である一方、万一事故が起きたときの影響は年々大きくなっている気がします。
結局のところ、クラウドサービスの供給者任せにするのではなく自分の身は自分で守るしかない、ということです。

※参考
https://booklog.jp/users/tutoi/archives/1/4335356811
https://amzn.to/3pMqV3o


この記事が気に入ったらサポートをしてみませんか?