注目を集めているクラウドコンピューティング。

ユーザー企業にとっては、「所有から利用」「利用した分だけ支払う」などのメリットが強調されています。

「ＩＴ化手段の選択肢が増える」という視点は歓迎すべきでしょうが、ユーザー企業側にとっては「新たな視点でＩＴガバナンス」の確立が必要となります。

プライベートクラウドやパブリッククラウド、どちらを利用するにしても、「情報システムを安全かつ確実に運用する」視点から、以下の点を考慮すべきと考えます。

１．セキュリティや法令順守などの「増大するリスク」の管理

２．様々なクラウドセンターで利用するサービスの継続性

３．クラウドベンダーに処理を依存することによる責任範囲

４．柔軟性やスケーラビリティ及びコストなど、クラウド利用のメリットの評価

なお、ＩＴガバナンス向けのフレームワークのひとつで、世界的に普及が進んでいるのがCOBITです。

この基本原則の意味するところは、

「ＩＴ資源」を「ＩＴプロセス」によって管理することにより、「ビジネス要件」に対応したＩＴ目標が達成される。

というものです。

しかし、これまでの導入型やアウトソーシングにおいては、この３つの側面を満たすことはできましたが、クラウド利用においては変わってきます。

クラウド利用は「企業のＩＴ化手段のひとつ」と考えれば、「ビジネス要件」「ＩＴプロセス」の満たすべき基準には大きな違いはないでしょうが、「ＩＴ資源」は違ってきます。

特に重要となりそうなのは以下のプロセスですが、各プロセス配下に構成されているアクティビティ単位で多くの確認が必要です。

• ・DS1 サービス・レベルの定義と管理

• ・DS2 サードパーティのサービスの管理

• ・DS3 性能とキャパシティの管理

• ・DS4 継続的なサービスの保証

• ・DS5 システム・セキュリティの保証

• ・DS6 費用の捕捉と配布

• ・DS13 オペレーション管理

これらは、クラウドサービスの形態によっても違ってきます。

プライベートクラウドであれば、これまでの導入型と同様のコントロールができる可能性はありますが、パブリッククラウドの場合はかなり困難になります。

そこで、クラウドサービスが企業側の基準を満たしていない場合は、企業側が個別に用意するか、利用を止める判断をしなければなりません。

例えば、ＩａａＳ（HaaS）やＰａａＳの場合は、コントロールに必要な仕組みを企業側が用意しなければいけません。

• ・セキュリティは、どの様にして担保できるのか？

• ・ユーザアカウント機能は、実装できるのか？

• ・提供されるＡＰＩには、充分なコントロール機能が用意されているのか？

一方、ＳａａＳの場合は、加えて対応が困難になります。

• ・データ保管に対するコントロールは、できるのか？

• ・物理的なセキュリティは、施されているのか？

• ・障害が起きたときの対応は、どうなっているのか？

このように、利用する企業側は、各クラウドのサービスレベル（ＳＬＡ）やセキュリティ条件などを事前に確認し、ＩＴガバナンスを確立していくことが必要です。

そして、クラウドを利用する際には、

• ・ＩＴ資源の最適化視点、リスクとリターンの視点での経営判断

• ・ＳＬＡの評価やプロバイダーとの契約など、従来と異なる知識

が、企業のＩＴ部門に求められます。

以上、今回はCOBITのフレームワークに基づき概要を確認しましたが、クラウド利用に当たっては様々な課題を解決することが必要です。

情報セキュリティマネジメントシステム(ISMS　ISO/IEC 27001）や内部統制、さらには個人情報保護の視点でも、適合性を評価することも必要になります。

COBITのガバナンスモデル

COBITのガバナンスモデル 【情報システムコントロール協会（ISACA）】

COBIT：Control Objectives for Information and related Technology

企業において、「ＩＴを的確にコントロールしていくため」に考案されたガバナンスモデル（規格）

1994年に米国情報システムコントロール財団（ISACF）と情報システムコントロール協会（ISACA）によって策定が開始

1996年に初版が公開

プライベートクラウド、パブリッククラウド、IaaS(HaaS)、PaaS、SaaS