クラウドサプライチェーンのエンド・ツー・エンドに潜むリスクを理解する

デジタル時代におけるクラウドガバナンスを構築するポイント

  • 2024-06-25

はじめに

クラウドサービスを利用する企業が増える中で、シャドーITやユーザーに起因するインシデントが増えています。手軽にクラウドサービスの利用を開始できる一方で、エンド・ツー・エンドのクラウドサプライチェーンのリスクを踏まえたクラウドの選定や運用方針の整備など、ガバナンス面が追いついていないことが一因です。さらに、マルチクラウド/ハイブリッドクラウド環境が主流となっていく中で、クラウドサービスに適したITガバナンスの見直しが急務となっています。今回は、クラウドガバナンス構築の際のポイントを解説します。

クラウド利用開始後も定期的にリスクを確認し、適切にコントロール

とはいえ、こうした認証を取得しているサービスであれば、手放しに安全が保証されるわけではないことも認識しておく必要があります。また、全てのクラウドサービスがこれらの認証を取得しているわけではありません。クラウドサービス利用開始後も定期的に自社の基準でチェックし、リスク管理を継続することが重要なポイントとなります。

また、ユーザー側の「パスワード設定が不十分」「設定ミス」などのリスクインシデントを防ぐために、自社のセキュリティポリシーを定めるとともに、技術的にコントロールを行うことも一案です。例えば、アクセス制御に関わるものであればCASB、ワークロードを保証したいのであればCWPP、設定値を保証したいのであればCSPM/SSPMの導入が考えられます。自社にふさわしいクラウドのセキュリティポリシーの策定、またポリシーの適用・遵守方法が分からない場合には、コンサルタントなど第三者からの助言や支援を受けることもよいでしょう。
 

専門家からのアドバイスで変化するリスクに対処

クラウドサービスは使い始めたら終わりということではありません。時間とともにクラウドサプライチェーンのプレーヤーを取り巻く外部環境も変わり、それに伴って新たなリスクが生まれる可能性もあります。個々の企業が自力でその動きに追従するのは、相当な労力を要することも事実です。最新のサイバー攻撃のトレンドに合わせて、自社のセキュリティポリシーを見直す必要がないか、自社のクラウド管理・選定方針を見直す必要がないかなど、常に周囲の動向に注目しておく必要があります。また定期的にリスクアセスメントを実施し、リスクが大きいと判断したものについては、設定値の見直しやクラウドサービス自体の利用停止、他のクラウドサービスへの乗り換えを検討する場合も出てくるでしょう。

そのようなケースにおいては、セキュリティコンサルティングの専門サービスを提供する企業に支援を仰ぐことも有効です。PwCコンサルティング合同会社ではクラウドリスクに関する最新の情報提供やその対応策の提示、セキュリティアセスメントの実行、社内チェック体制のアドバイスなど、時代に合ったクラウドサービスのリスク管理の実現に向けた支援を行っています。

まとめ

企業がクラウドサービスを利用する際にはエンド・ツー・エンドのサプライチェーンリスクを認識することが重要であり、自社が抱えるリスクとクラウド提供事業者が抱えるリスクを分けて考え、各々に対して適切な対応を継続的に行うことが大切です。

今後、ますますマルチクラウド/ハイブリッドクラウド環境が主流となる中で、本稿がITガバナンスを見直すきっかけとなれば幸いです。

執筆者

濱野 真子

シニアマネージャー, PwCコンサルティング合同会社

Email

インサイト/ニュース

20 results
Loading...

CSDDDに関する日本企業の課題意識調査 “やっている”から“できている”へ──問われる人権対応の真価

2024年7月に発効したEUのコーポレート・サステナビリティ・デューディリジェンス指令(CSDDD)は、適用対象企業に人権および環境デューディリジェンスの実施や開示などを義務付けるものです。日本企業の人権尊重への取り組みCSDDDへの対応状況、克服すべき課題を調査しました。

サプライチェーンのレジリエンスを高めるKPI管理の重要性

現在のビジネス環境は、消費者ニーズの多様化やグローバル競争の激化に加え、気候変動や地政学的リスクなどの外部環境の急速な変化が企業の事業ポートフォリオに影響を与えており、予測の不確実性を前提にした柔軟な対応策が不可欠です。その対策として、KPI管理の高度化に向けた取り組みについて解説します。

Loading...

本ページに関するお問い合わせ

We unite expertise and tech so you can outthink, outpace and outperform
See how