企業には、企業管理のためのコーポレートガバナンスルール、慣行、プロセスがすでに存在している可能性があります。このフレームワークは、企業の戦略、倫理的振る舞い、そしてリスク管理に対応しています。コーポレートガバナンスは、サプライヤー、株主、経営幹部などの企業の利害関係者の利益のバランスをとる上で重要な役割を果たしています。
クラウドへの移行が増え続ける中、企業はプロセスを新しいテクノロジーに適応させる必要があります。このために、クラウドガバナンスを使用します。クラウドガバナンスは、フレームワークとして機能し、コーポレートガバナンスと同様に、クラウドでサービスを実行するために設計されています。クラウドでの作業は、チームに効率性とイノベーションの機会を提供しますが、潜在的なリスクとセキュリティの問題ももたらします。クラウドガバナンスフレームワークは、セキュリティリスクの低減や、クラウドの円滑な運用に役立ちます。
クラウドガバナンスとは?
クラウドガバナンスとは、クラウドを構築して使用する企業が使用する一連のポリシーとルールです。このフレームワークは、データセキュリティ、システム統合、およびクラウドコンピューティングの展開を適切に管理するために設計されています。クラウドシステムは動的で、サードパーティベンダーや社内のさまざまなチームが関与します。このため、クラウドガバナンスソリューションは、様々な状況への適応性を備えている必要があります。
クラウドガバナンスフレームワークを適切に使用することで、リスクが管理され、データセキュリティが強化され、企業のクラウドシステム運用が可能になります。ITに適しているこのクラウドコンピューティングガバナンスの手法により、リソースとリスクのバランスが取られ、責任が明らかにされます。クラウドガバナンスが存在しないと、クラウドシステムの統合が不十分になり、ビジネス目標との整合性が欠如するリスクが生じるため、クラウドシステムの展開に関連する新しいセキュリティ問題に直面します。
クラウドガバナンスの利点
優れたクラウドガバナンスフレームワークは、企業に次の利点をもたらします。
- リソース管理が改善され、クラウドで別々に作業する異なるチーム間での重複がなくなります。
- サイバー犯罪者を阻止するために設計された包括的なルールと保護を導入することで、クラウドセキュリティの問題が改善されます。
- シャドーIT(IT部門の承認を受けずにアプリケーション、ソフトウェア、サービスを使用すること)を抑制できます。
- 企業全体で同じルールに従ったクラウドコンピューティングを確立することで、管理上のオーバーヘッドと労力が削減されます。
企業がパブリッククラウドを使用するかプライベートクラウドを使用するかにかかわらず、クラウドコンピューティングガバナンスが提供するクラウドセキュリティは極めて重要です。企業は、クラウドを円滑に運用するために、クラウドガバナンスの原則に沿っていることを確認する必要があります。
クラウドガバナンスフレームワークのセットアップ
企業でクラウドガバナンスフレームワークを設定するには、次の3つのステップを実行します。
- コントロールの定義:財務と運用の両方のコントロールを定義します。これには、HIPAAなどの規制ルールに従うこと、使用するクラウドインスタンスの数を制限すること、クラウドコンピューティング環境を変更できる権限を持つユーザーを決定することが含まれます。
- コントロールの実装:ビジネスニーズに適したルールを定義するポリシードキュメントを作成したら、それらのコントロールを実装します。チームや従業員とコミュニケーションを取り、必要に応じてサードパーティのツールをコントロールの実装に利用します。
- コントロールの監査:コントロールを継続的にモニタリングして、すべてにおいて適切なことが適切な方法で実行され、適切な方法でモニタリングされていることを確認します。
クラウドガバナンスの6つの原則
コントロールは、問題の回避、発生した問題の検出、すでに発生した問題の修正のために設計できます。
コントロールを検討する際に、クラウドガバナンスの6つの原則を考慮する必要があります。
| 原則 | 説明 |
|---|---|
| 1. 財務管理 | この原則は、ガバナンス構造の戦略の作成と実装を中心に展開され、クラウドの非効率性やクラウドのコスト増加に対処します。使用するサードパーティベンダーや、パブリッククラウドとプライベートクラウドのどちらで作業しているかが影響する可能性があります。財務管理に時間を費やすことで、クラウドのコストを把握できるようになります。 |
| 2. コストの最適化 | 財務管理と同様に、クラウドコストの測定、モニタリング、最適化は、クラウドガバナンスフレームワークの重要な原則の1つです。コスト最適化に関連する手順とツールにより、企業はクラウドの経費を管理しながら、クラウドへの投資を最大化できるようになります。 |
| 3. オペレーショナルガバナンス | クラウドコンピューティングの場合、オペレーショナルガバナンスはデータセキュリティを強化し、クラウドを円滑に運用し、リスクを管理するために設計されています。これにより、企業はポリシーをビジネスプロセスとして提示し、これらのポリシーを企業全体に適用できるようになります。 |
| 4. パフォーマンス管理 | これは、クラウドシステムが適正なレベルで機能しているかどうかを調査し、改善すべき部分を特定するために使用されます。パフォーマンス管理は、ハードウェアと仮想システムの実際のパフォーマンスに注目し、ワークロードとメモリの使用量を確認します。 |
| 5. 資産管理と設定管理 | 資産管理は、ITサービスやクラウドサービスを提供するためにビジネスで使用するアセットに関与します。設定管理は、ITサービスやクラウドサービスのコンポーネント間の関係に関与します。この原則により、クラウドサービスと成果物がモニタリングされ、一貫性と品質が確保されます。 |
| 6. セキュリティとインシデントの管理 | クラウド運用のセキュリティを確保し、侵害が発生した際の対応計画を策定することは、クラウドでの作業に不可欠です。クラウドセキュリティポスチャー管理 (CSPM) は、脅威の検知、継続的なモニタリング、自動可視化を使用してリスクを特定し、修復できる優れたフレームワークです。クラウド環境内の設定ミスを特定することで、パブリッククラウド、プライベートクラウド、ハイブリッドクラウドセキュリティを強化できます。 |
クラウドガバナンスの実装における課題
これらの原則を検討し、クラウドガバナンスをセットアップするステップを進める一方で、実装に関連する課題を理解することが重要です。
クラウドガバナンスフレームワークを実装する際の最も一般的な課題として、クラウドの導入、クラウド内のデータの管理、クラウドセキュリティの3つがあります。これらの課題に留意することで、企業にクラウドガバナンスを効果的に実装できます。
クラウドの導入
クラウドコンピューティングを新たに導入する企業の課題として、スキルギャップ、既存のデータセンターへの投資、ベンダーロックインなどがあります。クラウドのスキルを身につけるためにチームをトレーニングすることは、クラウドコンピューティングを採用する前の重要なステップです。オンプレミスのデータセンターからクラウドへの移行における、企業のコストと、その移行プロセスを理解することも重要です。一部のサードパーティベンダーは、顧客企業をロックインして、環境を構築した後にベンダーを簡単に変更できないようにします。
また、経営陣の同意に関する課題や、パフォーマンスとリスクの測定指標の欠如に関する課題も見つかる可能性があります。認証情報やアクセス管理、不十分なアイデンティティプロトコル、クラウドに精通していないセキュリティチームは、企業のセキュリティに影響を与える可能性があります。これらのリスクと課題を軽減するために、管理コントロールを運用に組み込み、運用モデルを作成することが重要です。
クラウドでのデータ管理
クラウドでのデータ管理には、情報セキュリティに関連する課題もあります。企業で使用するデータの種類に関する規制に従うことは、データガバナンスフレームワークの重要な側面です。企業のニーズと、クラウドデータガバナンスに関連する法律を理解することが重要です。企業がベストプラクティスに従っていれば、クラウドガバナンスを使用してビジネスの成功を支援できます。
クラウドセキュリティ
クラウド環境は独特の性質を持っています。そのため、クラウドガバナンスに関連する課題の多くは、データ侵害やシステムの脆弱性などのクラウドセキュリティの課題です。強力なクラウドセキュリティ戦略を構築することは、攻撃者から組織のクラウド環境を守るために不可欠です。
詳細
クラウドに影響を与える可能性のある最も一般的なリスク、脅威、課題を把握し、それらから保護する方法を知るために、クラウドセキュリティに関する12の問題についての投稿をお読みください。読む:クラウドセキュリティに関する12の問題
クラウドガバナンスとベストプラクティス
クラウドガバナンスフレームワークがベストプラクティスに従っていることを確認することは、クラウドで企業を成功に導くための正しいステップです。クラウドガバナンスモデルは、ビジネスガイドとしても使用できます。
クラウドガバナンスポリシーの主要な3つのコンポーネントは、財務管理、自動化とオーケストレーション、そして継続的なコンプライアンスです。財務管理は、クラウドガバナンスの複数の原則に沿っていて、ビジネスのコスト管理に役立ちます。自動化とオーケストレーションは、企業がクラウドを円滑に運営する上で役立ちます。ルールや規制へのコンプライアンスは、どのような企業にとっても必須です。
クラウドセキュリティガバナンスの目的には、リスク管理、戦略的整合性、価値提供が含まれます。企業でこれらの目標を達成するために、次のベストプラクティスを利用できます。
- 実際のコスト削減を決定するための厳格なプロセスを開発して、コスト管理を実現します。
- ガバナンスチームを結成して、企業全体のチームがフレームワークに従っていることを確認します。
- プログラムコントロールを設定して、プロセスを自動化し、セキュリティプロトコルを確立します。
詳細
上記のベストプラクティスをよく理解し、クラウドセキュリティのベストプラクティスに関する投稿を読んで、他のベストプラクティスについても学習することで、クラウド環境を確実に保護することができます。読む:クラウドセキュリティのベストプラクティス
クラウドガバナンスに使用できるガバナンスモデルとして、次のものがあります。
- ITIL v3:クラウドコンピューティングの基礎となるサービス管理のプロセスガイダンスとベストプラクティスが含まれています。
- COBIT 5:企業のITガバナンスのためのフレームワークです。
- COSO:支援組織委員会 (Committee of Sponsoring Organizations) により作成された内部コントロールのフレームワークです。
企業目標と一致するフレームワークとベストプラクティスを選択する必要があります。
クラウドストライクのクラウドセキュリティソリューション
クラウドガバナンスの課題を把握し、ビジネスニーズに応じて設計した後に、そのクラウドガバナンスを実装します。クラウドのセキュリティに関する効果的なクラウドガバナンスを実現する際に、多くの場合、サードパーティのツールが重要な役割を果たします。
CrowdStrike Falcon®プラットフォームは、CrowdStrike® Security Cloudを搭載しています。リアルタイムの攻撃の痕跡 (IOA)、脅威インテリジェンス、進化する攻撃者の手口、企業全体からの充実したテレメトリを活用して、超高精度の検知、自動化された保護と修復、精鋭による脅威ハンティング、優先付けされた脆弱性のオブザーバビリティを提供します。
