クラウドが世に広がったことで、企業は、かつてないほど容易にITの恩恵をビジネスに取り入れられるようになった。ただ、「サービス事業者と自社とでサービス提供・運用における責任を共有する」「それぞれのクラウドサービスで責任の範囲が異なる」という特徴から、責任範囲やセキュリティレベルを適切に評価して導入しなくては、クラウドの活用は、情報漏えいやデータ消失といった思わぬ損失を生むリスクとなりかねない。
こうした背景から、クラウドの導入/利用にあたっては、セキュリティ部門でリスクを評価するプロセスが欠かせない。しかし、右図にあるような [セキュリティ部門 ⇔ ユーザー部門 ⇔ サービス事業者] というリスク評価の流れだと、どうしても、サービス事業者の回答の信頼性に不安が残る。また、業務プロセスが非効率なために、サービス利用ニーズに対応が追い付かない恐れもある。
本稿で紹介するクラウドリスク評価「Assured (アシュアード)」は、クラウド時代で起きているセキュリティリスク評価の課題をクリアにするものだ。以下のリンクでは同サービスの紹介資料がご覧いただける。ここでは簡単に、サービスの概要を説明したい。
ビジョナル・インキュベーション 提供資料
[サービス資料] クラウドリスク評価「Assured (アシュアード)」
> > 資料ダウンロードはこちら
クラウドのリスク評価情報を1つのプラットフォームに統合
Assuredは、各種クラウドのセキュリティ評価情報を提供するサービス。Assuredにあるデータベースにアクセスすることで、企業は、利用中の (または利用を検討している) クラウドに関わるリスク評価情報を、集約して参照することができる。
データベースにあるリスク評価情報はビジョナル・インキュベーションの調査員が中立的に評価したものであり、サービス事業者の回答以上の信頼性を担保することが可能。また、リスク評価にあたっては「自らの評価方法に不安が残る」こともあるだろう。右図にあるように、Assuredでは評点やリスク項目にくわえ、具体的な想定リスクについても個々のクラウドについて情報化されているので、自社での評価を精緻化するうえでも有用だ。
セキュリティリスク評価を在るべき姿に
このAssuredを利用すると、セキュリティリスク評価のプロセスはどう変わるか。冒頭の図と以下のものとを比べてみてほしい。セキュリティ部門はAssuredへアクセスするだけでいいため、評価の精度を高めるだけでなく業務効率化の面でも劇的な効果を生むのがわかる。
以上、Assuredの概要を簡単に説明した。資料では企業における実際の活用事例やそこでの利用シーンも交えながら、同サービスについて詳細に解説している。クラウド時代のいま、セキュリティリスク評価は "重い課題" として企業にのしかかってきている。評価の水準を担保しながら業務負荷を下げる有効な手法として、ぜひAssuredを検討してみてほしい。
ダウンロード資料のご案内
ビジョナル・インキュベーション 提供資料
[サービス資料] クラウドリスク評価「Assured (アシュアード)」
> > 資料ダウンロードはこちら
[PR]提供:ビジョナル・インキュベーション