メディア
特集
» 2022年07月08日 07時00分 公開

クラウドサービス導入の落とし穴 ユーザー部門が抱える3つの問題セキュリティチェックシート問題を徹底解説

「クラウドサービスを利用するためのリスク評価とコントロール」について解説する連載初回は、クラウドサービスのセキュリティチェックにまつわる問題を情報システム部門の視点で解説しました。2回目の本稿では、クラウドサービスの導入部門であるユーザー部門に焦点を当てていきます。

[井上 幸,ミツカル]

 前回の記事では、クラウドサービスのセキュリティチェックにまつわる問題を、チェック者である情報システム部門の視点でお伝えをしました。2回目の本稿では、クラウドサービスを導入するユーザー部門が抱える問題を解説します。

 近年、クラウドサービスの導入部門が情報システム部門からユーザー部門に移りつつあります。従来はパッケージ・クラウドサービスにかかわらず、システムを入れる際は情報システム部門に相談し、予算も情報システム部門で負担するのが一般的でした。しかし、爆発的なクラウドサービスの導入ニーズの増加に伴い、サービスの選定や購買、セキュリティチェックなど、予算も含めてユーザー部門が主導権を持つようになってきています。こういった導入部門の変化が、実はセキュリティチェックシートに関するさまざまな問題を引き起こす要因の一つになっています。

著者プロフィール:井上 幸(ミツカル 代表取締役)

新卒でワークスアプリケーションズに入社し、ERPの営業や統合ID管理システムの導入・保守に携わる。その後、リクルートにて法人営業・コンサルタントを経て、新規事業開発へ異動。HR系SaaSの企画・営業担当として、サービスの成長に寄与した。パーソルグループのCVCにてベンチャーキャピタリストとして従事した後、株式会社ミツカルを2020年6月に創業しベンダーリスクマネジメントSaaS「Conoris」を提供している。


セキュリティチェックでユーザー部門が果たす役割

 セキュリティチェックは一般的に下図のようなプロセスで実施されます。ユーザー部門はチェックの起点となりつつ、クラウドサービス事業者と情報システム部門の間にも立ちます。

セキュリティチェックシートの3社間のやりとり(出典:ミツカル提供資料)

 一般的に、ユーザー部門はクラウドサービス事業者や情報システム部門と比較してセキュリティやクラウドサービスの知識が不足しています。それにもかかわらず、クラウドサービス事業者や情報システム部門の間にいることが、3者のコミュニケーションが円滑に進まない原因となることがあります。

 クラウドサービスのリスク評価は、クラウドサービス側のセキュリティ対策や運用管理体制のリスクが注目されがちです。しかし、ユーザー部門がどのような目的でどのようにサービスを利用するのかということは、クラウドサービスの実態の把握と同じくらい大切です。

ユーザー部門が抱える3つの問題

 昨今クラウドサービスに関連したセキュリティインシデントが世間を騒がせていますが、サービス提供者が直接の原因になるものは多くはありません。Gartner(米ガートナー)は「Is the Cloud Secure?」で「2025年までに、クラウド関連のセキュリティインシデントの99%はユーザー企業側が原因になる」と予測しています。

 ここからは、現場でサービス導入をするユーザー部門の抱えるもののうち、クラウドサービス利用上のリスクにつながる3つの問題を解説します。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。