« 環境省 確定 「環境省所管分野における個人情報保護に関するガイドライン」 | Main | 会計検査院報告 平成20年度検査報告 »

2009.11.27

クラウド・コンピューティングに係わるリスクを考える際の考慮事項

 こんにちは,丸山満彦です。クラウド・コンピューティングに係るリスクを考える際の考慮事項をちょっとならべてみようと思いました。。。論理的整理なしのランダムです(ダブりあり漏れあり。。。)

 
 まず,クラウド・コンピューティングの定義をどうするのかということもありますが・・・

・セキュリティ(CIA)かセキュリティ以外のリスクも含むか
・利用者の視点かサービス提供者の視点か
・クラウドサービスのレベル(SaaS,PaaS。。。)
・パブリッククラウドかプライベートクラウドか
・仮想化技術の問題か(クラウドであれば必ず仮想技術が使われるのか?)
・外部委託一般の問題か(個人情報の越境問題は外部委託一般の問題ではないか?)


を整理して議論する必要がありますよね。。。
たしかに従来から課題ではあったが,その重要性がより高まったというのもありますでしょうけど・・・

【参考】このブログ
・2009.11.23 ENISA Cloud Computing Risk Assessment

|

« 環境省 確定 「環境省所管分野における個人情報保護に関するガイドライン」 | Main | 会計検査院報告 平成20年度検査報告 »

Comments

コンピュータ屋です。ご無沙汰です。
私も今、クラウド+SaaS上でのシステム構築及びその運用と言うことで提案中です。
企業の特定課題の第二情報ルートの話です。安いし、お守りもお任せできるなどメリットは大きいです。
しかし、おっしゃるようなリスクもまた大きいです。利用者の観点からのリスクの整理はしています。
古手のコンピュータ屋としては基幹系システムまでクラウド上は不安です。
業者さんはクラウド上のメリットばかり言われていますし、リスクとその対応もしっかり公開してほしいですね。

Posted by: コンピュータ屋 | 2009.11.28 20:40

コンピュータ屋さん,コメントありがとうございます。
クラウドコンピューティングの活用は資源を共有して使うという意味でも全体としてのコストを下げる効果は大きいと思います。
 一報,資源を共有化することによるリスクというのも同時に発生しますので,あわせて検討する必要があることは当然です。

 本当にクラウドを普及させたいのであれば,不都合な真実もあわせて説明することが求められます。
 未確定要素が少ないほうが判断がしやすいです。

 ちゃんとリスクがわかれば意外と基幹系システムをクラウド化するほうがよいという結論になるかもしれませんしね。。。

Posted by: 丸山満彦 | 2009.12.01 06:42

いつも拝見させていただいている者です。メディア系企業でセキュリティを担当しています。

クラウドとリスクについては、O'Reilly の「Cloud Security and Privacy -An Enterprise Perspective on Risks and Compliance-」という書物に大方は書き尽くされているかと思います。
また、インプレス「IT Leaders」12月号でも、「役職別に見るクラウドへの期待」という小論があり、社内でのそれぞれの立場からの観点が、ごく大雑把ながら端的に書かれています。

ITの現場と現実をご存じない上の方に、システム更新の話をすると決まって「なぜシステムを自前で持たなければならないんだ?」と仰りますが、自分(ではないにせよそれまでの経営層)が決めたリスク対応のルールに従えば利用できないことをどれだけ説明しても理解していただけず、日々悶々としています。

Posted by: media-k | 2009.12.02 23:43

万万が一、利用が不可能になった場合のフォレンジックが確立されているのか。
あと、データの所在地にもとづく、管轄国の法律の適用による問題が発生しないのか。
これは、リスクなのか、不確実性なのか。
なんてのが法律家的な話で。

#自分(ではないにせよそれまでの経営層)が決めたリスク対応のルールに従えば利用できない
というのが結論ですが、ただ、ビジネスが一般市民を巻き込んで盛り上がっているのに、傍観者でいるのもつまらないし、あと、電力の有効利用という論点を無視しえないので(地球にやさしいITさん)、

上の論点を克服できるクラウドとはどういうものか、予算でもあったら考えてみたいですね。

Posted by: 高橋郁夫 | 2009.12.06 07:30

media-kさん,コメントありがとうごあいます。ちょっと返事が遅いか。。。すみません。。。
 会社の規模ややっている事業,預ける情報など,さまざまな因子を考慮してリスク・コスト・ベネフィットの分析をしたうえで,どのような形でクラウドをとりいれるのか,そもそも利用しないのかを検討しなければいけないと思うんですね。。。何が何でもクラウドはNOというのもあり得ないし,何が何でもクラウドでというのもあり得ないと思うんですよね。。。

高橋先生,コメントありがとうございます。
=====
万万が一、利用が不可能になった場合のフォレンジックが確立されているのか。
あと、データの所在地にもとづく、管轄国の法律の適用による問題が発生しないのか。
=====
前者は仮想化されたインフラの上にデータがある場合の問題,後者は,外部委託の問題ですよね。。。
=====
ビジネスが一般市民を巻き込んで盛り上がっているのに、傍観者でいるのもつまらない
=====
高橋先生らしいコメントです!!!

Posted by: 丸山満彦 | 2009.12.09 00:54

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference クラウド・コンピューティングに係わるリスクを考える際の考慮事項:

« 環境省 確定 「環境省所管分野における個人情報保護に関するガイドライン」 | Main | 会計検査院報告 平成20年度検査報告 »