英国 会計検査院 (NAO) クラウドサービスについての監査委員会向け指針 (2024.09.12)
こんにちは、丸山満彦です。
英国の会計検査院 (NAO) が、クラウドサービスについての監査委員会向け指針の更新をしていますね...
いろいろな意味で参考になると思います...
● U.K. National Audit Office; NAO
・2024.09.12 Guidance for audit committees on cloud services
| Guidance for audit committees on cloud services | 監査委員会向けクラウドサービスに関する指針 |
| This is the latest version of our cloud guidance for audit committees updating guides published in 2021 and 2019. Since 2021 more of the public sector has adopted cloud services, with a matching increase in government spending with the big cloud providers. Many found our previous guide to be valuable, so we have updated it to reflect the evolution of cloud services. | これは、2021年と2019年に発行された監査委員会向けクラウドサービスに関する当社の指針の最新版である。2021年以降、公共部門ではクラウドサービスの採用が増加しており、大手クラウドプロバイダとの政府支出も増加している。当社の以前のガイドは多くの人々にとって有益であったため、クラウドサービスの進化を反映させるために更新した。 |
| Government has developed digital policy to support moving to the cloud for over a decade, and the number of cloud services continues to increase. But some organisations may lack the capacity and expertise to choose the right services for their needs. | 政府は10年以上にわたり、クラウドへの移行を支援するデジタル政策を展開しており、クラウドサービスの数は増加し続けている。しかし、組織によっては、ニーズに合ったサービスを選択するための能力や専門知識が不足している場合もある。 |
| Our guide sets out specific questions for audit committees to consider when engaging with their management on this. | 本指針では、経営陣とこの問題について話し合う際に監査委員会が考慮すべき具体的な質問を提示している。 |
| It takes a lifecycle approach and poses informed questions at three key stages: | 本ガイドではライフサイクル・アプローチを採用し、次の3つの主要な段階において、適切な質問を提示している。 |
| ・Strategic assessment of cloud services: This section covers both first-time adoption and continuing re appraisal and re-evaluation of cloud services. | ・クラウドサービスの戦略的アセスメント:このセクションでは、クラウドサービスの新規導入と継続的な再適用・再評価の両方を対象としている。 |
| ・Implementation of cloud services: This covers mid-lifecycle implementation and considers system configuration, data migration, and service risk and security issues when moving from one cloud provider to another, or from on-premises to cloud for the first time. | ・クラウドサービスの導入:これはライフサイクルの中盤における導入をカバーし、システム構成、データ移行、およびクラウドプロバイダから別のプロバイダへの移行、あるいはオンプレミスからクラウドへの初めての移行におけるサービスリスクとセキュリティの問題を考慮する。 |
| ・Management and optimisation of cloud services: This later lifecycle section covers operational considerations, the need for assurance from third parties, the capabilities needed to manage live running, and how to continue to control costs. | ・クラウドサービスの管理と最適化:これはライフサイクルの後半におけるセクションで、運用上の考慮事項、サードパーティによる保証の必要性、稼働中の管理に必要な機能、およびコスト管理の継続方法についてカバーする。 |
・[PDF]
| Strategic assessment of cloud services | クラウドサービスの戦略的アセスメント |
| 1 Digital strategy | 1 デジタル戦略 |
| 2 Business case | 2 ビジネスケース |
| 3 Due diligence | 3 デューデリジェンス |
| 4 Lock-in and exit strategy | 4 ロックインと出口戦略 |
| Implementation of cloud services | クラウドサービスの導入 |
| 1 System configuration | 1 システム構成 |
| 2 Risk and security | 2 リスクとセキュリティ |
| 3 Implementation | 3 導入 |
| Management and optimisation of cloud services | クラウドサービスの管理と最適化 |
| 1 Operations | 1 運用 |
| 2 Assurance | 2 保証 |
| 3 Capability | 3 機能 |
質問表以外...
| Guidance for audit committees on cloud services | 監査委員会向けクラウドサービスに関する指針 |
| About our guide | 本指針について |
| Who is the guide for? | 本指針は誰を対象としているのか? |
| We published the original edition of our Guidance for audit committees on cloud services in 2019, with an updated version issued in 2021. Gaining suitable assurance is complex and difficult, and our aim is to help audit committees understand the cloud-related questions they might need to ask of management. | 2019年に初版を発行した監査委員会向けクラウドサービスに関する指針の改訂版を2021年に発行した。適切な保証を得ることは複雑で困難であり、当社の目的は、監査委員会が経営陣に尋ねる必要があるかもしれないクラウド関連の質問を理解する手助けをすることである。 |
| Since we last published this guidance, more of the public sector has adopted cloud services, with a matching increase in government spending with the big cloud providers. Government’s digital and commercial functions have also continued to develop their cloud strategy and associated guidance for the public sector. | 前回本指針を発行して以来、公共部門ではクラウドサービスを採用する機関が増え、大手クラウドプロバイダへの政府支出も増加している。また、政府のデジタルおよび商業機能も、公共部門向けのクラウド戦略および関連指針の開発を継続している。 |
| Our audience found our previous guide to be valuable, so we have updated it to reflect the growing adoption and evolution of cloud services and to keep it relevant. | 前回の指針は読者から有益であるとの評価をいただいたため、クラウドサービスの採用と進化を反映し、関連性を維持するために更新した。 |
| What does the guide cover? | 本指針ではどのような内容を取り上げているのか? |
| Our guide sets out specific questions for audit committees to consider when engaging with their management. Our other related support for audit committees includes Cyber security and information risk guidance for audit committees and Transformation guidance for audit committees. In addition, we have published a guide to Digital transformation in government and a report on the Use of artificial intelligence in government. | 本指針では、経営陣と関わる際に監査委員会が考慮すべき具体的な質問を提示している。 監査委員会向けのその他の関連サポートには、監査委員会向けサイバーセキュリティおよび情報リスクに関する指針、および監査委員会向けトランスフォーメーション・指針がある。 さらに、政府におけるデジタル・トランスフォーメーションに関する指針、および政府における人工知能の利用に関するレポートも発行している。 |
| This guide takes a lifecycle approach and poses informed questions at three key stages. | 本指針ではライフサイクル・アプローチを採用し、3つの重要な段階で適切な質問を提示している。 |
| • Strategic assessment of cloud services: This section covers both first-time adoption and continuing re-appraisal and re-evaluation of cloud services as part of early lifecycle organisational and digital strategies, the business case process, and due diligence. | ・クラウドサービスの戦略的アセスメント:このセクションでは、初期のライフサイクルにおける組織戦略およびデジタル戦略、ビジネスケースプロセス、デューデリジェンスの一環として、クラウドサービスの新規導入と継続的な再評価・再検討の両方を対象としている。 |
| • Implementation of cloud services: This section covers mid-lifecycle implementation and considers system configuration, data migration, and service risk and security issues when moving from one cloud provider to another, or from on-premises to cloud for the first time. | ・クラウドサービスの導入:このセクションでは、ライフサイクルの中盤における導入を取り上げ、システム構成、データ移行、およびクラウドプロバイダを変更する場合や、オンプレミスからクラウドに初めて移行する場合のサービスリスクとセキュリティの問題について検討する。 |
| • Management and optimisation of cloud services: This later lifecycle section covers operational considerations, the need for assurance from third parties, the capabilities needed to manage live running, and how to continue to control costs. | ・クラウドサービスの管理と最適化:このライフサイクル後期のセクションでは、運用上の考慮事項、サードパーティによる保証の必要性、稼働中の管理に必要な機能、およびコスト管理の継続方法について取り上げる。 |
| Why does this need attention? | なぜ注意が必要なのか? |
| Government has developed digital policy to support moving to the cloud for over a decade, and the number of cloud services continues to increase. But some organisations may lack the capacity and expertise to choose the right services for their needs, implement them securely, and continue to use them effectively. In particular, organisations should not under-estimate the cost and effort of moving to cloud solutions and the investment needed in skills and processes to manage and optimise them. These challenges are most likely where multiple suppliers are involved. The skills needed are not just technical ones. Commercial skills will also be needed to understand and manage cloud services. Also, senior management needs to understand the risks involved. | 政府は10年以上にわたり、クラウドへの移行を支援するデジタル政策を展開しており、クラウドサービスの数は増加し続けている。しかし、組織によっては、ニーズに合ったサービスを選択し、安全に導入し、効果的に使い続けるための能力や専門知識が不足している場合がある。特に、クラウドソリューションへの移行にかかるコストや労力、およびソリューションの管理と最適化に必要なスキルやプロセスへの投資を、組織は過小評価すべきではない。こうした課題は、複数のサプライヤーが関与している場合に最も発生しやすい。必要なスキルは、技術的なものだけではない。クラウドサービスを理解し、管理するためには、商業的なスキルも必要となる。また、経営陣は関連するリスクを理解する必要がある。 |
| Well-managed cloud services can be more secure than local or on-premises technology. The threat levels for both are broadly the same, but cloud providers can use economies of scale and concentration of expertise to their advantage. This strength of scale offers a level of security that would be difficult for many organisations to provide on their own. Cloud providers invest heavily in security because otherwise their businesses are at risk. However, customers should not assume that the cloud provider is taking care of all aspects of security on their behalf. Some services have differently priced options with different levels of security features available. All cloud services require users to ensure that the security set-up is in line with their needs, including that data is not left open to a wider audience than intended. This point cannot be over-emphasised: the key to a successful security implementation in a cloud environment is understanding where the cloud provider’s responsibilities end and where the customer’s responsibilities begin. This is called the ‘shared responsibility model’. | 適切に管理されたクラウドサービスは、ローカルまたはオンプレミスのテクノロジーよりも安全である可能性がある。両者の脅威レベルはほぼ同じであるが、クラウドプロバイダーは規模の経済と専門知識の集中を活用できる。このスケールメリットにより、多くの組織が独自に提供するのは難しいレベルのセキュリティが実現されている。クラウドプロバイダは、そうしなければビジネスにリスクが生じるため、セキュリティに多額の投資を行っている。しかし、顧客はクラウドプロバイダがセキュリティのあらゆる側面を代行していると考えるべきではない。一部のサービスでは、セキュリティ機能のレベルに応じて価格設定が異なるオプションが用意されている。すべてのクラウドサービスにおいて、ユーザーはセキュリティ設定が自社のニーズに合致していることを確認する必要がある。その中には、意図した範囲を超えてデータが公開されないようにすることも含まれる。この点は強調し過ぎることはない。クラウド環境でセキュリティを適切に実装するための鍵は、クラウドプロバイダの責任がどこまでで、顧客の責任がどこから始まるかを理解することである。これを「共有責任モデル」と呼ぶ。 |
| Implementation of cloud services is not a ‘once and done’ endeavour. While the cloud may sometimes save money, organisations should not assume this will always be the case without a detailed analysis of their total cost of operation and the opportunities for optimisation. For example, a ‘lift and shift’ migration of existing applications to cloud hosting is likely to require further work to take maximum advantage of the benefits that a cloud environment can offer. It does not automatically improve the data or applications themselves. | クラウドサービスの導入は「一度きり」で済むものではない。クラウドはコスト削減につながることもあるが、運用コストの総額や最適化の可能性について詳細な分析を行わずに、常にそうなるだろうと想定すべきではない。例えば、既存のアプリケーションをクラウドホスティングに「リフト&シフト」で移行しても、クラウド環境が提供するメリットを最大限に活用するには、さらなる作業が必要になる可能性が高い。データやアプリケーション自体が自動的に改善されるわけではない。 |
| Introduction | 序文 |
| An overview of cloud services | クラウドサービスの概要 |
| Cloud services are a combination of systems and data hosted by third parties and accessed by users over the internet. This is in contrast with traditional systems where hardware and software are maintained on an organisation’s own premises and accessed over a traditional corporate local or wide area network. Cloud services are not a new concept and have been available in one form or another for over 25 years. Today many organisations invest heavily in the cloud and well-established offerings are now available to meet a wide range of organisational needs, including business and financial systems. | クラウドサービスとは、サードパーティがホスティングするシステムとデータで構成され、インターネットを介してユーザーがアクセスするものである。これは、ハードウェアとソフトウェアを組織の自社施設で管理し、従来の企業内LANやWANを介してアクセスする従来のシステムとは対照的である。クラウドサービスは新しい概念ではなく、25年以上前から何らかの形で利用されてきた。現在では多くの組織がクラウドに多額の投資を行っており、ビジネスや財務システムなど、幅広い組織のニーズに対応する確立されたサービスが利用可能になっている。 |
| Cloud services are heavily promoted as providing a wide range of benefits, including efficiency, flexibility and security. These benefits may be achieved through the cloud provider’s access to resources, expertise and economies of scale. | クラウドサービスは、効率性、柔軟性、安全性など、幅広いメリットを提供すると強くアピールされている。これらのメリットは、クラウドプロバイダがリソース、専門知識、規模の経済にアクセスできることで実現される可能性がある。 |
| Cloud financial and operating models have moved away from capital investment funding and fixed utilisation arrangements to more flexible models such as ‘pay as you go’, which transfer more costs to operating expenditure. This gives organisations the opportunity to flex demand to pay only for what is required, provided that arrangements are suitably optimised to take advantage of this flexibility. | クラウドの財務および運用モデルは、資本投資による資金調達や固定利用契約から、より柔軟な「利用した分だけ支払う」モデルへと移行しており、より多くのコストが営業費用に転嫁されるようになっている。これにより、組織は必要に応じて柔軟に需要を調整し、必要なものだけに対して支払うことができる。ただし、この柔軟性を活用するには、適切な最適化が前提となる。 |
| The National Cyber Security Centre (NCSC) provides a useful overview of the main cloud service and deployment models.1 Illustrative pricing models for cloud services can be found in Appendix One of this guidance. Broadly speaking, cloud offerings can be thought of in two main categories. | 英国サイバーセキュリティセンター(NCSC)は、主なクラウドサービスおよび展開モデルの概要をわかりやすく提供している。1 クラウドサービスの価格モデルの例は、本指針の附属書1を参照のこと。 概して、クラウドサービスは主に2つのカテゴリーに分類できる。 |
| • Cloud services and software: Pre-built software applications that are accessed over the internet, such as finance and human resources systems and productivity suites. | • クラウドサービスおよびソフトウェア:財務や人事システム、生産性スイートなど、インターネット経由でアクセスする構築済みのソフトウェアアプリケーション。 |
| • Cloud hosting and platforms: Cloud-based components such as servers and platforms (infrastructure) that an organisation can use to build a customised service. | • クラウド・ホスティングおよびプラットフォーム:組織がカスタマイズしたサービスを構築するために使用できる、サーバーやプラットフォーム(インフラ)などのクラウドベースのコンポーネント。 |
| Moving to the cloud is often not straightforward. Appendix One contains a brief overview of dealing with legacy technology in the context of contemplating a move to cloud services. | クラウドへの移行は、必ずしも単純明快なものではないことが多い。附属書1には、クラウドサービスへの移行を検討する際にレガシー技術を扱う際の概要が記載されている。 |
| What is government policy on cloud services? | クラウドサービスに関する政府の政策とは? |
| Government encourages public sector organisations to adopt cloud solutions where they offer better quality of service or value for money. It has developed its policy since 2013, when it expressed an explicit preference for public cloud over other deployment models. This ‘cloud first’ policy was re-assessed in 2019 and, although the policy remains “consider using public cloud solutions first” it is acknowledged that cloud solutions may not be right in all situations. | 政府は、より質の高いサービスやコストパフォーマンスの高いソリューションを提供するクラウドソリューションを公共部門の組織に採用するよう奨励している。政府は2013年以降、その方針を策定しており、その際には他の展開モデルよりもパブリッククラウドを明確に優先する意向を表明した。この「クラウドファースト」の方針は2019年に再アセスメントされ、方針は「まずパブリッククラウドソリューションの利用を検討する」という内容に変更されたが、クラウドソリューションがすべての状況に適しているわけではないことが認められている。 |
| Government guidance continues to evolve, and organisations should ensure they are aware of the latest developments published in the Cloud guide for the public sector.2 | 政府による指針は引き続き進化しており、組織は「公共部門向けクラウド指針」で公表されている最新動向を把握しておくべきである。2 |
| 1National Cyber Security Centre, Cloud security guidance: Service and deployment models, accessed 18 July 2024. | 1 National Cyber Security Centre, Cloud security guidance: Service and deployment models, accessed 18 July 2024. |
| 2Central Digital and Data Office and Government Commercial Function, Cloud guide for the public sector, accessed 18 July 2024. | 2 Central Digital and Data Office and Government Commercial Function, Cloud guide for the public sector, accessed 18 July 2024. |
| Strategic assessment of cloud services | クラウドサービスの戦略的アセスメント |
| What does this section cover? | このセクションでは何を扱うのか? |
| This section covers strategic choices for both first-time adoption and ongoing evaluation of cloud services as part of organisational and digital strategies, the business case process, due diligence assessments and lock-in and exit considerations. | このセクションでは、組織戦略およびデジタル戦略の一環として、クラウドサービスを初めて採用する場合と継続的に評価する場合の両方における戦略的選択肢、ビジネスケースプロセス、デューデリジェンスアセスメント、ロックインと撤退の検討事項を扱う。 |
| Why is this important? | なぜこれが重要なのか? |
| Management should set clear criteria for success so that it can properly evaluate the options available. Organisations need to strategically evaluate what is most suitable for their needs and keep this under review as the cloud market continues to evolve and mature. This includes issues related to supplier lock-in and related exit strategies from cloud service providers. | 経営陣は成功の明確な規準を設定し、利用可能な選択肢を適切に評価できるようにすべきである。組織は、自らのニーズに最も適したものを戦略的に評価し、クラウド市場が引き続き進化し成熟するにつれ、これを継続的に見直していく必要がある。これには、サプライヤーのロックインに関する問題や、クラウドサービス・プロバイダーからの撤退戦略などが含まれる。 |
| 1 Digital strategy | 1 デジタル戦略 |
| A successful digital strategy should be central to the wider organisational vision and strategy, taking due account of government’s aim to move towards a more streamlined and consistent set of services over time. Management should guard against technology-led decision making. It should first develop robust organisational and digital strategies that meet the business need, and then establish a clear view of technological requirements to support the needs of the business. Smaller bodies may find it beneficial to engage external expertise to help them understand and navigate the various options. | 成功するデジタル戦略は、より広範な組織のビジョンと戦略の中心となるべきであり、政府が目指す、より合理化され一貫性のあるサービス群への移行を考慮すべきである。経営陣は、テクノロジー主導の意思決定に陥らないよう注意すべきである。まず、ビジネスニーズを満たす強固な組織戦略とデジタル戦略を策定し、次に、ビジネスニーズをサポートするテクノロジー要件の明確なビジョンを確立すべきである。小規模な団体は、外部の専門家の支援を受け、さまざまな選択肢を理解し、選択することが有益である。 |
| 2 Business case | 2 ビジネスケース |
| Cloud service providers advertise a range of potential benefits. These include cost efficiencies, adaptability, scalability, and security. However, the cost of cloud services can vary significantly depending on uncertain factors like user numbers and data volumes, as well as currency exchange fluctuations. Different suppliers have different elements to their pricing. Some features may not be included in base level services, and upgrade costs to obtain such features need to be fully understood. The benefits of adaptability and flexibility depend on the complexity of implementation and the extent to which services are provided ‘as is’ or need to be tailored. The advantages of cloud technology can be significant enough to justify the extra effort needed for accurate forecasting. However, the skills to implement cloud services are different from those required to implement and maintain more traditional on-premises or outsourcing arrangements. Moving from a single prime supplier to an environment involving multiple suppliers will call for a service integration and management skillset, which must be developed and maintained. Users will need to adapt to a culture of more frequent changes and improvement to the systems they work with, and not feel threatened by it. | クラウドサービスプロバイダは、さまざまな潜在的なメリットを宣伝している。これには、コスト効率、適応性、拡張性、セキュリティなどが含まれる。しかし、クラウドサービスのコストは、ユーザー数やデータ量、為替レートの変動などの不確定要素によって大きく異なる可能性がある。サプライヤーによって、価格設定の要素は異なる。基本レベルのサービスには含まれない機能もあり、そのような機能を得るためのアップグレード費用を十分に理解しておく必要がある。適応性と柔軟性のメリットは、実装の複雑さや、サービスが「現状のまま」提供されるか、カスタマイズが必要かによって異なる。クラウド技術のメリットは、正確な予測に必要な追加の労力を正当化するに十分なほど大きい。しかし、クラウドサービスの導入に必要なスキルは、従来型のオンプレミスまたはアウトソーシングの導入・維持に必要なスキルとは異なる。単一の主要サプライヤーから複数のサプライヤーが関わる環境に移行するには、サービス統合と管理のスキルセットが必要となり、それらを開発し維持しなければならない。ユーザーは、使用するシステムがより頻繁に変更され改善されるという文化に適応し、それによって脅威を感じないようにする必要がある。 |
| 3 Due diligence | 3 デューデリジェンス |
| There is a wide variety of cloud service providers, and many are global suppliers. The providers on G-Cloud are pre-screened only to check they are suitable to work with government, and not to provide assurance on their specific services. Selection criteria should, therefore, cover the specific needs of the organisation. The organisation should conduct due diligence on shortlisted suppliers to check they meet all security requirements, relevant standards, regulations, and business-specific needs. It should continue to perform periodic due diligence once a service is implemented. Organisations have a responsibility both to ensure security ‘of’ the cloud (provider responsibility) and security ‘in’ the cloud (customer responsibility). Organisations not only need to gain assurance over cloud providers but also their own organisation’s security and associated accreditations, and to ensure nothing can ‘fall between the gaps’ due to a misunderstanding of their own responsibilities relative to those of their cloud providers. | クラウドサービスプロバイダには多種多様な業者が存在し、その多くはグローバルなサプライヤである。G-Cloudのプロバイダは、政府との取引に適しているかどうかを事前に確認するのみであり、特定のサービスに関する保証を提供するものではない。したがって、選定規準は組織の特定のニーズをカバーするものでなければならない。組織は、最終選考に残ったサプライヤについてデューデリジェンスを実施し、すべてのセキュリティ要件、関連標準、規制、および業務固有のニーズを満たしていることを確認すべきである。また、サービスが導入された後は、定期的にデューデリジェンスを実施すべきである。 組織には、クラウドのセキュリティを確保する責任(プロバイダの責任)とクラウド内のセキュリティを確保する責任(顧客の責任)の両方がある。 組織はクラウドプロバイダのセキュリティを確保するだけでなく、自社のセキュリティと関連する認定も確保する必要がある。また、クラウドプロバイダのセキュリティに対する自社の責任を誤解して、「すきま」が生じないようにしなければならない。 |
| Organisations should be clear that they are responsible for the security of their own data in the cloud. The supplier may provide a secure technical environment but identifying and addressing data breaches remains the responsibility of the client organisation. It is not sufficient to be a passive consumer of cloud services. | 企業は、クラウド上の自社データのセキュリティに責任を負うことを明確にすべきである。プロバイダは安全な技術環境を提供することはできるが、データ侵害の識別と対処は依然として顧客企業の責任である。クラウドサービスを単に受動的に利用するだけでは不十分である。 |
| 4 Lock-in and exit strategy | 4 ロックインと出口戦略 |
| Lock-in arises where an organisation depends heavily on products and services from a particular supplier. It can also arise where an organisation uses more than one cloud provider but depends on each for a specific service. Switching to a different technology or provider can be difficult, time-consuming and expensive. There are two main types of lock-in. | ロックインは、組織が特定のサプライヤの製品やサービスに大きく依存している場合に発生する。また、組織が複数のクラウドプロバイダを利用しているものの、各プロバイダを特定のサービスに依存している場合にも発生する。異なるテクノロジーやプロバイダへの切り替えは、困難で時間も費用もかかる可能性がある。ロックインには主に2つのタイプがある。 |
| ・Commercial: Long and inflexible contracts can prevent organisations from changing their technology strategy when circumstances change. Commercial lock-in is to be avoided. Government advice is that it can be reduced by agreeing shorter contracts, with organisations ensuring that they retain the intellectual property of their products and services as well as access rights to their data. However, shorter contracts can bring their own problems. Organisations will have to run procurement and evaluation exercises more frequently. Vendors may be less inclined to offer incentives than they would be for a longer-term relationship. | ・商業的:長期かつ柔軟性のない契約は、状況が変化した際に組織がテクノロジー戦略を変更することを妨げる可能性がある。商業的ロックインは回避すべきである。政府の助言では、より短期の契約を締結することで、組織が自社製品およびサービスの知的財産とデータへのアクセス権を確保しながら、商業的ロックインを軽減できるとしている。しかし、短期の契約には独自の課題もある。組織は調達と評価をより頻繁に行う必要がある。ベンダーは、長期的な関係よりもインセンティブを提供することに消極的になる可能性がある。 |
| ・Technical: While there may be no commercial barriers to moving from one provider to another (for instance, an organisation is approaching the end of its contracted term or is on a pay-as-you-go pricing model), doing so may represent a significant technical and cost challenge. Technical lock-in cannot be avoided entirely, and trying to do so at all costs has its own downsides. Deep integration with a specific cloud provider’s service may provide significant technical or business benefits, but may simultaneously increase the risk of technical lock-in. If an organisation only uses cloud providers in such a way as to be able to migrate off them again easily, this can severely restrict the features and functionality it is able to use. Doing so could compromise the value of moving to the cloud. In most cases a trade-off is involved, and each organisation needs to determine its own approach and judge the degree of lock-in it is willing to accept. Organisations should explore ways to mitigate technical lock-in risks by using approaches such as open standards. | ・技術的:プロバイダを変更することに商業的な障壁がない場合(例えば、契約期間が終了間近である、または従量課金制の価格モデルである場合)でも、技術的およびコスト面で大きな課題となる可能性がある。技術的なロックインを完全に回避することはできない。また、何としてでも回避しようとすると、それ自体にデメリットが生じる可能性がある。特定のクラウドプロバイダのサービスと深く統合することで、技術面やビジネス面で大きなメリットが得られる可能性があるが、同時に技術的なロックインのリスクも高まる可能性がある。企業がクラウドプロバイダを、簡単に乗り換え可能な方法でしか利用しない場合、利用可能な機能や機能性が大幅に制限される可能性がある。そうすることで、クラウドへの移行の価値が損なわれる可能性がある。ほとんどの場合、トレードオフが伴うため、各企業は独自の方法を見出し、どの程度のロックインを受け入れるかを判断する必要がある。企業はオープン標準などのアプローチを使用することで、技術的ロックインのリスクを低減する方法を模索すべきである。 |
| An exit strategy is one of the most important components of a cloud strategy, even if it is never called upon. It should weigh the impact of changing provider against the benefits of staying. Organisations may find it useful to be in a position where they can give an indication of the costs and timescales for exiting from each of their cloud providers, the specific circumstances which might give rise to the need to do so, and the most probable potential alternative solutions. Estimates of time, effort and cost should include other aspects of lock-in, such as skills and capability. Strategies should consider the merits and drawbacks of different timeframes, for instance, a two-year planned exit versus an emergency exit. It is also advisable for such a strategy to be developed in conjunction with a third party expert rather than the provider of the service. | たとえ実際に必要とされることはないとしても、出口戦略はクラウド戦略の最も重要な要素のひとつである。プロバイダを変更することによる影響と、現状維持のメリットを比較検討すべきである。各クラウドプロバイダからの撤退にかかる費用と期間の見込み、撤退の必要が生じる可能性のある具体的な状況、および最も可能性の高い代替ソリューションを提示できる体制を整えておくことが、企業にとって有益である。時間、労力、コストの見積もりには、スキルや能力など、その他のロックインの側面も考慮すべきである。戦略では、例えば、2年計画の撤退と緊急撤退など、異なる時間枠の長所と短所を検討すべきである。また、このような戦略は、サービスプロバイダではなく、サードパーティの専門家と共同で策定することが望ましい。 |
| The Cabinet Office is placing an increased emphasis on exit planning as part of the One Government Cloud Strategy. | 内閣府は、政府クラウド戦略の一環として、撤退計画に重点を置いている。 |
| Implementation of cloud services | クラウドサービスの導入 |
| What does this section cover? | このセクションでは何を扱うのか? |
| This section focuses primarily on utilising cloud components such as platform infrastructure to develop and deploy a customised service. Some elements discussed here will also apply to the consumption of pre-built cloud. There is a notable difference between the issues involved with these two approaches. | このセクションでは、主にプラットフォームインフラストラクチャなどのクラウドコンポーネントを活用してカスタマイズされたサービスを開発および展開することに焦点を当てる。ここで取り上げるいくつかの要素は、事前構築されたクラウドの利用にも適用される。この2つのアプローチに関連する問題には、顕著な違いがある。 |
| Why is this important? | なぜこれが重要なのか? |
| Management needs to address the risks associated with cloud service implementation. Failing to configure and utilise cloud services correctly can severely hamper the achievement of financial benefits and expose organisations to the risk of a data breach. When organisations are moving from one cloud provider to another, or from on-premises to cloud for the first-time, issues to be considered include system configuration, data migration, service risk and security. Most of the challenges in implementing cloud services are common to on-premises systems. The broader challenges of change management and stakeholder engagement also apply to the introduction and use of cloud systems. However, cloud services and providers can vary in their levels of maturity and the configuration of systems can be complex. Organisations should consider their approach to multi-cloud solutions and whether alternative cloud providers will be considered only at initial implementation or for all new needs. They should assess the initial and ongoing impact of multi-cloud implementation on the costs, capabilities and resources required. | 経営陣は、クラウドサービス導入に伴うリスクに対処する必要がある。クラウドサービスの設定と利用を適切に行わないと、財務上の利益の達成が大幅に妨げられ、データ漏洩のリスクにさらされる可能性がある。企業がクラウドプロバイダを変更する場合、またはオンプレミスからクラウドへ初めて移行する場合、考慮すべき問題には、システム構成、データ移行、サービスリスク、セキュリティなどがある。クラウドサービス導入における課題のほとんどは、オンプレミスシステムにも共通するものである。また、変更管理や利害関係者の関与といったより広範な課題も、クラウドシステムの導入や利用に当てはまる。しかし、クラウドサービスやプロバイダは成熟度に差があり、システムの構成は複雑になる可能性がある。企業はマルチクラウドソリューションへのアプローチを検討し、代替のクラウドプロバイダを検討するのは初期導入時のみか、それともすべての新規ニーズに対して検討するのかを検討すべきである。また、マルチクラウド導入がコスト、機能、必要なリソースに及ぼす初期および継続的な影響をアセスメントすべきである。 |
| 1 System configuration | 1 システム構成 |
| Outside of the use of pre-built cloud applications, such as productivity or finance software operating in a user’s browser, the potential variation and continuous innovation in the cloud environment can make configuration more challenging than for an on-premises network. Correct configuration is essential for a hybrid arrangement of cloud and legacy systems to inter-operate and communicate efficiently and securely. Smaller organisations are less likely to have sufficient expertise and capacity to manage the configuration of new systems. Such organisations will need a robust plan in place to manage business as usual at the same time as managing the change while drawing on external help. | 生産性や財務管理ソフトウェアなど、ユーザーのブラウザ上で動作する既製のクラウドアプリケーションの利用を除いては、クラウド環境における潜在的な変化や継続的なイノベーションにより、オンプレミスネットワークよりも構成が難しくなる可能性がある。クラウドとレガシーシステムを相互運用し、効率的かつ安全にコミュニケーションを行うハイブリッド構成には、適切な構成が不可欠である。小規模な組織では、新しいシステムの構成を管理するための十分な専門知識や能力を備えている可能性は低い。このような組織は、外部の支援を受けながら、変化に対応しつつ通常通りの業務を遂行するための堅牢な計画を立てることが必要となる。 |
| 2 Risk and security | 2 リスクとセキュリティ |
| The cloud is not necessarily any more or less secure than on-premises technical architecture. The threats in an on-premises and a public cloud environment are broadly similar. Organisations must take responsibility and accountability for ensuring that data is appropriately secured and not left open to a wider audience than intended. | クラウドは、必ずしもオンプレミスの技術的アーキテクチャよりも安全であるとは限らない。オンプレミスとパブリッククラウド環境における脅威は、概ね類似している。組織は、データが適切に保護され、意図した範囲を超えてより広範なユーザーに公開されないようにする責任と説明責任を負わなければならない。 |
| 3 Implementation | 3 導入 |
| The realisation of benefits from new software can depend on the acceptance, compliance and engagement of users. Cloud systems often involve significant and more frequent changes to the user interface. While these changes may appear intuitive to technical colleagues, they may not work for everyone. In addition to managing technical implementation, organisations must focus on the importance of change management for all key stakeholders and users. | 新しいソフトウェアから利益を得るには、ユーザーの受容、コンプライアンス、積極的な関与が重要となる。クラウドシステムでは、ユーザーインターフェースに大幅な変更が頻繁に生じる場合が多い。技術担当者はこうした変更を直感的に理解できるかもしれないが、すべてのユーザーにとって使いやすいものになるとは限らない。技術的な実装の管理に加えて、組織はすべての主要な利害関係者およびユーザーを対象とした変更管理の重要性を重視する必要がある。 |
| Management and optimisation of cloud services | クラウドサービスの管理と最適化 |
| What does this section cover? | このセクションでは何を扱うのか? |
| This section covers operational considerations, the need for assurance from in-house teams and third parties (reflecting the shared responsibility model), the capabilities needed to manage live running, and how to continue to control ongoing costs. | このセクションでは、運用上の考慮事項、社内チームおよびサードパーティ(共有責任モデルを反映)からの保証の必要性、稼働中の管理に必要な機能、および継続的なコスト管理方法について説明する。 |
| Why is this important? | なぜ重要なのか? |
| A move to cloud services has an impact on the skills and resources required in-house to manage live services. Cloud service providers can usually take care of infrastructure management and maintenance. However, this is unlikely to apply if a legacy system has been ‘lifted and shifted’ into the cloud, with software patches and updates involved at various system levels. In such a case, responsibility remains with the organisation. Cloud providers can also offer a helpdesk and support to users and technical staff depending on the service procured. However, new capability is required to understand, manage and interpret the interface between the cloud service and the organisation. Organisations cannot outsource responsibility for governance of data and controls over financial and other transactions, nor for data security. This includes the interpretation of monitoring information and alerts from the cloud provider. Many organisations also opt to modify the services they use. This can increase the ongoing need for in-house service management, particularly as cloud providers routinely | クラウドサービスへの移行は、ライブサービスを管理するために社内で必要とされるスキルやリソースに影響を与える。通常、クラウドサービス・プロバイダはインフラの管理と保守を担当できる。しかし、レガシーシステムが「リフト&シフト」方式でクラウドに移行され、ソフトウェアのパッチや更新がさまざまなシステムレベルで必要となる場合は、この限りではない。このような場合、責任は組織に残る。クラウドプロバイダは、調達したサービスに応じて、ユーザーや技術スタッフにヘルプデスクやサポートを提供することも可能である。しかし、クラウドサービスと組織間のインターフェースを理解し、管理し、解釈するには、新たな能力が必要となる。組織は、データガバナンスや財務およびその他の取引の管理、データセキュリティに関する責任を外部委託することはできない。これには、クラウドプロバイダからのモニタリング情報やアラートの解釈も含まれる。また、多くの組織では、利用するサービスを変更することを選択している。これにより、特にクラウド・プロバイダが日常的に |
| 1 Operations | 1 運用 |
| Immediately after implementation there may be a ‘teething’ period as it takes time for the requirements backlog to be addressed. Ongoing change management will be important through this period to assure users and to signpost any further changes to system interfaces or configuration. It is important for strong governance to be in place over the cloud provider and the in-house team. Thereafter the cloud environment is likely to be more dynamic, with a greater frequency and volume of changes and updates compared to an on-premises environment. The organisation will have less control over the acceptance of these updates, particularly with software as a service. | 実装直後は、要件のバックログに対処するのに時間がかかるため、「慣らし運転」期間が必要となる可能性がある。この期間中は、ユーザーを安心させ、システム・インターフェースや構成に対する今後の変更を周知するために、継続的な変更管理が重要となる。クラウドプロバイダと社内チームに対して強力なガバナンスを確立することが重要である。その後、クラウド環境は、オンプレミス環境と比較して変更や更新の頻度や量がより多くなり、よりダイナミックになる可能性が高い。特にSaaS(Software as a Service)の場合、組織はこれらの更新の受け入れに対するコントロールが弱くなる。 |
| 2 Assurance | 2 保証 |
| Cloud providers typically offer assurance to their customers in the form of Service Organisation Controls (SOC) reports (see Appendix Three). Cloud providers commission independent auditors to write these reports to provide assurance on their processes and security arrangements. Management needs clarity on the assurance that these reports provide and where there may be controls gaps or areas where further assurance is needed. External auditors will also wish to have sight of these reports as part of the annual audit where they relate to cloud services supporting key systems and processes. | クラウドプロバイダは通常、サービス組織統制(SOC)報告書(附属書3を参照)という形で顧客に保証を提供する。クラウドプロバイダは、自社のプロセスとセキュリティ対策に関する保証を提供するために、独立監査人にこれらの報告書の作成を依頼する。経営陣は、これらの報告書が提供する保証の内容と、統制の欠陥やさらなる保証が必要な領域がどこにあるかについて明確にする必要がある。外部監査人は、主要なシステムとプロセスをサポートするクラウドサービスに関連するこれらの報告書を、年次監査の一環として確認したいと考えるだろう。 |
| 3 Capability | 3 機能 |
| Moving functionality into cloud systems does not necessarily mean that there will be any significant efficiencies, and organisations may need more investment in terms of in-house capability. Simple cloud applications may make little difference to capability requirements. However, more complex integration work will need significant upfront resource to configure and implement, with a long tail thereafter to manage ongoing system improvements and updates. Integrating several different cloud services at the same time can be particularly challenging. | 機能をクラウドシステムに移行しても、必ずしも大幅な効率化が実現するわけではない。組織は社内機能の面でさらなる投資が必要になる可能性がある。単純なクラウドアプリケーションでは、機能要件にほとんど変化がない場合もある。しかし、より複雑な統合作業では、設定と実装に多大な先行投資が必要となり、その後も継続的なシステム改善と更新の管理に長い時間がかかる。同時に複数の異なるクラウドサービスを統合することは、特に困難な場合がある。 |
| Appendix One | 附属書1 |
| Cloud services – pricing models and legacy systems | クラウドサービス - 価格モデルとレガシーシステム |
| Pricing models for cloud services | クラウドサービスの価格モデル |
| Cloud services have different pricing models to reflect the degree of certainty or flexibility organisations require or are willing to accept. Cloud providers can offer a variety of models, including one or more combinations of per-user pricing (with charges based on the number of users), tiered pricing (which offers a range of bundled packages with varying functionality), feature-based pricing (based on specific features or modules), pay as you go, freemium (where a basic version is available free with charges for premium features), flat pricing/subscription (with fixed monthly or annual fees), and free (free access with advertising). | クラウドサービスには、企業が求める確実性や柔軟性の度合いに応じて、さまざまな価格モデルが存在する。クラウドプロバイダは、ユーザーごとの価格設定(ユーザー数に応じた課金)、段階的価格設定(さまざまな機能を持つパッケージを組み合わせたもの)、機能ベースの価格設定( 特定の機能やモジュールに基づく)、従量制、フリーミアム(基本バージョンは無料で、プレミアム機能には料金がかかる)、定額制/サブスクリプション(月額または年額の固定料金)、無料(広告付き無料アクセス)など、さまざまなモデルを提供できる。 |
| To get the best value out of cloud hosting/platforms (as opposed to the consumption of pre-built cloud application services), organisations should understand their requirements and select the model or combination of models which has the best fit with their needs.3 These include the following. | クラウドホスティング/プラットフォーム(構築済みのクラウドアプリケーションサービスの利用とは対照的)から最大限の価値を引き出すには、組織は自らの要件を理解し、ニーズに最も適したモデルまたはモデルの組み合わせを選択すべきである。3 これには以下が含まれる。 |
| • Reserved instance: Organisations pay for guaranteed access to a defined level of capacity for a set period of time, whether or not they actually use it. This model is best suited to services that are stable and need to run continuously. It can be inefficient where usage is variable or unpredictable, as the lack of flexibility in this model commits an organisation to a level of spend that it cannot reduce. It can be combined with on-demand for handling peak loads. | • 予約インスタンス:組織は、実際に使用するかどうかに関わらず、一定期間に定義されたレベルの容量を保証されたアクセスに対して料金を支払う。このモデルは、安定しており、継続的に実行する必要があるサービスに最適である。このモデルでは柔軟性が欠如しているため、削減できない支出レベルに組織が拘束されることになり、使用量が変動したり予測できない場合には非効率的になる可能性がある。ピーク負荷を処理するためにオンデマンドと組み合わせることができる。 |
| • On‑demand: A ‘pay as you go’ option that charges for capacity as and when an organisation needs to use it, such as to support peaks in workload. It gives organisations the flexibility to start and stop using cloud resources without early termination fees or long-term commitment. To get the best value from this model, it is important for organisations to manage their usage diligently, for example, by not using capacity unnecessarily and by shutting down capacity that is no longer required. | • オンデマンド:組織がワークロードのピーク時など、必要な時に必要な分だけ利用できる従量制のオプション。 早期解約料や長期契約を結ぶことなく、クラウドリソースの利用を開始したり停止したりできる柔軟性を提供している。 このモデルから最大限の価値を引き出すには、組織が利用状況を慎重に管理することが重要である。例えば、不必要な容量を使用しないことや、必要のなくなった容量を停止することなどである。 |
| • Spot instance: Cloud providers offer high discounts for the use of otherwise idle capacity in exchange for customers accepting that it may be taken away at very short notice (in some cases, less than a minute) if needed by another customer. This option best suits activities that are not critical or time-sensitive and can be paused (for example, development environments). It is not well suited to services that need to run continuously. | • スポットインスタンス:クラウドプロバイダは、他の顧客が必要とした場合、非常に短い通知期間(場合によっては1分未満)で取り消される可能性があることを顧客が了承することを条件に、それ以外では遊休状態にある容量の利用に対して大幅な割引を提供している。このオプションは、クリティカルなものではなく、時間的制約のない活動に最適であり、一時停止(例えば、開発環境)が可能である。継続的に実行する必要があるサービスにはあまり適していない。 |
| Legacy systems | レガシーシステム |
| Across the whole of government, ageing IT systems are a key source of inefficiency and create a major constraint to improving and modernising government services. These ageing systems are commonly referred to as ‘legacy’. However, it would not provide value for money to constantly replace all systems whenever a new need or a more effective technology is identified. Well-managed legacy systems deliver continuity of service, and there are circumstances where the lives of such systems can safely be extended. By ‘well-managed’, we mean that the system has been kept up to date and is still supported by the relevant vendors, and there are no significant security or data protection issues that need to be addressed. Having a cloud strategy does not equate to moving everything into the cloud indiscriminately. The Central Digital & Data Office (CDDO) Guidance on the Legacy IT Risk Assessment Framework sets out how organisations should assess their legacy technology.4 | 政府全体にわたって、老朽化したITシステムは非効率性の主な原因であり、政府サービスの改善と近代化の大きな障害となっている。これらの老朽化したシステムは一般的に「レガシー」と呼ばれている。しかし、新たなニーズやより効果的なテクノロジーが識別されるたびに、すべてのシステムを常に置き換えることは費用対効果の面で価値をもたらさない。適切に管理されたレガシーシステムはサービスの継続性を実現し、そうしたシステムの寿命を安全に延長できる状況もある。「適切に管理されている」とは、システムが最新の状態に保たれ、関連ベンダーによるサポートが継続されていることを意味し、また、セキュリティやデータ保護に関して対処が必要な重大な問題がないことを意味する。クラウド戦略を持つことは、無差別にすべてをクラウドに移行することと同義ではない。レガシーITリスクアセスメントフレームワークに関する中央デジタル・データオフィス(CDDO)指針では、組織がレガシー技術をどのようにアセスメントすべきかが示されている。4 |
| 3 According to the Cabinet Office, selecting the most appropriate approach for an organisation’s circumstances could yield discounts of between 60% and 80%. | 3 内閣府によると、組織の状況に最も適したアプローチを選択することで、60%から80%の割引が得られる可能性がある。 |
| 4 Central Digital and Data Office, Guidance on the Legacy IT Risk Assessment Framework, accessed 18 July 2024. | 4 中央デジタル・データオフィス、レガシーITリスクアセスメントフレームワークに関する指針、2024年7月18日アクセス。 |
| There are various options for dealing with legacy technology in the context of contemplating a move to cloud services. These options, which include the following, should be considered on a system-by-system basis rather than as a strict policy for all legacy technology. | クラウドサービスへの移行を検討するにあたり、レガシー技術への対応にはさまざまな選択肢がある。これらの選択肢は、以下を含むが、これらに限定されるものではない。すべてのレガシー技術に厳格な方針として適用するのではなく、システムごとに検討すべきである。 |
| • Retain (do nothing): Where the system is not cloud-compatible but is otherwise working well and there is no strong business case for the cost and disruption of moving to an alternative. | • 維持(現状維持):システムがクラウド対応ではないが、それ以外は問題なく稼働しており、代替システムへの移行に伴うコストや混乱を正当化できるだけのビジネス上の理由がない場合。 |
| • Retire: Where the system’s functions are either no longer required or can be incorporated into other applications. | • 廃棄:システムの機能がもはや必要とされていないか、他のアプリケーションに組み込むことができる場合。 |
| • Repurchase (‘shop and drop’): Decommissioning the existing application and replacing it with its equivalent cloud-based version. In effect it is a change in licensing arrangements alongside the work required to move the service into the cloud. | • 再購入(「ショップ・アンド・ドロップ」):既存のアプリケーションを廃止し、同等のクラウドベースのバージョンに置き換える。実質的には、ライセンス契約の変更と、サービスをクラウドに移行するために必要な作業である。 |
| • Rehost (‘lift and shift’): Moving the application from on-premises to the cloud with no or only minimal modification to adapt to the new environment. It means that the application is unlikely to be able to take advantage of cloud-specific features but may be the only feasible option where organisations do not have the ability to make the necessary changes themselves. This may be the case for commercial off-the-shelf applications or customised applications built using proprietary technology that imposes constraints. This option is sometimes called ‘moving without improving’. | • リホスト(「リフト・アンド・シフト」):新しい環境に適応するために、アプリケーションをオンプレミスからクラウドへ、変更を加えずに、あるいは最小限の変更のみを加えて移行する。この方法では、アプリケーションがクラウド特有の機能を活用することはできないが、組織が自ら必要な変更を加える能力を持たない場合、唯一実行可能な選択肢となる可能性がある。これは、制約のある独自技術を使用して構築された市販のアプリケーションやカスタマイズされたアプリケーションの場合に該当する可能性がある。このオプションは、「改善せずに移行する」と呼ばれることもある。 |
| • Replatform (‘lift and shape’): Modifying and optimising the application for moving to the cloud, but not to the extent of significantly changing the core functions. | • リプラットフォーム(「リフト・アンド・シェイプ」):クラウドへの移行のためにアプリケーションを修正および最適化するが、コア機能を大幅に変更するほどではない。 |
| • Refactor (rewrite): This is the most complex option and involves a major overhaul of the application. It is very time-consuming and resource-intensive but offers the greatest opportunity for making extensive use of cloud capabilities. | • リファクタリング(書き直し):これは最も複雑なオプションであり、アプリケーションの大規模な再構築を伴う。非常に時間とリソースを要するが、クラウドの機能を最大限に活用できる可能性が最も高い。 |
| The last four of these options will require the organisation to perform extensive testing to confirm the system operates satisfactorily in its new environment and that the migration has not introduced a lower quality of service. For example, while all expected functionalities may be present, the migrated system may run more slowly, or there could be an adverse impact on interfaces or other integrations such as robotic process automation. To compensate for this, an organisation may find it needs to pay the cloud provider for a higher level of performance or capability than the on-premises equivalent to stand still in terms of overall user experience. | このオプションの最後の4つについては、組織が大規模なテストを実施し、システムが新しい環境で適切に動作し、移行によってサービスの質が低下していないことを確認する必要がある。例えば、期待通りの機能がすべて揃っていても、移行後のシステムは動作が遅くなる可能性がある。また、インターフェースやロボットプロセスオートメーションなどの他の統合機能に悪影響が及ぶ可能性もある。これを補うために、組織はクラウドプロバイダにオンプレミス環境と同等のパフォーマンスや機能よりも高いレベルのものを支払う必要があるかもしれない。そうしなければ、全体的なユーザーエクスペリエンスの面で現状維持が難しくなるからだ。 |
| Appendix Two | 附属書2 |
| National Cyber Security Centre (NCSC) guidance | 英国サイバーセキュリティセンター(NCSC)の指針 |
| Working towards your cloud security – four steps | クラウドセキュリティへの取り組み - 4つのステップ |
| The NCSC advises an approach based on the following four steps. Working through these in order will help organisations identify cloud services that are suitably secure for their intended use.5 | NCSCは、以下の4つのステップに基づくアプローチを推奨している。これらのステップを順を追って進めることで、組織は意図する用途に適したセキュリティレベルのクラウドサービスを識別しやすくなる。5 |
| 1 Know your business requirements. |
1 ビジネス要求を理解する。 |
| 2 Choose a cloud provider that meets your needs. | 2 ニーズを満たすクラウドプロバイダを選択する。 |
| 3 Use the cloud service securely. | 3 クラウドサービスを安全に利用する。 |
| 4 Continue to monitor and manage the risks. | 4 リスクのモニタリングと管理を継続する。 |
| The NCSC outlines a lightweight approach to cloud security that sets out minimum expectations across data encryption, authentication and access control, security logging and incident management, and governance, but notes the full approach (as below) is still recommended for more sensitive systems.6 | NCSCは、データ暗号化、認証、アクセス管理、セキュリティログ、インシデント管理、政府によるガバナンスなど、クラウドセキュリティに関する最低限の要件を定めた簡易なアプローチを概説しているが、より機密性の高いシステムには完全なアプローチ(下記)が推奨されるとしている。6 |
| The 14 cloud security principles | クラウドセキュリティの14原則 |
| The 14 security principles that NCSC recommends organisations should use are summarised as follows.7 | NCSCが推奨する、組織が使用すべき14のセキュリティ原則は以下の通りである。7 |
| 1 Data in transit protection: User data transiting networks should be adequately protected against tampering and eavesdropping. This can be achieved through a combination of network protection, authentication and encryption. | 1 転送中のデータ防御:ネットワーク上を転送中のユーザーデータは、改ざんや盗聴から適切に防御されなければならない。これは、ネットワーク保護、認証、暗号化の組み合わせによって実現できる。 |
| 2 Asset protection and resilience: User data, and the assets storing or processing it, should be protected against physical tampering, loss, damage or seizure. Considerations include physical location, legal jurisdiction, data centre security, data encryption, data sanitisation, equipment disposal, and physical resilience and availability. | 2 資産の防御とレジリエンシー: ユーザーデータおよびそれを保存または処理する資産は、物理的な改ざん、損失、損害、または押収から防御されなければならない。考慮すべき事項には、物理的な場所、法的管轄権、データセンターのセキュリティ、データの暗号化、データの消去、機器の廃棄、物理的なレジリエンスおよび可用性などがある。 |
| 3 Separation between customers: A malicious or compromised customer of the service should not be able to affect the service or data of another customer. The factors affecting this include the deployment model (public, private or community cloud), service model (infrastructure, platform or software as a service), and the level of assurance available over the design, implementation and operating effectiveness of the cloud provider’s separation controls. | 3 顧客間の分離:悪意のある顧客や不正に侵入した顧客が、他の顧客のサービスやデータに影響を及ぼすことがあってはならない。これに影響する要因には、導入モデル(パブリック、プライベート、コミュニティクラウド)、サービスモデル(インフラ、プラットフォーム、ソフトウェア・アズ・ア・サービス)、およびクラウドプロバイダの分離制御の設計、実装、運用効果に対する保証レベルが含まれる。 |
| 4 Governance framework: The service provider should have a security governance framework that coordinates and directs its management of the service and information within it. | 4 ガバナンスの枠組み:サービスプロバイダは、サービスとその中の情報の管理を調整し、指示するセキュリティガバナンスの枠組みを持つべきである。 |
| 5 Operational security: The service needs to be operated and managed securely to impede, detect or prevent attacks. The elements to consider are configuration and change management, vulnerability management, protective monitoring and incident management. | 5 運用セキュリティ:サービスは、攻撃を妨害、検知、または防止するために、安全に運用および管理される必要がある。考慮すべき要素は、構成および変更管理、脆弱性管理、防御監視、インシデント管理である。 |
| 6 Personnel security: Where service provider personnel have access to data and systems, the customer needs a high degree of confidence in their trustworthiness. Thorough screening, supported by adequate training, can reduce the likelihood of accidental or malicious compromise by service provider personnel. | 6 職員のセキュリティ:サービスプロバイダの職員がデータやシステムにアクセスできる場合、顧客は彼らの信頼性に対して高い信頼性を必要とする。適切な研修による徹底した審査は、サービスプロバイダの職員による偶発的または悪意のある侵害の可能性を低減することができる。 |
| 7 Secure development: Services should be designed and developed in a way that minimises and mitigates threats to their security. | 7 安全な開発:サービスは、セキュリティに対する脅威を最小限に抑え、低減する方法で設計および開発されるべきである。 |
| 8 Supply chain security: The service provider should ensure that its supply chain satisfactorily supports all of the security principles which the service claims to implement. | 8 サプライチェーンセキュリティ:サービスプロバイダは、そのサプライチェーンが、サービスが実施すると主張するセキュリティ原則のすべてを十分にサポートしていることを保証すべきである。 |
| 9 Secure user management: The provider should make tools available for customers to securely manage their use of the service. Management interfaces and procedures are a vital part of the security barrier, preventing unauthorised access and alteration of resources, applications and data. The key considerations are minimising permissions, a single and coherent access control mechanism, and time-bounded permissions. | 9 安全なユーザー管理:プロバイダは、顧客がサービスを安全に管理するためのツールを利用できるようにすべきである。管理インターフェースと手順は、セキュリティ障壁の重要な一部であり、リソース、アプリケーション、およびデータの不正アクセスと改ざんを防止する。重要な考慮事項は、許可の最小化、単一かつ首尾一貫したアクセス管理メカニズム、および時間制限付きの許可である。 |
| 10 Identity and authentication: All access to service interfaces should be restricted to authenticated and authorised individuals. Authentication should take place over secure channels and employ strong methods such as two-factor authentication, certificates or secure federated identity. User names and passwords alone are weak and susceptible to compromise. | 10 アイデンティティおよび認証:サービス・インターフェースへのすべてのアクセスは、認証および承認された個人に制限されるべきである。認証は安全なチャネルを介して行われ、2要素認証、証明書、または安全なフェデレーションIDなどの強力な方法を採用すべきである。ユーザー名とパスワードだけでは脆弱であり、危険にさらされる可能性が高い。 |
| 11 External interface protection: All external or less trusted interfaces of the service should be identified and appropriately defended. Services that accept connections over the internet from any worldwide location are more exposed to attack. | 11 外部インターフェースの保護:サービスのすべての外部インターフェースまたは信頼性の低いインターフェースは識別され、適切に防御されるべきである。世界中のあらゆる場所からインターネット経由で接続を受け付けるサービスは、攻撃にさらされる可能性が高い。 |
| 12 Secure service administration: Systems used for administration of a cloud service will have highly privileged access to that service. Their compromise would have significant impact, including the means to bypass security controls and steal or manipulate large volumes of data. Customers should understand how the service provider is managing the service. | 12 安全なサービス管理:クラウドサービスの管理に使用されるシステムは、そのサービスに対して非常に特権的なアクセス権を持つ。そのシステムが侵害されると、セキュリティ管理を回避して大量のデータを盗んだり操作したりする手段が得られるなど、重大な影響が生じる。顧客は、サービス・プロバイダがどのようにサービスを管理しているかを理解すべきである。 |
| 13 Audit information and alerting for customers: Customers should be provided with the audit records needed to monitor access to their service and the data held within it. The type of audit information available will have a direct impact on a customer’s ability to detect and respond to inappropriate or malicious activity within reasonable timescales. | 13 顧客向け監査情報およびアラート:顧客は、サービスへのアクセスおよびその中に保管されているデータを監視するために必要な監査記録を提供されるべきである。利用可能な監査情報の種類は、顧客が妥当な時間枠内で不適切または悪意のある活動を検知し、対応する能力に直接的な影響を与える。 |
| 14 Secure use of the service: The security of cloud services and the data held within them can be undermined if customers use the service poorly. Consequently, customers will have certain responsibilities when using the service in order for their data to be adequately protected, for example, implementing the required services to interpret and act on data highlighting poor usage practices. | 14 サービスの安全な利用:顧客がサービスを適切に使用しない場合、クラウドサービスおよびその中に保管されているデータのセキュリティが損なわれる可能性がある。したがって、顧客は、データを適切に防御するために、サービスを使用する際には一定の責任を負うことになる。例えば、不適切な使用実態を示すデータを解釈し、それに対応するための必要なサービスを導入するなどである。 |
| 5 National Cyber Security Centre, Cloud security guidance: Introduction to cloud security, accessed 18 July 2024. | 5 国家サイバーセキュリティセンター、クラウドセキュリティ指針:クラウドセキュリティの序文、2024年7月18日アクセス。 |
| 6 National Cyber Security Centre, Cloud security guidance: Lightweight approach to cloud security, accessed 18 July 2024. | 6 国家サイバーセキュリティセンター、クラウドセキュリティ指針:クラウドセキュリティへの軽量アプローチ、2024年7月18日アクセス。 |
| 7 National Cyber Security Centre, Cloud security guidance: The cloud security principles, accessed 18 July 2024. | 7 国家サイバーセキュリティセンター、クラウドセキュリティ指針:クラウドセキュリティの原則、2024年7月18日アクセス。 |
| Appendix Three | 附属書3 |
| Assurance arrangements: Service Organisation Controls (SOC) reports, Cyber Essentials and ISO 27001 | 保証契約:サービス組織統制(SOC)報告書、サイバーエッセンシャル、ISO 27001 |
| Assurance over cloud providers can vary from self-certifications through to reports prepared by certified, independent assessors. | クラウドプロバイダに対する保証は、自己認証から認定を受けた独立評価者による報告書まで様々である。 |
| Where assurance is provided, typically this is in the form of SOC reports.8 Cloud providers commission independent auditors to write these reports to provide assurance to customers on processes and security arrangements. There are three types. | 保証が提供される場合、通常はSOC報告書の形式で提供される。8 クラウドプロバイダは、プロセスとセキュリティ対策について顧客に保証を提供するために、独立監査人にこれらの報告書の作成を依頼する。 3つのタイプがある。 |
| • SOC1: The focus is on transaction processing and IT general controls relevant to financial reporting. | • SOC1:財務報告に関連する取引処理とIT全般統制に重点が置かれる。 |
| • SOC2: This covers wider operational controls over the IT environment and includes the auditor’s test procedures and results. | • SOC2:これはIT環境におけるより広範な運用管理を対象とし、監査人のテスト手順と結果を含む。 |
| • SOC3: A shorter version of the SOC2 report that is placed in the public domain but omits the detail of the test procedures undertaken. | • SOC3:SOC2レポートの簡略版で、一般公開されるが、実施されたテスト手順の詳細は省略されている。 |
| Organisations should understand what assurances they are, and are not getting from such reports and other certifications such as Cyber Essentials or ISO 27001.9,10 The level of assurance in practice may be less than might be assumed. | 組織は、このようなレポートや、Cyber EssentialsやISO 27001などのその他の認証から、どのような保証が得られるのか、また得られないのかを理解しておくべきである。9,10 実際には、想定されるよりも保証のレベルが低い可能性もある。 |
| • Cyber Essentials focuses on simplicity of approach and aims to help a wide range of organisations assess and mitigate risks to their IT systems from the most common cyber security threats. Cyber Essentials relies on self-certification. While Cyber Essentials Plus is the externally assessed equivalent, it is not specifically targeted at any particular type of organisation and should not be regarded as a comprehensive audit of all technical controls operated by a cloud service provider. | • サイバーエッセンシャルズは、アプローチの簡素化に重点を置いており、幅広い組織が、最も一般的なサイバーセキュリティの脅威からITシステムへのリスクをアセスメントし、低減することを支援することを目的としている。サイバーエッセンシャルズは自己認証に依存している。サイバーエッセンシャルズ・プラスは外部評価に相当するものであるが、特定のタイプの組織を対象としているわけではなく、クラウドサービスプロバイダが運用するすべての技術的コントロールの包括的な監査と見なすべきではない。 |
| • ISO 27001 is a management standard, rather than a security standard. While it provides an auditable framework for the management of information security, it does not provide a ‘gold standard’ for security, which, if implemented, would ensure the security of an organisation. | • ISO 27001は、セキュリティ標準というよりも、むしろ管理標準である。情報セキュリティ管理のための監査可能な枠組みを提供するものの、実装すれば組織のセキュリティを確実に保証できるような「ゴールドスタンダード」としてのセキュリティ標準ではない。 |
| Organisations that fail to appreciate these considerations may in effect be outsourcing unknown levels of risk. In practice it can be difficult to get reports and assurances from cloud providers on a timely basis in order to hold them to account effectively. An approach may be needed that prioritises essential services. This is the approach adopted by GovAssure, which replaces the cyber security element of the Departmental Security Health Check (DSHC).11 GovAssure was introduced in 2023 to support the aim set out in the Government Cyber Security Strategy: 2022 to 2030 that all government organisations across the whole public sector should be resilient to known vulnerabilities and attack methods no later than 2030. | こうした点を考慮しない組織は、実際には未知のレベルのリスクを外部委託している可能性がある。実際には、クラウドプロバイダに効果的に責任を負わせるために、適時に報告や保証を得ることは難しい場合がある。重要なサービスを優先するアプローチが必要となる可能性がある。これは、GovAssureが採用しているアプローチであり、これは、Departmental Security Health Check(DSHC)のサイバーセキュリティ要素を置き換えるものである。11 GovAssureは、2023年に導入され、政府サイバーセキュリティ戦略(2022年から2030年)で定められた目標、すなわち、2030年までに、公共部門全体にわたるすべての政府組織が既知の脆弱性および攻撃手法に対してレジリエンスを持つべきであるという目標をサポートするものである。 |
| 8 The content is prescribed in International Standard on Assurance Engagements (ISAE) 3402: Assurance Reports on Controls at a Service Organization (accessed 18 July 2024), issued by the International Federation of Accountants. This standard has not been adopted formally by the Financial Reporting Council for the UK but can be drawn upon for best practice. | 8 国際会計士連盟が発行した国際保証業務基準(ISAE)3402:サービス組織における管理に関する保証報告書(2024年7月18日アクセス)に規定されている内容である。この標準は英国財務報告評議会によって正式に採用されたものではないが、ベストプラクティスとして活用できる。 |
| 9National Cyber Security Centre, About Cyber Essentials, accessed 18 July 2024. | 9 国家サイバーセキュリティセンター、サイバーエッセンシャルについて(2024年7月18日アクセス)。 |
| 10 International Organization for Standardization, ISO/IEC 27001:2022, accessed 18 July 2024. | 10 国際標準化機構、ISO/IEC 27001:2022、2024年7月18日アクセス。 |
| 11 Government Security, GovAssure, accessed 18 July 2024. | 11 政府セキュリティ、GovAssure、2024年7月18日アクセス。 |
| Appendix Four | 附属書4 |
| Other available guidance material | その他の利用可能な指針資料 |
| Our guidance on cloud is highly summarised and, as well as that from the National Cyber Security Centre (see Appendix Two), there are other complementary, more detailed guides on offer. | クラウドに関する当社の指針は、非常に要約されたものであり、国家サイバーセキュリティセンター(附属書2を参照)によるものと同様に、補完的なより詳細な指針が他にも提供されている。 |
| 1 The Financial Conduct Authority (FCA) provides a guide for firms outsourcing to the cloud and other third-party IT services.12 This guidance helps firms to oversee the lifecycle of their outsourcing arrangements. This ranges from making the decision to outsource, selecting an outsource provider, and monitoring outsourced activities on an ongoing basis, through to exit. | 1 金融行為規制機構(FCA)は、クラウドやその他のサードパーティITサービスにアウトソーシングする企業向けの指針を提供している。12 本指針は、企業がアウトソーシング契約のライフサイクルを監督するのに役立つ。これには、アウトソーシングの決定、アウトソーシングプロバイダの選定、継続的なアウトソーシング活動のモニタリング、そして終了までが含まれる。 |
| 2 The Competition and Markets Authority (CMA) investigation of the supply of public cloud infrastructure services in the UK has published a competitive landscape working paper that highlights a range of issues relating to cloud services, from a review of the main providers to customer switching and use of multi-cloud.13 | 2 英国におけるパブリッククラウドインフラサービスの供給に関する競争市場庁(CMA)の調査では、主要プロバイダのレビューから顧客の乗り換え、マルチクラウドの利用に至るまで、クラウドサービスに関連するさまざまな問題を浮き彫りにした競争状況に関するワーキングペーパーが発表されている。13 |
| 3 More specific guides and advice are available through subscription to research services such as Gartner. | 3 ガートナーなどの調査サービスに加入すると、より具体的な指針やアドバイスを利用できる。 |
| 12 Financial Conduct Authority, FG16/5: Guidance for firms outsourcing to the ‘cloud’ and other third party IT services, accessed 18 July 2024. | 12 金融行動監視機構、FG16/5:「クラウド」およびその他のサードパーティITサービスに業務委託する企業向け指針、2024年7月18日アクセス。 |
| 13 Competition & Markets Authority, Cloud services market investigation: Competitive landscape working paper, 23 May 2024, accessed 23 July 2024. | 13 競争市場庁、クラウドサービス市場調査:競争状況に関するワーキングペーパー、2024年5月23日、2024年7月23日アクセス。 |
質問票...
| Strategic assessment of cloud services | クラウドサービスの戦略的アセスメント |
| 1 Digital strategy | 1 デジタル戦略 |
| Are the priorities for the digital strategy set out? | デジタル戦略の優先事項は明確になっているか? |
| • Does it start with the organisation’s needs, rather than being retrofitted to a high-level arbitrary decision to use a particular technology? | • 特定のテクノロジーを使用するという上層部の恣意的な決定に後付けするのではなく、組織のニーズから始まっているか? |
| • Does it align with wider cross-government initiatives, such as any moves to standardise on specific technologies or platforms? | • 特定のテクノロジーやプラットフォームの標準化に向けた動きなど、政府横断的なより広範なイニシアティブと整合しているか? |
| • Is it being actively maintained and kept relevant to reflect both changing organisational needs and the evolution of technology and cloud services? | • 組織のニーズの変化とテクノロジーおよびクラウドサービスの進化の両方を反映し、積極的に維持管理されているか? |
| Does the cloud strategy have an appropriate range of input? | クラウド戦略には適切な範囲のインプットがあるか? |
| • Does it address commercial aspects, such as planning, negotiating and managing contractual relationships? | • 契約関係の計画、交渉、管理など、商業的な側面が考慮されているか? |
| • Does it address resourcing aspects such as recruitment, skills and development, both for an initial migration and for maintaining and optimising cloud services thereafter? | • 初期の移行と、その後のクラウドサービスの維持および最適化の両方において、採用、スキル、開発などのリソースに関する側面が考慮されているか? |
| • Does it include provision for upskilling teams where | • チームのスキルアップのための規定が含まれているか? |
| • Does it envisage establishing a centre of excellence that combines technical and commercial knowledge? | • 技術的および商業的知識を組み合わせた卓越したセンターの設立を想定しているか? |
| • Does it reflect other essential aspects, such as the organisation’s need | • 組織のニーズなど、その他の重要な側面を反映しているか? |
| • While thinking about moving to the cloud, has the business considered all aspects of the service end-to-end to determine how to implement the cloud-based service in a smarter, more secure and cost efficient manner, rather than just ‘lifting and shifting’ the existing service? | • クラウドへの移行を検討するにあたり、企業は、既存のサービスを単に「持ち上げて移行」するのではなく、よりスマートで安全かつコスト効率の高い方法でクラウドベースのサービスを導入する方法を決定するために、サービスをエンドツーエンドで検討したか? |
| Have technical requirements been articulated? | 技術的要件が明確にされているか? |
| • Has the organisation considered the most appropriate type of service and deployment model for each of its main activities? | • 組織は、それぞれの主要な活動に対して最も適切なサービスと展開モデルを検討したか? |
| • Have technical lock-in considerations been factored into thinking around requirements? | • 技術的なロックインに関する考慮事項は、要件に関する考察に組み込まれているか? |
| • Has integration between cloud hosting and customer ‘on premise’ environments been evaluated and planned for? | • クラウドホスティングと顧客の「オンプレミス」環境との統合は評価され、計画されているか? |
| • Will connectivity be sufficiently fast and resilient for all users and locations from which cloud services will be accessed, especially with hybrid working? | • クラウドサービスにアクセスするすべてのユーザーと場所に対して、特にハイブリッドな作業環境において、接続性は十分に高速でレジリエントか? |
| Have any specific features or legislative requirements been considered and identified? | 特定の機能や法的要件は検討され、識別されているか? |
| • Are issues of both data sovereignty (UK-only data hosting) and data separation (isolation of organisation-held data to avoid its exposure to other customers) fully understood? | • データ主権(英国のみのデータホスティング)とデータ分離(他の顧客へのエクスポージャーを避けるための組織保有データの隔離)の両方の問題が十分に理解されているか? |
| • As suppliers increasingly incorporate new technologies such as artificial intelligence (AI) into their products and services, are the risks and benefits fully understood, including whether the organisation’s data might be accessed and used for AI training? | • サプライヤーが人工知能(AI)などの新技術を製品やサービスに組み込むことが増えているが、組織のデータがAIのトレーニング用にアクセスされ、使用される可能性があるかどうかを含め、リスクとメリットが十分に理解されているか? |
| • Does the provider offer opt-outs from the incorporation of new features, such as AI, or does the customer have no such choice? | • プロバイダは、AIなどの新機能の組み込みを拒否できるオプションを提供しているか、あるいは顧客にはそのような選択肢がないか? |
| Is there a strategy for dealing with legacy? | レガシーシステムへの対応策はあるか? |
| • Has a plan for handling legacy systems been agreed? | • レガシーシステムへの対応計画は合意されているか? |
| • Has the organisation thoroughly investigated the challenges involved in migration and configuration, such as moving a bespoke system onto a shared platform? | • 特注システムを共有プラットフォームに移行するなど、移行や設定に伴う課題について、組織は十分に調査したか? |
| • Where legacy or unsupported technology is to remain on-premises or move to alternative hosting (such as Crown Hosting), has consideration been given to how it will connect and interact with services moving to the cloud? | • レガシーシステムやサポートされていないテクノロジーを社内に残すか、あるいは代替のホスティング(Crown Hostingなど)に移行する場合、クラウドに移行するサービスとの接続や相互作用について検討されているか? |
| Will best practice be followed in respect of security? | セキュリティに関してはベストプラクティスが採用されるか? |
| • Has the organisation set out how assurance will be gained in respect of the NCSC’s 14 cloud security principles (see Appendix Two)? | • NCSCの14のクラウドセキュリティ原則(附属書2を参照)に関して、保証をどのように得るかについて、組織は計画を立てているか? |
| • Is there an in-depth plan for how cloud services will interface securely with existing services, systems and processes? | • クラウドサービスが既存のサービス、システム、プロセスと安全にインターフェースする方法について、詳細な計画があるか? |
| 2 Business case | 2 ビジネスケース |
| Have costing models been considered to an appropriate level of detail? | コストモデルは適切なレベルまで詳細に検討されているか? |
| • Have the different pricing models (pre-committing to guaranteed availability levels, pay as you go, excess capacity arrangements, etc.) been considered? • Are the implications of the move towards revenue expenditure rather than capital expenditure properly understood and reflected in the business case and budget profile? | • 異なる価格モデル(可用性レベルの保証をコミットする前の段階、従量制、余剰容量の取り決めなど)が検討されているか? 資本支出ではなく収益支出への移行の影響が適切に理解され、ビジネスケースおよび予算計画に反映されているか? |
| • Is there clarity about which options and features are included with the different levels on offer? (For example, some basic plans may not offer the same security features as higher tier plans). • Is the frequency and volume of data storage, access and extraction understood in order to model and understand ongoing cost implications and avoid unexpected charges? | • 提供される異なるレベルのオプションや機能について明確になっているか。(例えば、基本プランでは、上位プランと同じセキュリティ機能を提供していない場合がある。)継続的なコストへの影響をモデル化し、理解し、予期せぬ料金を回避するために、データの保存、アクセス、抽出の頻度と量について理解しているか。 |
| • Does this include copying or extracting data from the cloud provider to alternative (provider independent) storage or between cloud providers (known as “data egress”)? | • クラウドプロバイダから代替(プロバイダ非依存)ストレージへの、またはクラウドプロバイダ間のデータコピーまたは抽出(「データエクセス」と呼ばれる)が含まれるか? |
| • Is the contractual basis for potential future increases in cloud provider charges understood, including those caused by currency exchange fluctuations, and the impact they could have on anticipated costs/benefits? | • 為替レートの変動によるものも含め、クラウドプロバイダ料金の将来的な値上げの可能性についての契約上の根拠が理解されているか、また、予想される費用/利益にどのような影響があるか? |
| Have planned costs been subject to suitable scenario testing? | 計画されたコストは適切なシナリオテストの対象となっているか? |
| • Does the organisation have a clear understanding of current service usage and how this is changing, or might change in the future? | • 組織は現在のサービス利用状況と、その変化、あるいは将来的な変化について明確に理解しているか? |
| • Has the organisation considered whether everyone needs the same licence, or are higher tiers and associated functionality only required by a subset of ‘power’ users? | • 組織は、全員が同じライセンスを必要としているのか、あるいは上位レベルのライセンスと関連機能は「パワーユーザー」の一部のみが必要としているのかを考慮したか? |
| • Has the organisation factored in any pan-government volume discounts that may be available? | • 組織は、政府全体で適用されるボリュームディスカウントを考慮したか? |
| • Has it analysed the baseline (fixed) and potential variable costs in each of the different options and bundled packages? Does the expected usage include development and test environments as well as live services? | • 異なるオプションやパッケージの組み合わせごとに、ベースライン(固定)コストと変動コストの分析を行ったか。想定される利用には、開発環境やテスト環境、本番サービスが含まれるか。 |
| • Has the organisation considered the costs of a multi-zone architecture for resilience, from both a technical and commercial perspective? | • レジリエンシーを高めるためのマルチゾーン・アーキテクチャのコストについて、技術面と商業面の両方の観点から検討したか。 |
| • For multi-cloud deployments, has the organisation considered in detail the relative costs and benefits of running workloads on different services, considering the impact of committed spend discounts? | • マルチクラウドの展開については、コミットした支出に対する割引の影響を考慮した上で、異なるサービス上でワークロードを実行した場合のコストと利益の相対的な関係について、組織は詳細に検討したか? |
| Will extra skills and capacity be needed? | 追加のスキルや能力が必要になるか? |
| • Can the in-house team manage business case development, commercial negotiation, implementation, operations and assurance? | • 社内チームは、ビジネスケースの開発、商談、実装、運用、保証を管理できるか? |
| • If consultants or contractors are required to implement systems, will in-house staff be able to build knowledge and capability alongside them (knowledge transfer)? | • システムの実装にコンサルタントや請負業者の支援が必要な場合、社内スタッフは彼らとともに知識と能力を習得できるか(知識の伝達)? |
| • Has the organisation considered the use of mixed skills teams for new functions such as cloud cost optimisation? | • クラウドコストの最適化など、新しい機能に対して混合スキルチームの活用を検討したか? |
| • What is the wider impact on the workforce and the cost of training and roll-out? | • 従業員とトレーニングおよび展開コストへのより広範な影響は何か? |
| Has an appropriate time horizon been considered in the commercial model? | 商業モデルにおいて適切な時間軸が考慮されているか? |
| • Has management ensured the inclusion of break clauses to prevent lock-in? | • 経営陣はロックインを防ぐための解除条項の組み込みを確実にしているか? |
| • If implementation costs are high with highly tailored services, has management considered how this might weaken the negotiating position when the contracted term approaches expiry? | • 高度にカスタマイズされたサービスで導入コストが高額になる場合、契約期間が満了に近づいた際に交渉上の立場が弱体化する可能性について、経営陣は考慮しているか? |
| • Has an assessment been made of the longer-term costs of such tailoring, and would a more standard implementation be a better option? | • このようなカスタマイズの長期的コストについてアセスメントは行われているか?より標準的な導入がより良い選択肢ではないか? |
| 3 Due diligence | 3 デューデリジェンス |
| Will there be clear accountability between the organisation and the cloud provider? | 組織とクラウドプロバイダの間で明確な説明責任が果たされるか? |
| • What oversight regime will the organisation have in regard to the cloud provider? | • 組織はクラウドプロバイダに関してどのような監督体制を取るか? |
| • Does the cloud provider subcontract and, if so, how does it manage risks? | • クラウドプロバイダは下請け業者に委託しているか、委託している場合はリスクをどのようにマネジメントしているか? |
| • Has the organisation undertaken sufficient due diligence? Will it mitigate the risk that, in the event of a data breach, it will be held liable as the data controller alongside the cloud provider as the data processor? | • 組織は十分なデューデリジェンスを実施したか? データ侵害が発生した場合に、データ管理者としてクラウドプロバイダと共にデータ処理者として責任を問われるリスクを低減できるか? |
| Have the service features being promoted by the provider been verified? | プロバイダが宣伝しているサービス機能は検証済みか? |
| • Has the organisation obtained views from other customers on how e | • 組織は他の顧客からeコマースに関する意見を収集したか? |
| • How easily will the new service integrate with other systems? | • 新しいサービスは他のシステムとどの程度簡単に統合できるか? |
| • Are some features listed as ‘beta’, meaning they could potentially be modified or withdrawn with little or no notice? | • 一部の機能が「ベータ版」としてリストアップされている場合、それらの機能は予告なしに変更または廃止される可能性があることを意味する。 |
| Are the terms of service well understood? | サービス利用規約は十分に理解されているか? |
| • Is there scope for negotiation to meet organisation- specific needs, or are the terms of service provided ‘as is’ and therefore non-negotiable? | • 組織特有のニーズを満たすための交渉の余地はあるか、それとも「現状のまま」のサービス利用規約が提示され、交渉の余地はないのか? |
| • Does the organisation have access to guidance and expertise on how to obtain the best out of terms that are negotiable? | • その組織は、交渉可能な条件から最大限の利益を引き出す方法に関するガイダンスや専門知識にアクセスできるか? |
| • Are the capacity and availability guaranteed by the cloud provider sufficient for the organisation’s needs? | • クラウドプロバイダが保証する容量と可用性は、その組織のニーズを満たすのに十分か? |
| • Does the organisation understand that negotiating an improved service level agreement (SLA) does not improve resilience if the solution is not engineered in a meaningfully different way to achieve that resilience? | • ソリューションがレジリエンシーを達成するために有意義な方法で設計されていない場合、サービスレベルアグリーメント(SLA)の改善を交渉してもレジリエンシーは改善されないことを、その組織は理解しているか? |
| • Are the SLA and business continuity arrangements fully understood, including how quickly service is guaranteed to resume after an outage? | • SLAと事業継続の取り決めは、サービス停止後の迅速なサービス再開の保証を含め、十分に理解されているか? |
| • Does the service come with inbuilt backup options, or are these paid extras? Would a third-party backup solution provide a better fit for the organisation? | • サービスには内蔵のバックアップオプションが含まれているか、それとも追加料金が必要か? サードパーティのバックアップソリューションの方が自社に適しているか? |
| • Does the organisation understand the provider’s liability cap (particularly for smaller contracts) and the extent to which it is sufficient to cover the cost of any damage the organisation may suffer? | • プロバイダの責任上限(特に小規模な契約の場合)と、それが自社が被る損害のコストをカバーするのに十分であるかについて、組織は理解しているか? |
| Is there clarity regarding where the provider’s infrastructure is physically situated, and in what jurisdiction(s) the organisation’s data is being held and accessed? | プロバイダのインフラが物理的にどこに位置しているか、また、組織のデータがどの管轄区域で保管され、アクセスされているかについて明確になっているか? |
| • What assurances and guarantees are there on data residency and sovereignty? | • データの所在および主権について、どのような保証および保証があるか? |
| • Are security or sovereignty constraints imposed by a parent department or other important stakeholders? (Cloud services are generally organised by region and not every service is necessarily available in every region.) | • 親会社やその他の重要な利害関係者によってセキュリティや主権に関する制約が課されていないか?(クラウドサービスは一般的に地域ごとに組織化されており、すべてのサービスがすべての地域で利用できるとは限らない。 |
| • If the provider has a UK data centre, what assurances does the organisation have that it will be used for the organisation’s own data, and/or covers all services that the organisation plans to use? Will this incur additional cost? | • プロバイダが英国にデータセンターを所有している場合、そのデータセンターが自社のデータ用に利用されること、および/または、自社が利用を計画しているすべてのサービスをカバーすることを、その組織はどのように保証されているか? これによって追加コストが発生するか? |
| • If the provider has a UK data centre, what assurances does the organisation have that it will be used for the organisation’s own data, and/or covers all services that the organisation plans to use? Will this incur additional cost? | • プロバイダが英国にデータセンターを所有している場合、そのデータセンターが自社のデータ用に利用されること、および/または、自社が利用を計画しているすべてのサービスをカバーすることを、その組織はどのように保証されているか? これによって追加コストが発生するか? |
| Does the provider have appropriate security accreditation and protocols? | プロバイダは適切なセキュリティ認定およびプロトコルを保有しているか? |
| • What information security standards does the provider meet? | • プロバイダはどのような情報セキュリティ標準を満たしているか? |
| • What measures are there to ensure strong security, including preventing unauthorised access? Are these measures part of the base licence, are they additional paid-for options, or are they left to the organisation to implement separately? | • 不正アクセス防止を含む強固なセキュリティを確保するための対策は何か?これらの対策は基本ライセンスの一部か、追加の有料オプションか、または組織が別途実施するものか? |
| • What is the provider’s approach to proactive testing, and is there historical evidence of how they have responded to security issues? | • プロバイダの積極的なテストへの取り組みはどのようなものか、また、セキュリティ問題への対応の実績はあるか。 |
| Is there an understanding of what assurances are available from the provider? | プロバイダからどのような保証が得られるか理解しているか。 |
| • Do they cover all areas identified by the organisation as important (such as the NCSC’s 14 cloud security principles)? (See Appendix Two) | • 組織が重要と識別したすべての領域(NCSCの14のクラウドセキュリティ原則など)をカバーしているか。(附属書2を参照) |
| • Are assurances based on self-certification or are independent validation reports available? (See Appendices Two and Three for further information) | • 保証は自己認証に基づくものか、または独立した検証報告書が利用可能か?(詳細は附属書2および3を参照) |
| Does the organisation understand what security information will be supplied by the provider as part of the service? | 組織は、サービスの一環としてプロバイダから提供されるセキュリティ情報がどのようなものか理解しているか? |
| • Does the provider undergo regular, independent assurance activities (such as penetration tests, external audits, Service Organisation Controls reports etc – see Appendix Three) and make the results readily available to customers? | • プロバイダは、定期的に独立した保証活動(侵入テスト、外部監査、サービス組織統制報告書など - 詳細は附属書3を参照)を受け、その結果を顧客に迅速に提供しているか? |
| • Does the contract exclude any rights of access and audit? | • 契約書には、アクセスや監査に関する権利が除外されていないか? |
| • Does the service provide sufficient logs or alerts to support how the organisation detects and responds to security incidents? | • サービスは、組織がセキュリティインシデントを検知し対応する方法をサポートするのに十分なログやアラートを提供しているか? |
| • Are there sufficient in-house resources to understand and interpret the information and alerts being fed back in a timely and responsive way? | • フィードバックされる情報やアラートを理解し解釈するのに十分な社内リソースがあるか? |
| • Does the provider operate their own security functions with whom the organisation can collaborate when investigating security incidents or seeking assurance? | • プロバイダは独自のセキュリティ機能を運用しており、セキュリティインシデントの調査や保証の取得に際して組織が連携できるか? |
| • oth internal and related to its external providers? | • 内部および外部プロバイダに関連するものか? |
| 4 Lock-in and exit strategy | 4 ロックインと出口戦略 |
| Has the organisation addressed technical lock‑in considerations? | 組織は技術的なロックインの考慮事項に対処しているか? |
| • Does the strategy set expectations for how the trade-offs between value and portability will be assessed for each cloud service to determine the degree of lock-in considered acceptable? (The Central Digital & Data Office (CDDO) advises that many, although not all, of the cloud services that provide the most value are also the least portable.) | • 戦略では、各クラウドサービスについて、価値とポータビリティのトレードオフをどのようにアセスメントし、許容できると考えられるロックインの度合いを決定するのか、その見通しが立てられているか? (中央デジタル・データ事務局(CDDO)は、最も価値の高いクラウドサービスの多くは、同時に最もポータビリティが低い場合が多いと助言している。) |
| • Has the organisation set baseline expectations for what a disproportionately large switching cost might be for each service and overall collection of services with a particular provider? | • 組織は、特定のプロバイダの各サービスおよびサービス全体について、不釣り合いなほど大きな切り替えコストがどの程度になるかについての基本的な期待値を設定しているか? |
| Has the organisation considered cloud concentration risk? | 組織はクラウドの集中リスクを考慮しているか? |
| • Have alternative cloud providers been considered? | • 代替のクラウドプロバイダは検討されているか? |
| • Are the advantages and disadvantages of multi-cloud versus si | • マルチクラウドとシングルクラウドのメリットとデメリットは明確になっているか |
| • Is there a clear articulation of the benefits of using a single provider where this is | • 単一のプロバイダを使用することのメリットが明確に説明されているか |
| • Have the risks of cloud provider errors or failures been modelled and mitigated? | • クラウドプロバイダのエラーや障害のリスクがモデル化され、低減されているか |
| • Is the cloud service optimised to meet the organisation’s required levels of resilience? | • クラウドサービスは、組織が求めるレジリエンシーのレベルを満たすよう最適化されているか |
| • Has the Cabinet Office been consulted, especially where services form part of the Critical National Infrastructure? | • 特にサービスが国家の重要なインフラの一部である場合、内閣府に相談したか |
| Is there a well‑defined approach to data access and retrieval? | データへのアクセスと取得に関する明確なアプローチがあるか |
| • Has the organisation undertaken an assessment of the costs and barriers to retrieving its data in a format suitable for migration to another service? (The degree of effort and expense to move to a new provider should not be underestimated, and the risk is most acute with software as a service.) | • 別のサービスへの移行に適した形式でデータを取得するためのコストと障壁について、組織はアセスメントを行ったか?(新しいプロバイダへの移行に要する労力と費用を過小評価すべきではない。SaaS(Software as a Service)ではリスクが最も深刻である。) |
| • Are there contractual mechanisms to ensure the provider will supply the organisation’s data in an agreed electronic format for alternative back-up arrangements, or migration to another provider? | • プロバイダが、代替のバックアップ体制や別のプロバイダへの移行のために、合意した電子形式で組織のデータを確実に提供することを保証する契約上の仕組みはあるか? |
| • Are the actual mechanics of how the data will be extracted sufficiently clear from the outset | • データが実際にどのように抽出されるのか、当初から十分に明確になっているか |
| Is there an exit strategy? | 撤退戦略はあるか |
| • Have issues of potential lock-in as a consequence of deep integration with the native capabilities of a specific provider been considered? What impact would exiting have on the skills required when moving from one cloud provider’s technology to another? | • 特定のプロバイダのネイティブ機能と深く統合した結果、ロックインされる可能性があるという問題は考慮されているか?クラウドプロバイダのテクノロジーを別のものに変更する際に必要なスキルに、撤退がどのような影響を与えるか |
| • Is there a good analysis and understanding of the trade-offs between regulatory, commercial and technical considerations of exiting from one cloud provider to another? And is there a more detailed exit plan that assesses the specific steps needed to exit, the risks to be mitigated, the time it would take and how it would be managed on an orderly service-by-service basis? | • クラウドプロバイダから別のプロバイダへの乗り換えに関する規制、商業、技術的な考慮事項のトレードオフについて、適切な分析と理解がなされているか。また、乗り換えに必要な具体的なステップ、低減すべきリスク、かかる時間、サービスごとの秩序ある管理方法などを評価する、より詳細な乗り換え計画があるか。 |
| • Has a plan been developed for exiting from the cloud, whether to another cloud provider, on-premises, or just discontinuation of the service? Is it costed and validated so it can stand the test of time? | • クラウドからの撤退計画は策定されているか。他のクラウドプロバイダへの移行、オンプレミスへの移行、あるいはサービスの廃止のいずれかであるか。その計画は、長期的なテストに耐えられるよう、コスト計算され、検証されているか。 |
| • If the plan is to switch to an alternative provider, has an assessment been made of the need to operate multiple cloud services in parallel, with a period of dual running, while the migration takes place? | • 代替プロバイダへの移行を計画している場合、移行期間中は並行して複数のクラウドサービスを運用する必要があるか、また、並行稼働期間はどの程度か、アセスメントは行われているか。 |
| • How mature are the standards, tools and techniques involved in moving services from one cloud provider to another? | • サービスをクラウドプロバイダから別のプロバイダに移行する際に使用される標準、ツール、および技術はどの程度成熟しているか? |
| • What experience does the organisation have internally with managing a migration from one provider to another? | • 組織は、プロバイダ間の移行管理について社内でどのような経験があるか? |
| • Will such a migration ensure that the organisation can continue to meet its obligations under the Public Records Act to preserve and make records available? | • このような移行により、記録の保存と公開に関する公文書法に基づく義務を組織が引き続き果たせることを確実にできるか? |
| Implementation of cloud services | クラウドサービスの導入 |
| 1 System configuration | 1 システム構成 |
| Is there a strong governance and project management plan in place? | 強力なガバナンスとプロジェクト管理計画が実施されているか? |
| • Is there an identified owner of the implementation process? | • 実装プロセスのオーナーが識別されているか? |
| • What commitment is there from the provider to work collaboratively on systems configuration? | • プロバイダはシステム構成について協調的に取り組むというコミットメントを示しているか? |
| • Is there a full range of senior representatives from across the relevant areas of the organisation involved in programme governance? | • プログラムのガバナンスには、組織の関連分野から上級代表者がすべて参加しているか? |
| • Is it clear which roles and responsibilities the organisation has and which roles and responsibilities the provider has? | • 組織とプロバイダの役割と責任が明確になっているか? |
| Have infrastructure, applications and data been prepared for the move? | インフラ、アプリケーション、データは移行の準備ができているか? |
| • If legacy data is poor quality, should it be transferred in its existing state into the new system, or cleansed and improved first? | • レガシーデータが低品質である場合、そのデータをそのまま新しいシステムに移行すべきか、それともクレンジングや改善を先に行うべきか? |
| • Are other systems sufficiently up to date to integrate with the new cloud service? | • 他のシステムは、新しいクラウドサービスと統合するのに十分な最新の状態になっているか? |
| Is the organisation following • configuration best practice? | 組織は、構成のベストプラクティスに従っているか? |
| • Is the move to the cloud being clearly documented • to ensure that any changes, for example, in data categories or business processes, are understood? | • クラウドへの移行は、データカテゴリーやビジネスプロセスの変更などを確実に理解できるように、明確に文書化されているか? |
| • Has pre-implementation testing been completed and documented prior to go-live? | • 実稼働前に実装前のテストが完了し、文書化されているか? |
| • Are configurations and customisations fully documented in a way that can be understood by someone not involved in the original implementation? | • 実装に関与していない者にも理解できる形で、設定およびカスタマイズが完全に文書化されているか? |
| Is the organisation overly reliant on third‑party resource? | 組織はサードパーティのリソースに過度に依存していないか? |
| • Is there sufficient continuity in the in-house team to maintain a robust corporate memory? | • 企業内のチームに、強固な企業記憶を維持するのに十分な継続性があるか? |
| • Will the post-implementation in-house team understand how the system has been configured? | • 実装後の企業内のチームは、システムがどのように設定されているかを理解しているか? |
| • Is there documented guidance in place? | • 文書化された指針が整備されているか? |
| 2 Risk and security | 2 リスクとセキュリティ |
| Are technical risks covered with clear responsibilities and mitigating actions? | 技術的なリスクは明確な責任と低減策によってカバーされているか? |
| • Has the organisation put an agreement and action plan in place to cover risks such as resource exhaustion, isolation failure, threats from insiders, interface compromise, data interception, data leakage, insecure data deletion, denial of service (DoS) attacks, ransomware, and loss of encryption keys? | • 組織は、リソースの枯渇、分離の失敗、内部関係者からの脅威、インターフェースの侵害、データの傍受、データ漏洩、安全でないデータ削除、サービス拒否(DoS)攻撃、ランサムウェア、暗号化キーの紛失などのリスクをカバーする契約と対応計画を策定しているか? |
| • Are key personnel aware of the steps they need to take in the event of different kinds of security breach? | • 重要な職員は、さまざまなセキュリティ侵害が発生した場合に取るべき手順を理解しているか? |
| • Have these steps been practised? | • これらの手順は実践されているか? |
| Does the organisation have the capacity and capability to analyse security data made available by the cloud provider? | クラウドプロバイダから提供されるセキュリティデータを分析する能力と能力が組織にあるか? |
| • Is it clear who in the organisation is responsible for reviewing this data and the timeframe within which they should do so? | • このデータをレビューする責任者は誰か、またそのレビューを行うべき期間は明確になっているか? |
| • Do they know how to act on any warnings and alerts contained within the data? | • データに含まれる警告やアラートに対してどのように対応すべきか理解しているか? |
| • Are lines of responsibility between digital services/IT teams and information security teams clear? | • デジタルサービス/ITチームと情報セキュリティチーム間の責任の所在は明確になっているか? |
| • Have the costs of obtaining any additional skills needed been considered? | • 必要な追加スキルの習得にかかる費用は考慮されているか? |
| • Has the organisation assessed the reputational risk of a data breach arising from a failure to act on warning signs that should have been heeded? | • 警告サインを見逃したために発生したデータ漏洩のレピュテーションリスクについて、組織はアセスメントを行っているか? |
| Are the required legal and policy agreements in place? | 必要な法的およびポリシー上の合意は整っているか? |
| • Do contracts cover data protection risks, licensing risks and changes of jurisdiction? | • 契約はデータ防御リスク、ライセンスリスク、管轄変更をカバーしているか? |
| • Are the software licensing implications fully understood? | • ソフトウェアライセンスの関連事項は完全に理解されているか? |
| • Are there policies in place to cover key vulnerabilities such as vendor lock-in, governance, compliance, and reputational risks, or supply chain failures? | • ベンダーロックイン、ガバナンス、コンプライアンス、レピュテーションリスク、サプライチェーンの障害などの主要な脆弱性をカバーするポリシーが策定されているか? |
| Have business continuity plans been updated? | 事業継続計画は更新されているか? |
| • Is the organisation prepared for a range of scenarios for service outage? | • サービス停止のさまざまなシナリオに備えているか? |
| • How frequently will plans be tested to ensure they work and to apply any lessons learned? | • 計画が確実に機能し、得られた教訓を適用できるよう、どの程度の頻度でテストを行うか? |
| • Has the organisation considered resilience requirements in case of a failure in one zone/region of the cloud provider and the option to shift to another zone/region? | • クラウドプロバイダの1つのゾーン/地域で障害が発生した場合のレジリエンシー要件、および別のゾーン/地域への移行オプションについて、組織は検討しているか? |
| Are plans in place to cover the event of data loss? | データ損失が発生した場合の計画は策定されているか? |
| • Is key data covered by a syste | • 重要なデータはシステムによってカバーされているか? |
| • Are the provider’s backup arrangements sufficient, or are third-party solutions required? | • プロバイダのバックアップ体制は十分か、それともサードパーティのソリューションが必要か? |
| • Are data backups maintained in a safe location outside of the cloud provider’s services to guard against unforeseen failures, and to mitigate risks such as ransomware attacks? | • データバックアップは、予期せぬ障害に備え、ランサムウェア攻撃などのリスクを低減するために、クラウドプロバイダのサービス外の安全な場所で管理されているか? |
| • Are there plans in place to support ongoing business operations in the event of data being lost or compromised? | • データが損失または侵害された場合に、継続中の事業運営をサポートする計画はあるか? |
| • Are data backups and service continuity or recovery arrangements regularly tested? | • データバックアップとサービス継続または復旧の体制は定期的にテストされているか? |
| • Have clear lines of responsibility, management and communication been established for handling the impact of data loss or a data breach? | • データ損失またはデータ侵害の影響に対処するための明確な責任、管理、コミュニケーションの体制が確立されているか? |
| Are there adequate plans for technical and user acceptance testing? | 技術面およびユーザー受容テストのための適切な計画があるか? |
| • Has the organisation identified all relevant business scenarios for inclusion in testing, and defined thresholds for acceptable deviations or other issues with acceptance? | • テストに含めるべき関連するビジネスシナリオをすべて識別し、許容できる逸脱や受容に関するその他の問題の閾値を定義しているか? |
| • Has testing been completed, and does it demonstrate that users are able to complete all required tasks without encountering system errors? | • テストは完了しており、ユーザーがシステムエラーに遭遇することなく、必要なすべてのタスクを完了できることを実証しているか? |
| • Have non-functional requirements, such as the need to operate under high levels of user demand to an acceptable level of performance, been fully tested? | • 高いレベルのユーザー需要を許容できるレベルのパフォーマンスで処理する必要性など、非機能要件は十分にテストされているか? |
| Have privileged accounts been secured? | 特権アカウントは安全に保護されているか? |
| • Are administrator and service accounts (that is, accounts used by the system itself rather than individuals) secured appropriately? | • 管理者およびサービスアカウント(すなわち、個人ではなくシステム自体が使用するアカウント)は適切に保護されているか? |
| • Are privileged accounts properly managed and monitored to avoid the granting of excessive permissions, or granting of power to a single account without adequate governance and technical controls? | • 特権アカウントは、過剰な権限の付与や、適切なガバナンスや技術的統制のない単一アカウントへの権限付与を回避するために、適切に管理および監視されているか? |
| • Have service accounts been checked to ensure they do not inadvertently have greater permissions than required, for instance, the ability to delete an entire database when all that is needed is permission to read and write? | • サービスアカウントが、必要以上に高い権限を誤って付与されていないか確認されているか。例えば、読み取りと書き込みの権限のみが必要であるのに、データベース全体を削除できる権限が付与されていないか。 |
| 3 Implementation | 3 実装 |
| Have key stakeholders been engaged through a comprehensive change management strategy? | 包括的な変更管理戦略を通じて、主要な利害関係者が関与しているか。 |
| • Does the organisation have adequate plans to provide training, on-going support, and coaching for users before, during and after implementation, appropriate for the service(s) chosen? | • 実装の前後および実装中に、選択したサービスに適したトレーニング、継続的なサポート、およびユーザーへのコーチングを提供する適切な計画が組織にあるか。 |
| • Does the implementation programme have an effective governance structure to prioritise the backlog of requirements? | • 実装プログラムには、未処理の要件に優先順位を付けるための効果的なガバナンス構造があるか? |
| Are contingency plans in place to manage implementation issues? | 実装上の問題に対処するための緊急時対応計画は策定されているか? |
| • If the organisation is relying on third parties, will it have sufficient control over them? | • 組織がサードパーティに依存している場合、それらを十分に管理できるか? |
| • Do the organisation’s existing systems represent a “burning platform” and would they be able to continue indefinitely until implementation issues are resolved? | • 組織の既存のシステムは「燃えるプラットフォーム」であり、実装上の問題が解決するまで無期限に継続できるか? |
| Are there adequate plans for technical and user acceptance testing? | 技術面およびユーザー受入テストのための適切な計画があるか? |
| • Has the organisation identified all relevant business scenarios for inclusion in testing, and defined thresholds for acceptable deviations or other issues with acceptance? | • 組織は、テストに含めるべき関連するビジネスシナリオをすべて識別し、許容できる逸脱やその他の受容に関する問題の閾値を定義したか? |
| • Has testing been completed, and does it demonstrate that users are able to complete all required tasks without encountering system errors? | • テストは完了しており、ユーザーがシステムエラーに遭遇することなく、すべての必要なタスクを完了できることを実証しているか? |
| • Have non-functional requirements, such as the need to operate under high levels of user demand to an acceptable level of performance, been fully tested? | • 許容できるパフォーマンスレベルで、高いレベルのユーザー需要に対応する必要性など、非機能要件は十分にテストされているか? |
| Management and optimisation of cloud services | クラウドサービスの管理と最適化 |
| 1 Operations | 1 運用 |
| Is there effective governance to prioritise the removal of any temporary workarounds? | 一時的な回避策の排除を優先する効果的なガバナンスはあるか? |
| • Are the priorities clear, shared and bought into by all concerned? | • 優先事項は明確で、関係者全員に周知され、理解されているか? |
| • Are there any integration issues still outstanding that expose security weaknesses? | • セキュリティ上の弱点を露呈する統合上の問題がまだ残っていないか? |
| • Is information being manually exported to other systems and are there plans to automate this? | • 情報は手動で他のシステムにエクスポートされているか?また、自動化する計画はあるか? |
| Is there clear oversight over what the cloud providers are planning? | クラウドプロバイダの計画は明確に把握されているか? |
| • Is the cloud provider being transparent over their plans to release new features and upgrades to their systems? | • クラウドプロバイダは、システムの新機能やアップグレードのリリース計画について透明性を確保しているか? |
| • Is the organisation able to influence the cloud provider to prioritise the developments they would value, or the retention of features they would not wish to see discontinued? | • 組織は、クラウドプロバイダに、自分たちが重視する開発や、廃止されたくない機能の維持を優先させるよう影響力を及ぼすことができるか? |
| • Is the organisation assessing the impact of planned changes on the business, including whether the original business case benefits continue to be achieved? | • 組織は、当初のビジネスケースのメリットが引き続き達成されるかどうかを含め、計画された変更がビジネスに与える影響をアセスメントしているか? |
| Are arrangements clear for system changes, upgrades and patches? | システム変更、アップグレード、パッチの適用に関する取り決めは明確になっているか? |
| • Does the in-house team have the capacity and expertise to manage any changes they will be required to make? | • 社内チームは、必要となる変更を管理する能力と専門知識を備えているか? |
| • Will the team have sufficient time to test any changes in a ‘sandbox’ before being required to release them into the live service? | • チームには、変更を本番サービスにリリースする前に「サンドボックス」でテストする十分な時間があるか? |
| • Will the team be able to prevent new features, such as artificial intelligence (AI), being deployed by a cloud provider until they have had time to assess their technical, security and legal implications? | • チームは、人工知能(AI)などの新機能がクラウドプロバイダによって展開される前に、技術面、セキュリティ面、および法務面での影響をアセスメントする時間を確保できるか? |
| Is there sufficient capability to take advantage of the reporting functionality? | レポート機能を活用するのに十分な能力があるか? |
| • Will the in-house team continue to be dependent on third-party support to manage key reporting and system processes? | • 社内チームは、主要なレポート作成やシステムプロセスを管理するために、引き続きサードパーティのサポートに依存することになるだろうか? |
| • Have relevant logging and auditing functions been turned on to provide tracking information? | • 関連するログ記録や監査機能が有効になっており、追跡情報を提供できるだろうか? |
| • Does the team have the expertise to interpret and act on the data? | • チームには、データを解釈し、それに基づいて行動する専門知識があるだろうか? |
| Is the organisation monitoring its usage of the cloud to confirm that it is getting the best value? | 組織は、クラウドの利用状況を監視し、最適な価値を得ていることを確認しているだろうか? |
| • Does this monitoring include the development environment as well as live services? | • この監視には、開発環境だけでなく、稼働中のサービスも含まれているだろうか? |
| • Does it ensure that new cloud instances and services are only set up where there is a necessary business requirement? | • 新しいクラウドインスタンスやサービスは、必要なビジネス要件がある場合のみに設定されているか? |
| • Are they being set up in the most efficient way, and shut down again when the business need has been satisfied? | • 最も効率的な方法で設定され、ビジネスニーズが満たされた時点で停止されているか? |
| • Is there a regular review to ensure that the pricing model continues to be the best fit for the organisation’s needs? | • 価格設定モデルが組織のニーズに最適な状態を維持していることを確認するための定期的な見直しが行われているか? |
| • Is the organisation taking advantage of any available free optimisation advice and solutions from the cloud provider? | • クラウドプロバイダが提供する無料の最適化アドバイスやソリューションを利用しているか? |
| 2 Assurance | 2 保証 |
| Does management understand the general scope and limitations of the different types of SOC reports? | 経営陣は、SOCレポートの各種タイプにおける一般的な範囲と限界を理解しているか? |
| • Is assurance required to cover financial reporting (SOC1) or wider operational controls (SOC2)? Is a publishable public-facing report (SOC3) needed? | • 保証は、財務報告(SOC1)またはより広範な運用管理(SOC2)を対象とする必要があるか?公開可能な顧客向けレポート(SOC3)が必要か? |
| • Do available reports provide an assessment of both cloud provider(s) and the organisation itself (to reflect the shared responsibility model and ensure no potential gaps between areas of assurance and accountability)? | • 利用可能なレポートは、クラウドプロバイダ(複数可)と組織自体の両方のアセスメントを提供しているか(共有責任モデルを反映し、保証と説明責任の領域に潜在的なギャップがないことを確認するため)? |
| Is management clear on the scope of controls tested, the extent of testing and the assurance given? | 管理部門は、テストされた統制の範囲、テストの程度、および付与された保証について明確に理解しているか? |
| • Is the service auditor a recognised firm? | • サービス監査人は、信頼のおける企業か? |
| • What additional controls or assurance are needed to cover internal processes and systems? | • 内部プロセスおよびシステムをカバーするために、どのような追加の統制や保証が必要か? |
| • If there are weaknesses or gaps in the cloud provider’s controls, are there additional steps that management should take to strengthen internal controls? | • クラウドプロバイダの統制に弱点やギャップがある場合、内部統制を強化するために管理部門が追加で実施すべきステップはあるか? |
| Do SOC reports give assurance on the success of operational controls over time? | SOCレポートは、運用統制の継続的な成功を保証しているか? |
| • Are SOC2 reports available which test the controls over time rather than simply documenting them? | • 単に文書化するだけでなく、長期間にわたって統制をテストするSOC2レポートは入手可能か? |
| • Does management have a way of monitoring any changes in key controls between reports? | • 経営陣は、レポート間の主要統制の変更を監視する方法を持っているか? |
| Are SOC reports frequent enough to keep pace with continuous improvement? | • 継続的な改善に対応できる頻度でSOCレポートは発行されているか? |
| • Is there a mechanism in place to allow management to continuously monitor compliance with key controls? | • 経営陣が主要統制の継続的な遵守を監視できる仕組みがあるか? |
| • Is there a trigger clause to oblige the cloud provider to obtain a new report if it makes significant changes to its systems or controls? | • クラウドプロバイダがシステムや統制に大幅な変更を加えた場合、新しいレポートを取得することを義務付けるトリガー条項があるか? |
| Does management carefully scrutinise SOC report findings? | 経営陣はSOCレポートの調査結果を慎重に精査しているか? |
| • Even if the report gives an ‘unqualified opinion’, are there any exceptions noted? | • レポートが「無限定適正意見」を表明している場合でも、例外事項が記載されていないか? |
| • What is the quality of the cloud provider’s responses to any exceptions raised? | • 例外事項が指摘された場合、クラウドプロバイダの対応の質はどうか? |
| • Does management acknowledge that, while the organisation may outsource procedures or services, it cannot outsource responsibility for the control environment, and that outsourcing extends the scope of management’s responsibilities for gaining assurance over data, transactions and controls operated on their behalf by others? | • 経営陣は、組織が手続きやサービスを外部委託することはできても、統制環境に対する責任を外部委託することはできないことを認識しているか。また、外部委託により、他者によって代行されるデータ、取引、統制に対する保証を得るための経営陣の責任の範囲が拡大することを認識しているか。 |
| • How has the organisation checked it has not accidentally exposed document storage to unintended public access? | • 組織は、文書保管が意図しない一般公開に誤ってさらされていないことをどのように確認しているか。 |
| 3 Capability | 3 能力 |
| Will the organisation retain the necessary technical knowledge post‑implementation? | 組織は、実装後に必要な技術的知識を維持できるか。 |
| • What ongoing knowledge will there be of any legacy systems and how they interface with new cloud systems? | • どのようなレガシーシステムに関する継続的な知識があり、それらが新しいクラウドシステムとどのようにインターフェースしているか? |
| • What plans are there for knowledge transfer from the cloud provider pre- and post-migration? | • クラウドプロバイダから移行前および移行後に知識を移転する計画は何か? |
| • How is knowledge sharing operating with the cloud provider? | • クラウドプロバイダとの知識共有はどのように行われているか? |
| • Will documentation be routinely maintained and provided to track configuration changes and customisations? | • 構成変更やカスタマイズを追跡するために、文書は定期的に維持され、提供されるか? |
| • Is there a learning plan to keep users and administrators up to date with changes and developments? | • ユーザーと管理者に変更や進展を最新の状態に保つための学習計画はあるか? |
| Does the technical team have the capability to take full advantage of the cloud systems? | 技術チームはクラウドシステムのメリットを最大限に活用できる能力を備えているか? |
| • Is specific training arranged for different cloud provider systems (which may have widely varied data structures and technical requirements)? | • 異なるクラウドプロバイダのシステム(データ構造や技術要件が大幅に異なる場合がある)に対応する特別なトレーニングが用意されているか? |
| • Do teams responsible for legacy systems (such as business intelligence reporting, third-party payroll, or fixed asset modules) have the capability to manage the interfaces with the cloud system? | • レガシーシステム(ビジネスインテリジェンスレポート、サードパーティの給与計算、固定資産管理モジュールなど)を担当するチームは、クラウドシステムとのインターフェースを管理する能力を備えているか? |
| Will there be sufficient capability to manage updates, downtime, and system changes? | アップデート、ダウンタイム、システム変更を管理するのに十分な能力があるか? |
| • Will the organisation retain people who understand the cloud system configuration and can manage changes and continuous improvement? | • クラウドシステムの構成を理解し、変更や継続的な改善を管理できる人材を組織内に確保できるか? |
| • Will the technical team be able to effectively monitor planned cloud system updates and understand the organisational impacts? | • 技術チームは、計画されたクラウドシステムのアップデートを効果的に監視し、組織への影響を理解できるか? |
| Will there be sufficient commercial and legal capacity to challenge on value for money and compliance? | 費用対効果やコンプライアンスについて、十分な商業的・法的対応能力があるか? |
| • Is there a thorough understanding of providers’ pricing structures, including across areas such as compute, storage and retrieval, and data egress (transfer out) as well as the way services may be bundled or tied together? | • プロバイダの価格体系について、コンピューティング、ストレージ、検索、データ転送(転送)などの分野全体にわたって、また、サービスがどのようにバンドルまたは結合される可能性があるかについても、十分に理解しているか? |
| • Will the commercial team have sight of the usage of cloud systems through monitoring tools? | • 営業チームは、モニタリングツールを通じてクラウドシステムの使用状況を把握できるか? |
| • Will they be able to understand and interrogate th | • また、それらを理解し、調査することができるか? |
| • Will there be legal capacity to support the technical team if there are breaches of service level agreements (SLAs)? | • サービスレベル契約(SLA)に違反があった場合、技術チームをサポートする法的能力があるか? |
| Is there sufficient base‑level stakeholder capability to optimise cloud system usage? | クラウドシステムの使用を最適化するのに十分な基本レベルの利害関係者の能力があるか? |
| • Are system users taking advantage of the opportunities and features available? | • システムユーザーは、利用可能な機会や機能を活用しているか? |
| • Is there a training plan in place to keep users up to speed with changes and induct new users? | • ユーザーに変更を周知し、新規ユーザーを導入するためのトレーニング計画があるか? |
| • Do decision-makers have sufficient understanding of cloud capabilities to engage effectively? | • 意思決定者は、効果的に関与するためにクラウドの能力を十分に理解しているか? |
| Does the organisation have access to skills and knowledge of a broad range of technical solutions? | 組織は、幅広い技術的ソリューションのスキルや知識にアクセスできるか? |
| • Is this sufficient to maintain a perspective of the cloud market and of technologies becoming available? | • クラウド市場や利用可能になるテクノロジーの展望を維持するのに十分な体制が整っているか? |
| • Is external capability needed to support and/or train up internal resources? | • 社内リソースのサポートやトレーニングに外部の能力が必要か? |
| • Will recruitment and training cover more general cloud skills as well as specific cloud platforms? | • 採用やトレーニングは、特定のクラウドプラットフォームだけでなく、より一般的なクラウドスキルもカバーするか? |
Comments