トーマツグループは日本におけるデロイト トウシュ トーマツ リミテッド(英国の法令に基づく保証有限責任会社)のメンバーファームおよびそれらの関係会社(有限責任監査法人トーマツ、デロイト トーマツ コンサルティング株式会社、デロイト トーマツ ファイナンシャルアドバイザリー株式会社および税理士法人トーマツを含む)の総称です。詳細はwww.tohmatsu.com/deloitteをご覧ください。
クラウドコンピューティングのリスク評価
企業を取り巻く環境の変化
クラウドコンピューティングが企業ITとして活用される時代が始まっています。企業はこれまでにない経営環境の変化に直面し、ITに関しても変革が求められています。 新たな経営環境の時代に、クラウドコンピューティングが企業ITの変革にも重要なツールと位置づけられてきます。
しかし、新たなツール(サービス)の導入に際して、そのリスクを適切にマネージ(コントロール)できなければ企業経営に大きな影響を及ぼす恐れがあります。
クラウドコンピューティングに対するアプローチ
トーマツでは「クラウドコンピューティング」の利用に当たって、重要な「クラウドコンピューティングのリスク評価」について、その検討段階から運用・利用終了までの各フェーズでのリスク評価サービス等を提供します。「クラウドコンピューティングのリスク評価」を適切に行うことにより、クラウドのメリットをより安全に享受することが期待されます。
クラウドコンピューティング導入までのフェーズと提供するサービス
クラウドコンピューティングのリスク評価サービス
クラウドコンピューティングの導入・利用の各フェーズにおいて、利用者(クラウドコンピューティングの利用企業)のご要望に合わせクラウドリスクの診断サービス等、各種サービスを提供します。
Phase 1:検討
当フェーズではどのような業務に対してクラウドコンピューティングを導入するかについての検討、導入するにあたり、要件の充足度、コスト、導入のスピード、導入効果、リスク等の比較検討を行います。
- ▼Phase1のサービス内容
- ・ クラウドコンピューティングを利用する業務候補の要件等の明確化を支援します。
・ クラウドコンピューティングを導入するか否かの検討の支援、導入する場合の要件の充足度、費用対効果、リスク、移行の難易度、導入に要する期間、必要なリソースなどの検討、クラウド導入にあたっての課題の明確化等を支援します。なお、要件には、持続可能性要件(環境負荷、CO2排出量等)についても含まれます。
・ 当フェーズにおいて、利用者として考慮すべきリスクを診断し、利用者の業態、業務等に合わせて望まれる対応策などについて助言します。
- ・ クラウドコンピューティングを利用する業務候補の要件等の明確化を支援します。
Phase 2:導入計画
サービスの導入を決定した後、利用者の要件に合ったサービスプロバイダを選択し、導入、移行、運用体制等についての計画の策定を行います。
- ▼Phase2のサービス内容
- ・ 候補となる各サービスプロバイダのサービス契約・約款、実績等を比較し、どのサービスプロバイダが利用者の要望にどの程度添ったサービスを提供可能か、また、約款に記載された免責事項、契約終了時の条件や、サービスプロバイダの企業としての安定性(財務的基盤等)等についての評価と選択を支援します。
・ 利用者の要件に合わせた変更、現行システムからの移行、ユーザ教育、障害対応等を含む運用体制、終了時のデータの引き上げや消去等に関する計画の策定支援、あるいは評価を行います。
・ 利用者やその代理人による監査(会計、システム、セキュリティ、個人情報保護等)を受け入れられる体制が、利用者・サービスプロバイダ双方で計画されているかレビューします。
- ・ 候補となる各サービスプロバイダのサービス契約・約款、実績等を比較し、どのサービスプロバイダが利用者の要望にどの程度添ったサービスを提供可能か、また、約款に記載された免責事項、契約終了時の条件や、サービスプロバイダの企業としての安定性(財務的基盤等)等についての評価と選択を支援します。
Phase 3:移行実施
当フェーズでは、サービスプロバイダと契約を締結し、現行システムをクラウドコンピューティングサービスに移行させます。このフェーズでは契約内容の実効性や移行結果の確認などを行います。
- ▼Phase3のサービス内容
- ・ 締結した契約やSLAに定められた業務要件、機能要件、セキュリティ等の非機能要件等が、実装されているかの確認を支援します。移行テスト時においては、契約やSLAの条項が担保されていることを確認します。
・ 現行のシステムから、クラウド環境上にすべてのデータが漏れなく正確に移行できているかの確認を支援します。
- ・ 締結した契約やSLAに定められた業務要件、機能要件、セキュリティ等の非機能要件等が、実装されているかの確認を支援します。移行テスト時においては、契約やSLAの条項が担保されていることを確認します。
Phase 4:運用(利用)
当フェーズではクラウド環境上のシステムが運用され、利用者及びサービスプロバイダにより定常的にモニタリングが行われます。併せて、課金状況の確認、サービスレベルに応じた課金額の変更などが行われることがあります。
- ▼Phase4のサービス内容
- ・ サービスプロバイダとの間で締結した契約等に定められているSLA等が具体的に実施されているかの確認を支援します。具体的な方法として、定期的なシステム監査やセキュリティ監査などがあります。
・ 運用中における外部環境等の変化に合わせて、利用中のシステムまたはサービスにおけるリスクの変化がないか、定期的な評価を支援します。
・ 運用開始後に発見された問題点について、その改善方法等について助言します。
- ・ サービスプロバイダとの間で締結した契約等に定められているSLA等が具体的に実施されているかの確認を支援します。具体的な方法として、定期的なシステム監査やセキュリティ監査などがあります。
Phase 5:終了
当フェーズではクラウドサービスの乗り換え、サービスプロバイダによるサービス提供の終了などに伴う新旧クラウド環境間でのデータの移行および利用者のシステム環境へのデータ引上げ、クラウド環境からのデータの消去などを行います。
- ▼Phase5のサービス内容
- ・ 必要な情報(アプリケーションを含む)は全て、利用者または移行先環境に回収・転送されるか、確認体制、実施状況について確認を支援します。
・ サービスプロバイダとの間で締結した契約等に基づき、データの確実な消去が実行されていることの確認を支援します。なお、クラウド環境において可能性が高い分散保管環境においてサービスプロバイダ側でのデータが完全に消去されているかの確認についても支援します。
- ・ 必要な情報(アプリケーションを含む)は全て、利用者または移行先環境に回収・転送されるか、確認体制、実施状況について確認を支援します。
トーマツでは、上記のようなフェーズにおける評価の実施を通じて適切なクラウドコンピューティングサービスの利用をご支援いたします。
問い合わせ
デロイト トーマツ リスクサービス株式会社
問い合わせフォーム
TEL : 03-6213-1300(代表)
所在地 : 〒100-0005
東京都千代田区丸の内3-3-1 新東京ビル8階 地図はこちら
関連する記事
護るが勝ち
(3.02 MB)
~クラウド利用にもリスク管理を~
(日経コンピュータ 2010年3月3日号より抜粋)
執筆:谷口 博一
パートナー・有限責任監査法人トーマツ
「企業がITを活用する上で、GRC(ガバナンス、リスクマネジメント、コンプライアンス)を十分に意識しないとその先には落とし穴が待っている。クラウドコンピューティングも例外ではありません。クラウドのメリットを最大限に享受するポイントがそこにあります。」
クラウドコンピューティングの課題(1.20 MB)
インタビュー:『重要な「リスク」の認識と評価 経営の選択肢広げる「クラウド」』
(日本金融通信社発行FIT35号より抜粋)
インタビュイー:谷口 博一
吉丸 成人
大場 敏行
関連するナレッジ
ガバナンス&リスクマネジメント
リスクマネジメント、コンプライアンス、内部統制、情報セキュリティ、事業継続管理、CSR、温暖化対策、内部監査、システム監査に関する最新情報です
季刊誌『企業リスク』
トーマツ企業リスク研究所では、2003年10月より、季刊誌『企業リスク』(年4回発行)を発行しております。
会計情報
会計・監査の最新情報を発信しています。皆さまのビジネスにお役立てください。
書籍
トーマツグループの専門家が執筆した書籍をご紹介します。
セミナー
トーマツグループが開催するセミナーをご案内しています。
トーマツ メールマガジン
トーマツが発行するメールマガジンです。