トップページ > クラウドビジネス推進研究会 > クラウドサービス活用時のリスクコントロール
クラウドサービス活用時のリスクコントロール
JEITA ソリューションサービス事業委員会SLA/SLM WGでは、クラウドサービスの見える化のツールとしてSLA/SLMを位置づけ、クラウドサービスにおけるSLA/SLM適用について検討を実施し、次の調査結果を纏めた。
クラウドサービス活用のリスク
クラウドサービスへのSLAの適用を検討するにあたり、最初にサービス特有のリスクも含めたクラウドサービス活用のリスクを定義した。
クラウドサービス特有のリスクと洗い出し
クラウドサービスの仕組みを考えた場合、従来のITサービスとは異なる、独自のサービスリスクが存在する。そのクラウドサービスリスクを以下の手順で洗い出した。
<手順1> | 参考となる報告書から、クラウドサービスの課題を抽出した(図1参照)。 | |
<手順2> | 当委員会独自に課題に対応するリスクを定義した。 | |
<手順3> | 定義しきれていないリスクを独自に補った。 |
クラウドサービスへのSLAの適用
企業のIT担当者が、企業の情報システムへクラウドサービスを適用する場合に、クラウドサービスの課題をリスクとして捉え、そのコントロール手段としてSLAを定義し、サービス提供者、利用者間で合意することによりクラウドサービスとそのリスクを見える化することを目的に、検討を実施した。
クラウドサービスへのSLA適用の考え方
クラウドサービスの利用は、クラウドサービスを自社の情報システムへ適用する場合においては、通常の外部委託と同様に、サービス提供者、利用者の関係性が生まれる。
またクラウドサービスの特性により、提供を受けるサービスは見えるが、提供されるサービスの環境については、利用者から見えにくく関与が薄くなる傾向にある。
このような場合において、利用者とサービス提供者間でサービスの見える化ツールとしてのSLAが有効である。
本委員会で検討するSLAは、サービスレベル項目だけではなく、サービス仕様での定義や契約での取り決めも含む広義のSLAとして考える(図2参照)。
今回の検討においては、クラウドサービスを適用する場合のリスクを洗い出し、そのコントロール方法として広義のSLAを位置づける。
以下の表にクラウドサービスのSLAによるコントロール方法を示す(表1参照)。
サービスレベル項目の考え方と適用方法
(1) サービスレベル項目の考え方
クラウドサービスのリスクに対してSLAを適用することで、クラウドサービスのリスクコントロールを可視化し、リスクの回避/低減/移転を実現することを目的に、コントロール方法の実現手段としてふさわしいサービスレベル項目について検討した。しかしながら、以下に示すような問題があることがわかった。
・ | SLAで規定できるサービスレベル項目だけでは、クラウドサービスにおけるリスクコントロール全体に対応することができない。 |
・ | 定性的な(定量的には表現できない)サービスレベル項目を用いないと、コントロールすることができないリスクがある。 |
・ | リスクコントロール方法の実現方法の中には、SLAで規定すべきサービスレベル項目としてふさわしくないものがある。 |
そこで、サービスレベル項目を、クラウドサービスのリスクをコントロールするための実施手段として広く捉えることにした。このとき、リスクコントロール手段としてのサービスレベル項目を考えると、その特性から以下の3つに区分することができる。
・自動: | 定量的に表現でき、自動的にツールで測定可能なもの |
・手動: | 定量的に表現するのではなく、出来た/出来なかった、ある/ない等を人により確認するもの |
・仕様: | SLAで規定するのではなく、サービス要求、契約条項、サービス仕様として規定されるもの |
(2) サービスレベル項目の適用方法
クラウドサービス活用のライフサイクルの各段階に応じて、サービスレベル項目の適用方法は異なる、以下に適用方法を記載する(表2 参照)。
サービスレベル項目によるリスクコントロール
サービスレベル項目を使ってリスクをコントロールする方法を、「クラウドサービス・リスクコントロール表」としてまとめた。
(1) 目的
「クラウドサービス・リスクコントロール表」は、クラウドサービスの利用者がビジネス要求に適合した最適なクラウドサービスを活用するためのガイドとして利用することを目的としている。
(2) 構成
「クラウドサービス・リスクコントロール表」の構成は以下の通りである(表3 参照)。
1) 分類 | ||
クラウドサービス活用時の発生リスクを、その性質から以下の9つに分類した。 −可用性、信頼性、セキュリティ、性能、データ管理、移行、責任範囲、法令、拡張性 | ||
2)クラウドサービス活用時のリスク | ||
クラウドサービス活用時の発生リスクを記載した。 | ||
3)リスク評価 | ||
リスクが発生したときの影響度と発生の可能性を、「大・中・小」で評価した。 | ||
4)コントロール方法 | ||
リスクをコントロール(回避/低減/移転)するために、クラウドサービスの利用者が実行することが望ましい事柄を記載した。 | ||
5)実装区分 | ||
リスクのコントロール方法を実装するためのサービスレベル項目を、その特性から3つに区分した。「自動」、「手動」、「仕様」 | ||
6)サービスレベル項目例 | ||
具体的なサービスレベル項目の例を提示した。 | ||
7)備考 | ||
上記の各項目の記載内容についての補足説明などを記載した。 |
(3) 期待効果
本委員会では、「クラウドサービス・リスクコントロール表」を以下のような形で活用することで、様々な効果を期待できると考えている。
1) | クラウドサービスの活用を検討する際に、事前のチェックリストとして活用できる。 | |
2) | クラウドサービスあるいはサービス提供者を選定するときに、リスクを評価することで自社のビジネス要求を満足するサービス要求を提示することができる。 | |
3) | サービス提供者とサービス契約するときに、SLAで合意する事柄とサービス契約あるいはサービス仕様として合意する事柄を見分けることができる。 |
▼クリックすると拡大します。
「クラウドサービス・リスクコントロール表」の使い方
クラウドサービスの利用に際してリスクコントロールを検討する際の、「クラウドサービス・リスクコントロール表」(表3)の活用方法について記載する。
活用シーンとしてクラウドサービスの利用におけるライフサイクル(「事前検討」・「サービス要求提示」・「契約」・「運用」・「終了」)を想定し、各段階でのリスクマネジメント観点での主要検討事項と、検討における「クラウドサービス・リスクコントロール表」の活用方法を例示する(図3 参照)。
詳細: | 平成22年度ソリューションサービスに関する調査報告書I SLA 適用領域の拡大に関する調査報告書 −クラウドサービス活用時のリスクコントロール −クラウドサービスの米国調査 −利用者視点のSLA |
価格: | 会員 5,250円 会員外 10,500円 |