クラウド ガバナンス リスクを評価する
新しいポリシーを作成したり、既存のポリシーを更新したりする前に、新しいポリシーまたは更新されたポリシーの定義に役立つクラウド リスクを評価する必要があります。 クラウドのリスクを効果的に評価するには:
リスクを特定し、これらをカタログ化します。 Azure ツールを使用して、クラウド資産を一覧表示し、クラウド リスクを検出します。
リスクを分析し、各リスクに定性的または定量的な価値を割り当てます。 重大度別にリスクに優先順位を付けます。
ダウンタイムやコストなど、リスクの影響を判断します。
リスクを文書化し、組織内の必要な関係者全員にリスクについて通知します。
イベントに応じて定期的にリスクを確認し、有効性と正確性を確実に確保します。
リスクとリスクの高い領域の例
多くの場合、ワークロードの拡大に伴ってリスクが増加します。 導入作業のさまざまなポイントにおけるリスク レベルの次の例について考えてみます。
初期の実験の間に、ほとんどまたはまったく関連のないデータが含まれる少数の資産をデプロイします。 リスクは小規模です。
最初のワークロードをデプロイするときに、リスクがわずかに増加します。 このリスクを修復するために、ユーザー ベースの小さい、本質的にリスクの低いアプリケーションを選択できます。
より多くのワークロードがオンラインになると、リスクはリリースごとに変わります。 新しいアプリケーションがリリースされると、リスクが増加する可能性があります。
企業が最初の 10 個または 20 個のアプリケーションをオンラインにするときのリスクは、1000 個目のアプリケーションをクラウドで運用環境に移行するときより低いです。
クラウド リスクの評価中に、どのリスクが最優先事項であるかを判断する必要があります。 リスクが最も頻繁に発生する次の領域について考えてみます。
AI | AI システムの使用、アクセス、出力に関連するリスクについて考えてみます。 定期的に AI システムをテストし、AI 用として自動化されたリスクの特定ツールを組み込みます。 |
コスト管理 | コストはクラウド ユーザーの最大の関心事です。 すべてのクラウド プラットフォームに対応した、コスト管理のためのポリシーを策定します。 |
Data | データ管理は、セキュリティ リスクを軽減する上で重要です。 データを適切に暗号化し、Azure ツールを使用してデータ ライフサイクル ポリシーを管理するよう徹底します。 |
操作 | 一元化かつ標準化された一貫性のあるデプロイと構成のアプローチにより、ガバナンス プラクティスが向上します。 クラウドベースのガバナンス ツールを使用して運用を実行します。 |
規制コンプライアンス | 業界の規制要件を把握することで、クラウドのデータと運用に影響を与えるコンプライアンス違反を特定して解決できるようにします。 |
リソース管理 | クラウドの運用はリソース構成の一貫性に依存します。 ガバナンス ツールを使用して、一貫した方法でリソースを構成し、オンボーディング、ドリフト、検出可能性、および復旧に関連するリスクを管理できます。 |
Security | セキュリティは、各企業に特有の複雑なテーマです。 セキュリティ要件を確立した後、クラウドガバナンスのポリシーと実施を使用して、それらの要件をネットワーク、データ、資産の構成全体に適用します。 |
リスクは相対的です。 オフラインの建物内にある、IT 資産を少量しか持たない小規模な企業の場合、リスクは低いです。 同社がユーザーを追加し、それらの資産にアクセスできるインターネット接続を追加すると、リスクが高まります。 この小規模な企業が Fortune 500 に選ばれるまでに成長すると、リスクは急激に大きくなります。 収益、ビジネス プロセス、従業員数、IT 資産が蓄積するにつれて、リスクは増加し、融合していきます。 IT 資産は、収益を生み出すのに役立ちます。 障害が発生すると、その収益ストリームが停止する可能性があります。 ダウンタイムのあらゆる瞬間が損失の原因となります。 データが蓄積されると、顧客のリスクも増大します。
Tailwind Traders のリスク
Tailwind Traders の顧客事例によると、Tailwind の CIO が懸念している最も重大なリスクは次のとおりです。
クラウドでの支出超過
組織のセキュリティまたはコンプライアンスの要件を満たしていない
資産構成が運用管理に関する問題または見落としの原因となっている
未承認のアクセスがシステムやデータを侵害している
未成熟なプロセスやチーム スキルの欠如により、ガバナンスに矛盾が生じている
クラウド ガバナンス チームは、これらのリスクに対処するためのクラウド ガバナンス ポリシーを作成し、このポリシーの影響を受ける人々と協力する必要があります。