マルチクラウド時代のガバナンス構築・高度化支援

近年、クラウドサービスの普及が進む中、多くの企業が事業戦略に合わせ、複数のクラウドサービスを活用することが一般的となってきています。一方で、一部の企業ではアプリケーションも含めたシステムアーキテクチャが見直されないまま、オンプレミス環境からクラウド環境に単純に移行している例も見受けられます。このようにリフト（クラウド環境への移行）はできているもののシフト（クラウド環境の最適化）には至っていない状況では、IT投資効果の測定において、導入時の指標に基づいた測定だけでなく、継続した改善とモニタリングが必要になります。外部環境や各クラウドサービスの機能改善等の変化に柔軟に対応した最適化ができていないと、当初想定した投資効果を得られないことがあるためです。そのような場合には、原因を分析したうえで、効率の良い別のクラウドサービスに移行したり、複数のクラウドサービスに分かれていたものを統合したりするなど、エグジットプランも意識した経営判断が必要となります。

こうしたクラウドサービス利用の継続的な改善を支えるものがガバナンスの構築と高度化であり、そのためにはまずガバナンス指標の収集とアセスメント実施、リスクの可視化を行うことが求められます。

1. ガバナンス指標の収集

図表2：ガバナンス指標の例

指標	クラウドサービス利用ポリシー
	セキュリティ
	コンプライアンス
	アクセス管理
	変更管理
	データ管理
	ログ管理
	コスト管理
	ベンダー管理
	教育とトレーニング
	モニタリング

ガバナンス指標には図表2に挙げたような項目が含まれます。これらの指標は、組織のニーズや規模に適した形でカスタマイズし、定期的に見直しを行うことが重要です。PwCでは、指標の策定を業界基準に基づいて行い、その後の定期的なモニタリングを通して、組織の実態に合わせた見直しを支援することが可能です。

2. アセスメントの実施

クラウドサービスのリスク管理においては、ガードレールと呼ばれる考え方が重要です。導入の段階では、セキュリティ、コンプライアンス、コスト効率、リスク管理などが、重要な側面をカバーするための基本的なガバナンス要因となります。これらの要因に関連するガバナンス指標を適切に収集し、図表3に挙げたポイントを確認して、組織の成熟度のアセスメントを実施します。

図表3：ガバナンス項目ごとに確認が必要となるポイント

ガバナンス項目	対応状況の確認ポイント
クラウドポリシーの策定	クラウドサービスの使用ポリシーが明確に定義され、組織内で共有されているかどうか従業員への遵守促進の方針が実施されているか
セキュリティガバナンス	アクセスコントロールの最小権限の原則が遵守されているかトレーサビリティが確保され、アラード時の対応やチェックの自動化が行われているか全レイヤーでのセキュリティ適用が行われているか伝送中および保管中のデータの保護が行われているか（データの分類、暗号化、アクセスコントロール等）インシデントレスポンスが機能しており、検出、調査、復旧の対応が適切に行われているか
コンプライアンスガバナンス	データの保存、保管、取得に関連する規制要件（GDPR、HIPAAなど）に準拠するための戦略が策定されているか実際の遵守状況が対応しているか
アクセス管理	アクセスコントロールの最小権限の原則が遵守されているかユーザーとロールポリシーの定義マルチファクタ認証（MFA）アクセスキーの定期的なローテーションなど
変更管理	クラウドインフラストラクチャやアプリケーションの変更が適切に管理されているか影響評価と承認手続きが確保されているか
データ管理ガバナンス	個人情報等の重要情報、機密情報がシステム内のどのエリアで保持されているかデータの保護、暗号化、バックアップ、復元ポリシーが確立されているかデータの可用性と完全性が確保されているか
ログ管理	監査ログの有効化セキュリティイベントログ各レイヤー（ネットワーク、インスタンス、アプリケーション、認証等）の取得状況
コスト管理ガバナンス	クラウドリソースの利用とコスト最適化のためのポリシーが設けられているか（ポリシーの項目例） a. 利用率（Utilization） b. リザーブドインスタンスの活用 c. オンデマンドとリザーブドのバランス d. アイドルリソースの特定 e. タグ付けとコスト配分 f. 予測とスケーリング g. ストレージ最適化 h. コストエクスプローラーの活用 i. リソースのサイズ調整 j. 請求書の分析コストの透明性が確保されているか
ベンダーマネジメント	クラウドプロバイダーとの契約やサービスレベル契約（SLA）が適切に管理されているかベンダー側でのセキュリティ対策の履行状況サービス提供者とのコミュニケーションの確立状況
リスク管理	クラウドサービスに関連するリスクが評価され、対応策（セキュリティインシデントや障害に対する対応計画）が整備・実施されているか
教育とトレーニング	従業員に対するクラウドサービスの使用方法とセキュリティベストプラクティスについての教育実施状況
モニタリング	クラウドリソースのモニタリングと監視が確立され、異常を検出して対応できる体制が整備されているか（モニタリング対象の例）異常検出に関するアラートの数や頻度セキュリティイベント（アクセス履歴、変更履歴、脅威検出数）セキュリティイベント検出から対応までの時間の影響度機能追加・改善のリリース数ダウンタイムの発生頻度と期間サポートへの問合せからレスポンスまでの時間各サービスの利用率（Utilization）オンデマンドとリザーブドの使用率のバランスストレージ使用量リソースの適切性予算に対するコスト消化率契約数（クラウドサービスアカウント数）サービスのアップデート回数・頻度新サービスのリリース頻度障害原因の分類（設定ミス、作業ミス、レビュー不足等）担当窓口の体制変更の状況

3. リスクの可視化

経営者が迅速にリスク状況を把握し、必要な対応を指示するためのダッシュボードの整備をサポートします。ガバナンス指標のアセスメント状況を視覚的に表現することで、組織がクラウドを活用する中での弱点を明らかにし、これを投資判断の際の有益な情報として活用します。

このダッシュボードは、経営者に対してリアルタイムでの洞察を提供し、ビジネスに潜むさまざまなリスク要因に対処する際の効果的な指針となります。ガバナンスのアセスメント状況が可視的に表示されることで、経営陣は迅速な意思決定が可能になり、ビジネスの安定性と成長を確保するための具体的な対策を打つことができます。

リスク可視化の観点	可視化の効果
リスク理解の促進	リスクを図やグラフを使用して可視化することで、組織内のステークホルダーやチームメンバーにリスクの本質を視覚的に説明できる。
意思決定の補助	可視化されたリスクデータは意思決定プロセスを補完し、リスクの深刻さや優先順位を理解しやすくし、効果的な意思決定を支援する。
コミュニケーションの改善	リスクに関する情報をわかりやすく共有できるようになり、異なる部門やステークホルダーとのコミュニケーションの強化につながる。
早期警告の提供	可視化ツールによってリスクの変化や新しいリスクの発生を早期に検出することで、組織が迅速に適切な対策を講じるのに役立つ早期警告を提供できる。
リスクのトレンド分析	時間の経過に伴うリスクの変化や傾向を視覚的に示すことで、将来のリスクを予測し、適切な戦略を策定する情報を提供できる。
ステークホルダーへの報告	リスク管理の透明性を高め、外部のステークホルダーや規制当局に対して組織のリスク対応とコンプライアンスを報告するのに役立つ。
教育と意識向上	従業員がリスクに対して適切な行動を取る助けとなり、従業員の教育と意識向上に寄与する。

4. IT投資効果測定

IT投資の成果をクラウドサービス（マルチクラウド含む）環境で評価するためには、リスク管理を中心に考えていくことが重要です。各クラウドサービスプロバイダーの異なる特性やセキュリティ機能などを考慮し、リスクを最小限に抑えるための詳細なポリシーと、クラウド活用における各社（利用者企業）ごとの具体的な戦略を策定する必要があります。

マルチクラウドのメリットを最大限に引き出すために、各クラウドサービスの強みを理解した上で、利用者である企業のニーズに合う機能を最適に組み合わせ、継続的なリスク評価を通じてマルチクラウド環境のガバナンスを構築・維持することができるよう、投資効果の測定を支援します。投資効果が見合わない場合は、クラウド活用戦略に沿わないクラウドサービスの利用停止や他クラウドサービスへの移行の検討も含めてサポートします。

5. 継続的な改善とモニタリング

組織がクラウドを効果的に活用し、同時にそのリスクを最小限に抑え、変動する環境に迅速に適応するためには、継続的なリスクモニタリングが不可欠です。そのための重要なツールとなるダッシュボードの構築を支援し、経営戦略と整合したガバナンスの実現をサポートします。

主要メンバー

綾部泰二

パートナー, PwC Japan有限責任監査法人

Email

野田圭佑

マネージャー, PwC Japan有限責任監査法人

Email

野口美佳

マネージャー, PwC Japan有限責任監査法人

Email

鈴木鉄兵

マネージャー, PwC Japan有限責任監査法人

Email

リスク・アシュアランス部コラム

2024-11-07

企業価値向上に資するセキュリティガバナンスの実現に向けて　──デジタルガバナンスで捉えるべきサイバーセキュリティ管理態勢

本稿では、企業がDXを進めるための行動指針として経済産業省が定めた「デジタルガバナンス・コード」を前提に、企業価値向上に資するサイバーセキュリティ対応のあり方や、その態勢構築のアプローチについて考察します。

2024-10-30

価値創造のためのDX経営の要諦デジタルガバナンス・コード3.0改訂を踏まえた経営の行動変革

経済産業省の「企業価値向上に向けたデジタル・ガバナンス検討会」での政策背景を踏まえながら、「デジタルガバナンス・コード3.0」への準拠にあたり、日本企業における経営者とDX推進担当者が押さえるべき論点を考察します。

2024-07-09

DXバリュードライバーの活用によるDX戦略の具体化──腹落ちしたDXを実現するために必要なデジタルガバナンスとは

多くの企業はDXに取り組む中で、その達成度を図る指標を設けていますが、指針や基準が少ないため、試行錯誤している状況です。DX成果指標にガバナンスを効かせるにあたっての課題や、DX戦略の蓋然性と実効性を高めるためのポイントについて解説します。

2024-05-24

Audit Management Officeの組成によるDX監査態勢の強化～DX監査を契機とした経営に資するリスクベース監査の実現に向けて～

内部監査部門では、慢性的な監査要員不足に加え、デジタルガバナンスに関する専門的な知識やスキルの不足が課題となっています。これらの課題への打ち手として、内部監査部門に監査推進事務局（AMO：Audit Management Office）を組成することによる、リスクベース監査にも対応できる効率的な監査態勢について考察します。

View all

マルチクラウド時代のガバナンス構築・高度化支援

1. ガバナンス指標の収集

2. アセスメントの実施

3. リスクの可視化

4. IT投資効果測定

5. 継続的な改善とモニタリング

主要メンバー

最新情報

ISMAPから考えるデジタルサプライチェーン管理

サイバーセキュリティインシデント報告における重要性判断

SECの新たなサイバーセキュリティ開示規則透明性が問われる新たな時代における情報開示への対応

注目が高まるAIと人権リスク―人権マネジメント担当者はどのようにしてAIによる人権リスクに向き合うべきか―

リスク・アシュアランス部コラム

企業価値向上に資するセキュリティガバナンスの実現に向けて　──デジタルガバナンスで捉えるべきサイバーセキュリティ管理態勢

価値創造のためのDX経営の要諦デジタルガバナンス・コード3.0改訂を踏まえた経営の行動変革

DXバリュードライバーの活用によるDX戦略の具体化──腹落ちしたDXを実現するために必要なデジタルガバナンスとは

Audit Management Officeの組成によるDX監査態勢の強化～DX監査を契機とした経営に資するリスクベース監査の実現に向けて～

1. ガバナンス指標の収集

2. アセスメントの実施

3. リスクの可視化

4. IT投資効果測定

5. 継続的な改善とモニタリング

主要メンバー

最新情報

ISMAPから考えるデジタルサプライチェーン管理

サイバーセキュリティインシデント報告における重要性判断

SECの新たなサイバーセキュリティ開示規則 透明性が問われる新たな時代における情報開示への対応

注目が高まるAIと人権リスク―人権マネジメント担当者はどのようにしてAIによる人権リスクに向き合うべきか―

リスク・アシュアランス部コラム

企業価値向上に資するセキュリティガバナンスの実現に向けて ──デジタルガバナンスで捉えるべきサイバーセキュリティ管理態勢

価値創造のためのDX経営の要諦 デジタルガバナンス・コード3.0改訂を踏まえた経営の行動変革

DXバリュードライバーの活用によるDX戦略の具体化──腹落ちしたDXを実現するために必要なデジタルガバナンスとは

Audit Management Officeの組成によるDX監査態勢の強化 ～DX監査を契機とした経営に資するリスクベース監査の実現に向けて～

関連情報

リスク・ガバナンス・アドバイザリー

SECの新たなサイバーセキュリティ開示規則透明性が問われる新たな時代における情報開示への対応

企業価値向上に資するセキュリティガバナンスの実現に向けて　──デジタルガバナンスで捉えるべきサイバーセキュリティ管理態勢

価値創造のためのDX経営の要諦デジタルガバナンス・コード3.0改訂を踏まえた経営の行動変革

Audit Management Officeの組成によるDX監査態勢の強化～DX監査を契機とした経営に資するリスクベース監査の実現に向けて～