高まる特定クラウド依存のリスク 企業が取るべき5つの対策とは:Gartner Insights Pickup(419)
SaaS、PaaS、IaaSのいずれをとっても、企業の間で特定のクラウドに依存する傾向が顕著になっている。これにより、事業の継続性に大きな打撃を与えるリスクが高まっている。ではどういう対策が打てるのだろうか。段階的に進められる5つの対策を解説する。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
クラウド集中のリスクがますます広がっている。背景には、規制要件の進化や、地政学的な不確実性の高まりがある。組織がクラウドサービスへの依存を深める中、これらのリスクには一層の注意が必要だ。最高情報セキュリティ責任者(CISO)は特にだ。これまで以上に事業継続計画(BCP)に関与するようになっているからだ。
クラウド集中リスクには主に4つの側面があり、それぞれが異なる課題をもたらす。
- ベンダーリスク:特定のプロバイダーに過度に依存することで交渉力が低下し、不利な価格設定や契約条件につながる可能性がある
- 可用性リスク:クラウドプロバイダーで大規模な障害が発生すると、重要な業務運営が妨げられる
- 事業継続リスク:クラウドプロバイダーの問題により、複数のアプリケーションや機能が長期間利用できなくなり、組織の運営能力が脅かされる
- 規制リスク:組織がさまざまな規制当局からの異なる、時には矛盾する要求に直面する
CISOは、これらの潜在的なデメリットとそれらに対処する上での課題を、クラウドの調達決定に関与する内部のステークホルダーに明確に伝える必要がある。これにより、こうしたクラウド固有の不確実性を誰もが理解し、この複雑な環境において、情報に基づき明確に選択する準備を整えられる。
クラウドの代替可能性がもたらす課題
組織は、特に規制要件への対応として、クラウドアプリケーションのポータビリティー、つまり「代替可能性」を追求することを促されることが多い。
だが、代替可能性の追求は、一度きりの取り組みではない。各アプリケーションのライフサイクル全体にわたって継続的なメンテナンスを必要とするため、複雑さと経常的なコストが増大してしまう。
さらに、代替可能性を維持しようとすると、俊敏性の低下や革新的なクラウド機能へのアクセス制限につながるため、クラウドの導入メリットが損なわれることがある。
プロバイダーの切り替えは、計画的か否かにかかわらず本質的に困難であり、時間もコストもかかる。例えば、あるSaaSプロバイダーから別のプロバイダーに移行すると、独自に行っていたカスタマイズや統合のために、ほとんどの場合ソリューションを完全に置き換える必要がある。PaaSプロバイダー間の移行では、アプリケーションの一部または全体のリファクタリングが必要になることが多い。IaaSプロバイダー間の移行も管理や運用、セキュリティの違いから、基本的なインフラの場合ですら困難だ。
市場でもてはやされているものの、コンテナやオーケストレーションプラットフォーム(「Kubernetes」「Red Hat OpenShift」など)といった技術は、こうしたポータビリティーや移行の課題を大幅に軽減するわけではない。
代替可能性を維持すると、切り替えの時点だけでなく、ソリューションのライフサイクルを通じて継続的なコストと運用負担が発生する。このため、Gartnerは、集中リスクを管理するための他の方法が不十分な場合にのみ代替可能性の維持を検討することを推奨している。
5つの施策でクラウド集中リスクに対処
以下のクラウド集中リスクに段階的に対処する施策により、CISOは組織を適切に保護できる。
1.クラウドプロバイダーとの関係を積極的に管理
集中リスクを効果的に軽減するため、CISOはまず最も重要なクラウドプロバイダーに焦点を当て、サードパーティーおよびフォースパーティーリスクを特定し、文書化すべきだ。管理コンソールやレポートエンジンなど、一部の非クラウド製品にも、クラウドへの依存関係が存在する可能性を認識することが重要だ。
ITソーシング/調達/ベンダー管理(SPVM)のリーダーと密接に協力することで、クラウドプロバイダーごとに、利用・管理責任を理解した社内オーナーを明確に割り当てられる。さらに、クラウドプロバイダーとの関係を見直すときは、ビジネスステークホルダーとの連携が欠かせない。例えば、新しいサービスを採用するときや、クラウドプロバイダーから提供される既存アプリケーションの重要度を調整するときなどが挙げられる。
2.シングルクラウドのレジリエンスを最大化
組織はより複雑なマルチクラウド戦略を検討する前に、既存のシングルクラウド環境におけるレジリエンス(回復力)の構築を優先しなければならない。その一環として、レジリエンス対策の関連コストを理解し、クラウド障害の潜在的な影響と比較検討する必要もある。CISOは、障害による金銭的損失を軽減するためにサービスレベル合意(SLA)だけに頼ってはならない。SLAの補償は不十分なことが多いからだ。
限定的な障害に適切に対処し、クラウドネイティブなレジリエンスパターンを活用するようにアプリケーション設計に注力する必要がある。IaaSとPaaSでは、大規模プロバイダーの壊滅的な障害ではなく、まず一部のクラウドサービスの短期的な障害を想定し、アーキテクチャにクラウドネイティブなレジリエンスパターンを使用する。さらに、クラウドアイデンティティー(ID)プロバイダーに特別な注意を払う必要がある。大きな単一障害点となり得るからだ。
3.重要なプロセスの継続を重視
ビジネス影響分析(BIA)をすることは、組織が最も重要なサービスを特定し、継続基準を満たすために必要な手順を決定するのに役立つ。高可用性の維持に法外なコストがかかるアプリケーションについては、SaaSバックアップソリューションや手動プロセスなど、軽量な代替手段を設計して、重要な業務機能を継続させることを検討する。最も影響の大きいプロセスにクラウドを優先的に割り当て、リソースが最も必要とされる場所に配分されるようにする。
4.アプリケーションを複数のクラウドに分散
特定のベンダーに依存するリスクを低減するため、組織は意図的にアプリケーションとワークロードを少なくとも2つ以上のクラウドプロバイダーに分散させる必要がある。シングルベンダーのソリューションは統合や調達を簡素化できるが、マルチクラウドのアプローチは、特定のプロバイダーに影響する問題の潜在的なインパクトを限定する。
ただし、この戦略は慎重に計画する必要がある。複雑さを増やす他、複数の環境を管理するためにより高度なスキルと人員が必要になるからだ。シームレスな運用を確保するため、セキュリティチームを複数のプラットフォームについてトレーニングし、クロスクラウドツールを検証する必要がある。
5.規制に対応してクラウド離脱計画を策定
規制順守のために、組織がクラウドから離脱し、別のソリューションに移行するための具体的かつ実行可能な計画を策定する必要が生じる場合がある。離脱するスピードは、そのための準備態勢の維持に必要となる、先行投資や継続的なリソース投入を考慮して検討しなければならない。この計画は策定するのが困難な上、対象となるアプリケーションのライフサイクルを通じて維持、更新する必要があることに留意すべきだ。
継続的なクラウド離脱計画を制度として確立することで、組織はビジネス要件やクラウド要件の変化に適応できる。可能であれば、クラウド離脱計画の策定と実行のさまざまな側面をアウトソースし、一連のプロセスを効率化して規制要件を順守することを検討する。
出典:Five Actions for CISOs to Manage Cloud Concentration Risks(Gartner)
※この記事は、2025年8月に執筆されたものです。
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。