クラウドの停止中に企業は損失を回復できますか?

クラウド コンピューティングは、効率性の向上、データ セキュリティの強化、利益の増加という魅力的な可能性をもたらします。しかし、クラウド コンピューティングは絶対確実ではなく、停止は避けられません。 IT リーダーが知っておくべきことは次のとおりです。

クラウドの停止は、ソフトウェアのバグ、停電、構成エラー、リソース枯渇、データセンターの冷却問題など、さまざまな理由で発生する可能性があります。クラウド プロバイダーは各インシデントから学び、将来の停止を防ぐのに役立つ知識を構築できます。

しかし、クラウド コンピューティングの顧客は、クラウドの停止中にクラウドベースの運用が遮断されることによる影響を管理する必要があります。停電が長く続くほど、被害は大きくなります。再保険会社ガイ・カーペンターとサイバーリスク分析プラットフォームのサイバーキューブによる2019年のレポートでは、クラウドの停止がビジネスに影響を及ぼす可能性のある最もコストのかかる単一障害点の1つであると特定されています。

これらの損失は正確に定量化できるでしょうか?企業はそれらを回復するためにどのような手段を講じることができるでしょうか?クラウド コンピューティング プロバイダーは、停止後に訴訟の対象になる可能性はありますか?

クラウド停止のコスト

クラウド停止のコストの見積もりはさまざまです。影響を受ける業界から企業の規模まで、さまざまな変数が関係します。

• クラウド パフォーマンス オプティマイザーは、ダウンタイムによる企業の平均コストは 1 分あたり 5,600 ドルであると計算しています。
• 調査によると、コストは1分あたり最大9,000ドルになるという。
• 2018年のロイズ報告書によると、中小企業は停電時に最も大きな被害を受け、損失負担の63%を負う可能性があるという。

こうした悲惨な統計にもかかわらず、Veritas の 2017 年のレポートでは、クラウドの停止中に発生する可能性のある損失を予測している企業は 4 分の 1 未満であると推定されています。

Forrester によると、計画外のダウンタイムの 1 分あたりのコストは計画されたダウンタイムよりも 35% 高いことを考慮すると、脆弱性を評価していない組織ははるかに大きなリスクにさらされることになります。

特定の混乱期間中の特定の企業の損失を判断することは複雑です。クラウド コンピューティング サービスに大きく依存している企業は、クラウド プラットフォームとオンプレミス運用を組み合わせて使用​​している企業よりも損失が大きくなる可能性があります。クラウドベースの運用のごく一部に影響する停止は、企業のクラウドでの運用全体を中断させる停止よりも安価です。停電が長引けば長引くほど、損失は大きくなります。クラウドの顧客は、サービス停止がデータ漏洩に関連している場合、罰金を科される可能性があり、デューデリジェンスを実施しなかったことに対するその他の規制上の措置も間近に迫っている。

さらに、評価がより難しいソフトコストもあります。ソーシャル メディアの時代では、ビジネス混乱のニュースはすぐに広まります。たとえ短期間であっても、シームレスなサービスを提供できないことが明らかになると、企業は既存顧客や潜在顧客の信頼と協力を簡単に失うことになります。

クラウドプロバイダー契約の構築方法

クラウド サービス プロバイダー自体が、停止によって生じるコストを負担する可能性は低いです。

業界標準のサービス レベル契約は非常に厳格であり、ほとんどのクラウド サービス プロバイダーはほとんど責任を負いません。サービス クレジットは、通常、障害発生後に顧客がクラウド コンピューティング プロバイダーから受け取ることが期待できる最大のものです。

一部のクラウド プロバイダーは独自の保険契約を開始しており、Google Cloud も独自のサイバー保険アドオンを提供していますが、これは標準からは程遠いものです。

「クラウドプロバイダーにどのような保険に加入しているか尋ねたり、何らかの補償契約を結んだりするのも価値がある」と、アメリカ保険回収法律事務所のパートナー、シンディ・ジョーダノ氏は言う。

たとえプロバイダーが保険に加入していたとしても、その保険の条件では顧客が負担する費用のほんの一部さえカバーされない可能性が高いです。

「企業がどの程度のリスクを引き受け、クラウド サービス プロバイダーがどの程度のリスクを保持するかを交渉してください」と、サイバー保険プロバイダー Resilience の最高請求責任者である Michael Phillips 氏はアドバイスします。 「残念ながら、大手クラウドサービスプロバイダーの多くは、自社の失敗のリスクを引き受けようとしません。」

パブリック クラウドはマルチテナント環境であるため、責任の問題はさらに複雑になります。

「現在、多くのクラウドプロバイダーは意味のあるサービスレベル契約（SLA）を提供しておらず、アプリケーションは複数の顧客のニーズを満たす必要があると想定している」と、法律事務所カルヘイン・メドウズのパートナーであるリサ・ロビンスキー氏は述べた。 「顧客がより洗練され、ハイブリッドクラウドソリューションが進化するにつれて、権力構造は変化すると思います。」

これにより、クラウド契約が最初から可能な限り完全なものとなるようにする責任が顧客に課せられます。定型的な契約では表面的な保護しか提供できない可能性が高いため、カスタマイズがますます重要になってきています。カスタム契約は、初期段階では間違いなく高価になりますが、コストのかかる停止が発生した場合には、いくらかの節約になる可能性があります。

IT コンサルティング会社 Infosys Consulting の CIO アドバイザリー パートナーである Elizabeth Ebert 氏は、「クラウドで利用できるサービス レベルは、99.9% 以上と非常に高い傾向にあります。可用性が 1% 増加するごとに、コストは大幅に増加します」と警告しています。

保険適用範囲

保険損失の観点で言えば、世界トップ 3 のクラウド コンピューティング プロバイダーの 1 社が 3 ～ 6 日間停止した場合のコストは 147 億ドルを超える可能性があります。 2020年10月に研究機関が実施した調査では、次の結果が示されました。

• 単一の運用サービスプロバイダーの障害によるデータ損失は、最大 238 億ドルの保険損失につながる可能性があります。
• クラウド コンピューティング サービス プロバイダーでの大規模なデータ損失は、最大 222 億ドルの保険損失につながる可能性があります。
• クラウドの停止が長引くと、143億ドルの損害が発生する。
• 大手クラウドプロバイダーに対するランサムウェア攻撃の被害額は115億ドルに上る。

したがって、明確なサイバーポリシーがますます必要になっています。しかし、これらのポリシーでも、クラウドの停止に対する補償が必ずしも含まれているわけではなく、含まれていても限定的です。

ただし、コストを削減する方法はあります。クラウド コンピューティング システムのデータ整合性と冗長性の証拠は、保険会社にとって魅力的です。厳格なデータインベントリを維持することで、クラウド侵害が発生した場合に未知の漏洩が発生する可能性が低減します。異なるクラウド コンピューティング サーバーに複数のバックアップを作成すると、データが回復不能になる可能性が大幅に減少します。

停電の原因を検討する

クラウドが停止する可能性のある複数の原因を考慮することも重要です。一般的なサイバーポリシーでは、ランサムウェアやその他のサイバー攻撃がカバーされることが多いです。しかし、クラウドの停止はすべてサイバーセキュリティに関連しているわけではありません。

保険会社パラメトリックスの共同設立者兼最高技術責任者（CTO）のネタ・ロジー氏は、「ダウンタイムとサイバーセキュリティは異なるもの」であり、サイバーセキュリティはサイバー攻撃に当てはまると明言した。ダウンタイムは避けられません。私たちは皆、デジタルの世界に住んでいます。データセンターは完璧ではありません。したがって、ネットワーク ポリシーでは、停電やソフトウェアのバグによるクラウドのダウンタイムをカバーできない可能性があります。 ”

Parametrix は、パブリック クラウドに存在するデータ センター全体のクラウド プラットフォームとクラウド アプリケーションの可用性を監視するための独自のシステムを構築しました。システムによって収集されたデータにより、企業はクラウドのリスクを計算し、ポリシーを保証することができます。同社の知的財産により、保険業界における典型的な請求手続きを省略することも可能になります。

「当社はダウンタイムを特定し、その後、特定の時間にどのクラウドまたはどのクラウド サービスがダウンしていたか、また顧客がどの程度カバーされているかを正確に把握しているため、顧客は実際に請求手続きを行う必要がありません」と Rozy 氏は説明します。

クラウド コンピューティングのリスクは広範囲にわたります。顧客は、ランサムウェアやその他の形態のサイバー攻撃によりデータを失う可能性があり、また、サイバーセキュリティとは関係のない停止に関連した影響を経験する可能性があります。これは、クラウドの停止による影響に対して適切な保護を提供するために、企業が複数の種類のポリシーを購入する必要があることを意味する場合があります。

ニッチなクラウド保険からより包括的なサイバー保険に至るまで、さまざまな商品が近い将来登場する可能性があります。

CIO やその他の意思決定者にとって、クラウド停止補償の保険を選択することは、リスク許容度を決定し、合意されたビジネス リスクに対処するために適切な価格のポリシーを見つけることです。

ただし、一部のシステム障害は本質的に保険がかけられない場合もあるため、企業はそれに応じて計画を立てる必要があることに留意する必要があります。