企業はクラウド コンピューティングのリスク許容度をどのように評価すべきでしょうか?

リスク許容度（つまり「リスク選好度」）を正確かつ客観的に評価することは、正式なリスク管理アプローチの最初のステップであり、最も重要なタスクの 1 つです。リスク管理の多くの側面は複雑になる可能性がありますが、リスク選好度はまったく逆です。しかし、根本的には、リスクを取る意欲のある企業もあれば、そうでない企業もあるという考えです。

[[240800]]

クラウド コンピューティングのリスク許容度はどの程度ですか?

組織の「リスク許容度」も同様に機能します。企業は、特定のリスク（たとえば、ビジネス リスク）を進んで引き受ける一方で、他のリスク（たとえば、テクノロジ リスク）についてはより慎重になる場合があります。さらに、同じ種類のリスクであっても、特定の側面に対する耐性には大きな違いがあります。たとえば、企業は従業員のデスクトップの使用に関連するリスクを軽視するかもしれませんが、支払いや金融システムに関しては非常に慎重になるかもしれません。

実用的には、これは組織にとって、分析アフォーダンスを比較的独立して評価することが有利であることを意味します。具体的には、固有のニーズを持つドメインが新しいか、以前に評価されたことがないか、新興市場であるか、急速に変化している場合です。これらの要因を個別に評価すると、2 つのことが起こります。まず、偏在するリスクを再評価する必要なく、「オフサイクル」リスク管理（分析と軽減を含む）が可能になります。これは、時間がかかり、反復的な作業になる可能性があります。第二に、脅威が出現し、サポート技術が成熟するにつれて、比較的未熟な技術が急速に進化する可能性があるため、柔軟性が得られます。

クラウド コンピューティングはこれらの領域の 1 つです。クラウド コンピューティングは比較的新しい (少なくとも多くの企業ではまだ実装段階にあります) ものであり、リスクに影響を与える可能性のあるいくつかの固有の属性があります (これらの属性のいくつかについては、関連記事で詳しく説明します)。クラウド コンピューティング テクノロジーは急速に進化しており、新たな脅威が絶えず発生しているため、クラウド コンピューティングに対する規制の焦点が拡大し続けるにつれて、この特定の分野における企業の露出レベルを理解することは有益です。特定のクラウド コンピューティング リスクに対する組織の許容度に関するこの総合的な理解を、私たちは「クラウド コンピューティング リスク許容度」と呼んでいます。

クラウドコンピューティングのリスク許容度を評価する

では、企業はクラウド コンピューティングのリスク許容度をどのように評価すればよいのでしょうか?考慮すべき要素がいくつかあります。最初で最も重要な要素は、会社のビジネス、財務、技術のリスク許容度を考慮することです。これらの要素は会社の文化と全体的な目標に影響を与えるからです。企業内には、企業のリスク許容度、ひいてはクラウド コンピューティングの実装に影響を与える、文化、規制、ビジネス固有の要因が無数に存在します。企業がリスク管理を実施している場合、これらの要素はほぼ確実に評価され、文書化されているはずです。これらの基礎を構築することで、基本的な作業を繰り返す時間を節約できます。

組織で体系的または正式なリスク管理手法を導入したことがない場合、この評価は困難になります。より広範囲のリスクに対する企業の許容範囲を入力する必要がありますが、参照できる文書が存在しない可能性があります。したがって、活動を伝えるのに十分な作業を完了する必要がありますが、すべての領域を完全に評価したり、ディレクターレベルの承認を取得したりすることは容易ではない可能性があることに注意することが重要です。

次に、独自のテクノロジー戦略を理解する必要があります。ビジネスの大部分をクラウドに移行する予定はありますか?クラウドを非常に限定された方法で選択的に使用することを計画していますか?この種の質問は、特にステップ 1 で分析した文化的要因を考慮すると、組織が受け入れるクラウド コンピューティング リスクの量に影響します。たとえば、長期戦略としてクラウド コンピューティングに大きく賭けているものの、企業文化として外部の意見を重視している場合は、短期的にはクラウド コンピューティングのリスクを負うことに消極的になる可能性があります。何故ですか？非常に目立つ攻撃は、長期的なクラウド コンピューティング実装に対する信頼を損ない、長期的な戦略を危険にさらす可能性があるからです。

最後に、クラウド コンピューティングの希望する展開をサポートする人材とテクノロジーを評価します。たとえば、組織の他の側面 (コンプライアンス、法務、監査など) は、リスク評価、脅威の監視、継続的な運用、ベンダーの承認などに貢献していますか?テクノロジ ポリシーを使用して、脅威、脆弱性、その他のリスクが発生したときにフラグを立てることができますか?長期にわたってこれらのリスクを追跡、管理、対応する能力を明確に理解していれば、より高いレベルのリスクを許容できる可能性があります。

これらの領域を評価したら、次のステップはクラウド コンピューティングのリスク許容度を正式に文書化することです。これは、それを文書化して企業に伝えることを意味します。それを文書で正式に定めることで、あらゆる側面が考慮され、検討されたことが保証され、ビジネスの他の領域における組織的行動が決定と一致するようになります。リスク許容度が低い理由とその理由を説明したレポートを読んだ顧客は、不適切なクラウド コンピューティングの導入に突入することはないでしょう。