企業システムの基盤にクラウドコンピューティングを採用するケースが増えている。クラウドには複数の提供形態や種類があり、それぞれにリスクも異なる。クラウドを選ぶ際はコストだけでなく、リスクを考慮することが求められる。

 本連載は、AI(人工知能)時代に求められるIT監査のあり方について、内部監査人の立場から解説する。

 「AI時代」と題しているが、AIの影響のみを対象にしているわけではない。アジャイル開発やクラウドコンピューティング、ビッグデータといった、AIとともに急速に普及してきたIT関連の事象を、内部監査時にどのように扱うべきかを広く取り上げていく。

 監査人の視点を知ることは、監査を受ける側となる情報システム部門やユーザー部門に所属する情報システムの管理者などにも役立つ。監査人の視点は、日ごろの情報システムの開発や運用において重視すべき視点となるからだ。

 今回からはクラウドコンピューティングを取り上げる。ITコストの削減や運用負荷の軽減を目指してクラウドを導入する企業は増えている。クラウドの定義や種類、その特徴を理解したうえで、各クラウドのリスクやそれに対して必要なIT統制(コントロール)を構築すること、そしてクラウドの特徴を踏まえた監査を実施することが求められる。

クラウドの特徴を押さえる

 迅速なシステム対応や運用負荷の軽減、ITコストの削減などを狙い、クラウドを導入・利用する企業や組織が増えている。クラウドを導入するということは、クラウドの導入に伴って新たに発生するリスクに対応するためのIT統制の構築も必要になるということだ。IT監査もクラウドの導入に伴う新たなリスクに対するIT統制の整備・運用状況などをチェック対象とする必要がある。

 まずはクラウドの分類から確認していこう。クラウド導入のリスクや、リスクに対するIT統制は、クラウドの種類に合わせて理解する必要がある。

 クラウドについては様々な定義があるが、米国立標準技術研究所(NIST)は「最小限の管理努力とサービス提供者とのやり取りにより、迅速に提供され始動する、自由に構成可能な共有されたコンピューター資源(ネットワーク、サーバー、ストレージ、アプリケーション、サービスなど)に対し、普遍的で、便利で、オンデマンドなネットワークアクセスを可能にするモデル」と定義している。

 従来のIT基盤の導入形態であるオンプレミス(自社所有)環境では、自前のコンピューター資源を活用して情報やデータの処理、活用、保存などを行っていた。これに対してクラウドは、クラウド事業者(クラウドサービス提供者)が用意した、複数の利用者によって共同利用されるコンピューター資源に、ネットワークを経由してアクセスすることで、情報やデータの処理、活用、保存などを行うことになる。

 またNISTはクラウドの特徴として、

  • オンデマンドなセルフサービス
  • 広範なネットワークアクセス
  • 資源の共有
  • 迅速な弾力性
  • 測定可能なサービス能力

の5つを挙げている。

 これらの特徴はこれまでのオンプレミス環境にはない、クラウドの強みとなっている。重要なのは強みの裏返しとして、新たなリスクにつながる脅威や脆弱性を生み出すことがあると理解することだ。

図 クラウドコンピューティングが提供する機能の種類
コストメリットだけでなく、情報セキュリティーも考慮して選ぶ必要がある
[画像のクリックで拡大表示]

この先は有料会員の登録が必要です。「日経コンピュータ」定期購読者もログインしてお読みいただけます。今なら有料会員(月額プラン)が2020年1月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら