掲示板お問い合わせランダムジャンプ



この広告は30日以上更新がないブログに表示されております。 新しい記事を書くことで広告を消すことができます。

Google広告

2013年04月16日
クラウド導入時の失敗事例?(CIOニュースから)




クラウド導入時の失敗事例?(CIOニュースから)



デビッド・ギーア氏のレポートではクラウドコンピューティング7つの大罪のタイトルだが内容的には最近フィーバーから見て取った失敗事例のようだ。



http://www.ciojp.com/technology/t/27/13848


  1. 入り口で身元確認をしない
    クラウドサービスだけで本人認証を完結するシステム事例が多いが企業内システムと連携させる場合は本人認証の仕組みを社内システムのそれと連携させなければいけないが、カスタマイズの手間を押えるためか、簡易型の認証システムを利用する例が多いらしい。簡易型の認証で社内システムに入り込むリスクを抱え込むことになる。もともと社内の認証システムも中途半端なものだったからベンダーが用意するものを採用したのだろうが本末転倒になっている。

  2. APIキーの保護を考えない
    クラウドサービスのメリットを最大限発揮させるためにAPIを公開することがあるが、脆弱性のポイントになりかねない。キーは時間による変更、公開先による変更などの手当てのほか、アクセスエラーのトレースによる不正アクセス管理なども行う。

  3. クラウド・プロバイダーに強く依存する:
    クラウド・プロバイダーが提供するサービスは多様化し使い勝手が良く重宝なものとなっているが、企業の命運を全く依存するリスクからの回避を常に考えるべきであると。クラウドの技術だけを社内システムに取り込む工夫も始まっている。

  4. リスクや説明責任もアウトソーシングできると考える
    アウトソース出来ないのは分かっているが、みんなで渡れば怖くないで済ますことは出来ない。昔のIBM神話と同じか。止まらないクラウドも止まる事があるという現実が示された以上どんな言い訳も通用しない。なぜクラウドかも改めて確認しておくべきだろう。

  5. IT担当者やセキュリティ担当者と相談せずにクラウド・プロバイダーと契約する
    こんな馬鹿なことはありえないと思うが、現実には情報システム部門との面倒なやり取りを回避できるし巨額の設備投資も顔を出さないので事業所・部門・グループ会社などで契約する例が後を絶たない。ITガバナンスの方法論が問われる。

  6. クラウドのセキュリティを過大評価する
    クラウドサービスプロバイダが一流のセキュリティ監理者かどうかは分からない。「特定のセキュリティ機能の提供、セキュリティ・タスクの文書化、すべてのセキュリティ・ポリシーおよびセキュリティ対策をまとめた一覧の提供、そしてセキュリティ報告書の提出を要求するべき」との記載もあるが、その前に企業のセキュリティ要件を明確に出来なければ交渉にもならないだろう。

  7. コストを正しく理解しない
    標準サービスは安いが極めて限定的かもしれない。サービスの多くがオプション化されていることもあるようだ。自社システム側の回収も発生するかもしれない。結局、何年でいくら掛かるのか。見掛けの数字で稟議を通してプロジェクトを始めたら思わぬ費用に驚いて立ち往生する例もあるんだろう。


.*.



まだまだ調べることがありそうだ。
[ 投稿者:ISMSNEWS at 09:10 | ISMS四方山話 | コメント(0) | トラックバック(0) ]

この記事へのコメント

この記事へのトラックバック

この記事へのトラックバックURL
http://shinshu.fm/MHz/88.86/a14050/0000414323.trackback

この記事の固定URL
http://shinshu.fm/MHz/88.86/archives/0000414323.html

記事へのコメント
 
簡単演算認証: 2 x 6 + 5 =
計算の答えを半角英数字で入力して下さい。
名前: [必須]
URL/Email:
タイトル:
コメント:
※記事・コメントなどの削除要請はこちら