社内利用のクラウドサービス管理の難しさ
多くの企業では、様々な部門でそれぞれの目的のために多数のクラウドサービスが導入されている(しようとしている)ことと思う
そうなると、古き良き時代の「すべて情シス」で管理ではまわらないと思う。情シスで、すべてのITソリューションを管理運用するのは最早限界だろう
まして現場をよく知らない情シス部門が管理すること自体が最適解ではないと思われる
- 情シスが現場での利用背景や目的をすべて理解して管理するのは困難
- 運用を含めた管理工数を情シスのみで賄うのは困難
- 情シスの介在が現場業務にブレーキをかけてしまう事業リスクとなる
「現場での利用者がセキュリティを意識して管理してください」いうのは簡単だが実際に運用するには工夫が必要だ
「何をどう管理すればいいのかわからない」、「情シスでやってほしい」など。言うだけだと社内ハレーションが頻発するに違いない
どう管理すればよいのか
「どう管理すればよいのか」の話の前に、管理目的を今一度整理しておく
以下のようなゴール設定がよいかと思われる
- クラウドサービス利用におけるセキュリティリスクの軽減
- 各クラウドサービス利用者による自主管理の実現
- ISO 27001:2022の取得や維持
となるとゴールを阻む潜在要因は以下のようなものと想像がつく
- 自主管理といわれても何をどうすればいいのか分からない:仕組みルールの欠如
- なぜ自主管理しないといけないのか分からない:マインドチェンジのための説明共有不足
- 仕事が増えるのでいやだ:信頼獲得のコミュニケーション不足
「ISMS27001/2022の取得や維持」は正論なので誰も反論はしないだろう。ゴールには違いないが「認証取得」という正論では人を動かせそうにない。手抜きで見た目だけという事態にもなりかねない。ゴールには違いないが、長い目でみたときに認証取得は手段でしかない
これでゴールとクリアすべき障害は見えてきた。うまく手段を工夫してゴールへ進めていただけるとよいかと考える
とはいえ、どうやってゴールを阻む要因の対処を行えばいいのか。次章で対処手段の実例について考えてみたいと思う
障害クリアしゴールへ導くための手段例
以降はくまで「手段例」であり結果を保証するものではないことをご承知おきいただきたい
背景や目的の十分な説明
- なぜクラウドサービス管理がひつようなのかの十分な説明を行う
- メールやSlackに頼ることなく全社集会で自分の言葉で伝えると効果的
- 質疑応答が活発化されれば聴衆の興味がバク上がる
- 簡単な説明資料を用意しておくのもよい
- 質問対応で利用できるし、新入社員のオンボーディングでも活用
セキュリティチェックフローの導入
- ワークフローを用意ることで申請承認プロセスのガイドを提供
- ワークフローの手引書もあるとよい
- 対象となるクラウドサービスを明文化
- 例えば重要情報を預託するクラウドサービスのみが対象 など
日ごろからのコミュニケーションで信頼を獲得
- 誰もがそうであるように馴染みのない人よりも親交のある人からの言葉に耳を傾ける
- 日ごろからのコミュニケーションや親切な対応を心掛ける
- giveなくしてtakeはないと心得る
コメント