(この記事は 2017 年 9 月5 日にMicrosoft Partner Network blog に掲載された記事 Lead Customers to a Secure Cloud Experience の翻訳です。最新情報についてはリンク元のページをご参照ください。)
クラウドのセキュリティにおいて、テクノロジと同じくらい重要なのがガバナンスです。セキュリティを適用する側だけでなく、お客様サイドでもコンプライアンスやポリシーに関して自分の果たすべき役割を理解する必要があります。しかし、従来のオンプレミス システムのセキュリティを管理する IT 部門の役割や職務に携わってきたお客様にとって、クラウドのセキュリティは未知の領域とも言えるでしょう。
そんなときこそパートナー様の出番です。RightScale が 2017 年に公開したクラウドの現状に関するレポート (英語) によると、クラウドのセキュリティは依然として IT プロフェッショナルの間で大きな課題とされており、回答者の 4 分の 1 が最優先事項に挙げるなど、他の課題 (リソースやエキスパートの不足、クラウド関連の支出の管理など) と比較しても注目度が高いことがわかります。
Barry Briggs (英語) と共同執筆したマイクロソフトの eBook『エンタープライズ クラウド戦略』では、クラウドのセキュリティを 150 年前の銀行の概念になぞらえています。この時代にはまだ資産を自宅で保管していましたが、銀行に預ける方がもっと安全だという考えが徐々に広まっていきました。銀行の主要ミッションは確実に資産を保管することであり、多くのファンドや資源などの投資商品を提供しながら、資産の安全を保証してきました。クラウドのセキュリティが銀行と大きく違う点は、資産の所有者であるお客様自身が、アプリケーションやデータの安全を確保するために積極的に行動しなければならないということです。
クラウドの GRC
クラウドにおけるガバナンス、リスク管理、およびコンプライアンス (GRC) の必要性が高まる中、既存の GRC への取り組みの範囲は広がっています。主にポリシー管理、インシデント管理、コンプライアンス監視、フィールド監査、ベンダー管理などが挙げられます。しかし現実的に、このような課題をお客様だけで解決するのは非常に困難であるため、パートナー様にとっては大きなビジネス チャンスとなります。お客様のベスト プラクティスや GRC ワークフローを自動化して、クラウドで拡張できるようにすることで、お客様との長期的な関係を構築できます。
お客様が利用している現在のクラウド サービスの範囲を把握するうえで、パートナー様は最適なポジションにいると言えます。可視性をさらに高め、お客様がポリシーを規定するお手伝いをすることができます。クラウドの脅威の状況を把握することで、リスク評価や削減など、マネージド サービスの提供範囲を無理なく拡張することができます。
今こそ、GRC 分野のマネージド サービスや IP サービスを提供する絶好の機会です。2017 年 6 月に MDC Research が行った調査『Microsoft Cloud Practice Development Study (マイクロソフト クラウド プラクティス開発スタディ、英語)』では、エンタープライズ向けのモビリティおよびセキュリティ ソリューションを提供しているパートナー様の数は世界中で 484 社とされています。そのうち、収益性の高いマネージド サービスや IP サービスを提供しているパートナー様の割合を GRC の分野別に見てみると、以下のようになります。
- マネージド サービスとしてポリシーの提案や改善支援を行っている: 26%
- マネージド サービスとして監査、セキュリティ、コンプライアンスの評価を行っている: 26%
- IP サービスとして監査ソリューションを提供している: 22%
- マネージド サービスとして監査、セキュリティ、コンプライアンスの有効化を行っている: 18%
- マネージド サービスとしてデータ分類やデータ ガバナンスを実施している: 13%
クラウド セキュリティ プラクティスの構築
マイクロソフトの『Security Practice Development Playbook (セキュリティ プラクティス構築プレイブック、英語)』では、マネージド サービスとしてのコンプライアンスについて解説しています。また、お客様のコンプライアンス強化を支援する、次のようなパートナー様のビジネス シナリオを紹介しています。
- マイクロソフトのサポート エンジニアによるデータのアクセス制御において、カスタマー ロックボックスがどのようにコンプライアンスの義務を果たすかをお客様に十分に理解してもらう
- データに関連するイベントの監視、調査を可能にして、お客様が監査を完全に追跡できるようにする
- 組み込みのインテリジェントな Advanced eDiscovery によって、お客様のコストやリスクを削減する
- お客様が Office 365 サービス アシュアランスを使用して、リスク評価を効率的に実施できるようにする
- Advanced Data Governance でお客様のデータ ガバナンスを管理する
規制の遵守を管理するのは、特に多国籍企業にとっては複雑で難しい作業です。ご存知のとおり、EU の新しいプライバシー関連法「一般データ保護規則 (GDPR、英語)」が 2018 年 5 月に施行されます。この規制は複雑で世界的にも影響力が大きいため、DFPR への取り組みは大きなビジネス チャンスにつながります。セキュリティ プラクティス構築プレイブックでは、個人情報の収集、保管、使用に関するシナリオに役立つ情報を提供しています。
GDPR 関連のビジネス チャンス
パートナーの皆様が実現できる GDPR に関連するビジネス チャンスには、さまざまなものがあります。プレイブックでは、プラットフォームを活用したアプローチを推奨し、お客様の GDPR 遵守をサポートするための初期ステップを紹介しています。
マイクロソフトでは、お客様の新要件への対応状況を評価する、便利な GDPR 詳細評価ツール (英語) を提供しています。このツールには、GDPR 向け GTM のサービスを開発、強化できる IP キットが含まれています。
また、データ ガバナンスやコンプライアンスを確保するには、特別なスキルが必要です。セキュリティ プラクティス構築プレイブックには、クラウド セキュリティ プラクティスを構築する際に検討すべきサポートの役割に関する詳細な情報を掲載しています。特に、情報セキュリティ アナリストやデータ保護責任者は、お客様のポリシー、リスク、コンプライアンス、監査を管理するうえできわめて重要です。
こうしたセキュリティに関する専門的な分野のトレーニングについては、マイクロソフトの Massively Open Online Courses (MOOC、ムーク) をご活用ください。自分のペースで学習を進められるコースが用意されており、「Azure Security and Compliance (英語)」や「Application Monitoring and Feedback Loops (英語)」がお勧めです。
お客様の保護や、変化し続ける法規制への対応などに関して、マイクロソフトは常にパートナー様を応援しています。お客様がクラウドへの移行を達成できるよう、パートナー様にマイクロソフトのリソースやサポートを提供いたします。
今回の記事でご紹介したビジネス チャンスを、皆様はどのように活かしていますか。ぜひマイクロソフト パートナー コミュニティ (英語) までご意見をお寄せください。