• Bookmark

クラウドの価値発見に役立つ COBIT 5

Sai K. Honig、CISA、CIA 著

COBIT Focus | July 2014 English

Sai K. Honigクラウドコンピューティングは、最小限の投資でIT関連サービスを改善する選択肢として、ますます人気を高めています。 過去5年間に、クラウドの導入は抵抗の大きいアイディアから飛躍的かつグローバルに成長するソリューションへと変化しました。 企業がクラウドに価値を見出し、情報のコンロールを失うというような情報セキュリティ上の悪夢を回避できるように、「Controls and Assurance in the Cloud: Using COBIT 5 (クラウドのコントロールと保証: COBIT 5を活用して)」 はクラウドのガバナンス、保証、コントロールのための実用的なステップを提供します。


2011年に発行された 「IT Controls Objectives for Cloud Computing (クラウドコンピューティングのためのITコントロール目標)」 が好意的に受け入れられたことを受け、ISACA®はそのコンセプトを更新し、新しいリスクを識別し、COBIT 5 製品を活用する実用的なガイダンスを提供しました。「Controls and Assurance in the Cloud: Using COBIT 5 (クラウドのコントロールと保証: COBITを活用して)」はクラウドの価値に対するビジネスリスクの評価を企業が行えるよう支援することを目的として、2014年4月に発行されました。同書は、リスクが企業の確立したリスクレベルに整合しているかどうか、また、報酬と効果がそのリスクを軽減するためのコストと労力に見合っているかを、どのように判断すべきかについてガイダンスを提供します。


同書ではガバナンスとリスク管理の実践手法について説明されており、これによってクラウドマネジメントライフサイクル(クラウドサービスの評価と選択、クラウドへの移行、クラウドサービスプロバイダー[CSP]の管理、保証、及び廃止)、企業資産を保護するためのセキュリティの実践手法、クラウドサービスが企業目標とコンプライアンスの要件に見合っているかどうかを判断するための保証実務などが説明されています。付録には、同書で示された目標の多くを達成するために使用できるツールが提供されています。


付録には以下が含まれます。

  • COBIT 5 対応プロセスと、クラウドセキュリティアライアンス(Cloud Security Alliance)の Cloud Controls Matrix version 3(CSA CCMv3)との相互参照。この参照はユーザ、CSP、インテグレーターがセキュリティおよび保証プログラムを導入する際に有用な、プロセス実践手法について示します。
  • COBIT 5 for Assurance (保証のためのCOBIT 5) に基づく監査プログラムの例
  • COBIT Process Assessment Model(PAM):Using COBIT 5 (COBIT プロセス評価モデル[PAM]: COBIT 5 を活用して) に基づくプロセス能力評価の例
  • COBIT 5 for Risk (リスクに対応する COBIT 5) に基づくリスクシナリオのリスト
  • クラウドサービス契約に含まれ、保証評価時に検討される契約条項の例
  • クラウド企業のリスク管理とガバナンスのチェックリスト
  • 投資収益率(ROI)を測定するための実用的なアプローチ

Controls and Assurance in the Cloud (クラウドのコントロールと保証)」 に示されるガイダンスは、CSP、顧客、クラウドインテグレータ、サードパーティの評価者にとって同様に役立つものです。 CSPはリスク管理とセキュリティの推奨事項を使用して安全なサービスを設計できます。 顧客はガバナンスと保証の推奨事項を使用して、自らのニーズに最適なサービスを選択でき、期待通りに資産が保護されるという保証が得られます。クラウドインテグレータとサードパーティ評価者は付録のツールを使用して、CSP の環境を評価でき、安全なサービスを提供する能力について証明する報告書を作成することができます。


Sai K. Honig、CISA、CIA

彼は、財務、運用、IT監査の準備と実行、企業全体のリスク評価を10年以上行ってきた経験があります。Honig はソフトウェアライフサイクルの開発、COBIT、ITIL、米国医療保険の相互運用性と説明責任に関する法律(HIPAA)、米国サーベンス・オクスリー法、ビジネス継続性、クラウド導入(SaaS)などに精通しています。現在HonigはGrameen Foundationの内部監査プロセス準備業務に携わり、これらの取り組みに力を注いでいます。

Share: Email