第三者のリスク管理プロバイダを活用して Google Cloud のベンダー デュー デリジェンスを促進
Google Cloud Japan Team
※この投稿は米国時間 2022 年 3 月 9 日に、Google Cloud blog に投稿されたものの抄訳です。
お客様に革新的なソリューションやエクスペリエンスを提供するためにクラウド サービスの導入を加速させている企業では、リスクチームやコンプライアンス チームがデュー デリジェンス プログラムを整備することで、ビジネス クリティカルなワークロードのアウトソーシングに付随するリスクをより深く理解し管理しようとしています。こうした取り組みの核にあるのは、複雑な世界規模での規制の要件、枠組み、ガイドラインに沿ったコンプライアンスを維持しながら、内部ポリシーやベスト プラクティスに従って機密データやアプリケーションを保護することです。クラウドの監査可能性、管理のモニタリング、継続的なクラウドのリスク評価は、中核となるビジネス プロセスやアプリを支えるクラウド サービスに対する、信頼の構築と規制機関からの信頼の獲得のためには必要不可欠です。その結果、組織は関連するクラウド ポリシー、プロセス、技術実装の包括的な評価の実施に、ますますリソースを割くようになっています。また、そうしたリソースに関して、組織での費用を最適化しながら、プロバイダのリスク評価をさらに広く深く実施していくための方法が常に求められています。
Google Cloud は業界最高水準の信頼できるクラウドになるために取り組んでおり、Google サイバーセキュリティ対応チームではお客様と緊密に連携し、お客様のデュー デリジェンス、リスク管理、規制遵守のニーズに対応できるようにサポートしています。Google がお客様によるクラウド評価のスケーリングと促進を支える方法の一つに、第三者リスク管理(TPRM)プロバイダとの協働があります。こうした組織は独立したデュー デリジェンス サービスやプラットフォームを提供しており、データを収集および提供することでベンダーによるリスク管理の自動化をサポートしています。Google はこうした TPRM 評価者が、Google のインフラストラクチャやオペレーションに内在する管理の評価を実施できるようにします。TPRM プロバイダは、モニタリングや評価に基づいて独自かつ偏りのない監査レポートを作成し、場合によってはそれをお客様に直接共有します。
Google Cloud のお客様にとっての TPRM ソリューションのメリットには、以下のようなものがあります。
包括的かつ定期的な評価: TPRM プロバイダは、Google Cloud のプラットフォームおよびサービスに対して、定期的で、複数階層かつ多次元な評価を決まったスケジュールで実施します。こうした評価の中で、TPRM プロバイダは、NIST SP 800-53、NIST CSF、ISO 27001、PCI-DSS、HIPAA、CMMC、SOC2、CSA STAR などの業界の基準や規制に沿った数百ものセキュリティ、プライバシー、ビジネスの継続性、業務の復元力の管理を検査します。こういった徹底した評価によってもたらされる情報は、クラウド内のデータおよびアプリケーションの管理に関連する複雑な規制遵守の要件を満たすための取り組みの基盤となる、Google Cloud のお客様ご自身の評価プロセスに役立ちます。
監査リソースの効率的な利用: TPRM プロバイダは、Google Cloud とお客様の間のリスク評価のやり取りを円滑に進め、レポートをお客様のコンプライアンスの状況に応じてカスタマイズします。これにより、ベンダーのリスク評価プロセスを合理化し、お客様と Google の両方に求められる通常の労力を低減します。こうした TPRM 評価の対象範囲の広さと大規模なフィールドワークによって、Google Cloud のお客様はベンダーのデュー デリジェンスと全体的なリスク管理プロセスを高速化することが可能です。
独立したクラウド監査の専門知識へのアクセス: TPRM のソリューションでは、Google Cloud とは完全に独立した監査評価とレポートをお客様に提供します。加えて、お客様はクラウド管理、リスク体制、監査の慣習について、パブリック クラウド プロバイダの監査の経験が豊富な第三者と話し合う機会が持てます。
多くの Google Cloud のお客様は、Google が構築してきた TPRM との関係性をすでに活用しています。現在、Google は CyberGRX、TruSight、KY3P といった業界をリードする TPRM プロバイダと連携し、世界規模でお客様に高品質なリスク評価をお届けしています。Google は、お客様がリスク管理要件や規制遵守要件を満たすためのサポートとして、これからも効果的で効率的なソリューションを探し続けることを約束します。Google Cloud の信頼とコンプライアンスについて詳しくは、コンプライアンス リソース センターをご覧ください。
- Google Cloud エンタープライズ トラスト責任者 Rani Urbass