デジタル トランスフォーメーションのリスク ガバナンス: リスクチーム、コンプライアンス チーム、監査チーム向けガイド

※この投稿は米国時間 2021 年 4 月 30 日に、Google Cloud blog に投稿されたものの抄訳です。

クラウド技術への移行は、産業界に変革をもたらしつつ、さらに加速しています。これによって、最高リスク責任者、最高コンプライアンス責任者、内部監査責任者およびそのチームに新たな課題と機会が発生しました。組織が新たなアジリティ、製品やサービスの品質向上、市場での関連性を追求する中で、経営者およびそのチームが、この新しい技術環境に対して、安全でセキュア、かつコンプライアンスを徹底した導入プロセスを優先するのは当然のことです。

このように範囲の広いあらゆる技術変革では、安全に管理するためのリスク、コンプライアンス、監査の方法を調整する必要がありますが、クラウド コンピューティングを導入することで、管理すべきリスクや正味のリスクが増大すると考える必要は一切ありません。クラウドは、それ自体がリスクである一方で、セキュリティ、耐障害性、その他のリスクを管理する手段でもあります。独立したリスクチーム、コンプライアンス チーム、監査チームは、クラウド技術を安全に利用するための道筋を示し、クラウドの利用によるリスクを軽減することで、企業に非常に大きな戦略的価値をもたらす立場にあります。

Google の新しいホワイトペーパーは、チームがこれらのメリットを享受できるよう、組織内で行われる変革活動のガイドとなることを目的としています。このホワイトペーパーに記載されているプロセスは、この変革がリスク、コンプライアンス、監査の各部門においてどのような意味を持つのかを把握し、クラウドの世界で成功するためにこれらのプログラムをどのように配置することが最適なのかを理解するのに役立ちます。

変革を成功させるためには各部門において多くの詳細な検討事項があるため、4 つの基本フェーズで採用されている以下の原則を、変革の取り組みにおけるガイドおよび参考とすることを提案します。

基礎の設定: 共通認識と、時間をかけて組織の変革の意図とアプローチを形成する主要な原則を確立する。

• 共通認識を構築する。デジタル トランスフォーメーションを成功させるには、組織的、文化的、技術的、および手順上の変化をオーケストレートさせる必要があります。用語やアプローチについて一般的かつ共通の認識を得ることで、すべての防衛ラインで計画と実行に携わる人々に参考モデルを提供できます。

• 長期的な考えを持ちながら、反復的に行動する。変革を進めながら、リスクと制御のアプローチを成熟させます。1 日目から「完璧」なものの構築を目指してデジタル トランスフォーメーションを遅らせることは現実的ではありませんし、リスクの観点からも賢明ではありません。学びながら変革に取り組み成熟していくことが、長い目で見ればより良いプロセスを生み出すのです。

• 組織的な準備を優先する。能力とスキルの評価と強化、および適切な組織構造とオペレーション モデルの導入を優先します。最初に専門のチームを編成することもありますが、長期的にはより包括的なアプローチが必要となります。

• 専門かつ統合されたガバナンスを実施する。変革プログラム全体を監視するアプローチ（例: 協議会や委員会）を確立し、関連するリーダーが監視するプログラム担当オフィスを設立します。技術面、運用面、セキュリティ面のリスクに対するガバナンスが、プログラムのガバナンスに対するチェック機能および調整機能として働いていることを確認します。

初期フェーズの管理: 組織がクラウドへの初期移行を安全に実施できるような構造と機構を導入します。

• 初期のセキュリティおよび構成に関する最低基準を定義する。セキュリティやその他の構成基準、原則が策定され、新しい作業に照らして更新されることを確認します。初期フェーズでは、（データもしくはビジネス サービスの重要性に基づいて）特定の作業負荷クラスに適用される最低基準を明確に定義する必要があります。

• 初期のリスクおよびコンプライアンスの監視を定義する。初期のリスク モニタリング フレームワークを確立し、経験と学習に基づいて反復作業を継続します。これらのフレームワークには、特定の指標および関連する閾値または制限値を含めます。特に初期段階では、独立した専門知識やテストを活用して、設計やプロジェクトの妥当性を検証します。

• 取締役会や規制当局とコミュニケーションをとる。第一の防御ラインは、組織が適切なリスク管理を行っていることを、取締役会に対して、および別個に規制当局に対して積極的に示すことです。リスク、コンプライアンス、監査の各部門は、制御の程度とリスク許容値の遵守について、独立した視点を提供する必要があります。

• トレーニングおよびスキル開発。組織は、すべてのスタッフに合わせた包括的なトレーニング プランを用意してクラウド技術に関する専門知識を深め、将来的に責任および遂行能力を小規模な専門チームから広範な組織へと安全に移行できるようにします。

成熟と加速: 制御の厳格さと監視の強化と並行してガバナンスの規模を適正化することで制御とガバナンスの構造を調整して、クラウドの導入を加速させます。

• 包括的なセキュリティおよび構成基準を策定する。クラウドの導入方法に関する明確な方針、基準、フレームワーク、およびその基準の遵守方法を設ける必要があります。これにより、単一のプロジェクトだけではなく、「ワークロードのクラス」を開発および展開できるようになります。

• IT デリバリーをモダナイズする。クラウドのセキュリティ リスク軽減機能を活用して維持するために、テクノロジー ユニットとビジネス ユニットがソフトウェア開発ライフサイクルのモダナイゼーションに向けてどのような準備を行っているかを明らかにします。ライフサイクルとそのツールに対して、セキュリティおよび構成基準を組み込みます。

• リスク制御を主流に組み入れる。リスクと制御の分類（リスク、制御、影響）を更新して、組織のクラウド利用に関する成熟度を反映します。リスクと制御の自己評価などの監視プロセスを調整し、特に、責任と説明責任のモデルに関する変化を、クラウド プロバイダにおける変化も含めて考慮に入れます。

• 継続的な制御のモニタリングを拡張する。クラウドに技術を導入すると、より多くの制御がコードとして表現されたり、もしくはシステム化されたりします。このクラウドの特性を活用して、主要な制御が継続的にモニタリングされ、制御が展開されたまま期待どおりに動作し、定められた目的に沿って実行されていることを確認します。

新しい定常状態: クラウドをすべての関連するリスク プログラムおよびガバナンスに組み込み、クラウドのベスト プラクティスによって安定性を維持するためのプロセスを導入することで、広範な使用に適応できます。

• クラウドを他のリスク プログラムと相互接続する。組織が技術を提供するためのクラウド使用を反映するだけでなく、クラウド サービスのリスク低減と透明性の向上を利用するために、第三者によるリスク評価や復元力プログラムなど、関連するリスク プログラムの調整を監視します。

• 継続的な改善サイクルを促進する。組織の継続的な改善能力を測定します。クラウドの体系的な技術とセキュリティ制御を活用して、制御を継続的にモニタリングしているか。アーキテクチャは定期的に強化され、以前は実行不可能とされていた制御が可能になっているか。クラウド プロバイダの新しい機能を利用しているか。

• クラウドのベスト プラクティスを常に把握し、前提条件を常に再検証する。クラウドに関する外部の要件やベスト プラクティスの変化を特定してその変化に対応するために、規制や基準のモニタリング体制を調整します。これらの変化および組織によるクラウド利用の発展にあわせて、テールリスクを検討するために設計されたシナリオ作成プロセスを修正します。

• レガシーを並行管理する。リスクおよびガバナンス機構が既存技術に引き続き適切に焦点を当て、メンテナンス、アップグレード、およびその他の日常的な管理に関する意思決定が、レガシー システムの継続的な安全運用と一致するようにします。

リスク、コンプライアンス、監査の各部門は、複雑なデジタル トランスフォーメーションを通じて会社を主導し、クラウド技術のメリットを実現するうえで重要な役割を果たします。これらのチームは、技術、セキュリティ、復元力、およびその他の運用リスクを管理する方法について、一連の変化を導き、形成します。このホワイトペーパーに記載されている推奨事項は、Google が長年にわたってクラウドのセキュリティとリスク管理の分野をリードし、イノベーションを実現してきたことに加えて、Google Cloud のエキスパートが大企業のリスクおよび制御部門において担当していた役割から得た経験に基づいており、この変革への取り組みを容易にすることができます。クラウド変革におけるリスク ガバナンスについて、お客様と協力できることを嬉しく思います。

-Google Cloud バイス プレジデント兼 CISO、Phil Venables

-Google Cloud CISO オフィス ディレクター、Nick Godfrey