クラウド ガバナンスを有効活用するための実践的ヒント
Marina Kaganovich
Executive Trust Lead, Office of the CISO, Google Cloud
David Stone
Solutions Consultant, Office of the CISO, Google Cloud
サイロを打破: 3LoD を最適化して成功に導く方法
※この投稿は米国時間 2024 年 8 月 15 日に、Google Cloud blog に投稿されたものの抄訳です。
サイバーセキュリティの脅威、進化し続ける規制、そして予期せぬ混乱は、組織が直面する複雑に絡み合った課題のほんの一部に過ぎません。複雑な状況に巻き込まれることを避けるため、ビジネスリーダーは堅牢なガバナンスを活用し、主要な組織機能と役割を明確に定義し、割り当てています。
この複雑に絡み合った相互依存関係をうまく舵取りしていくことは、特に金融サービスなどの規制の厳しい業界では極めて重要であり、組織はクラウドリスク ガバナンス プログラムに 3 つの防衛ライン(3LoD)モデルを活用する方向に進み始めています。3LoD モデルは、構造化された反復可能なクラウドリスク管理アプローチであり、アセットの保護、復元力の確保、情報に基づいた意思決定に役立ちます。
ただし、3LoD モデルにあまりにも厳格に固執すると、予想以上の頭痛の種を抱えることになるかもしれません。ガバナンス プログラムの実装は重要ですが、3 つの防衛ライン間の責任を明確にすることだけに焦点を当てると、サイロ意識が助長され、重要なビジネス目標の達成が困難になる恐れがあります。
Google Cloud の CISO オフィスは、クラウドリスク管理の目標を達成する上での 3LoD ガバナンス構造の本質的な価値と有用性を理解しています。3LoD をさらに有効に活用するため、チーム間のコラボレーションを促進することをおすすめします。これは、クラウドリスクの計算において従来の階層構造、合併と買収、さまざまな規制要件を考慮する必要がある大規模な組織では、特に重要となります。
防衛ラインの定義
以下に 3LoD の概要を説明します。このモデルは、チーム共通の戦略目標を達成するのに役立つ強力なメカニズムとなります。
- 第 1 の防衛ライン(1LoD)では、運用管理に重点を置きます。各ビジネス ユニットの責任者やマネージャーが日常業務の直接責任を負い、それぞれがリスクを評価、管理、軽減します。
- 第 2 の防衛ライン(2LoD)は、アドバイザリと監視の機能を提供します。これにはリスク管理、コンプライアンス、法務などの専門的な機能が含まれ、専門知識、第 1 の防衛ラインへのアドバイザリ サービス、制御モニタリングを提供し、独立した「チェック&チャレンジ」機能の役割を果たします。
- 第 3 の防衛ライン(3LoD)は、第 1 の防衛ラインと第 2 の防衛ラインを監査します。この独立した監査機能は、組織全体のガバナンス、リスク管理、内部統制の有効性を評価する綿密な監査を実施することで、取締役会と上級管理職に客観的な保証を提供します。
リスク管理を強化するために、ハイブリッド型の「1.5LoD」機能を設ける組織もあります。これは、チャレンジ チームとして 1LoD に組み込まれ、第 1 の防衛ラインによる制御の実行を支援することで、リスク管理をさらに強化する役割を担います。これらの防衛ラインは、連携して機能するように設計されています。
3LoD モデルは万能のソリューションではなく、原則に基づいたモデルであることに注意する必要があります。ニーズに合わせてカスタマイズすることで、クラウド実装の課題に適切に対処し、エンタープライズ リスク管理プログラムをより統合された復元力のあるものにできます。
ただし、このガバナンス モデルが適切に定義されていない場合、それぞれの役割と責任に関する混乱や不明瞭さが生じ、組織の変革能力や戦略目標の達成能力に影響を及ぼす可能性があります。
3LoD を効果的に活用する方法
組織が、3LoD モデルをビジネス ユニットの階層構造に適合させることは、リスク管理を最適化できる良い機会となります。Google の経験とお客様とのディスカッションに基づき、組織で 3LoD を実装または変更するための実用的なアプローチを作成する際には、次の 4 つの重要な要素に注意を払うことをおすすめします。
- 説明責任とコラボレーションの強調: ビジネス ユースケースで連携しているすべての関係者が、役割と責任、所有権と説明責任、エスカレーション ポイントについて認識を一致させ、課題が発生したときに迅速かつ断固とした対応をとれるようにします。3LoD 間では、独立性を維持しながら同僚としての協調も必要とするため、自然な緊張関係が生じます。複数の関係者に関与の機会を提供することで、スムーズに進められるようになり、次のことが可能になります。
- 複数の視点から情報が得られるため、1LoD のみでは見逃される可能性のある潜在的なリスクを特定できます。
- 開始時に合意を形成することで、製品やサービスの構築や改善において考慮すべき適用規制要件について共通の理解を得ることができ、また潜在的な 2LoD の考慮事項を表面化してプロセスの設計段階に情報を提供できます。
- 達成すべき目標と適用する制御、それらの起源、所有者、監視方法、およびそれらを均一に適用するかアドホックに適用するかについて、共通の理解を築くことを支援します。共通の理解を得ることは、制御の有効性を評価する際のエビデンス構築にも役立ちます。
- イテレーションと継続的な適応: ユースケースを明確化することで、成果物、タイミング、役割と責任の定義を推進できます。つまり、3LoD ガバナンス モデルを活用すると、ユースケースの目的を達成する方法、組織のリスク選好度に対してもたらされるリスク、それらのリスクを軽減するために適用できる制御、運用メカニズムと技術メカニズムの組み合わせによる制御の有効性の測定方法に対して「チェック&チャレンジ」を行うことで、プログラム管理者に情報を提供できます。
- 早期に、頻繁に、透明性を持って関与: 上述の考慮事項を明確にし、それらを実現するために必要な作業の流れを実際に機能させることができるかどうかは、信頼と信用に大きく依存します。その信頼の基盤は、ビジネス ユースケース定義プロセスの早い段階から、そして構築フェーズを通して重要な節目で、第 2 および第 3 の防衛ラインを積極的に組み込むことで支えられることがわかっています。
このアプローチを採用すると、後のレビューおよび承認プロセスで発生する可能性のある非効率性と遅延を回避できるため、長期的にすべての人にメリットがあります。これらの遅延は、多くの場合、役割と責任に関する認識の不一致、予期せぬ形で関係者の輪を広げる必要性、そして特定の決定がなされた理由に対する疑問によって引き起こされます。 - リスク エクスポージャーの継続的な評価: エコシステム(組織、その従業員、製品、サービス)への変更がリスク フットプリントに与える影響を考慮し、関連するポリシー、手順、および制御の範囲と有効性を定期的に再評価します。たとえば、チャット機能や他のサービスとの相互接続の追加、新しいタイプのデータの収集、アクセス、保存など、リスク プロファイルに影響を与える可能性のある機能を既存の製品に追加するような場合です。
こうした種類の変更は、サイバーセキュリティの脅威、ビジネス プロセスおよび対応する制御環境への影響によりリスクを増大させる可能性があり、その影響範囲によっては、最終的に組織のリスク管理体制に影響を及ぼすことがあります。
効果的な変更管理の実践により、組織のリスク管理能力が強化され、3LoD ガバナンス モデルの実装を成功させることで、新しい取り組みに関連するビジネス プロセスへの潜在的なリスクを事前に特定して軽減できます。
要点
3LoD アプローチは、適切なガバナンスを促進するため、より強力なクラウドリスク管理体制の実現を加速できます。堅牢でリスクを認識した文化、独立性と明確に定義された役割と責任による説明責任を奨励し、透明性の向上によりリスク関連の問題に対するオープンなコミュニケーションとエスカレーションを促進します。
3LoD モデルは万能のソリューションではなく、原則に基づいたモデルであることに注意する必要があります。ニーズに合わせてカスタマイズすることで、クラウド実装の課題に適切に対処し、エンタープライズ リスク管理プログラムをより統合された復元力のあるものにできます。
ビジネス リーダーやセキュリティ リーダーが組織の複雑さに対処し、クラウド変革を成功させるためのその他のヒントについては、こちらのブログ記事をご覧ください。
-Google Cloud、CISO オフィス、エグゼクティブ トラスト リード Marina Kaganovich
-Google Cloud、CISO オフィス ソリューション コンサルタント David Stone