GRC プラットフォーム: クラウド環境か、オンプレミス環境か

Galvanize

GRC ソリューションはリスクマネジメントチームやコンプライアンスチームの活動の根幹をなす存在です。社内で導入するこうした要のテクノロジーにセキュリティの綻びやサービスの中断があってはなりませんし、必要な時に簡単にアップデートできる性能が求められます。

GRC プラットフォームのホストを構築する際には、2 つの選択肢があります。クラウド環境か、またはオンプレミス環境です。 それぞれの良い点と悪い点を評価してみましょう。

オンプレミス環境の場合

GRC プラットフォームをオンプレミス環境でホストを構築する場合、ソフトウェアの運用に社内のサーバーと IT インフラストラクチャを使用していることになります。

  • メンテナンスとストレージ。 オンプレミス環境の場合、サーバーのアップタイムや、アプリのアップデート・設定といった一切のことを社内で行わなければならず、 サーバーのメンテナンスやアップデートの管理方法を熟知した専門の技術者を配置する必要があります。 さらに、サーバーごとに保有できるデータの量には上限があるため、ストレージを増やす必要がある場合にはサーバーを追加する用意をしなければなりません。 オンプレミスのソリューションを導入するということは、まずサーバーにインストールを完了し、そしてそれから各個人の PC にもインストールしていく作業が必要となるため、クラウドソリューションよりもさらに労力がかかります。
  • コスト。 ソリューションの使用には月々の料金を支払うのではなく、ソフトウェアのライセンスを購入するわけですが、ライセンス費用というものはしばしば前払いで高い初期費用となることがあるうえ、サーバーの維持費や電気料金といったコストの支払いも必要になります。 ライセンス費用は、SaaS サービスを利用する月々の料金よりも実質低くなることもあるでしょう。ですが、その金額の分岐点に達するまでには何年もかかるだけでなく、その頃にはソフトウェアのニーズ自体も変わっていることでしょう。
  • セキュリティ。 多くの組織が、クラウド環境のソフトウェアよりもオンプレミス環境のソフトウェアのセキュリティの方がしっかりしていると感じているようですが、常にそうとは限りません。 オンプレミス環境のソフトウェアはスタッフによるアップデート作業が伴い、セキュリティパッチが自動的にインストールされるわけではないので、ハッカーに隙だらけの状態があるからです。 2021 年のはじめに起きた、オンプレミス環境の Microsoft Exchange サーバーに行われたハッキング事件がこれに該当します。3 万社を超える米国の会社組織に影響を及ぼしました。 オンプレミス環境のソフトウェアを運用する組織は、多くの場合、専任の管理担当者の代わりに IT ジェネラリストにソフトウェア アップデートを任せていることから専門的な対処に欠け、こうしたツールは外からの攻撃を非常に受けやすいのです。

クラウド環境の場合

クラウド環境に移行する場合、業者のサーバーでアプリケーションのホストを構築するので、場所や使用端末の制約を受けることなくアクセスが可能になります。

  • メンテナンスとストレージ。 アプリケーションのホスト構築は業者が行うため、導入も数時間または通日で完了します。各ユーザーの使用端末に直接インストールする作業も要りません。 アップデートの管理も業者任せで、自動的に行われます。 サーバーの設置場所はほかの顧客と共有しているので、ニーズに応じてすぐにスケールアップまたはスケールダウンすることも可能です。
  • コスト。 通常、ライセンス費用を前払い購入するのではなく、SaaS ソリューションに対する割賦金を月々支払うことになります。そして金額は必要なサービス、使用するユーザー数によって変わります。 設備等に対する前払いの支出はなく、金額は 12 か月から 24 か月の期間での契約です(さらに長い期間で契約することもあります)。 アップグレードや、サービスないしユーザーの追加も簡単で、アプリケーションへの手作業によるアップデートは必要ありません。
  • セキュリティ。 クラウド型 GRC ツールのセキュリティは個々のソフトウェアによって異なりますが、多くがオンプレミス環境のツールよりも高い水準のセキュリティを備えています。 セキュリティ パッチはすべてのユーザーのアプリケーションで即座にインストールされるので、社内のスタッフによるアップデートに頼る必要はなくなります。 ただし、高いレベルのセキュリティを確保するため、データを暗号化し、セキュリティコンプライアンスの証明に政府の証明書を有するプラットフォームを選ぶようにしましょう。 たとえば、Galvanize の HighBond プラットフォームは、政府当局が要求する非常に厳しいサイバーセキュリティコンプライアンスの要件を満たし、2019 年に米国連邦政府から FedRAMP の認証を受けています 。 さらに今年、Galvanize は米国国防総省の影響レベル 5 認定なる追加の認証を受けたことを発表しました。当社のプラットフォームが国防総省やほかの政府組織の基幹サービス管理に適しているということを認めるものです。

選択肢の評価

コンプライアンスの要件により、企業によってはオンプレミス環境のソフトウェアが必要になることもある一方で、多くの組織にはクラウド環境に移行するという選択肢があります。 クラウド型ソフトウェアを提供する多くの業者が、自社のソリューションはセキュリティがしっかりしており、企業や政府が使用するに十分な安定性を有していると保証していることから、勢いを増して導入が進んでいます。 Gartner によると、世界全体のパブリッククラウドへの支出は 2021 年で 23% も成長するだろうとのことです。

新型コロナウイルス感染症(COVID-19)と分散型チームへの移行は、オンプレミス環境のツールやインフラストラクチャに頼ることの危険性を示しています。 ですが、デジタル変革を受け入れ、クラウド型ツールのセキュリティがしっかりした技術スタックを構築すれば、チームが組織のセキュリティに違反することなく、場所や時間を選ばずにツールを使って業務を行えるので安心です。

クラウド型 GRC ツールを選ぶ際には、十分に時間を取って製品を試し、自社のニーズを満たすことを確認するようにしましょう。 理想をいえば、リスクマネジメントチームが共同して作業でき、データを共有できる統合プラットフォームが望ましいです。 タスクが共通するコンプライアンス ワークフローを自動化できる機能、情報を視覚的にとらえられるビジュアルダッシュボード、リアルタイムのアナリティクスも必要です。このダッシュボードとアナリティクス機能があれば、主要リスク指標を使って組織のリスクレベルを図れます。

業者が財務面で安定しており、データ違反をしたこともなく政府や企業といったクライアントにサービスを提供したという実績があることを確認することも忘れてはなりません。 利用しようと考えている業者が、上述の FedRAMP や IL5 認証といったサイバーセキュリティに取り組んでいることを示す証明書を有しているか、確認するようにしてください。

オンプレミスからクラウド型のソリューションに移行することは思い切った決断かもしれませんが、適切なパートナーと協力しさえすれば、多くのメリットを得られるでしょう。 はっきりしているのは、 クラウド型 GRC ソリューションが将来に役立つ選択肢ということです。

ホワイトペーパー:

IT ガバナンスに重要な KRI の基本

このホワイトペーパーは、IT 部門における主要なリスク指標 (KRI) を導入、管理、維持するという、組織に共通する一部の大きな課題を取り上げており、
以下について学習します。

  • KRI の目的と役割
  • KPI、KRI、KCI の違い
  • 手始めに取り掛かるべき KRI の例

ホワイト ペーパーをダウンロード

関連記事

lang="en-US"
X

Galvanize は Diligent になりました。

製品提供、研究、GRCリソースに関する最新情報を確実に入手するには、またはGalvanize製品にログインするには、 www.diligent.com

Diligentを開く ログイン