クラウドガバナンスとは何ですか?

ガバナンス・フレームワークは、クラウドの使用の安全性と透明性を維持し、より広範なビジネス目標に沿ったものにするために企業が採用するすべての役割と技術的管理の概要を示しています。ガバナンス・フレームワークは、クラウドの「ハウス・ルール」として機能します。誰がリソースを作成または削除できるか、どのようなセキュリティー対策を講じる必要があるか、チームがコストをどのように管理するか、企業が法律や規制への準拠をどのように維持するかについて定義します。

クラウド・ガバナンス・フレームワークは、一連のガバナンス・コンポーネントに基づいて構築され、一連のガバナンス・コンポーネントに対処するように作成されています。これらのコンポーネントには次のものが含まれます。

• クラウド支出を抑制するためにコストガバナンスを導入します。
  
  
• クラウドシステムとそれが保有するデータを誤用や悪用から守るためのセキュリティガバナンス。
  
  
• ガバナンスにアクセスして、誰がどの参考情報にアクセスできるか、どのようなアクションが実行できるかを管理します。
  
  
• 一般データ保護規則（GDPR）や医療保険の相互運用性と説明責任に関する法律（HIPAA）などの規制への準拠を保証するコンプライアンス・ガバナンス。
  
  
• システムの信頼性と可視性を維持するための運用ガバナンス。
  
  
• データ・ガバナンスデータの分類、保管、動き、削除の方法を規定する。

クラウド・プラットフォームを使用すると、数回クリックするだけで、資産やリソースの新しいインスタンスを簡単に作成できます。明確なガードレールがなければ、このような環境では、制御されない支出、セキュリティー・ギャップ、運用の混乱が生じるリスクが劇的に増加します。

クラウド・ガバナンス・フレームワークは、ポリシー（文書化されたルール）、プロセス（それらのルールの遵守方法）、コントロール（ルールを適用する技術的メカニズム）、そして明確に定義された役割（誰が何をするかを許可されている）を明確にすることで、これらの問題を防ぐのに役立ちます。

最終的に、クラウド・ガバナンスの目標は、組織がクラウド・サービスのメリットを享受できるようにすると同時に、セキュリティー対策を実装してリスクを軽減することです。

クラウド・ガバナンス・ストラテジーは、企業がクラウド導入に伴う一般的な課題に所在地するのに役立つ。クラウド導入に伴う一般的な課題には、複雑性、攻撃対象領域、シャドーIT、コスト管理が含まれる。

一般的に、クラウドの導入は企業にとって大きな恩恵となっています。クラウド・サービスを利用すると、開発チームとオペレーションは、（ピーク時の容量に対応するためにハードウェアを過剰に構築するのではなく）需要に合わせてリソースを迅速にスケールアップまたはスケールダウンできるため、IT環境の柔軟性が高まります。開発者がインフラストラクチャーを数分でプロビジョニングできるようになるため、新しいアプリケーションやサービスの構築、テスト、デプロイのプロセスが加速します。

クラウド・サービス・プロバイダーは、地域全体でシステムの可用性を向上させる冗長性とディザスター・リカバリー機能を備えたプラットフォームを設計することがよくあります。

しかし、クラウド・コンピューティングには課題も伴います。

クラウド環境は本質的に複雑であり、ほとんどの企業は大規模で地理的に分散したハイブリッドクラウドとマルチクラウド環境内にクラウド・サービスを展開しています。

クラウド・サービスはまた、ウェブ・アプリケーション、アプリケーション・プログラミング・インターフェース（API）、ロード・バランサーなど、インターネットに面したエンドポイントをIT環境に追加するため、攻撃対象領域が大幅に拡大します。攻撃対象領域が拡大すると、セキュリティーの問題やデータ侵害の機会が増えます。IBMの「データ侵害のコストに関する調査」によると、データ侵害の30%は、複数の環境に分散されたデータを含んでいる。

多くの場合、従業員や部門は承認なしに独自のクラウド・ツールを立ち上げることができ、明確な所有権や管理方法のないままサービスの制御されない成長が促進されます。この現象は「クラウドスプロール」と呼ばれ、クラウド、データセンター、地域をまたがるすべての資産、ワークロード、データフロー、アイデンティティをチームが把握することがほぼ不可能になります。クラウド・システムで何が起こっているかの可視性を維持し、クラウドへの支出を管理することが困難になります。

全企業の半数近く（44%）は、クラウド支出を限定的にしか把握していない。スプロール・クラウド環境に拡散する管理されていないデータ・ソース（シャドー・データ）は、サイバー犯罪者にとって格好の標的となるため、クラウド・スプロールは重大なデータ・セキュリティー・リスクと脆弱性を生み出す可能性もあります。

また、クラウド環境ではデータが分散化されたプラットフォームやサービスを横断する必要があるため、すべてのコンポーネントに適切な暗号化プロトコルやアクセス制御を適用することが難しい場合があります。

クラウド・ガバナンス・イニシアチブは、企業がクラウド・ポリシーとベスト・プラクティスのための信頼できる唯一の情報源を作成するのを支援し、より明確でデータ主導の意思決定を可能にする。チームは、すべてのクラウド環境にわたって一貫したガードレールとセキュリティ制御を設定できます。すべてのクラウドに同じルールが適用され、IT環境全体のセキュリティー体制が強化される。

ガバナンスにより、企業は環境の作成方法や変更内容と変更方法を標準化でき、さまざまなチームが承認されたクラウド参考情報を安全かつ簡単に使用できるようになります。強力なガバナンス・モデルによって、クラウドに関する意思決定の役割と責任も明確になります。クラウド・ワークロードで何か問題が発生した場合、問題に所在地する責任者は誰でも知っています。この標準化の推進と役割の明確化により、部門全体の業務効率が向上します。

クラウド・ガバナンスは、クラウドの使用状況の一元的な監視とレポートをサポートし、ユーザーにクラウド環境の可視性を向上させます。これらの機能により、企業はクラウドの支出を追跡し、コストを特定の人または行動にマッピングし、経時的にクラウド予算を最適化することができます。

さらに、クラウド・ガバナンス・フレームワークは、単にハイエンド・テクノロジーをアーキテクチャーに追加するのではなく、クラウドへの投資によって測定可能な価値が確実にもたらされるように組織が支援するのに役立ちます。

新しく新興のテクノロジーをIT環境に組み込むことには大きなメリットがありますが、それらのテクノロジーは明確な目的を果たす必要があります。優れたガバナンスには、チームがクラウドに関する意思決定をビジネス成果に直接結び付け、クラウド・サービスを拡張する前に新しい投資の価値提案を明確にする必要があります。これにより、コストの最適化が促進されます。

組織は、クラウド・ガバナンス・フレームワークを実装するためにクラウド・ガバナンス・ソリューションを使用することがよくあります。これらのソリューションは、ガバナンスの実践とポリシーの適用を自動化する、さまざまな高度なCloud Managementツールで構成されています。クラウド・ガバナンス・ソリューションの幅広い機能はクラウド・ガバナンスの複雑さを軽減し、企業がITエコシステム全体にわたる適用を合理化できるようにします。

効果的なクラウド・ガバナンス・フレームワークは、一連の共通原則に基づいて構築されます。

クラウド・ガバナンス・フレームワークにより、企業はクラウド・サービスとのやり取りに関する厳格なポリシーを開発し、適用することができます。クラウド環境は複雑で動的なクラウド環境を管理することが容易になります。

クラウド・ガバナンスという分野では、いくつかの異なるタイプのIT管理を組み合わせて、クラウド・サービスをエンドツーエンドで保護するための包括的なフレームワークを提供します。

クラウド・ガバナンスのデータ管理コンポーネントは、クラウド内でのデータの分類、保管、保護、保持、削除方法に関するルールを設定します。

大量のデータがクラウドに保管されています。現在、企業データの半分以上 (51%) がパブリッククラウドに保存されています。

クラウド・プラットフォームを利用すると、この規模のデータの収集と分析が容易になります。同時に、ビッグデータのワークフローやデータベースがクラウド上に存在することで、データ管理はクラウド・ガバナンスにとってより不可欠なものとなっています。

データ管理は、通常、「公開」、「内部」、「機密」、「最高機密」などのCategoriesから始まります。各分類は、適切な暗号化プロトコル、アクセス制限、位置情報の制約、およびバックアップポリシーにマップされます。

データ管理ポリシーは、データライフサイクル管理にも関わります。データ・ライフサイクル管理では、データをいつアーカイブする必要があるか、法的またはビジネス上の理由からどのくらいの期間保持する必要があるか、そしてデータを安全に廃棄する方法を規定します。これは、 データ主権（異なる国または地域でデータをどのように処理または保管できるかを規定する法律）、国境を越えた移転、特に個人情報が関係する場合のデータ・プライバシーに関する要件を定義するものである。

オペレーション管理では、次のような日常的なクラウド・オペレーションを定義します。

• プロビジョニングとは、クラウドの仮想マシン、データベース、アカウント、Kubernetesクラスター、その他のシステムなどのクラウドリソースを作成、変更、廃止する管理されたプロセスを指します。

• チェンジ・マネジメントは、本番環境（コードやインフラストラクチャーのデプロイメントなど）への変更をどのように提案、レビュー、承認、テストし、最終的に展開するかを規定します。チェンジ・マネジメントの手法を取り入れることで、チームはリスクを最小限に抑えながら、デプロイメントの速度を維持し、さらには加速させることができます。

• デプロイメント・プラクティスは、新しいバージョンのアプリケーションとサービスをクラウド環境にリリースする方法を指定します。

• 監視とアラートの実践により、どのようなメトリクスとその他のデータを監視する必要があるかを定義し、アラートの基準を設定することで、チームが問題を早期に検知して迅速に対応できるようにします。

• インシデント管理、 予期せぬサービスの中断や低下（サイバー攻撃を含むデータ侵害）に対処するためのプロセス。インシデント管理は、何をインシデントとして特定するかを規定します。インシデントがどのように分類、検出、記録されるかまた各インシデント対応の責任者も把握する必要があります。

• キャパシティ・プランニングは、過剰なプロビジョニングを行うことなく、クラウド・サービスが需要を満たすのに十分なリソース（コンピュート、ストレージ、ネットワーク帯域幅）を確保するのに役立つ。キャパシティー・プランニング機能は、参考情報をスケーリングするためのしきい値とトリガーを定義します。また、必要に応じて自動スケーリング機能を使用し、使用率傾向を監視して、チームが将来のリソースの割り当てのニーズを予測できるようにします。

オペレーション管理はまた、クラウド・サービスの性能を設定するサービスレベル目標（SLO）とサービスレベル契約（SLA）を定めます。

セキュリティとコンプライアンス管理は、Cloud Managementの重要なコンポーネントであり、すべてのクラウドワークロードが保護され、セキュリティポリシーが施行され、規制要件が満たされることを保証します。

実際には、高レベルの義務（例えば「個人データを保護しなければならない」）を、多要素認証（MFA）などの具体的なコントロールに変えることを意味します。また、すべてのクラウド環境にわたって一貫して制御を適用することも必要です。

セキュリティーとコンプライアンス管理の実践は、IDおよびアクセス管理（IAM）システムに大きく依存しています。IAMシステムは、ロールベースのアクセス制御（RBAC）などのきめ細かいアクセスポリシーの適用に役立ち、各コンポーネントを表示、変更、または展開できるユーザーを決定します。

クラウドのセキュリティー管理には、ネットワーク・セキュリティー（ファイアウォールとセグメンテーションの使用）、インシデント対応ツールと運用（セキュリティー情報やイベント管理ソフトウェアなど）、証拠収集プロトコルも含まれます。

クラウド・コスト管理は、クラウドの支出が計画的で費用対効果が高く、ビジネス目標と結びついていることを確認します。

世界のエグゼクティブ・リーダーおよび技術専門家の85% 近くが、クラウドへの支出を最大の課題として挙げている。新しいインスタンスやサービスを作成するのが非常に簡単なため、Service Cloudへの支出はすぐに制御不能になる可能性があります。ほとんどの企業（76%）は、毎月500万米ドル以上をクラウドサービスに費やしています。

コスト管理の実践により、技術的な決定に財務規律が加わり、チームはクラウド・サービスを選択する際に予算とROIを常に考慮できるようになります。

財務管理には、予算編成プロセス、チャージバックまたはショーバック・モデル、コスト配分メカニズム（例えば、タグを使用して特定のオペレーションや単位にマッピングするなど）を定義することが含まれます。ショーバック・モデルは、直接請求することなくクラウド使用コストをチームに示します。一方、チャージバック・モデルは、クラウド・サービス使用料をチームに直接請求します。

クラウド・コスト管理の主な目標には、クラウド・リソースの適正化と、クラウド支出の29%を占める無駄なリソース利用の排除が含まれます 。

リスク管理により、企業はベンダー・ロックイン（そのため、企業が多大なコスト、労力、中断なしにクラウド・プロバイダーを変更することは困難です）など、クラウド固有のリスクを特定し、評価することができます。重要なのは、何が問題を起こり得るのか、それがどの程度悪いことをするのか、どの程度の可能性があるのかを理解することです。この知識を活かして、組織はリスクを回避・軽減・共有したり、明示的に受け入れたりするための統制を導入できます。

リスク管理は、予防、検出、是正のための管理の設計にも影響を与えます。

クラウド・セキュリティー・チームが、機密性の高い顧客データを含むが、バケット・ポリシーが過度に寛容な（データ漏洩につながる可能性がある）Object Storage サービスを見つけたとします。

チームは、本番アカウントでバケットを作成しようとするすべての試みにおいて、「パブリックアクセスをブロックする」設定を有効にする必要があるという、企業全体のルールを作成する可能性があります（予防的制御）。ユーザーのデプロイメント・テンプレートがバケットを公開しようとすると、デプロイメントは失敗し、エラー・メッセージが返されます。

チームは、「パブリック」とマークされたバケット、または「機密データ」タグが付けられたオブジェクトを含むバケットをチェックするスクリプトを使用して、継続的な構成スキャン（検出制御）を実装できます。スキャンで基準を満たすバケットが見つかった場合、セキュリティー・チームとサービスを所有するチームに通知が送信されます。

セキュリティー・チームは、自動修復機能（是正制御）を実装する場合もあります。監視システムが機密データを含むパブリック・バケットを検知すると、自動的にパブリック・アクセスをバケットから削除し、デフォルトの暗号化を有効にし、ITサービス管理（ITSM）システムでインシデント・チケットを作成します。

あるグローバルヘルスケア企業が、拡張性と可用性を向上させるために、電子カルテ（EHR）システムをパブリッククラウドに移行していると想像してください。同社は、仮想マシン（VM）、データベース、Object Storage、サーバーレス機能など、複数のクラウド・アカウントとサービスを使用しています。この環境向けのクラウド・ガバナンス・フレームワークの作成には、次の手順が含まれる場合があります。

同社は、セキュリティー、コンプライアンス、IT、DevOps、財務の担当者で構成されるクラウド・ガバナンス委員会を設立します。ガバナンス委員会は、次のような明確なルールを確立します。

• 本番環境へのデプロイができるのはDevOpsチームのみです。
  
  
• すべての患者データは、転送中および保管時の両方で暗号化する必要があります。
  
  
• 患者データは米国またはカナダに保管する必要があります。
  
  
• すべての参考情報に、所有者、コスト・センター、環境、およびデータ分類をタグ付けする必要があります。

これらのルールは文書化されたポリシーになります。例えば、「保護された医療情報（PHI）は暗号化され、一般にアクセスできないようにする必要がある」や「運用アプリケーション・グループのみが本番EHRデータベースにアクセスできる」といった具合です。

取締役会はクラウド環境を組織化する方法を決定します。開発、テスト、ステージング、本番環境用に別々のアカウントを作成します。機密性の高いEHRワークロードは専用の本番アカウントで実行され、ツールとログは共有セキュリティアカウントで実行されます。

次に、RBACポリシーを定義します。開発者は、開発とテストの作業ができます。オペレーションスタッフはステージングとプロダクションを管理できます。セキュリティー・チームは、あらゆるものにわたってログとガバナンス・ポリシーを確認できます。これらの役割は人事グループに割り当てられるため、アクセス制御は各人の職務に合わせて調整されます。

同社はクラウド・サービスをシングル・サインオン（SSO）システムに接続している。ユーザーは作業アカウントでログインし、ジョブ・グループに基づいてクラウドの役割（運用管理者、読み取り専用ビューア、セキュリティー監査者、財務アナリストなど）を取得します。

取締役会は、機密性の高い役割にMFAを要求することを決定しました。また、最もリスクの高い役割については、必要な場合にのみアクセス権が短期間付与され（「ジャストインタイム・アクセス」と呼ばれます）、その後自動的に削除されます。

たとえば、新しいDevOpsエンジニアがチームに参加すると、適切なグループに割り当てられ、開発とテスト用の適切なクラウド権限が自動的に取得されます（ただし、運用環境では利用できません）。

同社はポリシーをPolicy-as-Codeルールに変換し、リスクの高いアクションを自動的にブロックします。ポリシー・アズ・コードでは、セキュリティー、コンプライアンス、運用ポリシーがソフトウェア・コードに直接記述され、ガバナンス・ツールまたはクラウド・プラットフォームによって自動的に適用されます。

たとえば、PHIワークロードの米国またはカナダ国外へのデプロイをブロックしたり、データベースのバックアップを有効にしておくことが必要になる場合があります。

これらのルールは2つの方法で適用されます。クラウド・プラットフォームレベルでは、継続的統合／継続的デリバリー（CI/CD）パイプラインが、デプロイメント前にクラウドインフラストラクチャテンプレートをチェックする。また、誰かがコンソールから参考情報を手動で作成しようとした場合でも、コンプライアンスに準拠していない変更を拒否する企業全体のポリシーとして適用されます。

同社は健康データを扱うため、データガバナンスについては特に厳格です。すべてのデータ・ストアには分類ラベルが付けられ、すべてのストレージとデータベースはデフォルトで（集中管理された暗号化キーを使用）暗号化され、開発者は暗号化を無効にすることは禁止されています。

PHIワークロードは、インターネットへの直接アクセスのないプライベート・ネットワークで実行され、承認されたゲートウェイまたはロード・バランサーのみがサービスを公開します。また、詳細なログを中央アカウントに収集し、自動チェックを実行して、組織がHIPAAやその他のコンプライアンス基準を満たしていることを監査員に示しています。

すべてのクラウド・リソースにはコスト・センターと所有者がタグ付けされているため、コストを特定のチームまたは製品まで追跡できます。

FinOpsツールは、ハイブリッドクラウドやマルチクラウド環境における財務責任慣行を実施するもので、ダッシュボードを使用して、アプリ、環境、地域ごとにクラウド支出を表示し、事業単位ごとの予算とアラートを表示します。新しい分析ワークロードのコストが突然高額になると、ダッシュボードはそのワークロードに予算超過のフラグを立てます。

研究チームは、コストのかかるワークロードに関する自動アラートを受け取り、クラウドのレビューを確認する必要があります。その過程で、ワークロードが実際の本番データではなく、匿名化されたデータをEHRテストに使用していることが判明しました。テストは重要であるため、チームはワークロード全体をシャットダウンするのではなく、非本番ワークロードが1日に使用できるデータ量に厳しい制限を設定することにしました。

同社は、新しいクラウド・サービス、脅威、規制の登場に伴い、クラウド・ガバナンス・フレームワークと関連するポリシーをレビューしています。

状況が変化すると、ガバナンス委員会はそれに応じてフレームワークを調整します。また、リソースのタグ付け、環境のリクエスト、PHIの処理方法など、ガバナンス・ルール内で開発者が作業するのに役立つトレーニングとドキュメンテーションも提供しています。

人工知能（AI）は、クリティカルな機能を自動化し、クラウドの参考情報、ワークロード、アクティビティのリアルタイム分析を可能にすることで、クラウド・ガバナンスを再構築しています。AIは、クラウド環境においてポリシーを定義、実施、監視、最適化する方法に表れていますが、企業は従来のクラウド制御に加えて、新しいガバナンス要件を実装する必要に迫られています。

AIツールは、クラウド・リソースを継続的に検出して分類し、機密データを特定し、弱いまたは制限的な制御に関する洞察を提供し、サービス・リネージュ（クラウド・サービスが時間とともにどのように進化するかを記録）を維持することができます。

AI駆動型のクラウド・ガバナンスによってクラウドの拡張性も向上し、企業はガバナンス要員をほとんど、または増やさずに数千のクラウド・リソースから数十万のリソースに拡張できます。

拡張に対応するために、AIはガバナンスのワークロードを再編成するだけです。AIおよび機械学習（ML）アルゴリズムは、検知、問題のトリアージ、および基本的な修復タスク（リソースのタグ付け、予算上限の適用など）を処理します。人間は、ガードレールの設計、例外やエッジケースの処理、リスクのトレードオフの検討に集中します。

多くのクラウド・プロバイダーや専用プラットフォームは、クラウド・スタックの一部として生成AI固有のガバナンス制御も提供しており、チームがインテリジェントなクラウド・ガバナンスを導入するのに役立ちます。

インテリジェントなガバナンス環境では、ポリシーはクラウド・プラットフォームでエンコードして適用され、生成AIレイヤーがその上にあります。生成AI駆動型のガバナンス・ツールは、高度な分析を実行して、自動リスク評価、異常検知、データ要約機能を提供します。一部のクラウド・ベンダーは、生成AIのエンドポイントがパブリック・インターネットに公開されないよう、プライベート・エンドポイントとゼロトラスト・データ・ルーティングを提供しています。

AIテクノロジーは強力なガバナンス実現手段として機能しますが、同時に管理する必要があります。

AIは、モデル・ドリフト（学習したパターンが現実とは一致しなくなるため、時間の経過とともにAIやMLモデルが悪化すること）やサイバー攻撃といった問題に対して脆弱です。

クラウド・リソースの場合と同様に、チームはAIサービスをすぐに立ち上げ、正式なセキュリティー制御やポリシーでは管理されていないシャドーAIツールを誤って作成する可能性があります。2025年のデータ侵害のコストに関する調査では、シャドーAIが関与するセキュリティ・インシデントは、全データ侵害の20% を占めています。

さらに、多くのAIツールはクラウド上で構築・実行されるため、AIガバナンス要件は事実上、クラウド・ガバナンス要件となっています。そのため、「既存のポリシーの上にAIを追加する」アプローチではなく、厳格なテストと明確に定義されたエスカレーション・パスを備えた、包括的なAI対応クラウド・ガバナンスに移行しています。

クラウド環境における効果的なAIガバナンスでは、通常、次のことを明確に示します。

• すべてのAIワークロードに必須の登録要件。
  
  
• 説明可能性、バイアステスト、堅牢性の要件。
  
  
• 生成AIモデルおよびサード・パーティー・モデルの許容使用要件
  
  
• ヒューマン・イン・ザ・ループのインスタンスのルール。AIが自律的に行動できる時期と、自律的に行動できない時期を規定します（たとえば、AIはログインを自動ブロックすることはできますが、高価値のトランザクションをブロックする場合は人間の承認を求める必要があります）。
  
  
• 自律型AIのアクションに対する明確な説明責任の実践（AIがユーザーをブロックする場合、ガバナンスは誰が責任を負っているかを定義する必要があります）。

特にこれらのプラクティスは、組織が十分なAI制御を組み込むと同時に、クラウドでAIを使用するメリットを最大化するのに役立ちます。