暖かい日が続いたおかげで、庭のバラの芽が一気に吹き出しています。この時期のバラの芽吹きには生命力を感じますね。春がもう近くまでやってきています。

===

想像してみてください。

あなたが組織内でオーナーとなっている業務に新しいクラウドサービスを導入したいとき、サポートしてくれる部門にどのように依頼するか?
「今度、うちの○○の業務のシステム化でクラウドサービスを使いたいので、どのサービスが良いか比較・評価資料を作成して欲しい」

またはあなたが、クラウドサービスの導入を推進する立場のときに、ユーザからサービスの選定を手伝ってもらいたいと頼まれたらどのように対応するか?
「チェックリストのここに記載した要件を満たしているか確認しますね。NGの項目については対策を考えますが、他に方法がないときはこのサービスは使えません」

これらのケースにおいて依頼する側・される側で、共通して暗黙の前提とされているのが、万能な「チェックリスト」の存在です。

一方で、両者に共通して漏れているのが、新しいクラウドサービスを導入することにより「追加されるリスクの共有」だと思っています。

クラウドサービスの導入を相談する側も、される側も、見落としがちなこの追加リスクの共有は、一度使い始めると際限なく広がる性質を持つクラウドサービスの導入による、経営戦略の実現スピードに影響を与えると考えます。

チェックリストで機能を比較する、要件を満たしていることを確認することのデメリットは、固定化された機能・要件を用いている点にあります。
そもそも、なぜ企業はクラウドサービスを使うのか。それはビジネスの環境変化にいち早く対応するためです。クラウドサービスの進歩には著しいものがあり、得意とする専門領域ごとにサービスの開発競争が激しく、もはや業種に関わらず共通的な機能が固まっている業務領域では、自社専用にスクラッチから開発するメリットは(セキュリティ要素以外では)ほとんどありません。

こうした状況下で、固定化されたチェックリストを杓子定規に用いるということは、ビジネス環境も静的に捉えていることになります。例えば、重要でない項目も評価をするために必要以上の調査時間をかけてしまう(結果的にできあがったアウトプット資料も判断上重要でない)ことや、ある重要でない項目がNGだったときにそれを補う手段の検討に時間を使ってしまう(結果的に規約は変更されないため導入はできない)といったことも起こりえます。

ここでいう「重要」なこととは、当該クラウドサービスを導入することにより、「追加されるリスク」が企業にとって重要であることを指します。一般には、企業における経営戦略・事業機会におけるリスクに照らして、また、事業遂行にあたり遵守すべき業種としての規制に照らして、リスクを洗い出して評価します。

先日、監査チームから特定のクラウドサービスについてボクが相談を受けたのですが、対象となるクラウドサービスの評価について、外部の人から持ち込まれたのが、オンプレのシステムを前提としたIT全般統制で使用しているチェックリストでした。
もちろん、そのリストには回答せずに、そのクラウドサービスを利用する場合に追加的に発生するリスクは何か、例えば、監査事務所であれば、取り扱う情報資産の機密性の要件を念頭にリスクを洗い出し共有することから始めました。その時は、無事、仕切り直すことができましたが、もし、提示されたチェックリストを使用した評価でコミュニケーションをとっていたら、おそらくそのサービスは使用できない、という結果になっていたと思います。監査事務所の話ですが、一般の事業会社でも同じことが当てはまると思います。

クラウドサービスの変化・進歩は、ビジネス環境の変化に合わせたものですから、もし、チェックリスト方式にこだわるのであれば、そのチェックリストそのものがビジネス環境の変化に合わせて、動的に変化していかなければなりません。
ですが、それはリスクベースのアプローチを取るということに他ならないのです。

チェックリストを都度作り直すのも煩雑、埋めるだけの作業も億劫ですよね。

クラウドサービスの導入に関して、リスク管理をしている人が、従来のやり方でリスク評価することは、ビジネス環境の変化に対応しようとする経営側のアクションにブレーキをかけすぎる可能性がある点で注意が必要です。