ガイドラインやルールについては、注意すべき点がある。「解釈」の問題だ。和田氏はCCoEチームに着任する前に経験したエピソードを披露した。
そのエピソードはCCoEチームがガイドラインを作成する前の出来事だ。あるクラウド事業者との打ち合わせで「社内ルールの関係上、クラウドサービスの利用が難しい」という課題を話した際に「ルールがあるなら、解釈を変えればいい」とのアドバイスを受けた経験があるのだという。
それも状況を打開する上では一つのアイデアかもしれないが、社内ルールを作るCCoEの立場から見れば「大変危険な考え方だ」と和田氏は振り返る。「ガイドラインを苦労して作っても好き勝手に解釈されては困る。自由な解釈や逃げ道を排除するために『共通サービス』を作ることになった」(和田氏)
共通サービスとはいったいどういった実装なのだろうか。
大日本印刷の共通サービスとは、アカウント管理やセキュリティ機能など、ガイドラインに記載されている内容をSaaSも積極活用して共通化したものだ。具体的には、ガイドラインの必ず守るべき項目を共通サービスに組み込むことで、確実にガイドラインを守れる状態で提供する仕組みだ。あとは必ず共通サービスを利用することを各プロジェクトに守らせればよい。
共通サービスを整備することで、特権ユーザーの管理をCCoEが取りまとめられるようになり、CCoEが想定する設定以外に変更できないようにしたり、使ってはならないものを定義しておくことができる。
リスクの高い部分は解釈の余地がない形でサービスを提供するため、あとはガイドラインに即して利用すれば良い。
この仕組みで社内手続きも変化した。
クラウドサービス利用時、多くの企業は稟議(りんぎ)や審査部門による事前チェックが求められることだろう。大日本印刷もこれまでは情報セキュリティ審査が行われていたが、それぞれのプロジェクトが、それぞれの形で取り扱い情報、セキュリティ対策を盛り込んでいたため、その都度リスク分析が必要となり、審査時間を多く必要としていた。
「CCoEが設立された後は、まずCCoEへの相談があり、そこで共通サービスを活用したアーキテクチャ設計をプロジェクトに提案する。その上で共通サービスを前提とした形で情報セキュリティ審査が行われるため、パターン化も可能となりリスク分析も素早く行える。必ず通過するステップにCCoEが関与できるのが大きなメリットだ」(和田氏)
Copyright © ITmedia, Inc. All Rights Reserved.