組織のクラウド セキュリティ責任の定義

Shared Responsibility Model（共有責任モデル）だけでなく、組織内でクラウドセキュリティに対する各自の要件を定義し、必要なことを全員が理解できるようにすることも重要です。単に "セキュリティはすべての人の責任です "と言うだけでは十分ではありませんし、少し決まり文句にさえなっています。

エグゼクティブ・リーダーシップ・チーム（ ）は、クラウド・セキュリティへの取り組みを後援する必要があります。今日の規制状況では、エグゼクティブ・スポンサーシップが実質的に義務付けられています。規制不遵守がビジネスに与える潜在的な財務的影響は、データ漏洩そのものと同じくらい（あるいはそれ以上に）壊滅的なものになる可能性があります。金銭的な罰則だけでなく、多くの規制は、企業幹部やその他の受託者に対する刑事罰も規定しています。

エグゼクティブは率先垂範しなければなりません。企業ポリシーとして、モバイルデバイス上の企業データを暗号化する要件や、SaaSアプリケーションへのアクセスに多要素認証（MFA）が必要な場合は、エグゼクティブのために「単発的な」例外を設けるべきではありません。経営幹部は、率先垂範するだけでなく、セキュリティとコンプライアンスに関する取り組みに適切な支援とリソースを確保し、戦略的なビジネス上の意思決定が組織全体のセキュリティとコンプライアンス態勢に与える影響を常に考慮する必要があります。

セキュリティおよびコンプライアンスチーム は、ビジネスを安全に実現する適切なポリシーを定義し、実施する必要があります。セキュリティおよびコンプライアンスチームが効果的であるためには、ビジネスの目標や目的を理解し、それに合致している必要があります。

ライン・オブ・ビジネス・マネジャー（ ）には、組織のクラウドセキュリティおよびコンプライアンスガバナンスが理解され、それぞれの事業領域で遵守されていることを確認する責任があります。ビジネスのニーズが進化するにつれて、事業部門の管理者はセキュリティチームとパートナーになって、新しいツールを採用するリスクとリターンを評価する必要があります。短期的なビジネス目的や生産性目標を達成するために、許可された SaaS アプリケーションのみを使用する要件など、セキュリティ・ポリシーを回避することは決して許されるべきではありません。その代わりに、セキュリティ・ツールはビジネス・ニーズに適応し、望ましいユーザー行動を促進する必要があります。

また、セキュリティチームやコンプライアンスチームと連携することで、各事業部門がベンダーやクラウドプロバイダーとの関係を活用し、サイロ化したクラウドテクノロジーやクラウドプロダクトの中で業務を行うのではなく、より経済的にサービスを調達し、必要なときに迅速にサポートを受けることができるようになります。

DevOpsチーム は、ソフトウェアプロジェクトやアップデートを迅速に提供し、市場投入までの時間を短縮しなければならないというプレッシャーに常にさらされています。このような要求を満たすには、プロジェクトの開始時にセキュリティ要件を定義して理解し、理想的にはアプリケーション提供のワークフローに統合する必要があります。このようにして、開発チームは、セキュリティの脆弱性やコンプライアンス違反に対処するために、継続的に中断したりリセットしたりすることなく、前進を続けることができます。

個人のエンドユーザー は、クラウドのセキュリティとコンプライアンスに関して、コーポレートガバナンスに従う責任があります。クラウドに内在するリスクを理解し、預かったデータを自分の個人情報のように保護しなければなりません。