Microsoft 365のITガバナンス・ポリシーをどう設計するか

クラウドサービスのガバナンス・ポリシーの策定

クラウドサービスはめまぐるしいスピードで進化し、その機能を拡張しており、企業がポリシーを更新するスピードを上回ることも少なくありません。 それだけでなく、クラウドサービスでは絶えず機能が刷新されるのが一般的であり、もはやITガバナンスに明確な終わりというものはありません。 多くのクラウドサービスの将来的な方向性が予測できないため、企業はITガバナンスに関するアドバイスをプロバイダーのロードマップに合わせざるを得ない状況です。

したがって、ITガバナンス・ポリシーを設計する際には、こうしたクラウドサービスの変化をあらかじめプロセスに組み込んでおく必要があるということを企業側が理解することが極めて重要です。 そうすることで、IT部門が新しい機能に圧倒されることはなくなり、さらに、ユーザーは可能な限りの生産性と柔軟性を享受できるようになるのです。

同時にITチームは、セキュリティ、データ保護、そしてデータ・プライバシーに関する要求事項など、ITの枠組みにおける基本的な要素が侵害されないようにしなければなりません。 また、組織の規模や構造によっては、IT部門を再編して新たな任務に対応させる必要があります。 その結果、組織によってはクラウドサービスを担当する新たな管理職を任命する必要があるでしょう。

企業は、クラウドにおけるITガバナンスについて、当初は多くの懸念を抱いていることが多く、このような不安が二の足を踏ませる原因となっているようです。 一方で、ITチームはクラウドベースのサービスを導入する前に、ガバナンス・ガイドラインを作成しなればなりません。 それでは、クラウド・ガバナンス・ポリシーに関するよくある6つの質問を見てみましょう。

Microsoft 365のガバナンス：よくある質問

1. なぜM365や他のクラウドサービスを利用する前にガバナンスを考慮する必要があるのか？

Microsoft AzureであれMicrosoft 365（M365）であれ、クラウドサービスは簡単かつ迅速にプロビジョニングできます。 SaaSプランでM365を利用する顧客は、ハードウェア、サイジング、アップデート、サービス自体の全体的な可用性について心配する必要がないため、クラウドサービスの導入は思いのほか簡単に実現できます。 クラウドには多くの長所がありますが、その流動的な性質からガバナンスが重要な課題となっています。 これを無視すると、ネットワークは脆弱なまま放置され、IT部門はコスト最適化の機会を逃すことになります。

2. Microsoft 365のITガバナンスフレームワークとは、どのようなものなのか？

ITガバナンスのフレームワークは企業ごとに異なり、利用するサービスにより理想的なフレームワークも異なります。 クラウドサービスであるOneDrive for Businessの例を見てみましょう。 OneDriveは標準のM365スイートで利用可能なクラウドストレージとコラボレーションツールです。 その性質上、どのユーザーのデバイスにも導入でき、デバイス間で同期することができます。 企業側は、コラボレーション環境下においてドキュメントへのアクセス、共有、編集の権限を外部のユーザーに与えることもできます。

お客様企業が本当にこの方法でOneDriveを導入すべきかどうかを検討する必要があり、まさにここでM365のITガバナンスが重要になってきます。 最初のステップは、アクセスがどのように行われるかを決定することです。 OneDriveにアクセスするのは社内ユーザーだけなのか、それとも外部のパートナーや お客様にもアクセスを許可するのかを検討します。 次に、アプリケーションへのアクセスを容易かつ安全にするためのプロセスを明確にする必要があります。 ここまでの作業が完了したら、OneDriveにアクセスするデバイスを検討します。 例えば、管理されたお客様の機器なのか、モバイル機器なのか、Web上の不明な端末なのか、Use your own Device（UYOD）なのか、Bring your own Device（BYOD）なのか、それとも全く別のものなのか、といった具合です。

最後に、ID、デバイス、データを保護する最善の方法を確認することも忘れてはなりません。

クラウドサービス向けに特別に設計されたITガバナンスのフレームワークを使用することで、企業はアクセスシナリオ、クライアント端末やモバイルデバイスの管理、ID保護、データ保護に関するプロセスやガイドラインを策定することができます。

3. Microsoft 365のIT ガバナンス関連サービスとは？

M365のためのITガバナンスは、Microsoft 365 and Enterprise Mobility + Securityを含むM365パッケージで提供されるすべてのサービスを対象とし、それらを使用する最も適切な方法を検討します。 ガバナンスフレームワークの中で、企業はユーザーライフサイクル、データ保護、データ管理、データの法的要件を評価検討する必要があります。

現在、ユーザーとデータのライフサイクルに関するITガバナンスのコンセプトは、拡張された形でモデル化され適用されており、運用コストを最適化する基盤となっています。 しかし、このモデルは、従業員の採用や退職といった基本的なイベントが、ガバナンス・プロセスに大きな変更をもたらす可能性があることを意味します。 しばしば企業は、誤ったプロセスや古い知識のために、従業員にアクセス権を誤って発行してしまうことがあります。 －例えば、解雇された従業員がしばらくの間、勤務していないにもかかわらず、会社のM365へのアクセス権を与えられてしまうことなどです。こうしたことは、ネットワークの脆弱性を助長し、長期的には大きなコスト発生の原因になる可能性があります。

典型的なビジネスユーザー以外にも、ネットワーク管理者、経営陣、人事部員、法務部員など、より広範な要件とデータへの安全なアクセスの必要性が高まっている従業員がいます。 これらの関係者にM365サービスの利用を許可する前に、これらのユーザーグループに、厳格なガイドラインと保護を含んだ完全なITガバナンスプロセスを用意することが極めて重要です。 M365のためのITガバナンスサービスについて信頼できるプロバイダーを見つけることで、企業は組織の規則や規制を遵守しながら、これを支援することができる技術と役割を定義することができます。

最後に、企業はデータ保護、GDPR、そして全体的なデータセキュリティの問題を考慮する必要があります。 M365のガバナンスポリシーが持続可能で、実行可能で、柔軟なものとするために、オンプレミスのコンセプトと要件を評価する必要があります。 フレームワークを設計する際には、Microsoft Azure Information Protection、Microsoft Data Loss Prevention、他のプロバイダーからのマネージドバックアップやアーカイブシステムなどの製品をご検討下さい。

4. 企業はどのようにITオペレーションをクラウドサービスに適応させるか？

企業とそのIT部門は、ビジネスニーズとユーザー要件の両方に対応し、その要求に応えなければならないという問題にしばしば直面します。 例えば、多くの企業は、コミュニケーションを簡素化し、効果的なコラボレーションを可能にする 「モダンワークプレイス」を実現することで、ユーザー要件を満たしたいと考えている様です。 同時に、ビジネス面では、企業はライセンスへの投資とその関連コストを常に評価する必要があります。

クラウドサービスを利用することで、企業はビジネスニーズやユーザーの要望を迅速かつ容易に満たすことができますが、それにはコストがかかります。 Microsoft 365のようなクラウドサービスの導入・展開において、このような迅速な対応を行った場合、重要なガバナンス要件がほとんど考慮されていないことが多くあります。 その結果として、企業はIT運用の基盤を構築できておらず、それはすなわち、クラウドサービスのためのITガバナンス・ポリシーをも構築できていないのです。 こうした状況を解決するための最善の方法は、M365を本格的に展開する前に、ITとネットワーク管理チームによりパイロットプロジェクトや概念実証プロジェクトを立ち上げることです。

5. 緊急の要件、迅速な実施、中期的なプロジェクト計画の間で妥協することは可能か？

クラウドサービスを利用する前に、まず根本的にITガバナンスが必要な分野を特定する必要があります。 ただし、現在お使いのクラウドソフトウェアのポートフォリオによっては、御社の戦略にトレードオフが含まれる可能性があることに留意して下さい。 例えば、企業の一部がIT部門によってプロビジョニングや管理されていないクラウドサービスを既に利用している場合、完全な問題解決に取り組む前に、ある程度十分なガバナンス・ポリシーをできるだけ早く導入することをお勧めします。

ガバナンス・ポリシーを計画する際には、社内の従業員に対する要求事項を含めることを忘れてはなりません。 従業員は、これらのプロジェクトを支持し、実行するための重要なリソースであり、計画のプロセスで彼らのニーズを考慮しないと、プロジェクトが大きく遅れる可能性があります。 しかしながら、すべてのコミュニケーション・チャネルのガバナンス・ポリシーを策定するのは時間のかかるプロセスであり、企業側では各サービスのガバナンス・ポリシーを策定している時間がない事が多い様です。 このような状況でのトレードオフは、 Microsoft Teamsのような1つのサービスに対してガバナンス・ポリシーを策定し、他のサービスが完全なガバナンス・ポリシーを得られるまで、一般的な用途に対してそれを展開することであると思われます。

6. ITガバナンス抜きでクラウドサービスを導入するリスクとは？

企業が Enterprise Mobility + Security を購入せずに Microsoft Office 365 などのクラウドサービスを使用すると、データが危険にさらされる可能性があります。 Microsoft 365 の導入を補強する追加のセキュリティソフトウェアがなければ、唯一の保護メカニズムはユーザーのログイン情報だけです。 そのため、ハッカーやその他の悪意のあるエージェントがデータを吸い上げたり盗んだりすることが容易になり、更なる不正アクセスをするためにユーザーの ID を盗むことさえあります。

M365のためのITガバナンスがなければ、攻撃やデータの悪用は発見されないことが多くなります。なぜなら、レポートシステムやSIEMシステムが設定されていなかったり、接続されていなかったり、利用可能でさえなかったりするからです。 この問題は、セキュリティインシデントの責任者がいない場合、またはセキュリティ上の脅威を処理するためのプロセスが存在していない場合にさらに複雑になります。 効果的なITガバナンス・ポリシーには、セキュリティ違反を効果的に処理するための継続的な管理と測定が必要です。

このようなデータ関連のリスクとは別に、現在のユーザーの評価が軽視されがちです。 これは深刻な脆弱性であり、企業が持ち込みデバイスやその他の比較的オープンな環境を持つ場合、不正アクセスやその他の有害なインシデントが発生する可能性があります。 明確な答えは、こうした好ましくないシナリオを防ぐ、厳格なガバナンス・ポリシーを制定することです。 しかし、強力なITガバナンス・ポリシーは、サービスやポリシーが大幅に更新されるたびに、ユーザーのアクセス・シナリオを即座に変更することになります。 その結果、従業員が必要なデバイスやアプリケーションにスムーズかつ一貫してアクセスできなくなり、フラストレーションが溜まる可能性があります。 また、ガバナンスの名の下に、効果的な社内コミュニケーションや有意義なトレーニング、あるいは相乗的なネットワーク効果が犠牲になったと感じれば、ユーザーは苛立ちを募らせることになるでしょう。 そして最終的には、こうしたフラストレーションにより、クラウドサービスの導入に消極的になってしまう可能性があります。

ただそうは言っても、ここでご説明した活動やワークパッケージは単純な例となります。 お客様企業にてMicrosoft 365 用の独自の IT ガバナンス ポリシーを構築する場合、IT ガバナンスがどこまでの範囲を対象とすべきかなど、企業独自の要件があり、それは御社における現在のルールや内部プロセスによって異なってきます。