検索
ホーム ガバナンス・コンプライアンス(2)

ガバナンス・コンプライアンス(2)

組織代表者会議の参加者を選定する

まず、エコシステム全体のビジネスニーズを把握したうえで、どの組織が代表者会議に参加すべきかを決定します。この際、主な依頼元となる事業部門、リードインテグレーター、主要クラウドサービスプロバイダー、そしてデータセンター運営やソフトウェア管理を担うマネージドサービスプロバイダーなど、ビジネス全体の流れを支えるキープレイヤーを考慮します。

また、データの観点から、アジャイルチームの規模とその構成についても検討が必要です。たとえば、複数のチームが異なるクラウドプロバイダーを使っている場合、それぞれの代表者がどのようにデータ管理やセキュリティの一貫性を保てるかを調整する必要があります。

適切な代表者の選定

各組織の代表者を選定する際には、各組織のプログラムマネージャーに相談し、現場のデータフローやプロジェクト管理の実態を理解することが重要です。代表者は、単に肩書きのある幹部ではなく、組織を超えた権限を持ち、データ戦略の実行に影響を与える意思決定ができる人物であるべきです。

特に、データガバナンスやセキュリティポリシーの観点からは、エコシステム全体に対する責任を持ち、適切なリーダーシップを発揮できる代表者が求められます。たとえば、クラウドのインフラ選定やデータ統合の戦略に深い理解を持つ人物が理想的です。単に「強いコネクション」があるだけの人物では、データ主導の意思決定を行う上での課題解決に役立ちません。

会議のビジョンと憲章を策定する

会議を運営する際、データ主導型のアプローチを共通言語として取り入れ、ビジョンと憲章を共同で策定します。これにより、各組織が保有するデータ資産やセキュリティリスク、またはビジネス目標に関する共通理解を確立することができます。

ビジョンと憲章の策定においては、データの活用方法や分析手法、セキュリティ対策に関する厳しい質問を投げかけることが必要です。たとえば、「我々のデータアーキテクチャは、将来のスケーラビリティに対応できるか?」や、「現在のデータ統合の仕組みが、各組織間で効果的に機能しているか?」といった質問を考慮し、データの視点から進めるべき課題を明確にします。

データコンサルタントの視点では、組織代表者会議は単なる会議体にとどまらず、データガバナンスや統合されたセキュリティ戦略を強化するための意思決定の場であるべきです。

ガバナンスと自動化におけるベストプラクティス

ガバナンスは、企業のインフラストラクチャにおけるコンプライアンスの維持と、理想的な運用状態に対する「ズレ」や違反が発生した際に通知を受けたり、必要な対策を実施したりするためのプロセスです。ガバナンスの実施には複数の方法があり、各手法には独自のメリットとデメリットがあります。ここでは、主要なポリシーの種類とその特性について説明します。

1. インバンドポリシー

インバンドポリシーは、ユーザーがアクションを実行する前にその行動がベストプラクティスに違反する可能性を評価する仕組みです。

メリット: このポリシーにより、リスクの高いアクションやコストがかさむ行動を事前に防止できます。たとえば、クラウドインフラの設定ミスによる不要なコスト増加を未然に防ぐことが可能です。
デメリット: 一方で、ユーザーの生産性が低下する可能性があり、従業員が制約を避けるためにシャドウIT(正式なIT部門外でのツール利用)が発生するリスクがあります。
2. アウトオブバンドポリシー

アウトオブバンドポリシーは、ベストプラクティスへの違反が発生した後にそのアクションを評価し、対応する仕組みです。

メリット: ユーザーの作業を中断することなく、事後に対策を講じることができ、日常の業務フローへの影響が少なくなります。
デメリット: このポリシーは、リアルタイムの予防策ではないため、違反が重大な影響をもたらす可能性があり、タイムリーな対応が取れなかった場合に損失を招くリスクがあります。

3. ガイドラインポリシー

ガイドラインポリシーは、ユーザーに対してリスクの境界を通知する仕組みです。これにより、ユーザーは何がベストプラクティスに反しているかを認識できます。

メリット: このポリシーは、リスクに関するアラートを提供し、ユーザーに注意を促すことでベストプラクティスの共有が可能です。
デメリット: しかし、ガイドラインだけでは違反を事前に防止したり、発生した違反を自動的に修正したりすることはできません。
4. ガードレールポリシー

ガードレールポリシーは、ベストプラクティス違反が発生した際に、通知を行い、違反を修正するための対策を組み込んだ仕組みです。

メリット: これにより、違反が検出された際に自動的に是正が行われ、システムの整合性とコンプライアンスが保たれます。たとえば、適切なセキュリティポリシーが自動的に再適用される場合があります。
ポリシーの適用シナリオ

下記の表は、ユーザーがベストプラクティスに違反するアクションを実行、または実行を試みた際に各ポリシーがどのように動作するかを示しています。企業はこの情報を元に、リスク許容度や運用ニーズに応じて、最適なガバナンス戦略を設計することが求められます。

このガバナンスの枠組みは、データ駆動型の運用モデルにおいて、セキュリティ、コスト効率、業務のスムーズな遂行を実現するために不可欠です。各ポリシーの選定と実装は、ビジネスニーズやリスクプロファイルに基づき、柔軟にアジャイルな手法を取り入れながら最適化することが重要です。

ガバナンスの自動化:効率化と持続的な最適化の実現

ガバナンスルールの定義が完了した後、企業はアラートと修正の自動化を進めることが重要です。Vanguard GroupのTim Treston氏も述べているように、手動による最適化作業には限界があり、インフラが一定の規模に達した段階で自動化が不可欠になります。このプロセスは、従来の手法や既存の業務フローの大幅な変更を伴うため、特に多くの組織にとっては難関となり、時間を要するステップとなります。すでにこの課題を克服した企業からは、以下のような実践的なアドバイスが提供されています。

1. ガバナンスを制限ではなく、有用なフレームワークとして捉える

「ガバナンス」という言葉は、多くの人にルールや統制という印象を与えがちですが、視点を変えることで、ガバナンスをより有効に活用できます。Iron Mountainのエンタープライズアーキテクチャ部門副社長であるJosh Langley氏は、ガバナンスを「ボウリングのバンパーのようなもの」と説明しています。すなわち、ガバナンスはユーザーが常に成功を収めるための補助的な役割を果たすものであり、制約ではなく、目標達成をサポートするツールとして捉えるべきだということです。

2. シンプルな自動化から段階的に進める

ガバナンスのガイドラインをガードレールに進化させるには、まず小さな一歩から始めることが推奨されます。最初は、ユーザーのアクションを承認ワークフローで管理し、人間による最終判断を必要とするプロセスから着手します。次に、比較的リスクの低い部分から自動化を進めます。例えば、一定期間利用されていないストレージの停止や、古くなったスナップショットの削除などが考えられます。最終的には、高度な自動化として、電源のオン/オフポリシーや、タグ付けされていないインフラのシャットダウン、セキュリティ違反の自動修正まで発展させることが目標です。

3. オプトイン型からオプトアウト型ポリシーへ

自動化ガバナンスの導入を加速するために、多くの企業がオプトアウト型のポリシーを採用しています。VMwareのクラウドサービス部門のディレクターであるCathal Cleary氏は、この手法を採用し、特定のタグで除外された資産以外はすべてポリシーを適用する形式を導入しました。たとえば、「nodelete」というタグを持たないすべてのスナップショットが、90日経過後に自動的に削除されるポリシーを設定するなど、個別対応ではなく、標準ルールを自動適用することで、効率的かつ持続可能なガバナンスを実現しています。

データコンサルティングの視点からは、このような自動化ガバナンスを段階的に導入することで、企業は運用効率を高めつつ、セキュリティやコンプライアンスの要件をより確実に満たすことが可能になります。企業の規模やリスクプロファイルに応じて、最適なガバナンス戦略を設計し、長期的な競争優位を確立するための重要な取り組みです。

一貫したセキュリティとガバナンスの適用

ハイブリッドデータアーキテクチャの設計を進める中で、データガバナンスとセキュリティは、企業にとって不可欠な要件となります。特に、現代のエンタープライズデータ戦略では、これらの要素を中心に据えることが必要です。

例えば、GDPRやカリフォルニア州消費者プライバシー法(CCPA)などのデータ規制は、今後もデータ収集や利用の方法に影響を与えるでしょう。これに対応するため、ハイブリッドデータアーキテクチャに一貫したガバナンスとセキュリティ対策を組み込むことで、規制を遵守しながら、企業は高度な分析機能を最大限に活用し、新たなリスクに晒されることなくビジネスを推進できます。

データ保護の重要性

サイバー脅威に対してデータセンターを保護するのと同様に、データアセットも保護されるべきです。個人情報(PII)、決済カード情報(PCI)、医療情報(PHI)などの機密データはもちろん、その他の企業データも含め、データがどこに存在していても、一貫したセキュリティとガバナンスによって統制される必要があります。これにより、データの保護とコンプライアンスを確実に担保できます。

一貫したセキュリティとガバナンスによる統制の利点

一貫したセキュリティとガバナンスを適用することで、以下のメリットが得られます。

機密データの特定と分類: 機密データを正確に識別し、適切な粒度での保護を行うことができます。
データリネージの追跡: データがどのように生成、加工、移動されているかを正確に把握し、リネージを追跡できます。
適切なアクセス管理: 誰がデータにアクセスしたのかをライフサイクル全体で監査することが可能です。
データのライフサイクル全体の保護: データがどの段階においても確実に保護され、信頼性とコンプライアンスが確保されます。
実践的な技術的ヒント

セキュリティとガバナンスを実現するためには、以下のような機能を提供するデータ管理ソリューションが求められます。

統合管理コンソール: すべてのデータアセットとワークロードのセキュリティポリシーを1つの管理コンソールで統合管理できる。

データ整理と検出機能: ビジネス用語や分類のカタログを使用して、企業内のデータを整理・検出できるエンタープライズデータプラットフォーム。

きめ細かなアクセスコントロール: 属性ベース(ABAC)の動的なセキュリティポリシーを用い、分類、禁止、時間、場所の属性に基づいた動的なデータマスキングポリシーを提供すること。

列レベルのセキュリティ: 動的なデータのタグ付けや分類に基づき、列レベルでのフィルタリング、マスキング、難読化を行い、行レベルのフィルタリングポリシーも実装可能。

リアルタイムの監査ログ: すべてのユーザーアクセスリクエストをリアルタイムで追跡する詳細な監査ログを提供。

ABACの導入: 従来のロールベースのアクセスコントロール(RBAC)に加え、**属性ベースのアクセスコントロール(ABAC)**を使用することで、データアクセスのセキュリティを強化する。

データコンサルティングの視点では、ハイブリッドデータアーキテクチャに一貫したセキュリティとガバナンスを組み込むことで、企業はデータ保護とコンプライアンスを保証しつつ、ビジネスインサイトを最大化することが可能です。データ管理ソリューションを適切に選定し、段階的に導入していくことで、セキュリティとガバナンスの課題を効率的に克服することができるでしょう。

ビジネスシステムとの統合
クラウドセンターオブエクセレンス(CCoE)の手法とビジネスシステムの統合
クラウド管理プラットフォームと予算作成・会計ソフトの連携により、財務業務の自動化
セキュリティ領域では、GRCソリューションとの統合
SlackやJIRAなどのコミュニケーションツールとの統合が、日常業務にクラウド管理を組み込む鍵
ビジネス戦略への貢献
クラウド活用が組織の売上増に貢献する戦略が重要
コスト削減、高品質製品の短期製造、コンプライアンス対応が例
クラウドのセキュリティ・コンプライアンス機能がその達成に寄与

ビジネスシステムとの統合

データ活用を最大化するためには、CCoE(クラウドセンターオブエクセレンス)と既存ビジネスシステムの統合が重要です。例えば、クラウド管理プラットフォームを財務システムと連携させることで、予算作成や会計処理を自動化し、効率化を図ることができます。また、セキュリティ分野では、クラウド上のアラートやレポートをガバナンス・リスク・コンプライアンス(GRC)ソリューションと統合することで、リスク管理が強化されます。

さらには、SlackやJIRA、Confluenceなどのコミュニケーションツールとクラウド管理ソリューションを連携させることにより、IT部門だけでなく全社的な業務プロセスにクラウド活用が自然に組み込まれ、ユーザーの利便性を向上させることが可能です。

ビジネス戦略への貢献

クラウド導入を推進する段階にある組織にとって、売上増加やコスト削減に寄与する戦略とクラウドの関係性を理解することが成功の鍵となります。例えば、クラウド技術を活用することで、製品開発サイクルを短縮し、高品質な製品を迅速に市場に投入することが可能です。また、コンプライアンス対応を目的とした戦略においても、クラウドのセキュリティ機能が重要な役割を果たします。

これにより、CCoEの評価が向上し、クラウド活用に必要なリソースや資金の確保がしやすくなります。

データコンサルタントとしては、システムの統合がどのようにビジネス成果に直結するかを具体的に示し、投資対効果を明確にすることが重要です。また、データを効果的に活用できる環境を整えるための一貫したアプローチを提案することで、クラウド導入を戦略的な成功へと導くサポートが可能です。

自動化の対象は、環境ごとに細かく定義し、業務ニーズに応じて例外を柔軟に設定できることが重要です。単純な総当たり的なアプローチではなく、精密な機器を取り扱うように慎重かつ戦略的に自動化を実行することで、最大限の効果を発揮します。各事業部門の特性に応じて異なるガバナンスポリシーが必要となるため、例外設定を容易に行える自動化ルールの構築が求められます。たとえば、StepStone社のCCoE責任者であるTristan Greaves氏は、グループ単位でポリシーを設定し、必要に応じて特定のシステムやデータを例外として除外することを推奨しています。これにより、正当な理由で外部アクセスが許可されているオブジェクトストレージが誤ってシャットダウンされるといった問題を回避できます。さらに、タグや属性を活用することで、対象の自動化範囲を明確にし、運用上の課題を解消できます。

ガバナンスと自動化のパフォーマンスを評価するための主要なKPIは以下の通りです:

  • コンプライアンスが遵守されているポリシーの割合(%)
  • 時系列で分析された最適化されたコスト(金額)
  • ポリシーごとのコスト最適化の時系列データ(金額)
  • ポリシー適用によって節約された時間(時間)
  • 自動化による予約処理件数(件)
  • セキュリティインシデント修正に要した時間(時間)
  • サービスの可用性率(%)
  • システム展開に要する時間(時間)

これらのKPIを活用することで、自動化プロセスの効率性やガバナンスの徹底度を定量的に評価し、継続的な改善を促進します。

ビジネスプロセスとクラウド運用の統合には、以下のベストプラクティスが推奨されます。この段階では、クラウド環境全体の可視性を高め、継続的なコスト最適化を行うことが重要です。また、明確に定義されたガバナンスポリシーを基に、最大限の自動化が進められます。最終的な目標は、クラウドプロセスとビジネスプロセスを統合し、共通のKPIの下で組織全体が一丸となって目標に向かう仕組みを構築することです。このような統合を達成するためには、具体的なビジネスプロセスとの接続事例を参考にし、戦略的な実装が求められます。

データガバナンスの原則とベストプラクティス
データガバナンス機能を構築する際には、データのライフサイクル全体を包括的に管理することが重要です。これには、データの取得・取り込み、カタログ化、永続性の確保、メンテナンス、ストレージ管理、共有、アーカイブ、バックアップ、リカバリ、処理、除外および削除の各段階を含みます。これらの要素を効果的に管理するため、クラウド環境におけるガバナンスのベストプラクティスを7つのステップにまとめました。

1. データの検出と評価

クラウド環境は、データレイクの構築や管理においてコスト効率の高い選択肢ですが、データアセットが無秩序に移行されるリスクも伴います。これにより、データレイク内にどのようなデータが存在するのか、各オブジェクトの内容やその出所が不明になるリスクがあります。クラウドでのデータガバナンスのベストプラクティスでは、まずデータの検出と評価を行い、どのようなデータアセットが存在するのかを正確に把握することが求められます。これにより、適切なガバナンスの基盤が整います。

2. データの分類と整理

データアセットを評価することで、各アセットの属性を詳細に確認し、分類を行う準備を整えます。このプロセスでは、機密データが含まれているかどうかを評価し、機密性のレベルごとに分類します。これにより、データに対して適用すべきガバナンスポリシーや手順を明確にし、適切な管理方法を確立します。

3. データのカタログ化

データアセットの評価と分類が完了したら、次に必要なのは、その情報をカタログ化し、データ利用者が組織のデータ状況を把握できるようにすることです。メタデータや構造情報、各データオブジェクトの機密性評価、適用されるデータプライバシー規制の遵守状況などを記録したデータカタログを維持することで、データの透明性とガバナンスの徹底が可能になります。

クラウド可視化のジャーニーの開始
多くの企業がクラウド活用を進める中、最初に直面するのは、マルチクラウド環境におけるリソースの可視化です。特に、複数のクラウドサービスを利用している場合、それらを統合して管理することは困難です。事業部門ごとにクラウド利用状況を適切に把握できなければ、以下のような問題が発生します:

コストの予測が困難
セキュリティリスクの特定が遅れる
インフラストラクチャの一貫性が維持できない

可視化プロセスが進む中で、最初に取り組むべき課題として「コスト管理」が挙げられますが、同時に「使用状況」「構成」「パフォーマンス」「セキュリティ」も重要な要素です。

次のステップ:最適化
クラウドリソースの可視化が進んだ後、次に取り組むべきは最適化です。最適化プロセスでは、以下の要素に焦点を当て、効率を向上させます:

コスト削減:利用料金の見直し
運用効率の向上:作業時間の削減
セキュリティ強化:パラメーターの厳格化

この段階では、最適化作業が手動で行われる場合もありますが、最も効果的な手法としては、全チームにとって有用なアプローチを文書化し、共有することが重要です。

ガバナンスと自動化
最適化が完了した後は、クラウド運用における「ガバナンス」と「自動化」が必要です。ガバナンスとは、「理想的な状態」を定義し、そこからのズレを監視・管理することです。多くの企業はこれを「ガードレール」として設定します。ガバナンスの主な目的は以下の通りです:

コスト管理の最適化
セキュリティ強化
クラウドリソースの利用最適化

一度ガバナンスポリシーが確立されれば、ポリシーに基づいた運用の自動化が進められ、スタッフはより高価値な業務に集中できるようになります。クラウドの規模が拡大するにつれて、スタッフがすべての情報とワークロードを手動で管理することは困難になるため、自動化は不可欠です。

ビジネスプロセスとの統合
最終的なステップでは、クラウド戦略がどのようにビジネスの変革を促進し、具体的な目標に影響を与えるかを理解することが重要です。具体的なクラウドのKPIとしては、以下のものが挙げられます:

売上原価(COGS)や利益率:クラウド財務管理に影響
新製品のイノベーションや競争力強化:クラウド運用の成果として表れる
業界標準へのコンプライアンス:セキュリティと規制対応における重要な指標

クラウド活用がビジネス目標にどのように直結するかを可視化することにより、企業全体としてのクラウド戦略をより効果的に推進できます。

この流れに沿って進めることで、クラウドインフラの最適化とガバナンスが確立され、ビジネス目標に貢献する具体的な成果が得られるでしょう。

データガバナンスの原則とベストプラクティス

データガバナンスを効果的に実現するためには、データの取得から削除に至るまで、データのライフサイクル全体を包括的に管理することが重要です。特にクラウド環境におけるデータガバナンスでは、コスト効率を考慮しつつ、データの可視性、永続性、セキュリティを強化するベストプラクティスを導入することが求められます。

クラウドベースのガバナンスを強化するための7つのベストプラクティスを以下に示します。

1. データ検出と評価

クラウドは、データレイクの構築・管理において経済的な選択肢を提供しますが、データ資産の無秩序な移行によるリスクが伴います。特に、データオブジェクトがどこから来たのか、どのような情報を含んでいるのかを失念すると、ガバナンスが崩れやすくなります。このため、初期段階でデータ検出と評価を行い、クラウド環境内にあるデータ資産を把握することが重要です。これにより、どのデータがどこにあり、どのような情報が含まれているのかを明確化できます。

2. データの分類と整理

評価が完了したデータ資産を分類し、整理することが次のステップとなります。分類には、データの機密性を考慮し、機密データにはより厳格なセキュリティポリシーを適用します。このプロセスでは、データの性質に基づき、ガバナンスの方針や手順を適切に割り当てます。機密データの扱いを特定し、リスクの高い領域に対して優先的に対策を講じるためのフレームワークを構築します。

3. データのカタログ化

データカタログは、ガバナンスの中心的な要素です。分類されたデータ資産を文書化し、利用者がデータの全体像を把握できるようにします。具体的には、以下の要素を含むカタログを維持することが推奨されます。

構造化メタデータ: データオブジェクトの基本情報を把握
データオブジェクトのメタデータ: それぞれのデータの属性を記録
機密性レベル: ガバナンス指令に関連したデータの機密性やプライバシー規制の遵守状況

このカタログ化プロセスにより、データ利用者が組織内のデータ資産に簡単にアクセスでき、適切なガバナンスとセキュリティが維持されます。

データコンサルタントの視点

データ可視化と追跡: データのライフサイクル管理を強化するためには、リアルタイムでのデータ追跡が不可欠です。データカタログ化の段階で、すべてのデータ資産が一元的に管理され、透明性が保たれることが重要です。

リスク評価の自動化: クラウド環境におけるデータ資産の機密性やリスク評価は、自動化されたツールを活用することで、効率的に管理可能です。これにより、常に最新のリスク情報に基づいたガバナンスを実現できます。

ガバナンスの継続的改善: データガバナンスは一度構築すれば終わりではなく、継続的に改善・更新が求められます。クラウド上のデータは動的に変化するため、データ管理とガバナンスのフレームワークも同様に進化させる必要があります。

データガバナンスの重要性: 

データガバナンスは、企業が信頼できるデータを管理し、最適な意思決定に役立てるための重要な枠組みです。特に、データの関連性、適合性、可用性、そして利用許可に関する判断を的確に行うためには、データの可視性や一元管理が欠かせません。ここでは、データコンサルタントの視点から、データガバナンスチームがどのようにデータを標準化し、組織全体で活用できるようにするかについて説明します。

1. データガバナンスのリーダーシップと共通言語の必要性

データガバナンス責任者は、複数の事業部門と連携し、データがサイロ化しないように取り組む必要があります。多くの企業では、各部門が独自のガバナンスポリシーやアクセス方法を持つため、共通のデータ記述言語が不可欠です。共通言語が整備されていないと、データは各部門に閉じ込められ、組織全体でのデータ活用が難しくなります。

可視性の向上: ガバナンスチームがデータの全体像を把握するための可視性を持つことが最初のステップです。可視性がないと、サイロ化したデータの標準化や再利用ができず、ビジネスのあらゆる場面で価値あるデータを活用することが困難になります。
2. 一元管理と信頼できるデータの提供

データガバナンスプログラムの目的は、信頼性と透明性に優れたデータを組織全体で共有することです。自動化されたデータインベントリと一元管理されたプロセスによって、信頼性の高いデータを各事業部門に適時提供し、サイロ化の解消と効率的なデータ活用を実現します。

自動インベントリの作成: データガバナンスチームは、全社的に利用可能なデータのインベントリを自動化して作成し、どのデータがどこにあるのかを一目で把握できるようにします。これにより、利用者が必要なデータに迅速にアクセスでき、業務プロセスの効率化が図られます。
3. データの再利用と業務価値の最大化

信頼性の高いデータは、ビジネスプロセスや新しいイニシアチブに再利用され、企業の競争力を向上させます。データの再利用可能性を高めるためには、ガバナンスチームが全体的なデータ管理の透明性を確保し、各部門が独自に保有するデータを標準化して他の部門でも活用できるようにする必要があります。

ビジネス価値の向上: より多くのデータソースから収集した信頼性の高いデータを、さまざまなビジネスプロセスやイニシアチブに活用することで、企業全体のデータガバナンスの効果が高まります。これにより、業務の効率化や新しいビジネスチャンスの創出につながり、企業全体の競争力が向上します。
結論: データガバナンスの成功要因

データガバナンスの成功には、共通言語の確立、データの可視性、信頼性の高いデータの一元管理が不可欠です。これにより、サイロ化されたデータを解消し、組織全体でのデータ活用を最大化することが可能です。ガバナンスプログラムを適切に運用することで、ビジネス全体の価値を引き出し、デジタル変革を加速させることができるでしょう。