The Doppler Quarterly (日本語) 夏 2017 | Page 25
これによって何が変わったのでしょうか。規制と基準への対応の観点から見ると何も変化は
なく、企業は引き続き、適用される規制と基準に自社のアプリケーションやサービスを確実に
準拠させ続ける責任を負うことになります。
もちろん、ワークロードを実行する場所は大きく変わります。この記事では、アプリケーション
とデータを AWS に移行することにしますが、どのような理由で AWS に移行するにしても、
以下のような点でコンプライアンスへの対応とその維持に関して大きな課題が生じます。
• 経験。
大部分の IT チームは、既存のデータセンターで実行するアプリケーションを構築し
て維持する目的で編成されたものであるため、 AWS に移行するにあたっては、パイプライ
ンや新しいツールなどを完全に自動化するために、再トレーニングを行って試行錯誤を繰
り返し、 DevOps の文化を取り入れる必要があります。また、開発チームの能力と生産性
を高めるための再トレーニングには時間がかかるうえ、このような動的な環境では、制御
の面でコンプライアンスに抵触してしまう可能性があります。いつこのような状況になるの
かがわかればよいと思いませんか。
• 構成の管理と検証。 AWS には、ビジネス・アジリティが向上するというメリットがあり、
アイデアをテストするために簡単にサービスを開始したり停止したりできるようになるた
め、これまでになく迅速な対応が可能になります。自動化は素晴らしいものですが、急速
に対応を進めると、その副作用として構成やサービスが変わったときに制御が失われる
ケースが少なくありません。
• 新しいツール。 CTP では、セキュリティ、構成管理、およびコンプライアンスに役立つ、実
用最小限のクラウド (MVC) を念頭に置いた数多くのツールを推奨しています。ただし、組
織がこれらのツールの知識を有していない可能性が高いため、構成、テスト、実行、修正、
検証、および文書化の方法を学び、適切な制御と可視性を得て、アプリケーションの基準
やフレームワークに準拠するとともに、その状態を維持できていると感じられるようになる
までには時間がかかります。
• 不確実性。
自社の環境、アプリケーション、サービス、およびプロセスに関して、これまで
と同じレベルの可視性と制御を実現できるでしょうか。コンプライアンスに対するシニア
リーダーの責任が増すと、より早急にエグゼクティブレベルの可視性を実現する必要が生
じ、長期間にわたって不確実な状況は解消されません。
これらの課題に正面から取り組まなければ、コンプライアンスに抵触するリスクが高くなり、
さらに悪いことには、
6 か月後の監査の準備を開始するまで、そのことに気付かない可能性が
あります。
その後何が起きるのか
CTP では、 AWS に移行して運用を進めると同時に、コンプライアンスへの対応とその維持の
ためのプログラムを作成して継続的なデータ主導のアプローチを確立することを検討するよ
う、お客様に働き掛けています。
頻繁なデータ主導のコンプライアンスアセスメント。
継続的開発と継続的インテグレーションの手法により、開発者は頻繁にアプリケーションと
AWS インフラストラクチャに変更を加えることが可能になります。このような状態になると、
頻繁にテストを行って、コンプライアンスおよびリスクチーム、さらには ( 修正を行うために )
アプリケーション開発チームがアプリケーションとそれに関連するデータに対する変更を継
続的に確認できるようにする必要があります。AWS の動的な性質を考えると、継続的に監
視、テスト、および評価を行うことはきわめて重要です。
2017 年夏号 | THE DOPPLER | 23