複雑な企業向けのガバナンス ガイド: ガバナンス戦略の背景にある初期の企業ポリシーGovernance guide for complex enterprises: Initial corporate policy behind the governance strategy

次の企業ポリシーでは、このガイドの出発点となっている初期のガバナンスの位置を定義しています。The following corporate policy defines the initial governance position that's the starting point for this guide. この記事では、初期段階のリスク、初期ポリシー ステートメント、ポリシー ステートメントを適用するための初期プロセスを定義します。This article defines early-stage risks, initial policy statements, and early processes to enforce policy statements.

注意

企業ポリシーは技術文書ではありませんが、多くの技術的判断の根拠になります。The corporate policy is not a technical document, but it drives many technical decisions. 概要で説明するガバナンス MVP は、最終的にこのポリシーから派生します。The governance MVP described in the overview ultimately derives from this policy. ガバナンス MVP を実装する前に、組織はその目標とビジネス リスクに基づいて企業ポリシーを策定する必要があります。Before implementing a governance MVP, your organization should develop a corporate policy based on your own objectives and business risks.

クラウド ガバナンス チームCloud governance team

CIO は最近、個人データとミッションクリティカル ポリシーの歴史を理解し、それらのポリシーを変更した場合の影響をレビューするために、IT ガバナンス チームとの会議を開きました。The CIO recently held a meeting with the IT governance team to understand the history of the personal data and mission-critical policies and review the effect of changing those policies. IT と企業にとってのクラウドの可能性全般についても議論しました。The CIO also discussed the overall potential of the cloud for IT and the company.

会議後、IT ガバナンス チームの 2 人のメンバーが、クラウド計画の取り組みを調査およびサポートするための許可を求めました。After the meeting, two members of the IT governance team requested permission to research and support the cloud planning efforts. ガバナンスの必要性とシャドウ IT を制限する機会を認識していた IT ガバナンス責任者はこのアイデアを支持しました。Recognizing the need for governance and an opportunity to limit shadow IT, the director of IT governance supported this idea. このような経緯で、クラウド ガバナンス チームが誕生しました。With that, the cloud governance team was born. このチームはこれから数か月間、クラウドの検証過程で経験する多くの失敗について、ガバナンスの観点からクリーンアップを継承していきます。Over the next several months, they will inherit the cleanup of many mistakes made during exploration in the cloud from a governance perspective. これによりクラウド管理人の呼び名を得ることになります。This will earn them the moniker of cloud custodians. 今後のイテレーションの中で、このガイドにおけるチームの役割は刻々と変わっていきます。In later iterations, this guide will show how their roles change over time.

目的Objective

初期の目的は、ガバナンスのアジリティのための基盤を確立することです。The initial objective is to establish a foundation for governance agility. 効果的なガバナンス MVP により、ガバナンス チームはクラウドの導入より先行し、導入計画の変化に伴ってガードレールを実装できます。An effective Governance MVP allows the governance team to stay ahead of cloud adoption and implement guardrails as the adoption plan changes.

ビジネス リスクBusiness risks

会社は、クラウド導入の早い段階で、概念実証を実験して構築しています。The company is at an early stage of cloud adoption, experimenting and building proofs of concept. 現在はリスクは比較的低いですが、将来的なリスクは大きな影響を及ぼす可能性があります。Risks are now relatively low, but future risks are likely to have a significant impact. クラウドにデプロイされる技術的なソリューションの最終的な状態に関する定義はほとんどありません。There is little definition around the final state of the technical solutions to be deployed to the cloud. さらに、IT 部門の従業員はクラウドにあまり対応していません。In addition, the cloud readiness of IT employees is low. クラウド導入の基盤は、チームが安全に学習して成長するのに役立ちます。A foundation for cloud adoption will help the team safely learn and grow.

将来性: 成長が支援されないリスクがありますが、将来的なリスクに対する適切な保護が提供されないリスクもあります。Future-proofing: There is a risk of not empowering growth, but also a risk of not providing the right protections against future risks.

企業と技術の成長に対する取締役会のビジョンをサポートするためには、アジャイルかつ堅牢なガバナンス アプローチが必要です。An agile yet robust governance approach is needed to support the board's vision for corporate and technical growth. そのような戦略を実装できないと、技術的な成長が遅くなり、現在と将来の市場シェア拡大に関する潜在的なリスクがあります。Failure to implement such a strategy will slow technical growth, potentially risking current and future market share growth. このようなビジネス リスクの影響が高いことは明らかです。The impact of such a business risk is unquestionably high. ただし、そのような将来の潜在的な状態において IT 部門が果たす役割は不明であり、現在の IT の作業に関連するリスクを比較的高いものにしています。However, the role IT will play in those potential future states is unknown, making the risk associated with current IT efforts relatively high. ただし、より具体的な計画が調整されるまでは、ビジネスにはリスクに対する高い許容性があります。That said, until more concrete plans are aligned, the business has a high tolerance for risk.

このビジネス上のリスクは、いくつかの技術的リスクに戦術的に分割できます。This business risk can be broken down tactically into several technical risks:

  • 善かれと思って作成された企業ポリシーでも、構造化された承認フローの中で検討されていないと、変換作業を遅くし、重要なビジネス プロセスを中断させる可能性があります。Well-intended corporate policies could slow transformation efforts or break critical business processes, if not considered within a structured approval flow.
  • デプロイされた資産へのガバナンスの適用は、困難でコストがかかる可能性があります。The application of governance to deployed assets could be difficult and costly.
  • アプリケーションまたはワークロード全体にガバナンスが正しく適用されず、セキュリティ ギャップが発生する可能性があります。Governance may not be properly applied across an application or workload, creating gaps in security.
  • 多数のチームがクラウドで作業しているため、不整合のリスクがあります。With so many teams working in the cloud, there is a risk of inconsistency.
  • コストが、部署、チーム、または他の予算管理単位に適切に調整されていない可能性があります。Costs may not properly align to business units, teams, or other budgetary management units.
  • 複数の ID を使用してさまざまなデプロイを管理すると、セキュリティの問題が発生する可能性があります。The use of multiple identities to manage various deployments could lead to security issues.
  • 現在のポリシーに関係なく、保護されたデータが誤ってクラウドにデプロイされるリスクがあります。Despite current policies, there is a risk that protected data could be mistakenly deployed to the cloud.

許容度指標Tolerance indicators

現在、リスク許容度は高く、クラウド ガバナンスへの投資意欲は低い状態です。The current risk tolerance is high and the appetite for investing in cloud governance is low. このように、許容度指標は、時間とエネルギーの投資を誘発する早期警告システムとして機能します。As such, the tolerance indicators act as an early warning system to trigger the investment of time and energy. 以下の指標が観測された場合、ガバナンス戦略を前進させることが賢明です。If the following indicators are observed, it would be wise to advance the governance strategy.

  • コスト管理規範: クラウドへのデプロイ規模が 1,000 資産を超えている、または毎月の支出が 10,000 米ドルを超えている。Cost Management discipline: Scale of deployment exceeds 1,000 assets to the cloud, or monthly spending exceeds $10,000 USD per month.
  • ID ベースライン規範: レガシまたはサード パーティの多要素認証要件を持つアプリケーションが含まれている。Identity Baseline discipline: Inclusion of applications with legacy or third-party multi-factor authentication requirements.
  • セキュリティ ベースライン規範: 定義したクラウド導入計画に保護対象データが含まれている。Security Baseline discipline: Inclusion of protected data in defined cloud adoption plans.
  • リソースの整合性規範: 定義したクラウド導入計画にミッションクリティカルなアプリケーションが含まれている。Resource Consistency discipline: Inclusion of any mission-critical applications in defined cloud adoption plans.

ポリシー ステートメントPolicy statements

以下のポリシー ステートメントにより、定義されたリスクを改善するために必要な要件が確立されます。The following policy statements establish the requirements needed to remediate the defined risks. これらのポリシーでは、MVP ガバナンスに対する機能要件が定義されています。These policies define the functional requirements for the governance MVP. それぞれは、ガバナンス MVP の実装で表されます。Each will be represented in the implementation of the governance MVP.

コスト管理:Cost Management:

  • 追跡目的のため、すべての資産は、コア ビジネス機能の 1 つのアプリケーション所有者に割り当てる必要があります。For tracking purposes, all assets must be assigned to an application owner within one of the core business functions.
  • コストに関する問題が発生したときは、追加のガバナンス要件が財務チームによって確立されます。When cost concerns arise, additional governance requirements will be established with the finance team.

セキュリティ ベースライン:Security Baseline:

  • クラウドにデプロイされるすべての資産は、承認済みのデータ分類を持つ必要があります。Any asset deployed to the cloud must have an approved data classification.
  • セキュリティとガバナンスに関する十分な要件を承認して実装できるようになるまで、保護対象レベルのデータと識別された資産をクラウドにデプロイすることはできません。No assets identified with a protected level of data may be deployed to the cloud, until sufficient requirements for security and governance can be approved and implemented.
  • 最低限のネットワーク セキュリティ要件を検証して管理できるようになるまで、クラウド環境は境界ネットワークと見なされ、他のデータセンターまたは内部ネットワークと同様の接続要件を満たす必要があります。Until minimum network security requirements can be validated and governed, cloud environments are seen as perimeter networks and should meet similar connection requirements to other datacenters or internal networks.

リソースの整合性:Resource Consistency:

  • このステージではミッション クリティカルなワークロードはデプロイされないため、管理対象となる SLA、パフォーマンス、BCDR の要件はありません。Because no mission-critical workloads are deployed at this stage, there are no SLA, performance, or BCDR requirements to be governed.
  • ミッション クリティカルなワークロードをデプロイする時点で、IT 運用部門によって追加のガバナンス要件が確立されます。When mission-critical workloads are deployed, additional governance requirements will be established with IT operations.

ID ベースライン:Identity Baseline:

  • クラウドにデプロイされるすべての資産は、現在のガバナンス ポリシーによって承認された ID とロールを使用して制御する必要があります。All assets deployed to the cloud should be controlled using identities and roles approved by current governance policies.
  • オンプレミスの Active Directory インフラストラクチャ内にあり、昇格された特権を持つすべてのグループを、承認済みの RBAC ロールにマップする必要があります。All groups in the on-premises Active Directory infrastructure that have elevated privileges should be mapped to an approved RBAC role.

デプロイの高速化:Deployment Acceleration:

  • すべての資産は、定義されているグループ化とタグ付けの戦略に従って、グループ化およびタグ付けされる必要があります。All assets must be grouped and tagged according to defined grouping and tagging strategies.
  • すべての資産では、承認済みのデプロイ モデルを使用する必要があります。All assets must use an approved deployment model.
  • クラウド プロバイダーに対するガバナンス基盤が確立された後、すべてのデプロイ ツールは、ガバナンス チームによって定義されたツールとの互換性を備えている必要があります。Once a governance foundation has been established for a cloud provider, any deployment tooling must be compatible with the tools defined by the governance team.

処理Processes

これらのガバナンス ポリシーの継続的な監視しと適用に対して、予算は割り当てられていません。No budget has been allocated for ongoing monitoring and enforcement of these governance policies. そのため、クラウド ガバナンス チームは、ポリシー ステートメントへの準拠を監視するための即席の方法を使用します。Because of that, the cloud governance team has improvised ways to monitor adherence to policy statements.

  • 教育: クラウド ガバナンス チームは、これらのポリシーをサポートするガバナンス ガイドにおいて、クラウド導入チームの教育に時間を費やしています。Education: The cloud governance team is investing time to educate the cloud adoption teams on the governance guides that support these policies.
  • デプロイのレビュー: 資産をデプロイする前に、クラウド ガバナンス チームはクラウド導入チームと共にガバナンス ガイドを確認します。Deployment reviews: Before deploying any asset, the cloud governance team will review the governance guide with the cloud adoption teams.

次のステップNext steps

この企業ポリシーにより、クラウド ガバナンス チームでは、導入の基盤としてのガバナンス MVP を実装する準備が整います。This corporate policy prepares the cloud governance team to implement the governance MVP as the foundation for adoption. 次の手順はこの MVP の実装です。The next step is to implement this MVP.