クラウドの企業 IT ポリシーを準備するPrepare corporate IT policy for the cloud

クラウド ガバナンスは、時間をかけた継続的な導入努力の成果です。真の持続的な変革が一夜にして起こることはないためです。Cloud governance is the product of an ongoing adoption effort over time, as a true lasting transformation doesn't happen overnight. 企業ポリシーの重要な変更に取り組む前に、拙速な対応によって完全なクラウド ガバナンスを実現しようとしても、目的の成果が得られることはめったにありません。Attempting to deliver complete cloud governance before addressing key corporate policy changes using a fast aggressive method seldom produces the desired results. Microsoft が代わりにお勧めするのは、漸進的アプローチです。Instead we recommend an incremental approach.

Microsoft のクラウド導入フレームワークの違いは、購入サイクルと、そのサイクルによっていかに本物の変革が可能になるかということです。What is different about our Cloud Adoption Framework is the purchasing cycle and how it can enable authentic transformation. 多額の資本的支出が必要とされないため、エンジニアは、実験と導入を早めに開始できます。Since there is not a big capital expenditure acquisition requirement, engineers can begin experimentation and adoption sooner. ほとんどの企業文化では、導入への資本的支出の壁を取り除くことが、フィードバック ループ、有機的成長、および段階的実行の強化につながる可能性があります。In most corporate cultures, elimination of the capital expense barrier to adoption can lead to tighter feedback loops, organic growth, and incremental execution.

クラウド導入への転換には、ガバナンスでの転換が必要です。The shift to cloud adoption requires a shift in governance. 多くの組織では、企業ポリシーの変革によってガバナンスが向上し、漸進的なポリシーの変更とこれらの変更の自動的な適用によって準拠率が高まります。これらは、お客様がクラウド サービス プロバイダーと共に構成する新たに定義された機能を活用することで実現します。In many organizations, corporate policy transformation allows for improved governance and higher rates of adherence through incremental policy changes and automated enforcement of those changes, powered by newly defined capabilities that you configure with your cloud service provider.

この記事では、ガバナンス モデルの拡張を可能にする企業ポリシーを形成するために役立つ可能性がある、主要アクティビティの概要について説明します。This article outlines key activities that can help you shape your corporate policies to enable an expanded governance model.

クラウド ガバナンスを成熟させる企業ポリシーを定義するDefine corporate policy to mature cloud governance

従来のガバナンスと斬新的なガバナンスでは、企業ポリシーによって、ガバナンスの実用的な定義を作成します。In traditional governance and incremental governance, corporate policy creates the working definition of governance. ほとんどの IT ガバナンス アクションでは、企業ポリシーの監視、適用、運用、および自動化を行うテクノロジを実装するように努力しています。Most IT governance actions seek to implement technology to monitor, enforce, operate, and automate those corporate policies. クラウド ガバナンスも同様の概念に基づいています。Cloud governance is built on similar concepts.

コーポレート ガバナンスとガバナンスの規範 図 1:コーポレート ガバナンスとガバナンスの規範Corporate governance and governance disciplines Figure 1: Corporate governance and governance disciplines.

上の図は、ガバナンス戦略を作成するための、ビジネス リスク、ポリシーとコンプライアンス、および監視と適用の間の相互関係を示しています。The image above demonstrates the interactions between business risk, policy and compliance, and monitor and enforce to create a governance strategy. ご自身の戦略を実現するには、クラウド ガバナンスの 5 つの規範に従います。Followed by the Five Disciplines of Cloud Governance to realize your strategy.

既存のポリシーを見直すReview existing policies

上の図では、ガバナンス戦略 (リスク、ポリシーとコンプライアンス、監視と実行) は、ビジネス リスクを認識することから始まります。In the image above, the governance strategy (risk, policy and compliance, monitor and enforce) starts with recognizing business risks. 持続的なガバナンス戦略を策定するための最初のステップは、ビジネス リスクがクラウドではどのように変化するかを理解することです。Understanding how business risk changes in the cloud is the first step to creating a lasting cloud governance strategy. 各部署と協力して、正確なビジネスのリスク許容度の測定基準を明らかにすることは、修正する必要があるリスクのレベルを理解するのに役立ちます。Working with your business units to gain an accurate gauge of the business's tolerance for risk, helps you understand what level of risks need to be remediated. 新たなリスクと受け入れることができる許容度を理解することで、お客様の組織に適した必要なガバナンス レベルを判断するための既存のポリシーの見直しを進展させることができます。Your understanding of new risks and acceptable tolerance can fuel a review of existing policies, in order to determine the required level of governance that is appropriate for your organization.

ヒント

お客様の組織がサード パーティのコンプライアンスによって管理されている場合、考慮すべき最大のビジネス リスクの 1 つは、規制に対するコンプライアンスを順守するというリスクである可能性があります。If your organization is governed by third-party compliance, one of the biggest business risks to consider may be a risk of adherence to regulatory compliance. 多くの場合、このリスクは修正できず、むしろ、厳守が必要になる可能性があります。This risk often cannot be remediated, and instead may require a strict adherence. ポリシーの見直しを始める前に、サード パーティのコンプライアンス要件を必ず理解しておいてください。Be sure to understand your third-party compliance requirements before beginning a policy review.

クラウド ガバナンスに対する漸進的アプローチAn incremental approach to cloud governance

クラウド ガバナンスに対する漸進的アプローチでは、ビジネスのリスク許容度を超えることは容認できないという前提があります。An incremental approach to cloud governance assumes that it is unacceptable to exceed the business's tolerance for risk. それどころか、ガバナンスの役割は、ビジネスの変化を加速すること、エンジニアによるアーキテクチャ ガイドラインの理解を支援すること、およびビジネス リスクが常に伝達され、修正されることであるとみなされています。Instead, it assumes that the role of governance is to accelerate business change, help engineers understand architecture guidelines, and ensure that business risks are regularly communicated and remediated. また、従来のガバナンスの役割が、エンジニアまたは会社全体による導入の障壁になる可能性があります。Alternatively, the traditional role of governance can become a barrier to adoption by engineers or by the business as a whole.

クラウド ガバナンスに対する漸進的アプローチでは、新しいビジネス ソリューションを構築するチームとビジネスをリスクから保護するチームとの間に起こるべくして摩擦が生じることがあります。With an incremental approach to cloud governance, there is sometimes a natural friction between teams building new business solutions and teams protecting the business from risks. このモデルの中では、この 2 つのチームは、時がたつにつれて協力者になっていく可能性があります。In this model, those two teams can become peers working in increments or sprints. クラウド ガバナンス チームとクラウド導入チームは、協力者となって、ビジネス リスクを掘り起こし、評価し、修正するために力を合わせ始めます。As peers, the cloud governance team and the cloud adoption teams begin to work together to expose, evaluate, and remediate business risks. この努力によって、チーム間の摩擦を減らし、協力関係を作り上げる自然な手段が生まれる可能性があります。This effort can create a natural means of reducing friction and building collaboration between teams.

ポリシーの MVP (Minimum Viable Product: 実用最小限の製品)Minimum viable product (MVP) for policy

クラウド ガバナンス チームと導入チームの間にパートナーシップを築くための最初の手順は、ポリシーの MVP に関する合意です。The first step in an emerging partnership between your cloud governance and adoption teams is an agreement regarding the policy MVP. クラウド ガバナンスの MVP では、ビジネス リスクは最初は小さくても、時間の経過と共に組織に導入されるクラウド サービスが増えていくにつれて、リスクも大きくなる可能性があることを認識する必要があります。Your MVP for cloud governance should acknowledge that business risks are small in the beginning, but will likely grow as your organization adopts more cloud services over time.

たとえば、高ビジネス インパクト (HBI) データを含まない 5 台の VM をデプロイする企業にとって、ビジネス リスクは小さなものです。For example, the business risk is small for a business deploying five VMs that don't contain any high business impact (HBI) data. クラウド導入プロセスが進み、VM の台数が 1,000 台に達し、企業が HBI データの移行を開始すると、ビジネス リスクは大きくなります。Later in the cloud adoption process, when the number reaches 1,000 VMs and the business is starting to move HBI data, the business risk grows.

ポリシーの MVP では、最初の x 台の VM または x 本のアプリケーションをデプロイするために必要なポリシーで要求される基礎を定義するように努めます。この x は、導入される数こそ少ないものの、意味のある数量です。Policy MVP attempts to define a required foundation for policies needed to deploy the first x VMs or the first x number of applications, where x is a small yet meaningful quantity of the units being adopted. このポリシー設定にはほとんど制約はありませんが、漸進的なクラウド導入努力を次の段階に迅速に進めるために必要な基礎的な面が含まれています。This policy set requires few constraints, but would contain the foundational aspects needed to quickly grow from one incremental cloud adoption effort to the next. このガバナンス戦略は、漸進的なポリシーの開発を通して、時の経過とともに成長していきます。Through incremental policy development, this governance strategy would grow over time. ポリシーの MVP は、ゆっくりとしたわずかな変化を経由して、ポリシーの見直しの成果を利用する機能パリティへと成長していきます。Through slow subtle shifts, the policy MVP would grow into feature parity with the outputs of the policy review exercise.

漸進的なポリシーの拡張Incremental policy growth

漸進的なポリシーの拡張は、時間をかけてポリシーとクラウド カバナンスを成長させるための重要な仕組みです。Incremental policy growth is the key mechanism to growing policy and cloud governance over time. それは、ガバナンスに対して漸進的モデルを採用するための重要な要件でもあります。It is also the key requirement to adopting an incremental model to governance. このモデルをうまく機能させるために、ガバナンス チームがガバナンス規範の評価と変更を行うための時間を、各スプリントに常に割り当てる必要があります。For this model to work well, the governance team must be committed to an ongoing allocation of time at each sprint, in order to evaluate and implement changing governance disciplines.

スプリント期間の要件: 各イテレーションの始めに、各クラウド導入チームは、現在の段階で移行または導入される資産の一覧を作成します。Sprint time requirements: At the beginning of each iteration, each cloud adoption team creates a list of assets to be migrated or adopted in the current increment. クラウド ガバナンス チームは、十分な時間をかけて一覧を検討し、資産向けのデータ分類を検証し、各資産に関連する新たなリスクを評価し、アーキテクチャ ガイドラインを更新し、変更に関してチームを教育できることを期待されます。The cloud governance team is expected to allow sufficient time to review the list, validate data classifications for assets, evaluate any new risks associated with each asset, update architecture guidelines, and educate the team on the changes. これらの関与には、通常は、スプリントごとに 10 時間から 30 時間必要です。These commitments commonly require 10-30 hours per sprint. このレベルの関与では、少なくとも 1 名の専従の従業員が、大規模なクラウド導入作業を管理することも期待されています。It's also expected for this level of involvement to require at least one dedicated employee to manage governance in a large cloud adoption effort.

リリース期間の要件: 各リリースの始めに、クラウド導入チームとクラウド戦略チームは、業務変更活動と共に、現在のイテレーションで移行するアプリケーションまたはワークロードの一覧に優先順位をつける必要があります。Release time requirements: At the beginning of each release, the cloud adoption teams and the cloud strategy team should prioritize a list of applications or workloads to be migrated in the current iteration, along with any business change activities. これらのデータ ポイントによって、クラウド ガバナンス チームは、新たなビジネス リスクを早期に理解することができます。Those data points allow the cloud governance team to understand new business risks early. これにより、社内の調整を図り、ビジネスのリスク許容度を測定するための時間を確保することができます。That allows time to align with the business and gauge the business's tolerance for risk.

次のステップNext steps

効果的なクラウド ガバナンス戦略は、ビジネス リスクを理解することから始まります。Effective cloud governance strategy begins with understanding business risk.