クラウドコンプライアンスとは?
コンプライアンスを取り巻く状況は急速に変化しています。
組織による個人データの収集が急激に増加したため、プライバシーの問題が発生しました。これに対処するために、世界中で新しいデータ保護規制が施行されることとなりました。
同時に、情報技術が急速に進化し、組織はオンプレミスのデータセンターからクラウドベースのインフラストラクチャにシステムを移行しています。
その結果、多くの企業で、コンプライアンスの義務や、クラウドコンプライアンスの実際の意味が曖昧になっています。いずれにしても、多くの場合、データをオンプレミスでホストする場合も、パブリッククラウドでホストする場合も、要件は同じになります。
ただし、クラウドコンプライアンスとは、地域、国、および国際的な法律に従って、クラウドの使用に関する規制基準に準拠する行為であることを理解しておく必要があります。従来のコンプライアンスとクラウドコンプライアンスの主な違いは、該当する要件を満たす方法にあります。
この投稿では、クラウドコンプライアンスの課題と、ベストプラクティスを確保するためのメカニズムを解説することで、これらの違いを説明します。始めに、最も一般的な規制や基準をいくつか確認して、基本的な知識を学びましょう。
一般的なクラウド規制と標準
EU一般データ保護規則(GDPR)
GDPRは、EU加盟国のデータ保護法を統一して、強化するために制定された欧州の法律です。この法律には、欧州経済領域 (EEA) 市民のプライバシー権を保護するための広範囲にわたる一連の要件が組み込まれています。
以下の内容が含まれます。
- データレジデンシー:別途同意しない限り、EEA内、およびその他の限られた数の許可された国でのみ、個人データを処理および保存することができます。
- データの最小化:組織が実際に必要とする個人データのみを収集して保存する必要があります。
- 保管制限:当該データを厳密に定められた必要な期間以上保持しないようにする必要があります。
- アクセス権:当該個人からの要求に応じて、保持しているその個人のデータへのアクセスを提供する必要があります。
- 消去権:当該個人からの要求に応じて、その個人のデータを消去する必要があります。
GDPRにはデータセキュリティの要件も含まれています。ただし、世界中の同様のデータ保護規制と同様に、これらは非常に曖昧に定義されています。
GDPRは欧州市民のみを対象としていますが、その範囲は全世界に及びます。これは、EEA居住者に関する個人データを保存または処理するすべての組織に対して、その組織の所在地に関係なくGDPRが適用されるためです。
コンプライアンス違反に対する罰則は厳しく、最大2,000万ユーロ、または世界全体の年間売上高の4%のうち、いずれか高額な方の罰金が科せられます。
EU離脱以来、英国は独自のGDPRを採用していますが、事実上、EUのGDPRと同じ内容です。
連邦リスクおよび認証管理プログラム (FedRAMP)
FedRAMPは、クラウドで処理および保存されるデータを明確に対象とした、数少ない政府規制の1つです。
これは、連邦情報セキュリティ近代化法 (FISMA) の合理化されたバージョンです。FISMAは連邦政府機関とその請負業者によるデータの処理と保存を対象とする米国の法律で、クラウドベースの展開に適合するように調整されたものです。
FedRAMPは、組織がそのITシステムのセキュリティと回復性を維持するために実装する必要があるコントロールを決定する、一連の各種フレームワークの一部を形成します。これらのフレームワークは、データに対するリスクに応じて分類された要件のライブラリであるNIST SP 800-53に記載されています。
FedRAMP/NISTは民間企業にとっては任意の取り組みであるとはいえ、これは米国に適用されている連邦規制システムを寄せ集めたものであり、これを採用することで、企業はプライバシーに対するより標準的なアプローチに従うことができます。
ISO 27000
ISO 27000は、さまざまな脅威から情報システムを保護する方法について、ベストプラクティスを勧告する一連の国際規格です。
以下の規格が含まれます。
- ISO 27001:一連の規格の中でコアとなる規格です。情報セキュリティを管理するための一般的なコントロールセットを提供します。
- ISO 27017:クラウドコンピューティング実装のための、追加のセキュリティコントロールセットです。
- ISO 27018:クラウドベースの環境で個人データを管理するための、一連のプライバシーコントロールです。
ISOコンプライアンスは任意ですが、認証を受けると多くの利点があります。例えば、顧客やサプライヤーに対して信頼の証として示すことができます。また、実際に情報アセットに対するリスクが軽減され、強制的なデータ保護規制へのコンプライアンスが促進されます。
ペイメントカード業界データセキュリティ基準 (PCI DSS)
PCI DSSは、決済業界の主要な利害関係者によって管理されており、カード決済の受け付けや処理を行うすべての組織に適用される、セキュリティ指向の標準です。
支払いカード取引とカード所有者の情報を保護するための12件の要件を規定しています。これらの要件は、本質的に広い範囲に及びますが、GDPRなどのデータ保護規制で概説されている要件よりも具体的になっています。例えば、ファイアウォールをインストールして維持することが必須になっています。
ただし、この要件は、クラウドでは異なる実装になります。これは、従来の境界ベースのファイアウォールが、クラウドの動的、分散的、高度にスケーラブルな性質に合わせて設計されていないためです。この問題に対処するには、クラウドファイアウォールが必要です。これは、クラウドインフラストラクチャ保護専用に設計された、ソフトウェアベースのソリューションです。
クラウドコンプライアンスの課題
これまでとは異なる新しいタイプのコンピューティング環境では、さまざまなコンプライアンスの課題が生じます。以下にこれらの課題のいくつかを示します。
認証と証明
適用される標準や規制の要件を満たすには、企業とパブリッククラウドベンダーの両方がコンプライアンスに準拠していることを実証する必要があります。
つまり企業は、企業側の一連の責任に加えて、使用しているクラウドプラットフォームが適切な認定または証明を受けていることを確認する必要があります。
さらに、データ保護法が更新されたり、新しい規制が施行されたり、クラウドプロバイダーが任意の時点でコンプライアンスステータスを失ったりする可能性があるため、確認を怠らないようにする必要があります。
データレジデンシー
ほとんどのデータ保護法では、許可された地域内でのみ個人データをホストできるため、使用するクラウドの地域を慎重に選択する必要があります。
これは、組織が多数の異なる規制の対象となっている場合、特に困難になります。このような場合、マルチクラウド戦略を採用し、地域を適切に組み合わせて、すべての規制対象データをカバーする必要があります。
クラウドの複雑性
所有していることを認識できていないものは保護できません。とはいえ、クラウドは数多くの要素が移動する非常に複雑な環境です。そのため、保護する必要があるデータの可視性とコントロールという課題が生まれます。
さらに、この複雑さにより、データに対するリスク評価が困難になり、データの適切な保護に必要な、情報に基づいた戦略の策定も困難になります。
セキュリティに対する異なるアプローチ
セキュリティに関するコンプライアンス要件のほとんどは、本質的に非常に一般的なものです。単に、個人データを保護するために適切な技術的対策と組織的対策を講じる必要があることを規定しているだけです。
しかし、従来のセキュリティツールでは個人データを保護できません。これは、これらのツールが静的な環境向けに設計されたものであり、クラウドへの適応が困難なためです。クラウドベースのインフラストラクチャでは、IPアドレスが頻繁に変更され、リソースが定期的に起動と停止を繰り返すため、専用に設計されたセキュリティソリューションが必要です。つまり、セキュリティに対するアプローチを変更し、設定管理や個々のワークロード保護に焦点を当てる必要があります。
責任共有モデル
クラウドでワークロードをホストする場合は、セキュリティ上の責任の一部をクラウドプロバイダーが担うことになります。ここで、クラウドベンダーの責任範囲と、企業の責任範囲を把握することが重要になります。
そのため、主要なクラウドサービスプロバイダーは、責任共有モデルと呼ばれる一連のガイドラインを公開することで、各当事者の責任を明確にしています。
例えば、ベンダーは、物理的なデータセンター、ハードウェア、およびハイパーバイザーのセキュリティについて責任を負い、顧客企業は、ゲストオペレーティングシステム、独自のソフトウェア、ネットワーク設定について責任を負います。
セキュリティに対する責任の共有と同様に、顧客企業はコンプライアンスに対する責任も共有します。そして、共有の境界線も同じです。つまり、クラウドベンダーは、提供するインフラストラクチャとサービスのコンプライアンスについて責任を負い、お客様は、ベンダーのプラットフォーム上に展開したものに対するコンプライアンスについて責任を負います。
クラウドコンプライアンスのベストプラクティス
規制要件を満たすために従うことができる多数のさまざまなベストプラクティスがありますが、クラウドでコンプライアンスを達成する際には、次のベストプラクティスが特に役立ちます。
- 暗号化:データ自体を保護するために、保存時と転送時の両方でデータを暗号化することから始める必要があります。ただし、データの安全性は、暗号化に使用したキーの安全性に依存します。そのため、優れたキーの管理方法を維持する必要があります。
- デフォルトでのプライバシー:プライバシーは、システムの設計アクティビティと処理アクティビティに自動的に組み込まれる必要があります。これにより、データ保護規制や標準への適合が大幅に簡略化されます。
- 最小特権の原則:職務を果たすために実際に必要なデータとリソースのみへのアクセス権をユーザーに付与する必要があります。これにより、内部と外部の脅威アクターからの侵害リスクを大幅に低減できます。また、コンプライアンス要件を満たす適切な措置を講じていることを実証できます。
- ゼロトラスト:ネットワークにアクセスするすべてのユーザー、エンドポイント、およびアプリケーションに対し、「決して信頼せず常に検証する」というスタンスで、厳格に認証、承認、およびモニタリングする必要があります。
- 適切に構成されたフレームワーク:AWS、Microsoft Azure、およびGoogle Cloud Platformなどの主要なクラウドベンダーが公開しているモジュラーフレームワークは、プラットフォーム上での回復力を持つ、安全かつ高度に最適化されたワークロードを構築する方法に関する一連の原則を顧客企業に提供します。
コンプライアンスを上回る
クラウドに切り替える際には、セキュリティとコンプライアンスの両方に対して、アプローチを切り替える必要があります。しかし、これら2つが同じものではないことに留意してください。
コンプライアンスは多くの場合、個人の権利や個人情報の取り扱い方法などの問題も含んでおり、はるかに広い範囲をカバーしています。これは、当該データをクラウド上で処理および保存する際に関係してきます。
同時に、コンプライアンスは、規制や規格の基本要件を満たす際の単なるチェック作業でもあります。コンプライアンスによって、お客様の組織が直面しているセキュリティリスクから十分に保護されることが保証されるわけではありません。
つまり、セキュリティはコンプライアンスを超えたものである必要があり、評価プログラムに求められる要件だけでなく、組織が実際に必要とするものにも焦点を当てる必要があります。
そうしなければ、攻撃に対する脆弱性を排除できません。その結末として、業務の中断や多額の経済的損失から、企業の評判の長期的な失墜まで、甚大な被害をもたらす可能性があります。