AWSが英国内務省と4億5000万ポンドのクラウドコンピューティング契約を締結、詳細が明らかに

自由民主党のティモシー・クレメント・ジョーンズ議員が提出した書面による質問に対し、内務省次官のシャープ卿は、警察業務がAWSによって運営されている間、一部のAWS従業員は現行の契約に基づく特定の業務について審査を受ける必要がある可能性があることを認めた。シャープ氏の反応は、4億5000万ポンドの取引に新たな光を当てた。この合意は、AWSの従業員をあらゆる種類のセキュリティチェックから免除するものとして批判されている。

クレメント・ジョーンズ議員は3つの疑問を提起した。(1)契約に基づいて働くAWS従業員にはセキュリティクリアランスが必要かどうか。（２）契約が2018年データ保護法第59条（５）に準拠しているかどうか（３）AWSによって処理された英国内務省のデータが理論的には外国政府に提供される可能性があるかどうか。最初の質問に対して、シャープ氏は「AWS の従業員は、セキュリティクリアランスを必要とする特定の業務を行う場合、セキュリティクリアランスの対象となる」と回答しました。これは、契約書の技術基準セクションに「ベンダー従業員の許可要件はない」と記載されている文言と矛盾しているようです。しかし、政府筋によると、シャープ氏が「一般解約契約」と呼ぶ契約書にこれらの要件が記載されているにもかかわらず、AWS のスタッフは英国内務省のデータを扱う際に依然として審査要件の対象となっているという（ただし、そもそもなぜこの条項が含まれていたのかは謎のままである）。

シャープ卿はまた、契約に基づいて保存されるデータは英国内務省の管理下に置かれるべきであり、AWS は警察や英国内務省の管理下にある個人データにアクセスすることはできないと述べた。さらに、彼は次のように答えました。「AWS はどのようなデータが保存されているかを把握しておらず、セキュリティ管理が実施されているため、処理の性質に関する指示は提供しません。契約の設計上、個人データに必要な保護を提供するために契約上拘束力を持たない詳細は契約に含まれていません。」

同氏は、英国のデータ規制当局である情報コミッショナー事務局（ICO）もこの取り決めを認識していたと付け加えた。 Business InsiderがICOに確認を求めたところ、広報担当者は、ICOには2018年データ保護法第59条に対するいかなる免除も与える権限がないと述べた。同条では、データ処理はデータ管理者とデータ処理者の間で「処理の性質と目的、個人データの種類と関係するデータ主体のカテゴリー」を定めた契約に従わなければならないと規定されている。

データは保存時も転送時も暗号化されます

セコン・ソリューションズのシニアパートナーでクラウドセキュリティの専門家であるオーウェン・セイヤーズ氏は、シャープ氏が回答の中で、AWSの従業員が何が保存または処理されているか分からないようにセキュリティ対策が講じられていたと示唆したことは、英国内務省がデータ保護法に違反している可能性があると考えている。セイヤー氏は「データ保護法第59.5条に基づき、内務省はAWSに対し、データが何であるか、AWSに伝えるべきデータのカテゴリーは何か、そしてそのデータに関して処理者がどのような義務を負っているかを告げなければならない。それが法律だ。ICOは彼らの責任を免除することはできない」と語った。

セイヤーズ氏はまた、AWS は自社施設内に保管されている内務省のデータを技術的に検査できないというシャープ氏の説明は、データが保存時および転送中に暗号化されているため不正確である可能性があると示唆した。部門がデータを AWS に保存しているだけであれば、それは正しいかもしれませんが、データを処理する場合は、データを復号化する必要があります (現在、その作業が行われているようです)。 Sayers 氏は次のように説明しています。「このような状況が発生すると、個々のマシンのキャッシュファイルに存在するか、プロキシサーバーに存在するか、ネットワーク上の他のキャッシュ領域に存在することになります。AWS 管理者はいつでも、マシンのスナップショットを取得して、その中の情報を取得できます。」

同氏は、この理由から、法執行機関の機密データを扱うクラウド施設のスタッフは審査を受ける必要があると付け加えた。さらに、データ管理者とデータ処理者の両方が、プロセスに対する国民の信頼を維持するために監査要件に従う必要があります。彼は、これまでのところ、英国内務省と AWS との最新の契約に関する問い合わせに対する回答には、そのような傾向は見られないと考えている。

「シャープ氏の回答に誤解を招く意図はなかったと確信している。彼は単にクレメント・ジョーンズ議員の質問に答えただけだと確信している。しかし、その回答は意味をなさず、精査に耐えない」と彼は述べた。

シャープ氏の対応について詳しく説明するよう求められた内務省の広報担当者は、「請負業者は、法令遵守に関する我々の期待の一環として、適用されるすべての法律とデータ保護規制を遵守する必要がある」と述べた。

AWSは業界メディアのコメント要請にまだ応じていない。

<<: あなたのクラウドネットワークは生成 AI に対応していますか?

>>: 制作実務：K8S民営化配信に基づくこれらの問題に注意する

ERP はパブリッククラウド上に存在できないと誰が言ったのでしょうか? Kingdee Cloud Serverless ERP が AWS でリリース

AWSが英国内務省と4億5000万ポンドのクラウドコンピューティング契約を締結、詳細が明らかに

データは保存時も転送時も暗号化されます

ERP はパブリッククラウド上に存在できないと誰が言ったのでしょうか? Kingdee Cloud Serverless ERP が AWS でリリース

検索結果で上位にランクインする方法

ブランドのための統合ネットワークマーケティングとネットワークプロモーションを実施する方法

Baidu Knowsからのすべてのウェブサイト外部リンクのソースに関する簡単な説明

光飛クラウド：香港CN2クラウド-10元、深センクラウド-39元、浙江高防御クラウド-49元、国内高防御物理マシン直接リソース、5日間の返金をサポート

iwfhosting: 334 ドル、超ハイエンドサーバー、E7-4850/512g メモリ/18T ハードディスク

DedecmsウェブサイトのホームページSEO最適化、99％の人がまだこの愚かな方法を使用しています

#DoubleTwelve# akkocloud: (3つのネットワーク) ドイツのcn2 gia vps、600M帯域幅、全品10%割引、四半期ごとの支払い\年間の支払いは低くなります

Googleが新しいロゴを変更

質問: AI と機械学習はクラウドアプリケーションのセキュリティにどのような影響を与えますか?

推薦する

リベートウェブサイトはもはや人気がありません。これはサードパーティプラットフォームの特性とどのような関係があるのでしょうか?

あまり知られていないが、非常に実用的な Docker 使用のヒント 10 選

AIGCシステムの導入により、企業のクラウドアーキテクチャが変化する可能性がある

SAP：クラウドファースト、中国企業の産業インターネットプロセスを促進

六易クラウド：全品10％オフ、クラウドサーバー（香港\ロサンゼルス）、高防御CDN半額、リチャージキャッシュバック

Hostus - 香港特別 VPS 第 2 波 / 新サーバー / 特別製品が再び登場!

ウェブサイトに「ロックを追加」動的パスワードを簡単に実現

AlphaVPS-15 ユーロ/256M メモリ/25g SSD/250g トラフィック/3 データセンター

リアルタイムの洞察を強化: コンピュータービジョンとエッジコンピューティングの相乗効果

Huawei Cloudは世界で最も急速な成長率を誇り、IaaS市場では中国で第2位、世界ではトップ5にランクされています。

これらに耐えられないならSEOをやらないでください

racknerd: 米国西海岸のサンノゼ VPS プロモーション、最低 $11.88/年

Tencent Cloud の年次 618 イベント: 中国本土\香港\シンガポール\シリコンバレーのデータセンター、本格的な CPU、クラウドサーバーは年間 95 元から、CDN は年間 9 元から、最大 3 年間購入できます。

Xiaomi のマーケティングは Xiaomi のインターネットでの存在感にどの程度貢献していますか?

数十億のリクエストと高可用性を備えた Redis (codis) 分散クラスターの秘密を簡単に紹介します。