AWSが英国内務省と4億5000万ポンドのクラウドコンピューティング契約を締結、詳細が明らかに

AWSが英国内務省と4億5000万ポンドのクラウドコンピューティング契約を締結、詳細が明らかに

自由民主党のティモシー・クレメント・ジョーンズ議員が提出した書面による質問に対し、内務省次官のシャープ卿は、警察業務がAWSによって運営されている間、一部のAWS従業員は現行の契約に基づく特定の業務について審査を受ける必要がある可能性があることを認めた。シャープ氏の反応は、4億5000万ポンドの取引に新たな光を当てた。この合意は、AWSの従業員をあらゆる種類のセキュリティチェックから免除するものとして批判されている。

クレメント・ジョーンズ議員は3つの疑問を提起した。(1)契約に基づいて働くAWS従業員にはセキュリティクリアランスが必要かどうか。 (2)契約が2018年データ保護法第59条(5)に準拠しているかどうか(3)AWSによって処理された英国内務省のデータが理論的には外国政府に提供される可能性があるかどうか。最初の質問に対して、シャープ氏は「AWS の従業員は、セキュリティクリアランスを必要とする特定の業務を行う場合、セキュリティクリアランスの対象となる」と回答しました。これは、契約書の技術基準セクションに「ベンダー従業員の許可要件はない」と記載されている文言と矛盾しているようです。しかし、政府筋によると、シャープ氏が「一般解約契約」と呼ぶ契約書にこれらの要件が記載されているにもかかわらず、AWS のスタッフは英国内務省のデータを扱う際に依然として審査要件の対象となっているという(ただし、そもそもなぜこの条項が含まれていたのかは謎のままである)。

シャープ卿はまた、契約に基づいて保存されるデータは英国内務省の管理下に置かれるべきであり、AWS は警察や英国内務省の管理下にある個人データにアクセスすることはできないと述べた。さらに、彼は次のように答えました。「AWS はどのようなデータが保存されているかを把握しておらず、セキュリティ管理が実施されているため、処理の性質に関する指示は提供しません。契約の設計上、個人データに必要な保護を提供するために契約上拘束力を持たない詳細は契約に含まれていません。」

同氏は、英国のデータ規制当局である情報コミッショナー事務局(ICO)もこの取り決めを認識していたと付け加えた。 Business InsiderがICOに確認を求めたところ、広報担当者は、ICOには2018年データ保護法第59条に対するいかなる免除も与える権限がないと述べた。同条では、データ処理はデータ管理者とデータ処理者の間で「処理の性質と目的、個人データの種類と関係するデータ主体のカテゴリー」を定めた契約に従わなければならないと規定されている。

データは保存時も転送時も暗号化されます

セコン・ソリューションズのシニアパートナーでクラウドセキュリティの専門家であるオーウェン・セイヤーズ氏は、シャープ氏が回答の中で、AWSの従業員が何が保存または処理されているか分からないようにセキュリティ対策が講じられていたと示唆したことは、英国内務省がデータ保護法に違反している可能性があると考えている。セイヤー氏は「データ保護法第59.5条に基づき、内務省はAWSに対し、データが何であるか、AWSに伝えるべきデータのカテゴリーは何か、そしてそのデータに関して処理者がどのような義務を負っているかを告げなければならない。それが法律だ。ICOは彼らの責任を免除することはできない」と語った。

セイヤーズ氏はまた、AWS は自社施設内に保管されている内務省のデータを技術的に検査できないというシャープ氏の説明は、データが保存時および転送中に暗号化されているため不正確である可能性があると示唆した。部門がデータを AWS に保存しているだけであれば、それは正しいかもしれませんが、データを処理する場合は、データを復号化する必要があります (現在、その作業が行われているようです)。 Sayers 氏は次のように説明しています。「このような状況が発生すると、個々のマシンのキャッシュ ファイルに存在するか、プロキシ サーバーに存在するか、ネットワーク上の他のキャッシュ領域に存在することになります。AWS 管理者はいつでも、マシンのスナップショットを取得して、その中の情報を取得できます。」

同氏は、この理由から、法執行機関の機密データを扱うクラウド施設のスタッフは審査を受ける必要があると付け加えた。さらに、データ管理者とデータ処理者の両方が、プロセスに対する国民の信頼を維持するために監査要件に従う必要があります。彼は、これまでのところ、英国内務省と AWS との最新の契約に関する問い合わせに対する回答には、そのような傾向は見られないと考えている。

「シャープ氏の回答に誤解を招く意図はなかったと確信している。彼は単にクレメント・ジョーンズ議員の質問に答えただけだと確信している。しかし、その回答は意味をなさず、精査に耐えない」と彼は述べた。

シャープ氏の対応について詳しく説明するよう求められた内務省の広報担当者は、「請負業者は、法令遵守に関する我々の期待の一環として、適用されるすべての法律とデータ保護規制を遵守する必要がある」と述べた。

AWSは業界メディアのコメント要請にまだ応じていない。

<<:  あなたのクラウド ネットワークは生成 AI に対応していますか?

>>:  制作実務:K8S民営化配信に基づくこれらの問題に注意する

推薦する

A5ウェブマスターがインターネット体験の足がかりを得る方法についての簡単な説明

第7回中国インターネットウェブマスター年次大会が終了し、A5ウェブマスターの間でも危機感が高まってい...

5G時代の通信事業者のエッジコンピューティングのジレンマ

5G の継続的な発展により、5G は将来、あらゆる分野で広く利用されるようになるでしょう。新しい「5...

ガートナー:中国のクラウド価格戦争はインフラと運用のクラウド戦略を変える

近年、中国のハイパースケール クラウド プロバイダーは、他のグローバルおよびローカル クラウド プロ...

デルが新しい標準化されたクラウドコンピューティングインフラストラクチャを発表

北京、2010 年 4 月 8 日 - デルは、インフラストラクチャ分野で世界最大手のクラウド サー...

SEOの第一歩:ウェブサイトの位置付けと収益モデル

ウェブサイトのポジショニングとは、大学入試の願書に記入するように、ウェブサイトの将来の発展方向をポジ...

Changeip: 遅ればせながら20%割引/Windows対応/防御対応/シャークデータセンターVPS/無制限トラフィック

changeipについては長い間ニュースがありませんでした。Sharkに正式に買収されて以来、割引情...

Baidu Shareは「羊の皮を被った大きな悪いオオカミ」である可能性が高い

Baidu Shareがいつから人気になったのかは分かりませんが、現在ではほとんどの映画サイト、小説...

digitalocean-2g メモリ/サンフランシスコ/簡単な評価

Digitalocean は、現時点では価格性能比の点ではおそらく最高の 1 つですが、もちろんこれ...

Baidu の戦略は Web ページの品質を抑制します。運命が危ぶまれる B2B はどこへ向かうのでしょうか?

5月も終わりに近づいています。この暗い5月に、百度は「百度ウェブ検索品質白書」を発表しました。この白...

ウェブサイトデータ分析における正しい視点を確立する方法

2012年、Baiduは独自のウェブマスターツールプラットフォームを立ち上げました。ほとんどのウェブ...

ウェブサイトが生き残り、発展するためには、3つのことをうまく行う必要があります。

21 世紀も 10 年目に入り、すでにインターネットの時代となっています。不完全な統計によると、現在...

改訂後の収録漏れを最小限に抑える方法

サイト運営の結果を変えるために、ドメイン名やディレクトリルールの変更など、ウェブサイトの修正を選択す...

中小規模のウェブサイトの危険性とチャンス: 即時検索から即時使用へ

5月中旬、百度は登録ユーザー向けに「百度ホームページに追加」機能を開始し、検索結果の下に「このウェブ...

人気のない業界のウェブサイトでも、宣伝にはオリジナルの記事が必要だ

月収10万元の起業の夢を実現するミニプログラム起業支援プラン近年、星智連はウェブサイトの最適化に力を...

SOSOプレビュー機能による現場最適化

現在、Baiduを除き、Google、Sogou、Youdao、SOSOなど、ほとんどの検索エンジン...