クラウドコンピューティングのコンプライアンスを確保する方法

クラウド コンピューティングのコンプライアンスにより、クラウド コンピューティング サービスがユーザーのコンプライアンス要件を満たしていることが保証されます。ただし、クラウド コンピューティング サービスを導入する企業は、コンプライアンス関連のサービス提供がクラウド コンピューティング企業によって異なるため、すべてのクラウド コンピューティング企業が自社の固有のニーズを満たすことができるとは想定しないでください。

[[270877]]

データの転送、保存、バックアップ、取得、アクセスは、クラウド コンピューティングのコンプライアンスに準拠する必要があります。コンプライアンスの実施は IT 部門が担当することが多いですが、他の部門が関与することもあります (おそらく関与すべきです)。この関与には、意思決定、監視、監査、ガバナンス、セキュリティ、データ保護、リスク管理、法務などが含まれます。

コンプライアンスは、コンプライアンス違反が規制上の罰金、訴訟、サイバーセキュリティ インシデント、評判の低下につながる可能性があるため、深く理解する必要がある非常に深刻なトピックです。したがって、クラウド コンピューティング プロバイダーが提供するサービスの詳細と企業の要件を理解することが重要です。

この記事では、クラウド コンピューティングのコンプライアンスに関する考慮事項の概要を示し、世界の 3 大クラウド コンピューティング サービス プロバイダーである Amazon Web Services、Microsoft Azure、Google Cloud で一般的に使用されているサービスの一部を紹介します。クラウド コンプライアンス サービスの調達に関心のある組織は、最新情報については適切なサービス プロバイダーの Web サイトにアクセスしてください。

クラウド コンピューティングのコンプライアンスの問題には、顧客コンプライアンスとサービス コンプライアンス管理が含まれます。

クラウドコンプライアンス: 重要な考慮事項

クラウド コンピューティングのコンプライアンスについて考えるときに最初に生じる問題の 1 つは、ユーザーが独自のインフラストラクチャを管理していないことです。

問題が発生した場合の防御策として企業がアウトソーシングすることは現実的ではありません。実際、AWS や Microsoft Azure などのクラウド コンピューティング プロバイダーは、クラウド コンピューティングのコンプライアンスは二重の責任であるという事実を強調しています。企業はユーザーに対して一定の契約上の責任を負いますが、ユーザーは自身の最善の利益を追求する必要があります。これには、ユーザーの要件に適したサービスを選択すること、ユーザーが制御する構成を正しく処理することなどが含まれます。

クラウド コンプライアンスを確保するためのその他の考慮事項は次のとおりです。

• データ。クラウドに保存する内容とその理由を決定します。
• データの場所。監査人はデータの保存場所を尋ねることがありますが、クラウド コンピューティング サービス プロバイダーはその情報を開示しない場合があります。
• 資産運用管理。クラウド コンピューティング サービス プロバイダーはインフラストラクチャ資産の管理に責任を持ち、企業はホストされているオペレーティング システムやアプリケーションなどの自社資産の管理に責任を持ちます。
• システムおよびデータ アクセス制御。コンプライアンスには多くの場合、データセキュリティが関係します。企業は、クラウド コンピューティング サービス プロバイダー (サードパーティの請負業者を含む) のサービスを誰が使用できるか、またどのようなコンテンツにアクセスできるかを理解する必要がありま す。
• 構成管理。たとえば、AWS S3 バケットを誤って設定した場合、エラーの責任はあなたにあります。
• データの暗号化。コンプライアンスを維持するには、多くの場合、保存中のデータと移動中のデータを暗号化して保護する必要があります。
• 共有またはプライベートのリソース。組織の特定のコンプライアンス要件に応じて、クラウド コンピューティング サービス プロバイダーのデータ センター内のプライベート データ センター スイートが必要になる場合があります。
• サービス レベル アグリーメント (SLA)。ビジネスに適用される法律や規制には、サービス レベル契約の要件が定められている場合があります。これにより、使用できるサービスの種類が制限される可能性があります。
• データ保護。クラウド プロバイダーが情報をどの程度保護しているかを理解することが重要です。
• コンプライアンス認証と法的に認められた代替手段。すべてのクラウド コンピューティング コンプライアンス サービスが認定されているわけではありません。何らかの理由で認証が不可能な場合、クラウド プロバイダーは、より厳しい標準を順守するなど、準拠する方法を見つける可能性があります。
• 監査。クラウド コンピューティングのコンプライアンスを監査する第三者を確認し、レポートを読んでください。また、企業がクラウドのコンプライアンスを監査する権限を持っているかどうかも確認してください。
• インシデント対応。潜在的なインシデントの範囲と、そのような種類のインシデントが発生した場合にどのような種類のインシデント対応を行う必要があるかを理解します (例: アラートの受信や対応の速度)。
• 電子情報開示機能。これは規制の問題ではなく、法的な問題です。企業が何らかの訴訟の渦中にいる場合、要求されたデータのみに迅速にアクセスする必要があります。
• セキュリティ要件。企業は、適切なクラウド コンピューティング サービスを選択するために通常必要なセキュリティの形式を理解する必要があります。コンプライアンスのためには、法律や規制で要求されるセキュリティのレベルを理解する必要があります。
• 災害復旧。停電がありました。ビジネスに適用される法律や規制には、特定の災害復旧要件が定められている場合があります。
• 適当な注意。定期的なデューデリジェンスの処理方法を学びます。
• 情報リソース。クラウド コンピューティング サービス プロバイダーが提供する情報リソースは多岐にわたります。豊富な情報を提供するものは、ユーザーが最初からクラウド コンピューティングのコンプライアンスを正常に達成するのに役立ちます。
• コンプライアンス報告。ユーザーがアクセスして読み取ることができるコンプライアンス レポートの範囲を理解します。

クラウドコンピューティングコンプライアンスサービスプロバイダーがカバーできるもの

クラウド コンピューティング サービス プロバイダーによって、クラウド コンピューティング コンプライアンス サービスの提示方法は異なります。プロバイダーによってはリストを使用するものもあれば、グリッドを使用するものもあります。物事を分類する人もいれば、分類しない人もいます。

たとえば、AWS には、認証/証明、法律/規制/プライバシー、および整合/フレームワークをカバーする 3 つのリストがあります。 Microsoft と Google は、ユーザー エクスペリエンス要素を採用することを好みます。さらに、Microsoft はコンプライアンス サービスをグローバル、政府、業界、地域に分類しています。

情報の表示方法はサービスプロバイダーによって異なるため、ユーザーは製品を注意深く確認する必要があります。コンプライアンスに関しては、仮定は危険であるため、IT 部門は上記の他の機能と連携してコンプライアンスの範囲を確保する必要があります。

世界最大の 3 つのクラウド コンピューティング プロバイダーが共有するクラウド コンピューティング コンプライアンス リソースには、次のものがあります。

• Cloud Internet Service Providers Europe (CISPE) – 高度なセキュリティとデータ保護を推進する非営利団体。
• 海外におけるデータの合法的使用の明確化に関する法律 (クラウド コンピューティング法) – 2018 年に制定された米国連邦法。
• インターネット セキュリティ センター (CIS) ベンチマーク - ネットワーク攻撃を防ぐための構成ガイド。
• 刑事司法情報サービス (CJIS) - 法執行機関、国家安全保障機関、諜報機関によって開発されたクラウド コンピューティング テクノロジに関する一連の推奨事項。
• クラウド セキュリティ アライアンス (CSA) – ベスト プラクティス。
• 英国国立サイバーセキュリティセンター - ネットワークインフラストラクチャおよび認証機関
• 1974 年家族教育権利およびプライバシー法 (FERPA) – 潜在的な雇用主、公的資金による教育機関、政府機関などの公的機関による教育情報および記録へのアクセスを規定する米国連邦政府の法律。
• EU-US プライバシー シールド – データ保護フレームワーク。
• 連邦リスクおよび承認管理プログラム (FedRAMP) - セキュリティ標準認証
• 連邦情報処理標準 (FIPS) – 暗号化モジュールを承認するために使用される米国政府のコンピューター セキュリティ標準。
• EUのプライバシーシールドに代わるEU一般データ保護規則（GDPR）は2018年に施行されました。
• G-Cloud – 英国政府機関によるテクノロジー製品およびサービスの調達を簡素化するフレームワーク。
• 医療保険の携行性と会計に関する法律 (HIPAA) – クラウド コンピューティング システムで医療情報を保護するためのガイダンス。
• ISO 9001 - 品質管理システム (QMS) の国際規格
• ISO 27001 – 組織内の情報セキュリティ管理システムを確立、実装、維持、継続的に改善するための要件を規定する国際規格。
• ISO 27017 – クラウド コンピューティング サービスの提供と使用に適用される情報セキュリティ管理に関するガイダンスを提供する国際規格。
• マルチティアクラウド戦略 (MTCS SS584) – シンガポールにおける健全なリスク管理とセキュリティ慣行、透明性、説明責任の標準。
• アメリカ映画協会 (MPAA) – コンテンツ セキュリティのベスト プラクティス。
• 番号法 – 2016 年に制定された日本の 12 桁の個人識別番号システム。
• 米国国立標準技術研究所 (NIST) 800-53 - 米国連邦情報システムのセキュリティおよびプライバシー管理のカタログ。
• ペイメント カード業界データ セキュリティ標準 (PCI DSS) – ペイメント カード所有者のデータを保管、処理、または送信するすべてのビジネスに対する 12 の要件を含む標準。
• 米国証券取引委員会 (SEC) 規則 17-a – ブローカーディーラーのデータ保持規則。
• システムおよび組織統制 (SOC) 1 – ユーザー エンティティの財務報告に関する内部統制に関連する可能性があるサービス組織の統制に関するレポート。
• システムおよび組織制御 (SOC) 2 – セキュリティ、可用性、処理の整合性、機密性、またはプライバシーに関連する組織の情報システムを評価するレポート。
• システムおよび組織統制 (SOC) 3 – SOC 2 とは異なるレポートであり、実行されたテストの詳細は記載されておらず、マーケティング資料として使用することを目的としています。