クラウドのコンプライアンス: クラウド コンプライアンスの落とし穴を回避する

最近の調査によると、組織の 4 分の 1 以上が今後 1 ～ 2 年以内にすべての IT インフラストラクチャとワークロードをクラウドに移行する予定であることがわかりました。

一方、バックアップ ソフトウェア プロバイダーの Veritas による調査では、回答者の 83% がクラウド コンピューティング サービス プロバイダーがデータを保護してくれると信じていました。しかし、これは非現実的であり、現在の規制環境では危険であり、コンプライアンスの罠となる可能性があります。

[[231261]]

確かに、組織は効率性、柔軟性の向上、ビジネスコストの削減を通じてクラウド コンピューティング サービスのメリットを享受できます。

組織は、独自のインフラストラクチャとベンダーのインフラストラクチャを組み合わせたハイブリッドおよびマルチクラウド サービスを導入することができ、これらのクラウド プラットフォームは、パフォーマンスとコストの利点によりますます人気が高まっています。これらの傾向により、組織におけるクラウド コンピューティングの導入が促進されます。

クラウドコンプライアンスのギャップ

データ保護規制がますます厳しくなる中、クラウドコンピューティングの利用拡大に向けた動きが出てきています。

欧州連合の一般データ保護規則 (GDPR) が発効しただけでなく、決済カードの PCI-DSS 標準の更新など、他の規制によって、組織は情報の収集および処理方法を見直すよう求められています。

GDPR のような規制は、忘れられる権利などの個人に対する多くの追加の権利と保護策、およびデータ侵害の強制開示などの組織に対する新たな義務をもたらします。

しかし、GDPR の状況は新しいものではありません。むしろ、これは既存のデータ保護規則の明確化と統合です。したがって、強固なデータ保護およびプライバシー ポリシーを備えた組織は、GDPR 規制に準拠できるはずです。

ただし、クラウド コンピューティングを導入する組織の動きにより、特に個人データを主に扱う組織では、コンプライアンスのギャップが明らかになる可能性があります。 GDPR 規制では、「個人データ」のより明確な定義が規定されています。この定義は、多くの国の個人情報保護法で定められている定義よりもはるかに広範囲です。

GDPR の下では、組織が個人データの収集、処理、または保管において規制に違反したと主張することは困難になります。したがって、クラウド コンピューティングを使用している組織に影響が出ることは避けられません。

「クラウドに移行しても規制が免除されるわけではない」と法律事務所デントンズのテクノロジー、メディア、通信チームのパートナー、ダン・バージ氏は言う。しかし、組織がそれらの規則を遵守することがより困難になる可能性があります。

マルチクラウドは複数の課題ももたらす

運用をクラウドに移行すると、実際的な管理や規制上の課題が数多く発生する可能性があります。

しかし、コンプライアンスに関して、CIO やセキュリティ担当者が直面する重要な問題は、組織がどのような種類のデータを保存し、そのデータがどこに保存されているかということです。独自の社内データベース、アーカイブ、ストレージ システムを実行する組織は、ほと​​んどのデータがどこに保存されているかを特定できる必要があります。システムとデータ センターの場所を指定し、データが特定の地理的場所 (たとえば、欧州連合) での保存と処理に制限されるように IT を設定できます。個人データを他のビジネス情報から分離することも、適切な IT 制御に適用される必要があります。

データ タイプの識別やデータの分類も、社内システムとコンプライアンス担当者を通じて行う必要があります。ただし、データ ストレージと IT ワークロードをオフサイトの場所に移行すると、組織に新たな課題が生じる可能性があります。

クラウド コンピューティング プロバイダーは、規模の経済を提供することで機能します。これを実行するには、データを集約する必要があります。クラウド コンピューティング プロバイダーは回復力も組み込んでおり、そうすることで複数の場所でデータをホストします。

ストレージとコンプライアンスについて詳しく見る

組織がプライベート クラウド システムを所有および運用できるほど大規模でないか、地理的に分散した複数のプライベート クラウドを導入していない限り、適切なデータをクラウド コンピューティング サービス プロバイダーに引き渡して保存する必要があります。

これにより、ユーザーの「データ主権」に課題が生じ、ユーザーが自分のデータがいつどこで使用されているかを知る必要性が生じます。

組織の CIO は、クラウド サービスがどの国や地域にデータを保存しているかを把握していない可能性があります。また、クラウド プロバイダーは、負荷分散を実現し、ビジネスの継続性と災害復旧を確保するために高度に自動化されたシステムを使用しているかどうかを把握していない可能性があります。

データの場所

組織は、データが正確にどこに保存されているかを見落としがちです。最も安全な解決策は、クラウド サービスを使用してデータを 1 つの場所にロックするか、少なくとも EU などの 1 つの管轄区域内に保持することです。

しかし、まず組織は収集して処理する情報の種類を決定する必要があります。 CIO がクラウドに送信されるデータの種類を明確に把握していない場合、そのデータの保存場所を制御または監査する試みはすべて失敗します。

一部のデータ タイプは機密情報として明確に識別できます。たとえば、保険番号、銀行口座番号、健康情報、住所、年齢の詳細などはすべて、顧客が企業に保護してほしいデータの種類です。

ただし、GDPR 規制における個人データの定義は、従来の米国中心の個人識別情報 (PII) の定義よりも広範囲にわたります。

SaaS アプリケーション、電子商取引、さらにはソーシャル メディアでも、クラウド内に機密データが作成される可能性があります。最近のメディア報道が示しているように、オンラインでのやりとりと個人のプロフィールを組み合わせた機能は、記録をすぐに個人データの領域に持ち込む可能性があります。ソーシャル メディアやその他のソースからのデータ ログを活用する SaaS ベースの顧客関係アプリケーションや保険引受アプリケーションの場合、リスクはさらに高くなります。

データ フィールドを組み合わせて個人情報を追跡する方法があれば、匿名化されたレコードやクリーンアップされたレコードであっても復元できます。立法者はこれを「モザイク識別」と呼んでいますが、CIO がリスクを認識していない状態でクラウドで実行されているアプリケーションでこれが発生する可能性があります。

データのロック

幸いなことに、組織はクラウド コンプライアンスに対処するための措置を講じることができます。

1 つ目は、データの地理的な場所に関する堅牢で透明性のあるポリシーを持ちながら、クラウド コンピューティングの使用を特定のプロバイダー サービスに制限するか、使用を制限することです。

ただし、パブリック クラウドを使用する必要がある組織 (つまり、マルチベンダー戦略を採用している組織) の場合、次のステップは、すべてのデータを慎重に監査して、個人データが識別され、追跡され、データ主権ポリシーが実装されていることを確認することです。

組織の CIO とデータ保護担当者が、どのような種類のデータを扱っているかを把握すれば、データを保護するための実践的な手順を踏むことができます。クライアントベースの暗号化の最適化は、データ主権の問題が解決されなくても、クラウド コンピューティング サービスがハッキングされ、データ損失のリスクがある場合にデータ損失のリスクを軽減できるため、推奨されます。

組織は、SaaS プラットフォームを含むクラウド サービス プロバイダーのセキュリティ ポリシーと、ISO27001 などの独自のデータ コンプライアンス ポリシーおよび標準の遵守についても確認する必要があります。

ハイブリッド クラウドやマルチベンダー クラウドは、まだ可能ですが、実装が困難です。マルチクラウド データ管理ツールは、市場ではまだ比較的新しいものですが、IT チームとデータ保護チームに、保存されたデータをより迅速かつ詳細に監視する可能性を提供します。

しかし、クラウド コンピューティングを導入する組織は、IT 部門をどれだけ改善しても、コンプライアンスの責任を転嫁することはできないことを認識する必要があります。クラウド コンピューティング プロバイダーが現在の標準を満たしていることを確認することは、デューデリジェンス プロセスの一部です。したがって、GDPR 規制の遵守と違反に対する罰則に関する法的責任は、クラウド コンピューティング プロバイダーではなく、組織に完全に課せられます。