GDPR に備えてクラウド導入を準備するための 4 つのベスト プラクティス

GDPR に備えてクラウド導入を準備するための 4 つのベスト プラクティス

[51CTO.com クイック翻訳] システム監査やプロアクティブなセキュリティなど、あらゆるレベルで GDPR の公式実装にクラウド展開が対応できるように、次の 4 つの重要なヒントに注意してください。

GDPR は今月下旬に発効する予定であり、EU 市民の個人データを含むクラウド展開ではセキュリティとコンプライアンスが最優先事項になります。

[[230223]]

大手ベンダーはすでに自社のプラットフォームとサービスのコンプライアンス遵守に努めていますが、コンプライアンスの確保にはテクノロジー以上のものが求められます。企業はまた、社内のクラウド チームを編成してビジネス ニーズを正確かつ効果的に満たすセキュリティ システムを設計し、最終的には監査可能で追跡可能なクラウド ソリューションを構築できるように、時間とリソースを投資する必要があります。以下では、クラウド展開を GDPR 対応にするための 4 つの重要な手順について説明します。

1. クラウドパートナーがGDPRコンプライアンス要件を満たしていることを確認する

クラウド環境では、全体的なセキュリティ フレームワークは、プロバイダーと顧客間の責任共有モデルに基づいて動作します。

インフラストラクチャの観点から見ると、クラウド サービス プロバイダーは、コンピューティング、ストレージ、データベース、ネットワーク サービスを提供するために使用される物理エンティティだけでなく、基盤となるリソースもカバーする安全なクラウド環境を提供する責任があります。

データをインポートし、ベンダー サービスを使用するお客様は、アクセス制御、ファイアウォール (インスタンス レベルとネットワーク レベルの両方)、暗号化、ログ記録、監視など、これらのリソースを使用して独自のセキュリティ メカニズムを設計および実装する責任があります。

GDPR ポリシーでは、顧客 (個人データの収集方法と理由を定義する管理者) とクラウド サービス プロバイダー (管理者の活動に基づいて個人データの管理、処理、または保存を担当する処理者) がコンプライアンス要件を満たす必要があります。

現時点では、AWS、Google Cloud、Microsoft Azure はすべて、5 月 25 日の期限までに GDPR 要件への準拠レベルと取り組みを発表しています。

企業は、クラウド パートナーと、EU 市民のデータの処理、管理、保存を担当する第三者が適切なコンプライアンスと制御を実施していることを確認する必要があります。

2. 個人データシステムを監査する

GDPR の定義によれば、個人を特定できる情報 (PII) には、名前、電子メール アドレス、電話番号から写真、遺伝子データ、さらには IP アドレスまで、さまざまなデータ タイプが含まれます。しかし、どれくらいの個人データを保存する必要があるかご存知ですか?

GDPR の導入は、収集するデータの種類とその理由について厳密な監査を実施する大きな機会となります。 AWS の Amazon Macie などのクラウド サービスを使用すると、現在のデータ ストレージ システム内のデータの種類を監査および評価し、GDPR ポリシー要件の影響を受けるデータを判断できます。古いデータやビジネスに不要な個人データが含まれていますか?これは、収集する必要があるデータの種類に基づいてプロセスを再定義する機会です。

3. 積極的なセキュリティサービスを導入する

クラウド セキュリティ侵害は、データ損失以上のものを引き起こします。 2017 年に数百万件の個人情報が漏洩した S3 バケットの漏洩やその他の侵害は、GDPR などの新しい規制の下では企業にとって壊滅的な打撃となる可能性があります。 GDPRでは、個人データ違反に対して、企業の年間全世界売上高の最大4%または2,000万ユーロのいずれか高い方の罰金が科せられる可能性がある。

GDPR は、企業があらゆるレベルでより広範かつ包括的なクラウド セキュリティおよびデータ保護ソリューションを導入する機会となります。 Amazon Web Services、Microsoft Azure、Google Cloud Platform はそれぞれ、セキュリティとコンプライアンスの要件をサポートするさまざまなサービスを提供しています。これらには以下が含まれます:

  • アクセス: Identity and Access Management (IAM) を使用すると、特定のユーザー、グループ、サービスに対してきめ細かい権限制御を提供できます。昇格された権限を持つユーザーに対しても、多要素認証を使用する必要があります。
  • 暗号化:可能な限り、保存中および転送中のすべてのデータに暗号化を使用する必要があります。クラウドとの間でデータを転送する場合や、TLS (Transport Layer Security) などのプロトコルを使用して内部クラウド サービス間でデータを移動する場合は、トランスポート暗号化を使用します。主要なクラウド サービス プロバイダーはすべて、データ暗号化の管理に役立つ対応するサービスを提供しています。AWS の Key Management Service、Microsoft Azure の Key Vault、Google Cloud Platform の Cloud Key Management Service はすべてこのカテゴリに属します。
  • 監視:環境の変化、セキュリティの脆弱性、違法なリソース、悪意のあるアクティビティ、異常な傾向、大規模な攻撃を検出するには、監視サービスをご利用ください。 AWS は CloudTrail や Amazon CloudWatch などのさまざまなサービスを提供しており、Azure には Monitor や Azure Security Center があり、Google のソリューションには Stackdriver や Cloud Security Scanner などがあります。
  • 脅威検出:脅威 (データ フロー、イベント、DNS など) を検出するために特別に設計されたログ データ分析サービス。新しい「インテリジェンス」サービスには、複数のセキュリティフィードからのログデータを評価し、トラフィック内の疑わしいアクティビティや悪意のある URL などを検出する AWS GuardDuty が含まれます。

4. コンプライアンスに基づいてチームを強化する

GDPR などの広範な監視規制は、技術、プロセス、および人材のレベルで組織に影響を及ぼします。技術的およびビジネス的な観点から、規制と組織への実際の影響に関するチームの全体的な理解が、コンプライアンスへの取り組みの重要な焦点となる必要があります。

  • 計画が GDPR トレーニングのニーズに対応していることを確認し、チームがクラウド サービスの実装におけるコンプライアンスとセキュリティに関する一般的な概念とスキル/経験の要件を習得できるようにします。
  • クラウド プロジェクトに関与するすべての部門に、セキュリティのベスト プラクティスと透明性の文化を浸透させ始めます。
  • 既存のスキルギャップを特定し、測定可能でパフォーマンス重視のトレーニング計画を実施して、スキルの継続的な開発を確実にします。
  • 継続的なトレーニング戦略を策定し、チームの知識とスキルが次の混乱の波に先んじていることを保証します。さらに、チームは最新のベンダーリリース、プライバシーポリシー、ベストプラクティスを認識しておく必要があります。

ベスト プラクティスは、クラウド展開が GDPR 要件に準拠していることを保証するための重要な要素となり、組織がセキュリティとコンプライアンスの課題に完全に備えられるようになります。

元のタイトル: GDPR 対応のクラウド デプロイメントを実現するための 4 つのベスト プラクティス、Stuart Scott 著

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。

<<:  ソフトウェア定義の分散ストレージを本当に理解していますか?

>>:  2018年テンセントクラウド+フューチャーサミットが広州で開催され、クラウドを通じてインテリジェントな未来を活性化

推薦する

分散ブロックストレージの研究開発においてメタデータ サービスをどのように設計すればよいでしょうか?

この記事はシリーズの最初の記事であり、関連する背景とメタデータ サービスに焦点を当てています。一般的...

初心者のウェブマスターが遭遇する問題は何でしょうか?

初心者のウェブマスターは、ウェブサイトを構築する過程で、自分の経験に制約されることがよくあります。問...

Kステーション100日:百度は私により良い道を歩ませた

Baidu の 6.28 地震により、私の通常のウェブサイトの 1 つが破壊されました。私の独創性が...

ハイブリッドマルチクラウド管理プラットフォームの3つの主要な適用シナリオ

「クラウドへの移行」は多くの企業にとってホットな話題となっています。テクノロジーの発展と企業の運用デ...

Kubectl-iceプラグインは、クラスタコンテナの構成情報をより強力に表示します。

この号では、POD で実行中のコンテナの構成情報をすばやく表示できる実用的な Kubectl プラグ...

ロサンゼルスの 3 つのネットワーク向けの AS4837 回線を備えた Hostyun の VPS の簡単なレビュー

Hostyunは本日、ロサンゼルスのceraデータセンターで、3つの必須ネットワークとChina U...

越境電子商取引の販売業者は、SEO の考え方を活用してランキングを向上させ、店舗へのトラフィックを増やすにはどうすればよいのでしょうか?

SEO(検索エンジン最適化)とは、特定の検索エンジンのランキングの仕組みを理解した上で、自分のウェブ...

Google イベントがウェブサイトの最適化に与える影響について簡単に説明します

現在、多くのSEO担当者がGoogleのニュースを知っています。CCTVのニュースのおかげで、Goo...

インターネット運用: 優れたエクスペリエンスを設計するには?

優れたデザインとは、デザインそのものを目的とするものではなく、全体的なユーザー エクスペリエンスを追...

中国移動の楊潔会長:CloudQingは力強い未来を築き、新たな旅を始める

4月25日、2023 Mobile Cloud Conferenceが盛大に開幕しました。中国移動の...

Go分散リンクトレーシングについての簡単な説明

現代の複雑な分散システム環境では、アプリケーションやシステムのパフォーマンスを診断することは非常に困...

2019 年の Hyper-V 監視ツールとソフトウェアのトップ 10

仮想化の広範な使用は、エンタープライズ インフラストラクチャにおける最も重要なトレンドの 1 つです...

#Dry Goods# spryservers: Phoenix\Dallas の VPS および専用サーバーは、購入すると無料で入手できます。

現在から 11 月 27 日まで、Spryservers は特別プロモーションを実施しています。ドメ...

オラクル、企業向けにパーソナライズされたデジタルアシスタントを提供

オラクルは本日、企業が従業員の業務をよりスマートかつ効率的に行うためにパーソナライズされたデジタルア...

企業のクラウド導入に不可欠な要素: 10 ステップのクラウド移行チェックリスト

クラウド コンピューティング業界の急速な発展により、多くの企業が重要なエンタープライズ アプリケーシ...