GDPR に備えてクラウド導入を準備するための 4 つのベスト プラクティス

GDPR に備えてクラウド導入を準備するための 4 つのベスト プラクティス

[51CTO.com クイック翻訳] システム監査やプロアクティブなセキュリティなど、あらゆるレベルで GDPR の公式実装にクラウド展開が対応できるように、次の 4 つの重要なヒントに注意してください。

GDPR は今月下旬に発効する予定であり、EU 市民の個人データを含むクラウド展開ではセキュリティとコンプライアンスが最優先事項になります。

[[230223]]

大手ベンダーはすでに自社のプラットフォームとサービスのコンプライアンス遵守に努めていますが、コンプライアンスの確保にはテクノロジー以上のものが求められます。企業はまた、社内のクラウド チームを編成してビジネス ニーズを正確かつ効果的に満たすセキュリティ システムを設計し、最終的には監査可能で追跡可能なクラウド ソリューションを構築できるように、時間とリソースを投資する必要があります。以下では、クラウド展開を GDPR 対応にするための 4 つの重要な手順について説明します。

1. クラウドパートナーがGDPRコンプライアンス要件を満たしていることを確認する

クラウド環境では、全体的なセキュリティ フレームワークは、プロバイダーと顧客間の責任共有モデルに基づいて動作します。

インフラストラクチャの観点から見ると、クラウド サービス プロバイダーは、コンピューティング、ストレージ、データベース、ネットワーク サービスを提供するために使用される物理エンティティだけでなく、基盤となるリソースもカバーする安全なクラウド環境を提供する責任があります。

データをインポートし、ベンダー サービスを使用するお客様は、アクセス制御、ファイアウォール (インスタンス レベルとネットワーク レベルの両方)、暗号化、ログ記録、監視など、これらのリソースを使用して独自のセキュリティ メカニズムを設計および実装する責任があります。

GDPR ポリシーでは、顧客 (個人データの収集方法と理由を定義する管理者) とクラウド サービス プロバイダー (管理者の活動に基づいて個人データの管理、処理、または保存を担当する処理者) がコンプライアンス要件を満たす必要があります。

現時点では、AWS、Google Cloud、Microsoft Azure はすべて、5 月 25 日の期限までに GDPR 要件への準拠レベルと取り組みを発表しています。

企業は、クラウド パートナーと、EU 市民のデータの処理、管理、保存を担当する第三者が適切なコンプライアンスと制御を実施していることを確認する必要があります。

2. 個人データシステムを監査する

GDPR の定義によれば、個人を特定できる情報 (PII) には、名前、電子メール アドレス、電話番号から写真、遺伝子データ、さらには IP アドレスまで、さまざまなデータ タイプが含まれます。しかし、どれくらいの個人データを保存する必要があるかご存知ですか?

GDPR の導入は、収集するデータの種類とその理由について厳密な監査を実施する大きな機会となります。 AWS の Amazon Macie などのクラウド サービスを使用すると、現在のデータ ストレージ システム内のデータの種類を監査および評価し、GDPR ポリシー要件の影響を受けるデータを判断できます。古いデータやビジネスに不要な個人データが含まれていますか?これは、収集する必要があるデータの種類に基づいてプロセスを再定義する機会です。

3. 積極的なセキュリティサービスを導入する

クラウド セキュリティ侵害は、データ損失以上のものを引き起こします。 2017 年に数百万件の個人情報が漏洩した S3 バケットの漏洩やその他の侵害は、GDPR などの新しい規制の下では企業にとって壊滅的な打撃となる可能性があります。 GDPRでは、個人データ違反に対して、企業の年間全世界売上高の最大4%または2,000万ユーロのいずれか高い方の罰金が科せられる可能性がある。

GDPR は、企業があらゆるレベルでより広範かつ包括的なクラウド セキュリティおよびデータ保護ソリューションを導入する機会となります。 Amazon Web Services、Microsoft Azure、Google Cloud Platform はそれぞれ、セキュリティとコンプライアンスの要件をサポートするさまざまなサービスを提供しています。これらには以下が含まれます:

  • アクセス: Identity and Access Management (IAM) を使用すると、特定のユーザー、グループ、サービスに対してきめ細かい権限制御を提供できます。昇格された権限を持つユーザーに対しても、多要素認証を使用する必要があります。
  • 暗号化:可能な限り、保存中および転送中のすべてのデータに暗号化を使用する必要があります。クラウドとの間でデータを転送する場合や、TLS (Transport Layer Security) などのプロトコルを使用して内部クラウド サービス間でデータを移動する場合は、トランスポート暗号化を使用します。主要なクラウド サービス プロバイダーはすべて、データ暗号化の管理に役立つ対応するサービスを提供しています。AWS の Key Management Service、Microsoft Azure の Key Vault、Google Cloud Platform の Cloud Key Management Service はすべてこのカテゴリに属します。
  • 監視:環境の変化、セキュリティの脆弱性、違法なリソース、悪意のあるアクティビティ、異常な傾向、大規模な攻撃を検出するには、監視サービスをご利用ください。 AWS は CloudTrail や Amazon CloudWatch などのさまざまなサービスを提供しており、Azure には Monitor や Azure Security Center があり、Google のソリューションには Stackdriver や Cloud Security Scanner などがあります。
  • 脅威検出:脅威 (データ フロー、イベント、DNS など) を検出するために特別に設計されたログ データ分析サービス。新しい「インテリジェンス」サービスには、複数のセキュリティフィードからのログデータを評価し、トラフィック内の疑わしいアクティビティや悪意のある URL などを検出する AWS GuardDuty が含まれます。

4. コンプライアンスに基づいてチームを強化する

GDPR などの広範な監視規制は、技術、プロセス、および人材のレベルで組織に影響を及ぼします。技術的およびビジネス的な観点から、規制と組織への実際の影響に関するチームの全体的な理解が、コンプライアンスへの取り組みの重要な焦点となる必要があります。

  • 計画が GDPR トレーニングのニーズに対応していることを確認し、チームがクラウド サービスの実装におけるコンプライアンスとセキュリティに関する一般的な概念とスキル/経験の要件を習得できるようにします。
  • クラウド プロジェクトに関与するすべての部門に、セキュリティのベスト プラクティスと透明性の文化を浸透させ始めます。
  • 既存のスキルギャップを特定し、測定可能でパフォーマンス重視のトレーニング計画を実施して、スキルの継続的な開発を確実にします。
  • 継続的なトレーニング戦略を策定し、チームの知識とスキルが次の混乱の波に先んじていることを保証します。さらに、チームは最新のベンダーリリース、プライバシーポリシー、ベストプラクティスを認識しておく必要があります。

ベスト プラクティスは、クラウド展開が GDPR 要件に準拠していることを保証するための重要な要素となり、組織がセキュリティとコンプライアンスの課題に完全に備えられるようになります。

元のタイトル: GDPR 対応のクラウド デプロイメントを実現するための 4 つのベスト プラクティス、Stuart Scott 著

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。

<<:  ソフトウェア定義の分散ストレージを本当に理解していますか?

>>:  2018年テンセントクラウド+フューチャーサミットが広州で開催され、クラウドを通じてインテリジェントな未来を活性化

推薦する

2019 年はなぜクラウド ネイティブにとって重要な年なのでしょうか?

「将来のソフトウェアはクラウド上で成長する必要がある」というのが、クラウド ネイティブ コンセプトの...

limitlesshost-ロシア VPS/$7/1g メモリ/25g ハードディスク/1T トラフィック

limitlesshost.net は 2009 年に設立されたホスティング会社です。Web サイト...

簡単な説明:検索エンジンで上位ランクを獲得するための3つのポイント

検索エンジンのランキングを行うと、ホームページの上位 3 ページに最も多くのトラフィックがあることが...

高品質のリンクと高品質のコンテンツ: SEO戦略の重要な柱

「コンテンツこそが王様」という言葉を何度聞いたことがありますか? Web ページの最適化とは、Web...

薛曼子は拘束され、自らを大Vと称し、皇帝のように記念碑を視察した。

新華網、北京、9月14日:「ネット上の声には監視も規制も警告もなかった...絶え間ない称賛の中で、私...

持続可能で高品質な外部リンクを作成する方法

SEO に取り組んでいる友人は、外部リンクの構築が SEO にとって不可欠な作業であること、そして多...

軽視できないフォーラム形式の外部リンク

外部リンクは、ウェブサイトのインバウンド リンクです。インバウンド リンクはウェブサイトにとって非常...

hostkvm: ロシア CN2 VPS、50% オフ、月額 4.25 ドルから、Windows および Linux システムをサポート

Hostkvm はロシアの VPS を追加しました。これはロシアの CN2 GIA ネットワークに接...

Shein が成功したのは SEO のおかげですか?

今年最も人気のある独立系ブランドのウェブサイトは、間違いなく shein.com でしょう。今年上半...

ウェブサイトキーワードの季節変動とホットスポット予測

ウェブサイトのキーワードの検索インデックスは静的なものではなく、季節、ファッショントレンド、その他の...

MSN: 中国チームは権限がなく、単一の収益モデルを持っている

彼女は自分の MSN アカウントがハッキングされたことに気付くと、すぐに携帯電話で 300 人以上の...

クラウド コンピューティング アーキテクチャ: 避けるべき 5 つのよくある間違い

クラウド コンピューティングは、登場以来、あらゆる分野で好まれるビジネス プラットフォームとなってい...

ブランドマーケティングの必戦戦場、ビリビリ!

今年のバイラル動画といえば、まず思い浮かぶのは「本物のディンディンがネットで慈悲を乞う」だろう。ファ...

こんな感じで写真で遊ぶこともできます!楽しいオンライン写真編集サイト 25 選

デザイナーはPhotoshopを使うことに慣れていますが、オンラインで写真を加工することを考えたこと...