GDPR に備えてクラウド導入を準備するための 4 つのベスト プラクティス

[51CTO.com クイック翻訳] システム監査やプロアクティブなセキュリティなど、あらゆるレベルで GDPR の公式実装にクラウド展開が対応できるように、次の 4 つの重要なヒントに注意してください。

GDPR は今月下旬に発効する予定であり、EU 市民の個人データを含むクラウド展開ではセキュリティとコンプライアンスが最優先事項になります。

[[230223]]

大手ベンダーはすでに自社のプラットフォームとサービスのコンプライアンス遵守に努めていますが、コンプライアンスの確保にはテクノロジー以上のものが求められます。企業はまた、社内のクラウド チームを編成してビジネス ニーズを正確かつ効果的に満たすセキュリティ システムを設計し、最終的には監査可能で追跡可能なクラウド ソリューションを構築できるように、時間とリソースを投資する必要があります。以下では、クラウド展開を GDPR 対応にするための 4 つの重要な手順について説明します。

1. クラウドパートナーがGDPRコンプライアンス要件を満たしていることを確認する

クラウド環境では、全体的なセキュリティ フレームワークは、プロバイダーと顧客間の責任共有モデルに基づいて動作します。

インフラストラクチャの観点から見ると、クラウド サービス プロバイダーは、コンピューティング、ストレージ、データベース、ネットワーク サービスを提供するために使用される物理エンティティだけでなく、基盤となるリソースもカバーする安全なクラウド環境を提供する責任があります。

データをインポートし、ベンダー サービスを使用するお客様は、アクセス制御、ファイアウォール (インスタンス レベルとネットワーク レベルの両方)、暗号化、ログ記録、監視など、これらのリソースを使用して独自のセキュリティ メカニズムを設計および実装する責任があります。

GDPR ポリシーでは、顧客 (個人データの収集方法と理由を定義する管理者) とクラウド サービス プロバイダー (管理者の活動に基づいて個人データの管理、処理、または保存を担当する処理者) がコンプライアンス要件を満たす必要があります。

現時点では、AWS、Google Cloud、Microsoft Azure はすべて、5 月 25 日の期限までに GDPR 要件への準拠レベルと取り組みを発表しています。

企業は、クラウド パートナーと、EU 市民のデータの処理、管理、保存を担当する第三者が適切なコンプライアンスと制御を実施していることを確認する必要があります。

2. 個人データシステムを監査する

GDPR の定義によれば、個人を特定できる情報 (PII) には、名前、電子メール アドレス、電話番号から写真、遺伝子データ、さらには IP アドレスまで、さまざまなデータ タイプが含まれます。しかし、どれくらいの個人データを保存する必要があるかご存知ですか?

GDPR の導入は、収集するデータの種類とその理由について厳密な監査を実施する大きな機会となります。 AWS の Amazon Macie などのクラウド サービスを使用すると、現在のデータ ストレージ システム内のデータの種類を監査および評価し、GDPR ポリシー要件の影響を受けるデータを判断できます。古いデータやビジネスに不要な個人データが含まれていますか?これは、収集する必要があるデータの種類に基づいてプロセスを再定義する機会です。

3. 積極的なセキュリティサービスを導入する

クラウド セキュリティ侵害は、データ損失以上のものを引き起こします。 2017 年に数百万件の個人情報が漏洩した S3 バケットの漏洩やその他の侵害は、GDPR などの新しい規制の下では企業にとって壊滅的な打撃となる可能性があります。 GDPRでは、個人データ違反に対して、企業の年間全世界売上高の最大4%または2,000万ユーロのいずれか高い方の罰金が科せられる可能性がある。

GDPR は、企業があらゆるレベルでより広範かつ包括的なクラウド セキュリティおよびデータ保護ソリューションを導入する機会となります。 Amazon Web Services、Microsoft Azure、Google Cloud Platform はそれぞれ、セキュリティとコンプライアンスの要件をサポートするさまざまなサービスを提供しています。これらには以下が含まれます:

• アクセス: Identity and Access Management (IAM) を使用すると、特定のユーザー、グループ、サービスに対してきめ細かい権限制御を提供できます。昇格された権限を持つユーザーに対しても、多要素認証を使用する必要があります。
• 暗号化:可能な限り、保存中および転送中のすべてのデータに暗号化を使用する必要があります。クラウドとの間でデータを転送する場合や、TLS (Transport Layer Security) などのプロトコルを使用して内部クラウド サービス間でデータを移動する場合は、トランスポート暗号化を使用します。主要なクラウド サービス プロバイダーはすべて、データ暗号化の管理に役立つ対応するサービスを提供しています。AWS の Key Management Service、Microsoft Azure の Key Vault、Google Cloud Platform の Cloud Key Management Service はすべてこのカテゴリに属します。
• 監視:環境の変化、セキュリティの脆弱性、違法なリソース、悪意のあるアクティビティ、異常な傾向、大規模な攻撃を検出するには、監視サービスをご利用ください。 AWS は CloudTrail や Amazon CloudWatch などのさまざまなサービスを提供しており、Azure には Monitor や Azure Security Center があり、Google のソリューションには Stackdriver や Cloud Security Scanner などがあります。
• 脅威検出:脅威 (データ フロー、イベント、DNS など) を検出するために特別に設計されたログ データ分析サービス。新しい「インテリジェンス」サービスには、複数のセキュリティフィードからのログデータを評価し、トラフィック内の疑わしいアクティビティや悪意のある URL などを検出する AWS GuardDuty が含まれます。

4. コンプライアンスに基づいてチームを強化する

GDPR などの広範な監視規制は、技術、プロセス、および人材のレベルで組織に影響を及ぼします。技術的およびビジネス的な観点から、規制と組織への実際の影響に関するチームの全体的な理解が、コンプライアンスへの取り組みの重要な焦点となる必要があります。

• 計画が GDPR トレーニングのニーズに対応していることを確認し、チームがクラウド サービスの実装におけるコンプライアンスとセキュリティに関する一般的な概念とスキル/経験の要件を習得できるようにします。
• クラウド プロジェクトに関与するすべての部門に、セキュリティのベスト プラクティスと透明性の文化を浸透させ始めます。
• 既存のスキルギャップを特定し、測定可能でパフォーマンス重視のトレーニング計画を実施して、スキルの継続的な開発を確実にします。
• 継続的なトレーニング戦略を策定し、チームの知識とスキルが次の混乱の波に先んじていることを保証します。さらに、チームは最新のベンダーリリース、プライバシーポリシー、ベストプラクティスを認識しておく必要があります。

ベスト プラクティスは、クラウド展開が GDPR 要件に準拠していることを保証するための重要な要素となり、組織がセキュリティとコンプライアンスの課題に完全に備えられるようになります。

元のタイトル: GDPR 対応のクラウド デプロイメントを実現するための 4 つのベスト プラクティス、Stuart Scott 著

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。