- What is Overiew
- クラウドセキュリティとは
-
- クラウドアーキテクチャの概要
- クラウドコンプライアンスの概要
- Infrastructure as Codeの概要
クラウドコンプライアンスとは
クラウドコンプライアンスとは、業界ガイドラインや国内外の法律に従って、クラウドの使用に関する規制基準です。一般的な規制要件には、Health Insurance Portability and Accountability Act(医療保険の相互運用性と説明責任に関する法律)(HIPAA)、Payment Card Industry Data Security Standard(クレジットカード業界のデータセキュリティ基準)(PCI DSS)、およびGramm-Leach-Bliley Act(グラム・リーチ・ブライリー法)(GLBA)などがあります。
クラウドを使い始めた企業は、欧州のGDPRや米国のHIPAAなどの法令の継続順守をクラウドプロバイダがどのように支援してくれるかについて懸念を抱くかもしれません。当然このような議論は、クラウドサービスの運用開始後ではなく、検討開始時から行うべきです。
企業は計画するかなり前からクラウドを利用している場合もありますが、これは物事を複雑にすることがあります。クラウドに必ず必要なものの1つが、利用者がクラウドサービスを簡単に設定、変更、終了するためのセルフサービスインタフェースです。ただし明確でないのは、利用者の会社で誰がこれを行うのかです。結論から言うと、現在はこれは誰でもかまいません。必要なのは会社のクレジットカードだけであり、各部署は即座にデータをクラウドに上げることができます。これを表す用語は新しいものではありません。シャドーITです。クラウドのおかげで、この用語は最近よく使用されています。
クラウドガバナンス
ガバナンスとは、経営者や取締役会により行われる企業統治です。クラウドガバナンスとは、その管理をクラウドへ拡張したものです。ガバナンスは重要です。 ガバナンスなしでは、企業の目標や目的に関してうやむやな点が増え、クラウドやそのセキュリティの管理が非常に難しくなります。企業はクラウドを使い始める前に、このような目標や目的が何であるかを検討する必要があります。目標や目的は、順守すべき法律、規制、および契約に従ったものでなければなりません。法的な側面以外にも、クラウドガバナンスは企業がその目標や目的を達成するために従業員が正しい道を進めるように導きます。クラウドがユーザの仕事を妨げたり、企業を訴訟に巻き込んだりすることにより、これを困難にしている場合は、重大な間違いを犯していることを意味します。企業の取締役会および経営管理者は、クラウドに注意を払う必要があります。
コンプライアンスに関する議論でまず取り上げるべきなのが法律です。企業やその弁護士は、どの法律を順守しなければならないかを把握し、違反した場合の影響を明確にする必要があります。
EU GDPRなどの規制では、個人情報に関して多くのセキュリティが求められます。またEU GDPRでは、規制の対象となるデータが処理され、保管される場所についても非常に明確な制約があります。クラウドテクノロジの仕組みから、これはクラウドで問題となる可能性がありますが、ほとんどのクラウドプロバイダでは規制の要件を満たすためのコントロールを導入することができます。
契約は二者以上の当事者間の正式な合意を規定したものです。契約を結んだ企業は、その条件に従う義務があります。契約の不履行により厳しい罰金が科されることがあります。クレジットカード情報を処理または保存する組織はたいてい、Payment Card Industry Data Security Standard(クレジットカード業界のデータセキュリティ基準)(PCI DSS)の特定の要素の実装が求められる契約をクレジットカード会社と結んでいます。クレジットカードを処理するために、この基準の12のセキュリティ要件を満たすことを約束する契約を結びます。どのレベルで要件を満たす必要があるかは、年間で処理される取引の数により異なります。
多くの企業が、セキュリティコントロールを導入するための土台として、ISO 27001やNIST SP 800-53などの標準を使用しています。企業が標準としてISO 27001を使用することを決定した場合、適切なコントロールが導入されるように、従業員をトレーニングする必要があります。これはクラウドにも及びます。実際、ISOはクラウド固有のコントロールを区別し、ISO 27017で定義しています。
法律、規制、契約の順守状況を評価する1つの方法は、監査を行うことです。内部監査と外部監査があります。社内の監査人により実行される内部監査では、自社の順守状況を判断するための自己評価を行います。ただし、監査人の結論は先入観にとらわれている可能性があるため、内部監査の結果は偏っていると見なされる場合もあります。より客観的な意見を得るには、独立した第三者の監査法人による監査を受けることができます。ここでクラウドに関して議論する監査は、クラウドプロバイダにより実行される監査です。
大半のクラウドプロバイダは利用者がデータセンターの監査を行うことできないため、独立した第三者による監査に頼ることになります。
監査報告書
監査の結果は監査報告書にまとめられます。報告書はAmerican Institute of Certified Public Accountants(アメリカ公認会計士協会)(AICPA)により標準化されています。必要なのはSOC 2®監査報告書です。SOC 2®報告書は、クラウドプロバイダのようなサービス組織に対するものです。たとえばISO 27001やNISTサイバーセキュリティフレームワーク(CSF)に規定されているコントロールの順守状況を示します。コントロールは、以下に示すAICPAの5つのTrustサービス基準について評価されます。
報告書にはタイプ1とタイプ2があります。タイプ1の報告書は、現時点でのコントロールの状況、およびコントロールがある程度の適合性で設計および導入されているかどうかを示します。タイプ2の報告書は、6か月など、一定期間でのコントロールの運用有効性を示します。
クラウドの利用者はこれらの報告書を請求すべきですが、クラウドプロバイダのビジネスに関する機密情報が含まれている可能性があるため、積極的に開示してもらえない場合もあります。もう1つの選択肢が、汎用報告書であるSOC 3®です。クラウドプロバイダのビジネスに関する情報はほとんど含まれませんが、クラウドの利用者は実質的に、クラウドプロバイダについて監査人のお墨付きを得られることになります(またはお墨付きが与えられないことを知ることができます)。