かつて商取引が主にローカルで行われていた時代にデータセキュリティが課題だと考えていた方々にとって、新たな複雑さの時代が到来しました。今日のビジネスはモバイル化し、クラウドストレージがあらゆる場所でデータを保管するために利用されています。AWS、Azure Cloud、Google Cloud Platformsは、組織が最も一般的に利用するインフラストラクチャ(IAAS)プロバイダーです。しかし、変わっていないことが一つあります:人々は依然として企業にデータの保護を求めています。失敗は許されず、今日の厳しい基準に違反すると、厳しい罰則が科せられ、おそらく最も重要なこととして、顧客の信頼を失うことになります。これはどの企業も許容できない損失です。
本稿では、クラウドコンプライアンスフレームワークの重要性、構成要素、および一般的なフレームワークについて深く掘り下げます。
クラウドコンプライアンスとは?
クラウドコンプライアンスとは、クラウドに保管されるデータが安全でプライバシーが保護され、確立されたサイバーセキュリティガイドラインに準拠していることを保証するために、統治機関によって定められた規則や規制を指します。これらの規制は、医療分野(HIPAA要件)や電子商取引(PCI DSS基準)など、機密データを扱う業界に頻繁に適用されます。
クラウドコンプライアンスが重要な理由
2022年までに、全企業データの60%以上がクラウドに保存される見込みです。これは2015年の2倍のクラウドストレージ量に相当します。
これほど大量のデータがクラウドに保存されるため、各組織はそのデータのセキュリティ確保に責任を負わなければなりません。
クラウド要件を遵守しない場合、高額なデータ侵害が発生する可能性があります。クラウドコンプライアンスは、堅固なセキュリティ体制を維持しながら、クラウドコンピューティングの費用対効果、データバックアップと復旧、スケーラビリティを活用するのに役立ちます。
例えば、医療分野のHIPAA法は、特定の種類の患者健康データに対して厳格なセキュリティ手法とガイドラインを義務付けています。もう一つは、過去数十年の銀行業界の変化を受けて制定された金融プライバシーに関する新法です。
本質的に、クラウド利用企業は自社の内部セキュリティを評価するのと同じ方法で、ベンダーが採用するセキュリティ慣行を評価すべきです。クラウドベンダーが提供するサービスが自社の基準を満たしているかどうかを評価する必要があります。これには様々な方法があります。企業は、コンプライアンスの認証が可能かどうかのみに基づいてサービスプロバイダーを選択し、それ以外の判断を行わない場合もある。クライアントは、法的要件や業界基準に準拠していることを確認するために、クラウドベンダーのセキュリティに積極的にアクセスする必要が生じる場合もある。
クラウドコンプライアンスフレームワークとは?
クラウドコンプライアンスフレームワークは、クラウドリソースを保護するための基準と推奨手順をまとめたものです。業界固有のもの(防衛産業や医療産業向けなど)もあれば、広範な用途を想定した汎用的なフレームワークもあります。
例:
- ペイメントカード業界データセキュリティ基準(PCI DSS):このクラウドコンプライアンスフレームワークの主な目的は、クレジットカード取引を保護することです。カード会員データの伝送および保管方法を規定します。
- 医療保険の携行性と責任に関する法律(HIPAA): HIPAAは、患者のデータと、企業がそれを保持・利用する方法について規定する米国の医療関連法です。このクラウドコンプライアンスフレームワークは、患者の個人識別情報(PII)が開示された場合に企業が取るべき措置も規定しています。
- SOC 2:このクラウドコンプライアンスフレームワークは、セキュリティ、可用性、処理の完全性、機密性、またはプライバシーに関する組織の情報システムを評価します。
- ISO 27001 クラウドコンプライアンスフレームワークを活用することで、企業は信頼性が高く安全な情報セキュリティ管理を実現できます。
- 米国国立標準技術研究所(NIST)は、政府機関向けの情報システムの開発および保護に関する基準とガイドラインを提供しています。NIST サイバーセキュリティフレームワーク、NIST 800-53、NIST 800-171 は、NIST 規格へのコンプライアンスを評価するために使用できる 3 つのクラウドコンプライアンスフレームワークです。
- GDPR(一般データ保護規則)は、個人データを保護する最も著名かつ重要な欧州のクラウドコンプライアンスフレームワークです。
クラウドコンプライアンスフレームワークの構成要素
クラウドコンプライアンスフレームワークの主要な構成要素は以下の通りです:
ガバナンス
これらの事前設定フィルターは、個人情報を有害な公開リスクから保護します。クラウドガバナンスの重要な構成要素は次のとおりです。
組織は、資産管理の一環として、すべてのクラウドサービスと保存されているデータをインベントリ化し、脆弱性から保護するためのすべての構成を定義する必要があります。クラウドの構造、所有権、責任を特徴づけることは、クラウド戦略と設計の一部であり、クラウドセキュリティ を組み込むことでもあります。財務管理には、クラウドサービスの導入承認プロセスと、費用対効果とクラウド利用のバランス調整が含まれる。
変更管理
クラウドの二大利点である「スピード」と「柔軟性」により、変更管理はより困難になります。クラウド環境における問題となる設定ミスは、不十分な変更管理が原因であることが頻繁にあります。組織は自動化を活用し、設定の問題を検証し、変更プロセスを継続的に円滑に保証できます。
クラウド環境では、IDとアクセス管理(IAM)の制御が頻繁に変更されます。クラウド環境におけるIAMのベストプラクティスを以下に示します:
- ルートアカウントは危険な無制限アクセスを許す可能性があるため、常に監視してください。アクセスには多要素認証(MFA)(MFA)を導入し、最低限フィルタとアラートによる監視を実施してください。可能であれば無効化しましょう。
- 組織のニーズと最小権限の原則に基づき、役割ベースのアクセスとグループレベルの権限を使用してアクセスを提供してください。
- 効率的な認証情報および鍵管理ルールを確立し、休眠アカウントを無効化・制度化してください。
継続的監視
クラウドの複雑性と分散性のため、全活動の監視と記録が不可欠です。コンプライアンス検証の基盤となるのは、イベントの「誰が」「何を」「いつ」「どこで」「どのように」であり、これにより企業は監査対応態勢を維持します。クラウド環境におけるデータの追跡と記録では、以下の事項を実施する必要があります:
- すべてのクラウドリソースでロギングを有効化することを忘れないでください。
- ログは暗号化し、一般にアクセス可能なストレージに保管しないでください。
- メトリクス、アラーム、アクティビティ記録を設定してください。
- 脆弱性管理
レポート
レポート機能は、コンプライアンスの最近および過去の証拠を提供します。これらのレポートはコンプライアンスの足跡と捉え、監査に役立ちます。コンプライアンスが疑問視された場合、インシデント前後の全活動の詳細なタイムラインが重要な証拠となる可能性があります。これらの記録を保持すべき期間は規制によって異なり、1~2か月で十分な場合もあれば、より長い期間を要求される場合もあります。オンプレミスシステムの障害や自然災害に備え、チームは全ての文書を安全な別場所に保管する必要があります。
一般的なクラウドコンプライアンスフレームワーク
これらのクラウドコンプライアンスフレームワークは、クラウドコンプライアンス要件に特化して適用されます。クラウドベンダーと顧客は、これらのフレームワークの詳細を理解する必要があります。
クラウドセキュリティアライアンス(CSA)コントロールマトリックスは、セキュリティベンダーの出発点となる基本的なセキュリティ制御の集合体であり、セキュリティ制御設定の強化と監査の容易化に貢献します。この手法は、見込み顧客が候補となるクラウドベンダーのリスクプロファイルを評価するのにも役立ちます。
連邦政府機関と提携しようとする組織は、クラウドに関連する一連のデータセキュリティ要件である FedRAMP に準拠しなければなりません。FedRAMPの目的は、連邦政府が利用する全てのクラウド環境において、データ及びアプリケーションセキュリティの最低限の基準を保証することです。
サーベンス・オクスリー法(SOX)は、上場企業が財務情報を開示する方法を規制し、消費者を詐欺や報告ミスから保護するための規制です。SOX基準はセキュリティに特化したものではありませんが、データの完全性を支えるため、様々なITセキュリティ対策を対象としています。
セキュリティ中心のフレームワーク
以下のセキュリティ特化型法令は、行動基準を確立することで機密データを扱う組織を支援します。これらのフレームワークは、有害なセキュリティインシデントを防止するためのプロセスと枠組みを提供します。
国際標準化機構(ISO)27001 は、情報セキュリティマネジメントシステムに対する一連の要件であり、貴社が業界のベストプラクティスに従い、顧客データの保護に取り組んでいることを証明します。
NISTサイバーセキュリティフレームワーク:この企業向け基本方針・手順のベンチマークは、オンライン脅威への対応・管理能力を評価します。リスクの特定・管理を支援し、セキュリティ専門家のベストプラクティスマニュアルとして機能します。
優れたアーキテクチャを備えたクラウドフレームワーク
運用効率性、セキュリティ、コスト対効果といった要素を網羅するこれらのフレームワークは、クラウドアーキテクトにとってベストプラクティス基準と見なせます。
Amazon Web Servicesが開発したこのフレームワークは、Amazonクラウド上でのワークロードとアプリケーション設計を支援します。クラウド環境分析のための質問集に基づく本フレームワークにより、顧客はアーキテクチャ評価のための信頼できるリソースを利用できます。Amazonアーキテクトの5つの指針は、運用効率、セキュリティ、信頼性、パフォーマンス効率、コスト最適化である。
Google Cloud Architected Frameworkは、Googleのクラウドソリューションの開発と改善の基盤となる。運用上の卓越性、セキュリティとコンプライアンス、信頼性、パフォーマンスとコスト最適化という4つの基本原則が、このフレームワークの重点であり、アーキテクトのためのロードマップとして機能します。
CNAPPマーケットガイド結論
セキュリティとコンプライアンスは、その違いにもかかわらず関連性が高く、多くの共通点を持っています。これらの重複は危険な防御の隙間を生み出す可能性があります。クラウドコンプライアンスフレームワークを活用することで、セキュリティ強化に役立ちます。組織は、SentinelOneが提供するような革新的で継続的なコンプライアンスソリューションを活用することで、セキュリティとコンプライアンスのリスク軽減戦略の重複を検知・管理し、より安全な環境を構築できます。
クラウド コンプライアンス フレームワーク FAQ
クラウドコンプライアンスフレームワークとは、組織がクラウド環境においてセキュリティを管理し、法的要件を満たすためのルールとベストプラクティスの集合体です。データの保護、アクセス制御、アクティビティの監視、コンプライアンス報告の方法に関する指針を提供します。
このフレームワークに従うことで、業界の法令に準拠し、高額な違反を回避しながらクラウドリソースの安全性を維持できます。
組織は、侵害リスクや法的罰則を軽減するために必要とします。GDPRやHIPAAなどの法令遵守を一貫して適用し追跡する明確なプロセスを構築します。優れたフレームワークは、顧客やパートナーのデータ責任ある取り扱いを示すことで信頼を構築します。これがなければ、クラウド環境は攻撃者が悪用できる隙間のある寄せ集め状態になりかねません。
代表的なフレームワークには、総合的なリスク管理のためのNISTサイバーセキュリティフレームワーク(CSF)、実践的なセキュリティ対策のためのCISコントロール、マネジメントシステム規格のISO/IEC 27001、クラウド固有のチェック項目を定めたCSAクラウドコントロールマトリックス、米国政府クラウドで採用されているFedRAMPなどがあります。
各フレームワークはコンプライアンス要件を規定していますが、選択は業界、所在地、クラウド利用状況によって異なります。
クラウド環境の監査は少なくとも四半期ごとに実施するのが望ましい基準です。規制対象データを扱う場合や新規サービスを頻繁に展開する場合は、その頻度を増やしてください。継続的監視ツールは監査間の問題を検知できます。頻繁なレビューにより設定ミスやドリフトを早期に発見でき、気づかぬうちにコンプライアンスから外れることを防げます。
医療業界では患者情報保護に主にHIPAAが適用されます。金融業界ではカードデータにPCI-DSS、サービスプロバイダーにSOC 2が一般的です。政府機関ではクラウド利用にFedRAMPが義務付けられるケースが多いです。欧州で事業を展開する業界ではデータプライバシーにGDPRを採用する場合もあります。業界の規制とデータの保管場所に基づいてフレームワークを選択してください。