データプライバシーとセキュリティリスクは世界的に拡大しており、ITインフラをクラウドに移行するあらゆる規模・業種の組織に影響を及ぼしています。
そのため、規制機関や法執行機関は、クラウド環境に保存されたビジネスデータや顧客データを保護するために組織が遵守すべきコンプライアンス規制、法律、基準を策定しました。
これらの基準に準拠することで、サイバーセキュリティ攻撃、データ侵害、プライバシー侵害を軽減できます。2023年の調査では、企業リーダーの70%がこれらの規制が効果的であると認めています。
本記事では、クラウドセキュリティコンプライアンスの詳細、その種類、取得方法、ベストプラクティスについて解説します。
クラウドセキュリティコンプライアンスとは?
クラウドセキュリティ コンプライアンスとは、組織がクラウド環境内のデータを保護し、HIPAAやGDPRなどの適用される規制当局やコンプライアンス基準に準拠するために従うべき様々なルール、ベストプラクティス、ポリシーから成るプロセスです。
サイバーセキュリティ攻撃やデータプライバシーリスクの増加に伴い、規制機関や法執行機関はこれらの法律、規制、基準を策定しました。これにより、あらゆる規模・形態・業界の組織が、ビジネスデータと顧客データの機密性と安全性を維持できるよう支援します。金融、政府、医療、軍事など、高度に規制された分野では、これらの基準がさらに重要となります。データ機密性の高い分野です。
クラウドセキュリティ基準に準拠することで、顧客、利害関係者、パートナー、第三者に対する業界内での評判を維持し、信頼を保つことができます。これにより、データ漏洩や権限昇格などのセキュリティリスクも防止可能です。
クラウドセキュリティコンプライアンス基準
重要なクラウドセキュリティコンプライアンス基準をいくつか簡単に学びましょう:
- GDPR: 一般データ保護規則(GDPR)の略称であり、欧州連合加盟国で事業を行う全ての組織に適用されます。ユーザーの個人データとその管理方法を保護する厳格な規則を定めています。
- HIPAA: これは医療保険の相互運用性と説明責任に関する法律(HIPAA)の略称であり、米国で事業を行う組織に適用されます。そのデータセキュリティとプライバシー規則は、患者の健康記録を保護し、医療詐欺や不正利用を防止し、医療サービスへのアクセスを改善します。
- SOC 2: システムおよび組織統制(SOC) バージョン2を指します。この認証を取得すると、SOC 2基準に準拠していることを証明できます。SOC 2は、組織がデータを管理する際に確保すべき以下の基準に基づいています——セキュリティ、プライバシー、機密性、プロセスの完全性、およびサービスの可用性。独立した公認監査人が、これらの基準に基づき組織のセキュリティおよびプライバシー態勢を評価し、SOC 2基準への準拠を検証します。
- ISO/IEC 27001: 情報セキュリティの構築、適用、維持、改善に関する指針を提供する、世界的に普及し広く受け入れられている規格です。この準拠を達成すれば、データ保護とリスク管理におけるベストプラクティスを実践している証拠となります。
クラウドコンプライアンスの取得方法とは?
クラウドコンプライアンスを達成するには、組織のクラウド環境に高度で堅牢なセキュリティ対策とコンプライアンス対策を導入する必要があります。
セキュリティ対策:
- クラウドに保存されたITインフラストラクチャとデータを保護する
- 適切なアクセス制御の使用
- エンドツーエンドのデータ暗号化の実装
- 脅威を継続的に監視、検知、対応する
- 定期的な監査を実施する
- スタッフにセキュリティ研修を提供する
コンプライアンス対策:
- クラウド導入に関する規制要件の最新変更を追跡する
- 自社に適用される規則・規制を把握し遵守する
- 適切なコンプライアンスフレームワークとガイドラインに従う
- ISO/IEC 27001などの必要な認証を取得する
- 規制報告を効率化する
- コンプライアンスプロセスを自動化する
セキュリティコンプライアンスの種類
クラウドセキュリティおよびコンプライアンス要件 には、以下のような種類があります。
- HIPAA:医療データを保護するため
- SOC 2:顧客データの保護のため
- PCI DSS: クレジットカード情報の保護のため
- ISO:機密データの保護と管理のため
- GDPR:EU市民の個人データの管理、処理、保管のため
クラウドコンプライアンスとセキュリティフレームワーク
クラウドサービスは多くの利点を提供します。効率的で、拡張・アクセス・利用が容易です。しかし、サードパーティのクラウドサービスを利用すると、機密データを保護するために彼らが使用するツール、メカニズム、技術について制御や可視性がないため、セキュリティとプライバシーのリスクが生じます。
そこで登場するのがクラウドコンプライアンスフレームワークです。セキュリティおよびコンプライアンスポリシーをこれらのフレームワークに整合させることで、クラウドサービス導入時のリスクを軽減できます。主なフレームワークを以下に紹介します:
FedRAMP
連邦リスク認可管理プログラム(FedRAMP)は、セキュリティ評価、クラウドサービス・製品の監視、認可に関する基準を提供します。米国で事業を行うクラウドソリューションプロバイダー、連邦機関、組織は、クラウドデータを保護するためにFedRAMPガイドラインに従う必要があります。その目的は以下の通りです:
- クラウドセキュリティと評価の向上
- 安全なクラウドベース製品・サービスの利用促進
- 組織がレガシーソリューションではなく、費用対効果の高いクラウドソリューションへ迅速に適応できるようにする
- 同一ガイドラインの遵守による組織間の円滑な連携促進、透明性と相互信頼の維持
クラウドセキュリティアライアンス管理マトリクス
CSAコントロールマトリックスは、組織がクラウドサービスを体系的に実装する方法を評価するためのガイドラインを概説し、使用するセキュリティ制御を導きます。このフレームワークは、クラウドコンプライアンスとセキュリティを達成するための事実上の標準です。クラウド技術に関する17のドメインに分類された197の制御目標を含みます。以下がその内容です:
- CCM v4
- CCM機械可読版
- CCMメトリクス
- 監査ガイドライン
- 実装ガイドライン
- CAIQ v4
- マッピング
NISTサイバーセキュリティフレームワーク
米国国立標準技術研究所(NIST)は、NISTサイバーセキュリティフレームワークを策定しました。これは、組織が包括的なセキュリティとコンプライアンスを達成するために従うべき一連のガイドライン、基準、および規則を概説しています。
主な基準は以下の通りです:NIST SP 500-291(2011年)、NIST SP 500-293(2014)、NIST SP 800-53 Rev.5 (2020)、NIST SP 800-210 (2020) などです。
コンプライアンスプログラムをゼロから構築する際、これらのガイドラインを用いてリスク評価とセキュリティ管理を実施します。その中核機能には以下が含まれます:&
- 保護対象となる資産、データ、プロセスの特定
- 安全な技術とツールを用いたそれらの保護
- 適切なツールや仕組みによるセキュリティインシデントの検知
- 積極的な手法とツールを用いたインシデントへの対応
- 影響を受けたシステムの復旧と復元
ISO 27000 規格
国際標準化機構(ISO)は、サイバーセキュリティ脅威からデータとシステムを保護するための一連の規格とベストプラクティスを提供しています。これらの規格に準拠することで、組織と資産を保護し、データの機密性を維持できます。主な規格には以下が含まれます:
- ISO/IEC 27001: この規格は、組織が所有または取り扱うデータを保護するための原則とベストプラクティスを提供します。情報セキュリティマネジメントシステム(ISMS)の構築、実施、改善、維持の方法について文書化しています。セキュリティ態勢の強化、リスク管理、業務効率の向上に役立ちます。
- ISO/IEC 27017: クラウドサービスの提供および利用に関するセキュリティ管理策を定義し、クラウドセキュリティの課題解決を目的としています。
- ISO/IEC 27018: クラウド環境に保存された個人データを保護するためのセキュリティ対策を実施するための管理目標と指示を定義しています。
ISO認証の取得は、ITインフラのセキュリティ確保に加え、市場における評判と信頼性の向上にも寄与します。
設計済みクラウドフレームワーク
AWS、Google、Microsoftなどの大手テクノロジー企業が提供する設計済みクラウドフレームワークを活用し、組織内にクラウドソリューションを導入しましょう。これらのクラウドフレームワークは、クラウドソリューション展開時に適用すべき設計原則とベストプラクティスを提供します。これにより、セキュリティリスクを防止しクラウドパフォーマンスを向上させることで、コンプライアンスとセキュリティを確保したクラウドコンピューティングの導入が可能になります。
知っておくべきクラウドアーキテクチャフレームワークの一部をご紹介します:
- AWS Well-Architected Framework: Amazon Web Services(AWS)が提供するこのフレームワークは、クラウド環境を評価し、AWS上でソフトウェアやワークフローを構築するための関連質問を詳細に示します。クラウドコスト最適化、運用パフォーマンス、信頼性、セキュリティ、コンプライアンスという原則に基づいています。
- Azure Architecture Framework: マイクロソフトのこのフレームワークは、アーキテクトがAzure上でクラウドソリューションを構築することを可能にします。そのガイドラインはワークロードの最適化とデータセキュリティの向上を支援します。
- Google Cloud Architected Framework: Googleのフレームワークは、Google Cloud上でクラウドソリューションを構築する際のガイドラインを提供します。コスト最適化、信頼性、運用パフォーマンス、コンプライアンス、セキュリティといった原則に基づいています。
CNAPPマーケットガイドFAQs
クラウドセキュリティコンプライアンスとは、組織が適用される規則、規制、法律を順守するために従うプロセスを指します。
クラウドセキュリティコンプライアンス基準とは、組織がコンプライアンスを達成するために従うべき様々なガイドライン、フレームワーク、ベストプラクティス、および要件を指します。
クラウドセキュリティコンプライアンスツールは、適用される規制を確実に遵守するためのコンプライアンス管理機能とともに、セキュリティ態勢と運用に関するより深い可視性を提供します。
パブリッククラウドにおける組織のセキュリティおよびコンプライアンス要件は以下の通りです:
- 継続的なセキュリティおよびコンプライアンス監視
- 定期的なアップグレードとパッチ適用
- より強力なアクセス制御の設定
- 高度なネットワークセキュリティツールとファイアウォールの導入
- データ暗号化とセキュリティメカニズムの使用
クラウド環境におけるコンプライアンスの達成は、従来のITインフラと比較して比較的容易です。その理由は、クラウドサービスプロバイダーがクラウドの大部分を管理するためです。一方、従来の環境ではその利点は得られず、コンプライアンス達成のために全てを自社で行う必要があります。
