クラウドコンプライアンスとは、業界ガイドラインや現地法、国内法、および国際法に従って、クラウドの使用に関する規制基準を順守するための理論と実践のことです。一般的な規制要件には、Health Insurance Portability and Accountability Act(医療保険の相互運用性と説明責任に関する法律)(HIPAA)、Payment Card Industry Data Security Standard(クレジットカード業界のデータセキュリティ基準)(PCI DSS)、およびGramm-Leach-Bliley Act(グラム・リーチ・ブライリー法)(GLBA)などが含まれます。
企業がクラウド環境へ移行する際には、EU一般データ保護規則(GDPR)やHIPAAなどの法令への準拠維持が重要です。そのためには、クラウドプロバイダーがどのようにコンプライアンスを支援できるかを、導入初期段階から検討する必要があります。導入後の対応では、リスクが高まる可能性があります。
また、企業によっては、当初の計画とは異なり、意図せずクラウドサービスを利用しているケースも見受けられ、環境の複雑化を招くことがあります。クラウドの基本的な特徴のひとつは、ユーザがセルフサービス型のインターフェースを通じて、サービスの設定・変更・終了を容易に行える点です。
しかし、課題となるのは「誰がクラウドサービスを利用しているのか」という点です。現状では、企業のクレジットカードさえあれば、誰でもクラウドサービスを利用可能な状況にあり、部門ごとに競うようにデータをクラウドへ保存してしまうケースもあります。このような状況は、いわゆる「シャドーIT」と呼ばれ、クラウドの普及に伴い、近年ますます注目されています。シャドーITは、管理されていないクラウド利用によるセキュリティリスクの増加を意味し、企業のコンプライアンス維持において重大な課題となります。
クラウドガバナンス
ガバナンスとは、上級管理職や取締役会による企業活動の監督と意思決定の枠組みを指します。クラウドガバナンスは、この監督機能をクラウド環境にまで拡張し、クラウド利用における戦略的整合性とセキュリティの確保を目的としています。ガバナンスが欠如すると、クラウドの運用においてビジネス目標の不明確化やセキュリティ管理の複雑化が生じ、結果として業務遂行に支障をきたす可能性があります。
企業はクラウド移行前に、目標と目的を明確にし、それらが適用される法令・規制・契約条件に準拠しているかを確認する必要があります。クラウドガバナンスは、法的側面の遵守に加え、従業員が企業の目標達成に向けて適切な判断と行動を取れるよう導く仕組みでもあります。
ガバナンスの不備は、クラウド利用の混乱を招き、業務の停滞や訴訟リスクの増加につながる可能性があります。取締役会や経営層は、クラウド活用にあたって十分な注意と配慮をもって監督責任を果たすことが求められます。
コンプライアンスに関する議論の最初のテーマは、法令の遵守です。企業およびその法務部門は、自社に適用される法律を明確にし、それに違反した場合のリスクや影響についても把握しておく必要があります。対象となる法律が特定されたら、それらの法令を遵守するために必要なセキュリティコントロールを検討・導入することが重要です。
EU GDPRなどの規制では、個人情報に関して多くのセキュリティが求められます。また、GDPRでは、個人データの処理および保存場所に関しても厳格な制約があり、クラウド環境においてはデータの越境移転が問題となることがあります。こうした課題に対応するため、主要なクラウドサービスプロバイダーは、EUクラウド行動規範(EU Cloud Code of Conduct)などの枠組みに準拠し、GDPR要件を満たすための技術的・組織的対策を講じています。
契約とは、2者以上の当事者間で交わされる正式な合意を指します。企業が契約を締結した場合、その契約条件を遵守する義務が生じます。契約違反があった場合、厳しい罰則や罰金が科される可能性があります。
クレジットカード情報を処理または保管する組織は、クレジットカード会社との契約により、Payment Card Industry Data Security Standard(PCI-DSS)の特定要件を実装することが求められる場合があります。
クレジットカードを処理する企業は、PCI-DSSに定められた12のセキュリティ要件を満たすことを契約上で約束します。実装すべき要件の範囲は、年間の取引件数に応じて異なります。
また、企業は顧客との契約において、クラウド環境で何が可能かを明確に定義しているかを確認する必要があります。パブリッククラウド、プライベートクラウド、コミュニティクラウドなど、どのタイプのクラウドを利用する場合でも、コンプライアンスへの影響が生じる可能性があります。
多くの企業では、セキュリティコントロールの実装にあたり、ISO/IEC 27001やNIST SP 800-53などの国際的な標準規格を基盤として活用しています。たとえば、ISO/IEC 27001を採用する場合、企業はその要件に基づいて適切な管理策を導入し、従業員へのトレーニングを実施する必要があります。この取り組みはクラウド環境にも適用されます。実際、ISOはクラウド特有のセキュリティ要件を補完する形で、ISO/IEC 27017を策定しており、クラウドサービスの提供者および利用者の双方に向けたガイドラインを提供しています。
法律、規制、契約への準拠状況を評価する手段のひとつが監査です。監査は、内部監査と外部監査のいずれか、または両方の形で実施されます。内部監査は、企業内の監査部門が実施し、自社のコンプライアンス状況を自己評価するプロセスです。ただし、評価が主観的になりやすく、客観性に欠ける可能性がある点には注意が必要です。
一方、より客観的な評価を得るために、企業は独立した第三者機関による外部監査を選択することが一般的です。クラウドに関してここで議論する監査は、クラウドプロバイダーによって行われる監査です。
ほとんどのクラウドプロバイダーは、顧客がデータセンターで独自の監査を行うことを認めていないため、独立した第三者の監査に依拠しています。
監査報告書
監査の結果は、監査報告書として記録されます。これらの報告書は、米国公認会計士協会(AICPA)によって標準化されており、代表的なものとしてSOC 2®(Service Organization Control 2)が挙げられます。SOC 2®報告書は、クラウドプロバイダーのようなサービス組織向けに発行されるもので、ISO/IEC 27001やNIST Cybersecurity Framework(CSF)で定義されたセキュリティコントロールへの準拠状況を示します。評価は、以下のAICPAの5つのTrustサービス基準に基づいて行われます。
これらのレポートには、タイプ1とタイプ2があります。タイプ1の報告書は特定時点におけるコントロールの設計と導入状況を評価します。タイプ2の報告書は6か月など一定期間にわたるコントロールの運用有効性を評価します。
クラウド利用者は、これらの報告書をクラウドプロバイダーに対して要求することが推奨されます。ただし、報告書にはビジネスに関する機密情報が含まれる可能性があるため、提供をためらうケースもあります。その代替として、SOC 3®という一般公開向けの報告書も存在します。SOC 3®は、詳細な技術情報を含まず、クラウドプロバイダーが第三者監査を通じて信頼性を証明していることを示す文書であり、利用者に対して簡潔かつ効果的に信頼性を提供します。
関連記事
Verizon's data breach report & unsecured cloud storage
Shared Responsibility for Cloud Security
You're One Misconfiguration Away from a Cloud-Based Data Breach
Microsoft Azure Well-Architected Framework
Using Shift-Left to Find Vulnerabilities Before Deployment
AWS Well-Architected
Safe, Secure and Private, Whatever Your Business
National Institute of Standards and Technology (NIST)