クラウド・セキュリティを学んでみよう!:ガバナンス編 – 第1回

※本記事は、マカフィー株式会社 コーポレートサポート本部 本部長 諸角昌宏によるものです。

初回は、アーキテクチャ編として、ドメイン1を通し「クラウドのアーキテクチャ」について説明しました。今回はガバナンス編として、2つ目のカテゴリであるクラウドの統制(ガバナンス)について、4回に渡って説明します。ガバナンス編の初回である今回は、ドメイン2:ガバナンスとエンタープライズリスクマネジメントと、ドメイン3:法律について説明します。

ドメイン2:ガバナンスとエンタープライズリスクマネジメント
クラウドのガバナンスとエンタープライズリスクについては、多くの課題があるだけでなく、未知の問題を新たに投げかけているといえます。まず、クラウドの利用者とサービスプロバイダとの間の、いわゆる「オンライン契約および合意」というものが、まだ法廷に提訴されているケースがほとんどありません。その結果、利用者自体がサービスプロバイダの施設やサービスのリスク・アセスメントを行う必要があると同時に、サービス契約の未達などといったリスクがそのまま利用者に圧し掛かってくるという可能性があります。サービスプロバイダに違反があった場合、誰が責任を持つかという点も曖昧です。紛争が発生した場合、外国の法令が適用される範囲も明確にしなければなりません。このような状況について、問題点と推奨事項について整理しました。

問題点
「解説クラウド・セキュリティ・ガイダンス」で記述されている問題点を要約して表にまとめました。

この表から、クラウドの利用者側と提供者側(サービスプロバイダ)で、認識の差が存在しており、この差を埋める方法が存在していない状況が読み取れます。

推奨事項
このような問題点に対するガイドラインとして、クラウド・セキュリティ・ガイダンスでは、デューデリジェンスを実施することを推奨しています。以下が、その内容です。

  • パブリッククラウドの利用を検討する前に以下を考える必要があります。
    • リスクレベルを、コントロール可能なプライベートクラウドあるいはハイブリッドクラウドにすべきかどうか。
    • SaaS、IaaS、PaaSに基づき、どのタイプの事業者が必要か。
    • 課金処理の安全のために、認証されている課金処理業者を利用すべきかどうか。
  • ミッションクリティカルな領域でパブリッククラウドサービスを利用する場合には、契約が適正かどうかについて入念なデューデリジェンスを行う必要があります。
  • 課金の正当性について、明確な基準が得られるようにします。また、課金が正確であるかどうかについて、利用データをきちんと把握できるようにする必要があります。
  • リスク事項に対して、明確にドキュメント化された文書を入手します。
  • サービスプロバイダ側の重要成功要因(CSF)、パフォーマンス指標(KPI)を確認し、明確にしておく必要があります。
  • サービスプロバイダがサードパーティを利用している場合には、その情報を提供してもらい、明確にしておく必要があります。
  • インシデントへの対応、復旧、レジリエンシーというものについて、情報提供を要求し明確にしておく必要があります。
  • サイト、および、サービスについてのリスクレベルをきちんと評価し、ポリシー、手続き、プロセスを文書化する必要があります。
  • サービスプロバイダの法令順守がどのようになっているかの情報を提供してもらいます。
  • 法的実効力(ローカルの契約履行、海外の法律等)を明確にしておきます。

ガバナンスとエンタープライズリスクは、まだ解決策を見出していくという段階です。従って、今後、さまざまな組織が横断的に連携し、条件や要求項目の標準化に取り組んでいく必要があるでしょう。

ドメイン3:法律
クラウドコンピューティングには、多くの法的制限事項が存在しています。これは、連邦法、州法、国際規格などさまざまで、海外の法律の適用も受けることになります。また、クラウドコンピューティング環境では、重要なデータ、ファイル、記録などが第三者であるクラウドサービスプロバイダに委ねられることになります。このような状況から、サービスプロバイダは上記のさまざまな法的制限事項を受けるだけでなく、その下請け組織や外注業者に対しても適切なセキュリティ手段を講じることが課せられています。

一方でクラウドコンピューティングには、第三者に委ねられているデータに対して、アクセスができなくなったり、スパムなどにより利用者のデータが危険にさらされたり、業務自体が中断してしたりする可能性があります。クラウドコンピューティングを利用する場合には、企業とクラウドサービスプロバイダの間で明確な取り決めを行う必要があります。クラウド・セキュリティ・ガイダンスでは、そのためのガイドラインを以下のように記述しています。

  • 契約はすべての基準となるもので、組織独自の要求とクラウドコンピューティングのダイナミックな性質に基づいて交渉できるものでなければならない。
  • 契約交渉においては、予期された、または、予期せぬ契約終了に備えた計画を行い、また、利用者の資産の回収または安全な廃棄をあらかじめ計画すべきです。
  • クラウド事業者の順守すべき法令と、利用者の遵守すべき法令の間にギャップが存在する可能性があることを理解すべきです。そのギャップを明確にするためには、適正評価が必要です。
  • 法的な情報開示要求へのクラウド事業者の対応を明確にする必要があります。
  • クラウド事業者によるデータの二次的な使用の可能性を理解し、必要に応じてこれを禁止するための文言を契約に盛り込む必要があります。
  • 国境を越えたデータの移動がある可能性を洗い出し、必要に応じては、データの移動を禁止する条項を契約の文言に盛り込む必要があります。
  • 契約にはサービスレベルアグリーメント(SLA)を盛り込む必要があります。

このガイドラインに基づいて、いくつかの点について掘り下げたいと思います

  1. 継続的なコンプライアンス義務
    クラウドの中であろうと、外であろうと、クラウド事業者は個人情報やそのほかのデータの正当性、セキュリティおよび機密性を保護する義務を負っています。また、クラウド事業者が保全するデータについても、それがオリジナルの所有者、あるいは、管理者の手にあるときと同じような保護手段を受けなければなりません。

    デューデリジェンス 企業は、法的な障害やコンプライアンス要求事項を特定するために、提案されたクラウドコンピューティングを利用した取引に関連する自社のプラクティス規範、要求および制限事項について評価を行うべきです
    契約 両者において、提案内容・手続き面で基本合意に至ったのち、書面での契約手続きに入ります
    モニタリングテストおよび更新 契約期間中、契約条件に基づいて、期待されるパフォーマンスがきちんと確保・実現されているかどうかを確認します
    契約終了および移行 双方とも離反する状態にあるため、データに対するリスクが最も高くなるが、法的コンプライアンス要求事項は緩和されません。契約終了時も、関係を適切かつ安全に修復する必要があります
  2. データの保管場所に関する理解
    データの物理的な場所は、データを統制する法律の選択に直接影響するため、どこの国にどのような状態で、データが保管されているかを知ることが重要です。知っておくべき項目としては、主に以下があげられます。

    • サービスプロバイダの場所
    • データの状況
    • 技術的およびロジスティックに絡む問題
  3. データの2次利用
    クラウドコンピューティングを利用する企業は、それらの情報データに対するオーナーシップを保持していることが求められます。情報やその利用に関して、メタデータへのアクセスをコントロールすることは重要です。機密情報を保有している企業は、クラウドサービス事業者による情報へのアクセス、あるいは情報に関連する取引情報の利用に対して、制限をかけたいと考えています。ただ多くの企業や個人では、金銭的な利益や情報が簡単に利用できることの方が、第三者がファイルや画像などに対してアクセス可能であることよりもメリットが大きいため、このようなプライベート上の問題が気にされるケースはまれです。
  4. 情報セキュリティの遵守
    妥当なセキュリティレベルを維持する義務は、契約の締結に起因するものがあります。これを満たさない場合には、監督当局による実施命令を受けたり、民事訴訟に提訴されたりすることがあります。セキュリティ問題に関連する法律(GLBA, HIPPA, EUにおけるデータ保護法など)、およびセキュリティ規格(PCI DSS, ISO27001など)は、下請け企業やサービスプロバイダとの間で契約を締結することを要求しています。また、このような第三者に情報を委ねる担保として、適切な技術的、物理的、組織的な対策を講じることを義務付けています。セキュリティサービス事業者は、自らに課されている多くの法的制約事項について留意しなければなりません。契約締結に絡む義務事項に加えて、クラウドサービス事業者には多くの法律および規制が課されています。
  5. プライバシー保護の確保
    企業は、顧客や従業員に関するプライバシーの保護や、個人情報が二次利用されないこと、また、第三者に対して開示を行わないという法的義務を有しています。クラウド環境では、個々の企業はその統制化(HIPPA, GLBAなど)において課される法的要求事項を継続的に満たすことができること、また、プライバシー告知において、企業が行った約束事項とコミットメントを満たすことを保証しなければなりません。同時に、クラウド環境上で情報に関する個人の選択を尊重することを保証する必要があります。
  6. 海外の法律への対処
    クロスボーダ転送に対する禁止など、クラウドサービスを活用したいグローバル企業は、米国国内で適用されているよりも多くの異なる制限事項を含む海外の法律の規制を受けます。また、クラウドサービス事業者のコンプライアンス義務として、サーバーをどの国に置くべきかを戦略的に検討する必要があります。サーバーの設置選択は、司法が絡む問題と法の選択に直接関係する重要な問題です。
  7. セキュリティ違反に対する対応
    米国では、44もの州が「機密保護違反情報公開法」を採用しています。この法律は、個人情報の特定のカテゴリに関する管理人に対して、セキュリティ違反によって被害が及ぶような情報データの持ち主である個人に対して通知を行うことを義務付けるものです。クラウドサービス事業者およびクライアント企業は、当事者に違反があった場合に、ただちに情報を開示することが求められています。
  8. 事業継続の確保
    クラウドコンピューティングサービスの利用者にとって、事業の継続性と情報への中断のないアクセスが確保されていることは、非常に重要です。事業継続性の確保は、多くの企業にとって、ビジネスの信用を保全する上での基本要求であり、法的遵守義務でもあります。クラウドサービス事業者には、適切な事業継続性およびディザスタリカバリ能力が必要です。
  9. 訴訟要求への対応
    クラウドサービス事業者が、当事者として民事訴訟に関与する場合、あるいは、政府当局によって内部に対する調査が執行される場合、クラウドサービス事業者は、保管する情報データへのアクセス要請など、訴訟要求への対応が必要とされます。一般的な対応内容としては、以下があげられます。

    • 電子開示(e-ディスカバリ)
    • 出頭命令、家宅捜索への対応
    • クラウドサービス活動に対するモニタリング
    • 円滑な契約終了の実現

次回は、CSAJC(Cloud Security Alliance Japan Charter)から提供されている「解説クラウド・セキュリティ・ガイダンス」の「II 法律問題編」について、説明したいと思います。ガイダンスは、米国におけるクラウドサービスに関する法律という観点から書かれていますので、この「II 法律問題編」をもとに、日本の適用法令について考察してみたいと思います。

*本記事は、弊社「クラウド・セキュリティ・勉強会」メンバーである、藤井大翼、桐谷彰一、中山幹夫の協力により、執筆されました。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速