クラウドコンプライアンス(またはクラウドセキュリティコンプライアンス)とは、クラウド環境とその中で行われる運用が、企業が事業を運営する業界に影響する特定の規制基準に準拠していることを保証するプロセスです。通常、企業が準拠しなければならないクラウドコンプライアンス基準は多数あり、クラウドセキュリティアライアンスのクラウドコントロールマトリックス(CSA CCM)に含まれ、該当する指令に準拠した方法でクラウドサービスを構成・使用することがセキュリティコンプライアンス担当者の責務となっています。
クラウドサービスによれば、「CCMは、クラウドの実装を体系的に評価するためのツールとして使用でき、クラウドのサプライチェーン内のどの関係者がどのセキュリティ対策を実施すべきかの指針を提供」します。したがって、企業が属する業界によっては、業務の大部分をクラウドに移行する際に、コンプライアンスを確実に維持するためにチームが準拠できる強力なフレームワークがすでに存在します。
今日の環境において、特に医療、金融サービス、エネルギーなどの規制の厳しい分野では、可能な限りクラウドコンプライアンスを自動化することが必要となります。価値のあるクラウドコンプライアンスツールには、指定された組織の標準からのコンプライアンス面での逸脱を検出し、環境を全体的に「良好な状態」に迅速にリセットできる機能があります。これにより、時間と費用を節約できる上、規制当局から指摘を受ける可能性も低くなります。
州や地域固有の規制から、複数の業界に影響する全国的に認められたコンプライアンス基準まで、法的に義務付けられている規制の枠組みや強く推奨される規制の枠組みは数多くあります。世界的な商取引で広範に遵守が求められる有名な基準には以下のようなものがあります。
これらのベンチマークは、組織のセキュリティおよびコンプライアンスプログラムの向上を支援する非営利組織 Center for Internet Security(CIS)によって作成されています。CISは、コミュニティが開発したITおよびセキュリティ製品用のセキュリティ構成ベースライン(CIS ベンチマーク)を作成することを目的としており、そのベンチマークの対象はアプリケーション、クラウドコンピューティングプラットフォーム、オペレーティングシステムなどに及びます。
EUの一般データ保護規則(GDPR)では、組織やデータの地理的位置に関係なく、EU加盟国民の個人データの保護が義務付けられています。これには、セキュリティの量が現在のリスクレベルに適切であることを確認するために定期更新される技術的・組織的な対策が含まれます。
米国連邦リスクおよび承認管理プログラム(FedRAMP)は、クラウドサービスのセキュリティ評価、承認、継続的監視に対する標準化されたアプローチを提供する米国連邦政府の取り組みです。FedRAMPの目的は、特に連邦情報が関係する場合に、企業が最新のクラウドソリューションとテクノロジーを安全かつ確実に活用できるようにすることです。
この標準は米国公認会計士協会(AICPA)が策定したもので、企業が顧客データを管理すべき方法についての報告ガイドラインを定義しています。これらのレポートは、組織がベンダーのサプライチェーンを管理し、リスク管理プロセスを実装する上で役立ちます。レポートの対象となるステークホルダーは幅広いため、理解しやすく標準化された表現での記載が必要となります。
医療保険の相互運用性と責任に関する法律(HIPAA)は、患者の医療記録を始めとする保護対象の医療情報(PHI)を扱う企業に対し、そうした情報をセキュリティ侵害から効果的に保護することを義務付ける法律です。HIPAAセキュリティ規則では、電子PHI(ePHI)の管理、技術、物理的管理について詳述しています。この標準の対象となるデータは機密性が高いため、米国政府は2005年に同セキュリティ規則への準拠を要請しました。特に注目すべき点は、HIPAAの第2部が2022年に発行され、本質的に「米国の任意の部門または機関によって直接的または間接的に実施、規制、支援される薬物乱用の教育的予防、トレーニング、治療、リハビリテーションまたは研究に関連するプログラムまたは活動の実行に関連して維持される患者の身元、診断、予後または治療の記録」を保護することを目的としていることです。
ISO/IEC 27001は、国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で発行したクラウドセキュリティコンプライアンスの管理標準です。ISO/IEC 27001では、情報セキュリティ管理システムのセキュリティ管理のベストプラクティスと包括的なセキュリティ管理を規定しており、組織が、これに含まれるベストプラクティスのメリットを享受し、包括的なリスク管理ソリューションが導入されていることを顧客に対して実証するために準拠を選択する任意規格です。
最後の点をもう少し詳説すると、多くの場合、組織にとっては、コンプライアンスプログラムを必須の対応レベルから一歩進めて、自社のビジネスニーズや固有の環境に適した追加措置を講じることが得策となります。既存のコンプライアンスプログラムに加えてこうしたカスタムガイドラインを構築することで、積極的な対策を行い、単に必要な規制へのコンプライアンスを維持する以上のメリットを享受することができます。
クラウド運用がまだ目新しく、クラウド運用を特定の組織に合わせて調整し、現行の規制基準に準拠し続けることの複雑さを誰も理解していなかった昔とは状況が変わりました。クラウド運用への移行には確かに多くの利点が伴いますが、移行に伴う複雑さにも注意する必要があります。
組織がクラウド運用への「大きな変革」を迎える中での主な課題は、環境全体を見渡す統一された可視性が欠如している点です。この問題は、データにアクセスできるユーザー、アクセスできる場所、アクセス頻度の追跡に関して、人間のユーザーにも実際に影響する可能性があります。
クラウドの侵害の大半は誤設定から発生します。Gartnerによれば、クラウド構成エラーにより引き起こされるサイバーセキュリティ侵害は全体の95%にも達します。人的要因で発生するものもあれば、プラットフォームのデフォルト設定で問題に十分対応できるという思い込みから発生するものもありますが、リソースへのアクセスを容易にしたいというニーズから発生するものもあります。データ侵害を回避するため、組織は、こうしたエラーを防止・検知して修復するための制御を実装する必要があります。
第三者監査人は通常、組織が特定の規制基準に適合するために導入した制御が真正であることを認証する必要があります。要求に応じて、組織は安全なクラウド運用慣行を検証する第三者認証書と、セクター固有の規制基準を満たしていることの認定書を提出しなければなりません。通常、認定は数年間有効ですが、認証は現行のコンプライアンスが継続的であることを示すことにより適しています。
クラウドへの移行を拙速に進めると、複雑になりやすく、メリットよりもデメリットの方が大きくなる可能性があります。クラウド環境は非常に一時的なものですが、レガシーやオンプレミスシステムはそうではありません。組織がクラウドへの移行を加速する中、こうしたレガシーシステムをどうしていくかを決めていないことも多々ありますが、それでも管理は必要です。こうなると、DevOpsチームの対応が難しくなりがちです。これに加えて、特定の標準から除外されるリソースやワークロードがあると、状況がさらに複雑になります。リソースを除外するメカニズムがないと、誤検知が多数発生し、費用がかかり、望ましくない中断が発生する可能性があります。
次に、規制基準への適合とクラウドでのコンプライアンスの維持という大きな課題に対処できる、いくつかのベストプラクティスと全体的な衛生管理について見ていきましょう。
データ暗号化 とは、データの元の形式を読み取り不可能なものに変換するものです。 Google Cloud Platform(GCP)などのサービスは、顧客データを受信した後、ディスクに書き込まれて実際に保存される前に、常に自動的に暗号化します。また、クラウドセキュリティプロバイダーによる資格情報の暗号化もあります。多くの場合、これらの資格情報を使用する前に、いくつかの復号レイヤーを実行する必要があります。
認証情報に関しては、最小権限アクセス(LPA)の原則を適用することで、クラウド内の特定のタスクを実行する必要がある人やプログラムのみにアクセスが許可されるようになります。LPAを利用するソリューションでは、通常、自動化を採用して、ユーザーのロールに基づいてアクセス許可を厳しくしたり緩めたりします。
ゼロトラスト概念の実装は、クラウド環境を非常に安全に保つのに役立つ便利な方法です。すべての人間、エンドポイント、モバイルデバイス、サーバー、ネットワークコンポーネント、ネットワーク接続、アプリケーションワークロード、ビジネスプロセス、データフローは、本質的に信頼されず、各トランザクションの実行時にそれぞれが継続的に認証・許可される必要があり、すべてのアクションはリアルタイムおよび事後に監査可能でなければなりません。
クラウド運用においてフレームワークを適切に設計するには、基本的に、ステークホルダーがビジネスのニーズと優先順位に最も適したクラウドアーキテクチャを実装・評価するための合意されたアプローチが必要となります。この原則として最も有名な例がAWS Well-Architected Frameworkで、顧客がリスクの高い問題を特定する上で役立ちます。