クラウドコンプライアンスとは? クラウド コンプライアンスは、クラウドベースの資産がデータ保護規制の要件を満たしていることを確認するために実施する必要がある一連の手順、制御、および組織的対策です。 スタンダーズ 、および組織に関連するフレームワーク。
規制要件自体は、データをオンプレミスでホストするかクラウドでホストするかに関係なく、通常は同じです。 ただし、これら 2 つの環境は互いにまったく異なるため、このような要件を満たすために実行する必要がある手順もまったく異なります。 これは、クラウドの動的でより複雑な性質に起因しており、データガバナンスに対する新しい異なるアプローチが必要です。
これに加えて、'クラウドコンプライアンスは、サイバーセキュリティとは明らかに異なる分野であることを念頭に置いておくことが重要です。 コンプライアンスはチェックボックスにチェックを入れる作業ですが、サイバーセキュリティは組織と 技術的な制御 これは、組織、組織が保存および処理するデータ、および使用するテクノロジに固有のものです。
さらに、コンプライアンスの範囲ははるかに広い場合が多いです。 たとえば、サイバーセキュリティは 一般データ保護規則(GDPR) これには、データ主体の権利や、データに関する操作や保存期間の制限など、その他のさまざまな規定が含まれます。
Example of cloud compliance heatmap that allows you to you can assess your compliance posture at a glance 今日に適用されるさまざまなデータ保護法と基準を考慮して'データドリブンな組織と、クラウドへの移行がもたらすデータ保護に関する新たな課題により、クラウドコンプライアンスの重要性はかつてないほど高まっています。
クラウド コンプライアンスの責任者は誰ですか?オンプレミスのデータセンターでワークロードをホストする場合、セキュリティとコンプライアンスのほぼすべての側面に責任を負います。 しかし、クラウドでは、'しかし、この責任の一部をクラウドプロバイダーに委ねることになるので、まったく別の話になります。
言い換えれば、クラウドコンプライアンスは共同責任です。 しかし、いったい誰が何に責任を持つのでしょうか?
責任の境界をお客様が理解できるように、主要なクラウド サービス プロバイダー (CSP) は、 責任共有モデル . これらは概して非常によく似ており、次の点があります。
The AWS shared responsibility model.
クラウドガバナンスクラウドガバナンス また、クラウドコンプライアンスは、クラウドリソースを効果的に管理するための不可欠な側面です。 クラウド ガバナンスには、クラウド サービスの使用を組織に合わせるためのポリシー、手順、および制御の確立が含まれます'目標、規制コンプライアンスの確保、およびベストプラクティスの遵守。 これには、クラウドリソースの利用に関するガイドラインの開発と実装が含まれ、確立された標準への継続的な準拠を保証するための監視と監査に重点を置いています。
一方、クラウドコンプライアンスは、クラウド環境内の法律、規制、および業界固有の要件を満たすことに特に焦点を当てています。 これには、データセキュリティ、プライバシー、規制上の義務、クラウドサービスプロバイダーとのサービスレベルアグリーメント(SLA)の遵守などの領域に対処することが含まれます。
ガバナンス フレームワークには、コンプライアンスのニーズに直接対応するポリシーが含まれていることが多く、ガバナンス メカニズムはこれらのポリシーを適用して外部の標準や規制への準拠を確保するため、クラウド ガバナンスとコンプライアンスの関係はその整合性にあります。 ガバナンスとコンプライアンスの取り組みはどちらも、クラウド環境での効果的なリスク管理に貢献し、潜在的な問題の特定と軽減に重点を置いています。
規則以下では、次のような最も重要なクラウド コンプライアンスの規制とフレームワークについて説明します。
一般データ保護規則(GDPR)欧州経済領域(EEA)の市民の個人データを保護することを目的としたデータプライバシー法。 GDPRは、データ収集時にノルウェー、アイスランド、リヒテンシュタインとともに、EUの領土境界内に居住しているすべての人を対象としています。
GDPRは欧州の法律ですが、地域的な範囲では依然としてグローバルです。 これは、 任意 EEA居住者にサービスを提供したり、事業運営の日常的な部分としてデータを処理したりする組織。
GDPRのサイバーセキュリティ要件は非常に緩やかに定義されており、個人データに対するリスクと実装コストに応じて適切なレベルの保護を提供する必要があると述べているだけです。 これは、コンプライアンスの実証に役立つ明確なデータガバナンスポリシー、対策、および手順を通じて、クラウドベースのデプロイのセキュリティに対する責任と説明責任の重要性を強調しています。
そしてドン'GDPRが対象とするのはサイバーセキュリティだけではないことを忘れてはなりません。 たとえば、'次の点を考慮する必要があります。
データの最小化: 個人データは、次のような場合にのみ収集する必要があります'あなたの目的を達成するために実際に必要です。
ストレージの制限: 必要以上に長く保管しないでください。
データ所在地: データ主体が同意している場合、または第三国へのデータ転送が非常に特殊なGDPR要件を満たしている場合を除き、EEA内でのみ処理および保存する必要があります。
アクセス権: お客様は、データ主体について保持する個人データのコピーに関するデータ主体からの要求に応じなければなりません。
消去の権利: 特定の状況下では、削除を要求した個人の個人データも削除する必要があります。
EUを離脱して以来、英国はGDPRを独自に実施しており、これはEUの対応国と実質的に同じです。
デジタル・オペレーショナル・レジリエンス法(DORA)デジタル・オペレーショナル・レジリエンス法(DORA)は、ヨーロッパを保護することを目的としています'の金融セクターをサイバーの混乱や攻撃から守るために、統一されたICTリスク管理フレームワークを構築します。 この行為は次のように見積もられています。 22,000以上の金融機関に影響を与える 銀行、保険会社、クラウドサービスなどのICTプロバイダー。
DORA の主な目標は次のとおりです。
連邦情報セキュリティ管理法 (FISMA)フィスマ は米国です。 連邦政府機関は、公共部門にサービスを提供する民間企業とともに、管理下にある政府情報を保護するために採用しなければならない法的枠組み。 それはの基盤の上に構築されています FIPSの199 , FIPSの200 、NIST SP 800-53 では、以下を使用します。
FIPS 199 は、機密性、整合性、または可用性が失われた場合の潜在的な影響 (低、中、高) に基づいて情報および情報システムを分類します。
FIPS 200 は、FIPS 199 評価に基づいて組織のセキュリティ目標を決定します。
FIPS 199 および FIPS 200 評価の結果により、組織に適用される適切な NIST SP 800-53 ベースライン セキュリティ制御が選択されます。
FISMAコンプライアンスは、連邦政府機関とその請負業者にのみ適用されますが、政府機関とのビジネスへの新しい扉を開くことができるため、他の組織にとっても有益です。
医療保険の相互運用性と説明責任に関する法律 (HIPAA)として知られている HIPAA セキュリティルール 、この一連の国内コンプライアンス基準は、米国全体の機密性の高い患者の医療情報を保護することを目的としています。 この規則は、医療管理を合理化し、失業または転職した従業員のために中断のない健康保険の適用範囲を確保するなど、HIPAAのより広範な目標の一部を形成しています。
HIPAA は、医療提供者、健康保険会社、関連する請求サービスなど、個人の健康情報を直接処理するすべての組織を対象としています。
サーベンス・オクスリー法(SOX)SOX法は、株主、従業員、および一般の人々を過失または詐欺的な会計および財務慣行から保護することを目的とした連邦法です。
この法律は、主に財務報告、内部監査手続き、および公開企業におけるその他のビジネス慣行の規制に焦点を当てています。 ただし、情報技術に関連するコンプライアンス要件も含まれます。 たとえば、ログを監視し、機密データを含むユーザーアクティビティの完全な監査証跡を維持する必要があります。 さらに、限られた範囲のデータセキュリティ、可用性、およびその他のアクセス制御が含まれます。
標準とフレームワーク
ペイメントカード業界データセキュリティ基準(PCI DSS)カード決済を受け付けたり処理したりするすべての組織に適用される契約上の基準。 PCI DSSは、機密性の高いカード会員データのセキュリティを確保するように設計されています。 これは、決済業界の主要な利害関係者の団体であるPCI標準評議会によって管理されています。
このフレームワークは、次の規定を含む一連の技術的および運用上の要件で構成されています。 ファイアウォール , 暗号化 そして アクセス制御 .
加盟店やサービスプロバイダーがクラウドのコンテキストでこれらの要件を理解できるように、PCI Standards Councilはオンラインで ガイド クラウドコンピューティングがPCI DSSコンプライアンスに与える影響について。 これには、顧客とクラウド サービスのプロバイダーの間でコンプライアンス義務を共有する方法を理解するための出発点となる、責任共有マトリックスの例が含まれます。
Sample responsibility matrix for meeting PCI DSS requirements.
米国国立標準技術研究所 (NIST SP 800-53)この技術的および運用上の制御のライブラリは、情報システムの整合性、機密性、およびセキュリティを保護することを目的としています。 米国では必須です。 FISMAの中核コンポーネントとして機能する、連邦システムにアクセスできる政府機関および請負業者。 さらに、FISMAコンプライアンスをサポートするさまざまなフレームワークのカスケード全体を支えています。
簡単に言うと、NIST SP 800-53 は、データに対するリスクに基づいて選択するベースライン コントロールのさまざまなカテゴリに分類されます。
The role of NIST SP 800-53 in a multi-tiered approach to FISMA compliance
連邦リスクおよび承認管理プログラム(FedRAMP)この FISMA の合理化されたバージョンは、政府によるクラウド サービス プロバイダー (CSP) の使用に特化しています。
これは、クラウドの責任共有モデルによって導かれ、要件を 2 つの制御セット (1 つは CSP 用、もう 1 つはそのサービスを使用する連邦政府機関または請負業者用) に分離します。 これにより、FISMA への準拠が簡素化され、セキュリティ目標の不必要な重複を回避できます。
完全なコンプライアンスを確保するために、連邦政府機関または請負業者は、FedRAMP 承認を受けた CSP を使用し、独自の FedRAMP 義務を満たす必要があります。
システムおよび組織統制 2 (SOC 2)自主的なコンプライアンス フレームワークである SOC 2 は、サービス組織が、管理下にある機密データを保護するための適切な対策が講じられていることを顧客に保証するのに役立ちます。 SOC 2 構成証明は、米国の多くのアウトソーシング サービスに必要であり、多くの場合、顧客は契約上の合意の一部として要求します。
SOC 2 コンプライアンスを維持するためには、セキュリティ体制に関する年次独立監査に合格する必要があります。 評価は、コントロールの 5 つの大きなカテゴリに基づいています。安全 , 可用性 , 処理の整合性 , 機密性 そして プライバシー .
Center for Internet Security Critical Security Controls (CIS コントロール)Example compliance assessment against CIS Docker 1.6.0 組織が優先事項として実装する必要がある重要なセキュリティ制御の自発的なセット。 CISコントロール は、硬化システムの出発点として設計されています。 これは、最も効果的で直接的な影響を与える対策に焦点を当てているためです。 これらは、セキュリティリソースと専門知識が限られているIT部門にとって特に役立ちます。
主要なデータ保護規制と基準の概要Regulation or Framework Applies to Scope Territorial Scope Compliance Responsibility GDPR Any organization that processes data about EEA citizens Data security and availability, handling of personal data, and rights of data subjects Anywhere in the world Mandatory FISMA Federal agencies and their contractors, along with any CSPs they use Security and privacy of data on federal systems United States Mandatory HIPAA Privacy Rule Healthcare providers, health insurance companies, and associated billing services Security and privacy of healthcare information United States Mandatory except where state law takes precedence SOX Publicly traded companies Largely financial and business practices, but also covers IT controls United States Mandatory for public companies although some requirements also apply to private companies and non-profit organizations PCI DSS Any organization that accepts or processes card payments Data security Anywhere in the world Contractual NIST SP 800-53 Federal agencies and their contractors, along with any CSPs they use Security and privacy of federal data United States Mandatory FedRAMP Federal agencies and their contractors, along with any CSPs they use Security and privacy of federal data processed or stored in the cloud United States Mandatory SOC 2 Mainly SaaS vendors, companies that provide analytics and business intelligence services, financial institutions, and other organizations that store sensitive customer information Data security, availability, processing integrity, confidentiality, and privacy Globally recognized but mainly adopted in United States Voluntary CIS Controls Organizations of any size and in any industry sector Data security Globally recognized Voluntary
CSP によるクラウド コンプライアンス
コンプライアンスプログラムクラウド コンプライアンス イニシアチブの開始時に、次のことを行います'CSPが責任共有の契約のその側を満たすことができるようにする必要があります。 組織に影響を与える可能性のある規制や基準の数が非常に多いことを考えると、この審査プロセスは手ごわい作業のように思えるかもしれません。
しかし、大手3社のベンダーは、それぞれ AWSの , Microsoft Azure(マイクロソフト アズ そして Google Cloud Platform – は、プラットフォームに必要な適切な認証、構成証明、または調整が行われていることを確認するのに役立つオンライン コンプライアンス ポータルを提供します。
さらに、コンプライアンス オファリングを産業部門や地域などのさまざまなカテゴリにグループ化することで、簡単に確認できます。
コンプライアンス ツールまた、各ベンダーは、コンプライアンスをサポートおよび実証するためのその他の社内サービスも多数提供しています。 これらには以下が含まれます:
AWSアーティファクト: ベンダーへのオンデマンドアクセスを提供するセルフサービスポータル'コンプライアンス文書および契約。 これにより、お客様は使用する AWS のサービスのコンプライアンスを迅速かつ効率的に評価し、監査人や規制当局に提供する必要のある適切なベンダーコントロールの証拠を得ることができます。
AWS Audit Manager: コントロールを継続的に監査するソリューション'ゲストAWS環境に実装して、さまざまな規制や標準に準拠することができます。
Azure ブループリント: 定義済みの標準と要件に準拠する環境を作成および管理するためのリソース テンプレート サービス。 ブループリントは基本的に、完全に管理された環境を Azure プラットフォームにデプロイするためのパッケージ化された成果物のセットです。
Azure Policy: サービスがデフォルトの許可および拒否リソース・プロパティーで構成されていることを確認するルール・セットを作成および保守できる、一元化されたポリシー管理サービス。 また、リソースがポリシー ルールから逸脱したときにアラートを発し、コンプライアンス違反を自動的に修復することもできます。
Google Assured Workloads: ワークロードに制御を自動的に適用して、指定された規制の枠組みの要件を満たすことで、コンプライアンスをサポートするツール。 たとえば、コンプライアンス プログラムで許可されているテリトリー境界内のクラウド リージョンでのみデータをホストできます'10000000000 また、法律で義務付けられている適切な暗号化サービスを構成し、データ主権の要件に沿ってアクセス制御を実施します。
クラウド リージョンGDPR に加えて、世界中の他の多くのデータ保護規制には、データ主体に関する個人情報を保存および処理できる場所を管理するデータ所在地の要件が含まれています。
だからあなたは'CSPが法律で許可されている国でデータセンターの存在を提供していることを確認する必要があります。 3大クラウドベンダープラットフォームのいずれかでワークロードをホストすることを選択した場合、現在、世界中に合計130を超えるデータセンターリージョンがあるため、これは比較的簡単です。
Google’s global network of cloud regions
基本的なクラウドコンプライアンスのベストプラクティスさせる'は、クラウド環境のセキュリティ、コンプライアンス、および効率的な管理を確保するためのいくつかの重要なベスト プラクティスを確認します。 プラクティスは、次の 3 つの主要な領域に分類されます。
1. データセキュリティ クラウドに保存されたデータの機密性、整合性、可用性を確保します。
データの分類とガバナンス:
暗号化とキー管理:
アクセス制御とID管理:
2. 構成管理 システム、サーバー、およびソフトウェアを望ましい一貫性のある状態に維持するプロセス。
安全なAPIの使用:
パッチ管理:
ネットワーク構成とセグメンテーション:
3. 戦略 & モニタリング クラウドのセキュリティとコンプライアンスを管理および監督するための包括的なプラクティスと手順。
コンプライアンスと規制の認識:
セキュリティ評価と監査:
従業員のトレーニングと意識向上:
インシデント対応:
クラウドプロバイダーの詳細:
クラウド コンプライアンス ソリューションで探すべきことクラウドベースの環境が複雑で、独自の制御セットを決定する可能性のある膨大な数の異なる規制や標準を考えると、クラウドコンプライアンスは簡単な課題ではありません。
幸いなことに、要件の多くは基本的に同じですが、異なるフレームワーク間では重複が強くなっています。 それにもかかわらず、重複する責任と特定のフレームワークに固有の責任の両方を追跡することは、手ごわく、時間のかかる手作業です。
では、この課題をどのように克服すればよいのでしょうか? コンプライアンスの取り組みが重複しないようにするにはどうすればよいでしょうか? クラウドの技術的な構成をコンプライアンス体制にどのようにマッピングしますか? また、複雑なマルチクラウド実装におけるコンプライアンスの取り組みを合理化するにはどうすればよいでしょうか。
それ'サードパーティのコンプライアンスツールが役立つ場合。
彼らが'REは、幅広いコンプライアンスフレームワークに対してクラウド環境を継続的に監視し、ベンチマークするように設計されています。 たとえば、PCI DSSの要件1に沿って、支払いカード所有者データを保護するための適切なネットワークセキュリティ制御が実施されているかどうかを確認できる必要があります。 また、CIS Controls などの技術フレームワークの最新の要件を満たすために、必要に応じて、コンテナー化されたワークロードなどの複雑なクラウドベースのデプロイのセキュリティ体制を評価する必要があります。 ただし、これらは、高度に開発された継続的なコンプライアンス プラットフォームの一部として提供される、文字通り何百もの組み込みチェックの 2 つにすぎません。
PCI DSS benchmark checks provided by the Wiz Cloud Compliance solution しかし、ベンチマークは'これは、クラウドコンプライアンスソリューションで探すべき唯一の機能です。
さらに、独自の内部要件やソフトウェアサプライチェーン内の他の組織の要件に準拠できるように、カスタムフレームワークを構築する方法を提供する必要があります。
また、メッセージングやチケット発行のプラットフォームと統合して、問題を適切なチームに自動的にルーティングする必要があります。 また、自動修復機能を備えているため、一般的で永続的な設定ミスを迅速かつ効率的に修正できます。
最後に、詳細な情報から経営幹部の概要まで、あらゆる評価レポートを提供する必要があります。 そうすれば、組織内の誰もが、コンプライアンス体制を追跡するために必要な分析情報を得ることができます。
100+ Built-In Compliance Frameworks See how Wiz eliminates the manual effort and complexity of achieving compliance in dynamic and multi-cloud environments.
デモを見る