クラウドコンプライアンス入門ガイド

クラウドコンプライアンスとは？

クラウドコンプライアンスとは、クラウドコンピューティングにおいて、規制基準、国際的な法律および指令、業界のベストプラクティス（フレームワーク、ベンチマーク）に準拠するためのプロセスを指します。クラウドコンプライアンスは、クラウドサービスおよびそれらが扱うデータが、セキュリティ、プライバシー、運用に関する特定の基準を満たすよう支援します。組織が顧客との信頼関係を築いて維持するためには、さまざまなコンプライアンス要件（MITRE ATT&CK®、CIS、NIST、ISOなど）と規制（GDPR、FedRAMP、HIPAAなど）に対処する必要があります。堅牢なセキュリティ対策を確立し、定期的な監査と継続的モニタリングを行うことで、クラウドを侵害から保護し、規制遵守を確実にしなければ、クラウドコンプライアンスは実現できません。

コンプライアンスを取り巻く状況は急速に変化しています。これは、組織が収集するデータ量の急激な増加に伴い、さまざまな問題に対処するために新しい規制、フレームワーク、ベンチマークが次々に導入されているためです。これらの規制は、データ保護とプライバシーだけでなく、サイバーセキュリティ、財務報告、環境基準などの分野にも広がっています。オンプレミスのデータセンターからクラウドベースのインフラストラクチャに移行する組織が増える中、情報技術も進化しており、さまざまな分野でコンプライアンスを維持するための新たな課題や機会が生まれています。その結果、多くの組織がコンプライアンス義務やクラウドコンプライアンスの定義について不確実性に直面しています。しかし、データをオンプレミスでホストする場合でも、パブリッククラウドでホストする場合でも、要件はほとんど変わらないのが現実です。この記事では、コンプライアンス維持の重要性、クラウドコンプライアンスの課題、そしてベストプラクティスを確実に守るための方法について考察します。

クラウドコンプライアンスが重要な理由

現在のデジタル世界において、企業や組織が使用している膨大なデータ量のリポジトリには、顧客情報だけでなく、専有ビジネスデータ、財務記録、知的財産も格納されています。これらのデータに、決済カードの詳細、住所、社会保障番号などの機密情報が含まれていることは珍しくありません。顧客やステークホルダーは、侵害が壊滅的な結果を招く可能性があることを知っており、企業が顧客データを保護してくれると信じています。

機密情報を攻撃者から保護し、セキュリティリスクを緩和するには、組織が業界、国内、および国際的な規制とフレームワークに準拠する必要があります。これらの規制は、データの侵害や誤用を防ぐだけでなく、堅牢なセキュリティ対策が確実に実施されるように設計されています。コンプライアンス違反は、多額の罰金、競争上の優位性の喪失、顕著な評判低下など、深刻な影響を招く可能性があります。

侵害によって消費者の信頼が失われると、顧客のロイヤルティや収益が低下して、すべてのステークホルダーに悪影響を与えかねません。デジタル化が進む中、組織はクラウドコンプライアンスを優先して、セキュリティに関する懸念事項に対処し、評判を損なうリスクを管理して、運用に関する整合性を確保する必要があります。

クラウドコンプライアンスの課題

クラウドコンピューティングを導入すると、クラウド環境の特性から独自のコンプライアンス課題を引き起こします。クラウドコンプライアンスを確保する際に組織が直面する可能性のある主な課題としては、以下が挙げられます。

• 認証と証明書：適用される標準や規制の要件を満たすには、企業とクラウドサービスプロバイダーの両方が標準および規制へのコンプライアンスを実証する必要があります。つまり、クラウドプラットフォームで、必要とされる認証と証明書を維持できるようにしなければなりません。認証を取得するだけでなく、継続的モニタリングを行うことも不可欠となります。データ保護法が更新されたり、新しい規制が施行されたりする中、クラウドプロバイダーのコンプライアンスステータスが失われる可能性があるためです。
• データレジデンシー：ほとんどのデータ保護法では、個人データを許可された地域内でホストすることを義務付けています。そのため、これらの法令に準拠するには、クラウドリージョンを慎重に選定する必要があります。特に、組織が複数の規制に従う必要がある場合、この課題は一層大きくなります。その場合、すべての規制対象データを適切に管理するために、マルチクラウド戦略を採用する必要があるかもしれません。
• クラウドの複雑さ：データに対する可視性と制御はデータ保護において非常に重要ですが、動的で複雑なクラウド環境はこれに大きな課題をもたらします。多くの可変要素が存在するため、すべてのデータアセットを追跡し、それらに関連するリスクを評価することが難しくなります。組織は、可視性と制御を維持するために、クラウド専用に設計された堅牢なデータ管理手法とツールを実装する必要があります。
• セキュリティに対する異なるアプローチ：従来のセキュリティツールは、IPアドレスの頻繁な変更やリソースの継続的な起動および終了が行われるクラウド環境において、しばしば十分に対応できないことがあります。コンプライアンス要件は通常、データ保護に関して適切な技術的および組織的措置を求めており、これに対応するためにはクラウドインフラに合わせたセキュリティソリューションが不可欠です。これらのソリューションは、クラウド環境に適応するため、設定管理と個々のワークロードの保護を重視しています。
• 責任共有モデル：クラウドでは、セキュリティとコンプライアンスに対する責任がクラウドプロバイダーと顧客の間で共有されます。主要なクラウドサービスプロバイダーは、各当事者の責任を明確にする責任共有モデルを公開しています。クラウドプロバイダーは物理的なデータセンター、ハードウェア、ハイパーバイザーのセキュリティに責任を負います。一方で、顧客はゲストオペレーティングシステム、アプリケーション、ネットワークの設定に対して責任を負います。同様に、コンプライアンスに対する責任も分担されます。クラウドベンダーは提供するインフラとサービスのコンプライアンスを確保しますが、顧客はそのプラットフォーム上での展開が関連する規制に準拠していることを確認する責任があります。
• コンプライアンスの継続的モニタリング：クラウド環境の動的な性質を考慮すると、コンプライアンスは一度限りの作業ではなく、継続的なモニタリングと適応を必要とします。組織はコンプライアンスの継続的なモニタリングを実施し、コンプライアンスの問題を迅速に検出し、対処しなければなりません。これには、定期的な監査、リアルタイムのモニタリングツールの活用、進化する規制に対応するためのポリシーや手順の更新が含まれます。
• ベンダー管理：重要な点として、クラウドサービスプロバイダーがコンプライアンスを維持していることを確認する必要があります。そのために必要となる堅牢なベンダー管理手法として、プロバイダーのコンプライアンスステータスを定期的にレビューおよび監査し、プロバイダーによるコンプライアンスプロセスを把握するとともに、プロバイダーのステータスの変化に迅速に対処できるようにする必要もあります。これらの課題を十分に理解して対処することで、組織はクラウドでのコンプライアンス義務を効果的に果たし、機密データの強固な保護と、顧客およびステークホルダーとの信頼関係を維持できます。

一般的なクラウド規制と標準

クラウドでの最も一般的なコンプライアンス要件（規制、フレームワーク、ベンチマークなど）として、以下が挙げられます。

GDPR（EU一般データ保護規則）

GDPRは、EU加盟国間でデータ保護法を統一し、強化することを目的として制定された欧州の法律です。この法律には、欧州経済領域 (EEA) 市民のプライバシー権を保護するための包括的な要件が含まれています。主な規定は次のとおりです。

• データレジデンシー：個人データは、個人が別途同意しない限り、EEA内またはその他の許可された国でのみ処理および保存する必要があります。
• データの最小化：組織は、業務に必要な個人データのみを収集し、保存するべきです。
• 保管制限：個人データを必要な期間以上保持することはできません。
• アクセスの権利：個人には、組織が保持する個人データにアクセスする権利があります。
• 消去の権利：個人には、自分の個人データを削除するよう要求する権利があります。

GDPRでは堅牢なデータセキュリティ対策も義務付けていますが、これらの要件の定義はやや広範です。GDPRは欧州の法律ですが、その適用範囲は全世界に及び、組織の所在地に関係なく、EEA居住者に関する個人データを処理または保存するすべての組織に適用されます。コンプライアンス違反に対する罰則は非常に厳しく、最大2,000万ユーロ、または世界全体の年間売上高の4%のうち、いずれか高額な方の罰金が科せられます。

英国はEU離脱以来、「U.K. GDPR」と呼ばれる独自のGDPRを施行しています。U.K. GDPRはEUのGDPRとほぼ同一ですが、国内の法的枠組みに収まるようにするための調整が加えられています。たとえば、U.K. GDPRは2018年データ保護法に対応付けられており、英国に固有の規定（法執行機関や国家安全保障に関連する規定など）が追加されています。英国内で事業を行う組織や、英国に由来するデータを処理する組織は、U.K. GDPRおよび2018年データ保護法に従って、データ保護の基準を最高レベルに維持する必要があります。

連邦リスクおよび認証管理プログラム (FedRAMP) とNIST SP 800-53

クラウドで処理および保存されるデータを明確に対象とした政府規制の顕著な例としては、FedRAMPが挙げられます。FedRAMPは、連邦情報セキュリティ近代化法 (FISMA) を合理化したバージョンです。FISMAは連邦政府機関とその請負業者によるデータの処理と保存を対象とする米国の法律で、クラウドベースの展開に適合するように調整されたものです。

FedRAMPは、ITシステムのセキュリティとレジリエンスを確保することを目的とした、幅広い規制フレームワークの一部となっています。これらの規制は、NIST SP 800-53という、データに対するリスクに応じて分類された要件の包括的ライブラリに記載されています。NIST SP 800-53では、組織がセキュリティとレジリエンスを維持するために実施すべき標準化された一連のコントロールが提供されています。

FedRAMPとNISTのガイドラインは民間企業が任意で従うものですが、米国全体で連邦規制が断片化されているため、これらを採用することで、組織はプライバシーとセキュリティに対してより標準化されたアプローチを取ることができます。この標準化されたアプローチは、さまざまな規制要件へのコンプライアンスを達成するだけでなく、全体的なデータセキュリティを強化し、運用の整合性を高めるためにも役立ちます。

FedRAMPの厳格なフレームワークにより、クラウドサービスプロバイダーは厳しいセキュリティ基準を確実に満たすことができます。これは、連邦政府機関にとって不可欠であるだけでなく、高いセキュリティとコンプライアンス基準を維持したい民間企業にとっても有益です。このプログラムには、継続的なコンプライアンスとセキュリティの確保のために、継続的モニタリングと定期的な評価が含まれています。

クラウドサービスの導入を検討している組織にとって、FedRAMPガイドラインに準拠することは、堅牢なセキュリティ対策と米国連邦政府の基準への適合を示し、競争上の優位性を提供します。これは、連邦政府機関との取引を目指す企業や、クラウドベースの運用のセキュリティについて顧客やステークホルダーの安心感を高めたい企業にとって、特に重要です。

ISO 27000規格ファミリー

ISO 27000規格ファミリーは、さまざまな脅威から情報システムを保護するための包括的なベストプラクティスを提供する国際規格です。この規格ファミリーには、次のものが含まれます。

• ISO 27001：これは、一連の規格の中でコアとなる規格で、情報セキュリティを管理するための一般的なコントロールセットを提供します。情報セキュリティマネジメントシステム (ISMS) の確立、実装、維持、継続的な改善を行うための要件を定義しています。
• ISO 27017：この規格は、クラウドコンピューティングに特化した追加のセキュリティ対策を提供し、クラウド環境に特有のセキュリティ課題に対応します。
• ISO 27018：この規格は、クラウドベースの環境における個人データの保護に焦点を当て、データ保護規制へのコンプライアンスを確保するためのプライバシー対策を示しています。

ISO規格への準拠は任意ですが、認証を受けると多くの利点があります。認証を取得することで、強固な情報セキュリティ対策への取り組みを示し、顧客や取引先の信頼を得ることができます。また、情報資産に対するリスクを軽減し、必須のデータ保護規制へのコンプライアンスを促進します。これらの規格に準拠することで、組織は機密情報を管理するための体系的な方法を確立し、その安全性と機密性を維持できます。

これらのコア規格に加えて、ISO 27000ファミリーには、リスク管理 (ISO 27005) やサイバーセキュリティ (ISO 27032) など、情報セキュリティの特定の分野に特化したガイドラインやフレームワークも含まれています。これらの規格は、情報セキュリティポスチャを強化し、さまざまなサイバー脅威から保護を求める組織に対し、包括的なツールキットを提供します。

ISO 27000規格を採用し、認証を取得することで、組織はセキュリティ対策を強化できるだけでなく、この認証が国内外の市場で広く認知され、信頼されていることから、他社との差別化につながります。このように情報セキュリティのベストプラクティスに取り組むことは、顧客の信頼を高め、ビジネスチャンスを広げることにもつながります。

PCI DSS（ペイメントカード業界データセキュリティ基準）

PCI DSSは、Payment Card Industry Security Standards Council (PCI SSC) によって管理されているセキュリティ指向の基準で、カード決済の受け付けや処理を行うすべての組織に適用されます。この基準は、12の必須要件を定めることによって、カード決済取引およびカード所有者の情報を保護することを目的としています。

これらの要件は、GDPRなどの一般的なデータ保護規制で規定されているものよりも具体的で、決済セキュリティを強化するための実践的な対策を提供します。ただし、これらの要件の実装は、クラウド環境では大きく異なる可能性があります従来の境界ベースのファイアウォールは、クラウドの動的、分散的、高度にスケーラブルな性質に合わせて設計されていません。この課題に対処するために、組織はクラウドファイアウォールを使用する必要があります。これは、クラウドインフラストラクチャ保護専用に設計された、ソフトウェアベースのソリューションです。クラウドファイアウォールは、変化し続けるクラウド環境に柔軟に対応でき、より強固で柔軟なセキュリティ対策を提供します。

PCI DSSに準拠することで、機密性の高い決済情報を保護するだけでなく、厳格なセキュリティ対策への取り組みを示し、顧客の信頼を高めるとともに、データ侵害のリスクを軽減することができます。サイバー脅威が進化し続ける中で、カード決済取引を扱う組織にとって、PCI DSSコンプライアンスの維持は不可欠であり、潜在的なセキュリティ脆弱性に先手を打って対策を講じ、顧客データを効果的に守るために重要です。

HIPAA（医療保険の相互運用性と説明責任に関する法律）

HIPAAは、患者の機密データを保護するために制定された米国の法律です。HIPAAは、保護対象保健情報 (PHI) を取り扱うすべての組織、例えば医療提供者、保険会社、そしてそのビジネスパートナーに適用されます。HIPAAへの準拠は、患者のプライバシーを守り、医療情報を不正アクセスや漏洩から保護するために極めて重要です。特にクラウド環境では、データの保存や処理方法が従来のオンプレミス環境とは大きく異なるため、その重要性が一段と高まります。

クラウドでHIPAAに準拠するには、組織は以下のことを実施する必要があります。

• 定期的なリスクアセスメントを実施する：クラウド環境におけるPHIの取り扱いに関する潜在的な脆弱性を特定し、CSPのセキュリティ対策を評価します。
• ポリシーと手順を策定し、実装する：これらのポリシーが、クラウドでのデータ保存や処理における特有の課題（データレジデンシー、暗号化、アクセス制御など）に対応していることを確認します。
• 従業員の教育：HIPAAの要件やPHI保護のベストプラクティスについて、クラウド固有の留意点に重点を置きながら従業員を教育します。
• 強固なセキュリティ対策：クラウド上でePHIを扱うシステムに対して、暗号化、安全なアクセス制御、定期的なモニタリングを実施します。CSPがHIPAA準拠のセキュリティ機能を提供し、ビジネスアソシエイト契約 (BAA) を締結していることを確認します。
• インシデント対応計画：クラウドでの潜在的な侵害に対処するための手順や、タイムリーな通知を確実に行うための手順を含む、明確なインシデント対応計画を確立します。

HIPAAに準拠することで、患者の機密データを保護するだけでなく、コンプライアンス違反に対する重大な罰則（違反ごとに最大50,000ドルの罰金、同一の規定に対しては年間最大150万ドルの罰金）が科されるリスクを回避することができます。さらに、HIPAAに準拠し続けることは、患者のプライバシーと信頼を守るという確固たる姿勢を示し、医療機関としての信頼性を築き、維持するために不可欠です。

HIPAA規制を遵守し、クラウド特有の課題に対応することで、医療機関はPHIを効果的に管理、保護し、デジタル化が進む医療環境において患者情報のプライバシーとセキュリティを確保することができます。

クラウドコンプライアンスのベストプラクティス

規制要件を満たすために従うことができる多数のさまざまなベストプラクティスがありますが、クラウドでコンプライアンスを達成する際には、次のベストプラクティスが特に役立ちます。

• 暗号化：データ自体を保護するために、保存時と転送時の両方でデータを暗号化することから始める必要があります。ただし、データの安全性は、暗号化に使用したキーの安全性に依存します。そのため、優れたキーの管理方法を維持する必要があります。
• デフォルトでのプライバシー：プライバシーは、システムの設計アクティビティと処理アクティビティに自動的に組み込まれる必要があります。これにより、データ保護規制や標準への適合が大幅に簡略化されます。
• 最小特権の原則：職務を果たすために実際に必要なデータとリソースのみへのアクセス権をユーザーに付与する必要があります。これにより、内部と外部の脅威アクターからの侵害リスクを大幅に低減できます。また、コンプライアンス要件を満たす適切な措置を講じていることを実証できます。
• ゼロトラスト：ネットワークにアクセスするすべてのユーザー、エンドポイント、およびアプリケーションに対し、「決して信頼せず常に検証する」というスタンスで、厳格に認証、承認、および監視する必要があります。
• 適切に構成されたフレームワーク：AWS、Microsoft Azure、およびGoogle Cloudなどの主要なクラウドベンダーが公開しているモジュラーフレームワークは、プラットフォーム上での回復力を持つ、安全かつ高度に最適化されたワークロードを構築する方法に関する一連の原則を顧客企業に提供します。
• 継続的モニタリングと監査：継続的なコンプライアンスを確保するために、継続的モニタリングと監査を実施します。自動化ツールを使用してコンプライアンスの状態をリアルタイムで監視し、定期的に監査を行うことで、ギャップや問題を迅速に特定し、対処します。
• 強固なベンダー管理の実践を確立し、クラウドサービスプロバイダーがコンプライアンス基準を維持できるようにします。コンプライアンスの状況とプロセスを定期的に見直し、監査を行って、規制要件が満たされていることを確認します。
• インシデント対応計画：クラウド環境に適した強力なインシデント対応計画を策定し、維持します。計画には、セキュリティインシデントやデータ侵害の検出、対応、復旧の手順が含まれていることを確認します。
• データレジデンシーの認識：データレジデンシーの要件に留意し、該当するデータ保護法に準拠したクラウドリージョンを選択します。組織が複数の規制の対象となっている場合は、すべてのデータレジデンシー要件を満たすためのマルチクラウド戦略を検討してください。
• 文書化とレポート作成：ポリシー、手順、監査レポートなど、コンプライアンスへの取り組みに関する包括的なドキュメントを管理します。効果的な文書化とレポート作成は、コンプライアンスに対して真剣に取り組んでいることを示すものであり、規制当局のレビューや監査の際に非常に重要な役割を果たします。

これらのベストプラクティスに従うことで、組織はクラウドにおけるコンプライアンスポスチャを強化し、規制要件に従いながら機密データを保護することができます。

クラウドストライクがクラウドコンプライアンスの遵守にどのように役立つか

CrowdStrike Falcon® Cloud Securityは、最も包括的なCNAPP（クラウドネイティブアプリケーション保護プラットフォーム）ソリューションであり、組織がクラウドコンプライアンスを遵守し、クラウド環境を保護するのに役立つ一連の機能を提供します。主な機能には、CSPM（クラウドセキュリティポスチャ管理）による継続的モニタリングとリアルタイムの可視性が含まれます。これにより、クラウド環境をベストプラクティスとコンプライアンスフレームワークに照らして評価できます。このソリューションのASPM（アプリケーションセキュリティポスチャ管理）機能は、アプリケーションがセキュリティ基準を遵守するようにし、CIEM（クラウドインフラストラクチャエンタイトルメント管理）機能は、堅牢なアクセス制御による最小特権の原則を徹底します。Falcon Cloud Securityのランタイム前セキュリティ、いわゆる「シフトレフトセキュリティ」が開発プロセスに組み込まれており、展開前にコードやインフラストラクチャテンプレートをスキャンして脆弱性を検出します。Falcon Cloud Securityは、クラウドワークロード保護 (CWP) を通じて、仮想マシン、コンテナ、サーバーレス関数に対してリアルタイムの脅威検知と自動応答を提供します。

CrowdStrike Falcon®プラットフォームの高度な脅威検知機能は、機械学習を活用して脅威を軽減し、そのアイデンティティ保護機能は認証情報の窃取から組織を守ります。Falcon Cloud Securityは、自動化されたレポート作成と監査機能を通じてコンプライアンス報告を簡素化し、CWPとCIEMによってデータ保護と暗号化を確実に実施します。AWS、Microsoft Azure、Google Cloudなどの主要なクラウドプロバイダーとのシームレスな統合により、セキュリティ制御を一貫して適用できます。クラウドストライクの脅威インテリジェンスを活用するFalcon Cloud Securityは、新たな脅威に先手を打ち、規制基準の遵守、機密データの保護、セキュリティリスクの軽減を実現します。