クラウドを利用する企業のコンプライアンス
2023 年 2 月 9 日 Sam Manjarres 著
企業環境におけるクラウドの導入と利用は増加傾向にありますが、その将来は明るいようです。クラウドサービスに対する企業の支出は、第 2 四半期に前年同期比 29% 増となっています。そしてクラウドへの移行は、ビジネスの性質に応じてデータセキュリティをより強固にするため、規制の変更をもたらしました。
クラウドについてのコンプライアンスでは、クラウド環境が特定のセキュリティおよびプライバシー基準を確実に遵守するための一連の手順と実践を設定しています。特定の企業に影響を与える枠組みは、その企業が事業を展開している司法権、業界やセクター、ユーザの数などの要因によって決まってきます。
主な規制とクラウドインフラストラクチャへの影響
PCI DSS
PCI DSS(Payment Card Industry Data Security Standard)は、支払いカード会員データをクラウドに保存または処理する加盟店に対する、セキュリティ条件です。
その条件として、クラウド上のデータを保護するためのファイアウォール設定の導入と維持、システムパスワードやその他のセキュリティ設定について、ベンダが設定したデフォルト値を確実に変更することによるアクセスセキュリティの強化が要求されています。同様に、保存されたカード会員データの保護と、オープンな公共ネットワーク上でのカード会員データ伝送の暗号化も要求しています。さらに、ネットワークリソースとカード会員データへのすべてのアクセスの追跡と監視を要求しています。
この PCI DSS クラウドコンピューティングのガイドラインに従わない場合、その企業は支払いカード取引を処理する権限を失う可能性があります。
HIPAA
この規制は、個人を特定できる健康情報を扱う組織を対象としています。HHS (米国保健社会福祉省)の HIPAA セキュリティ規則では、組織は合理的かつ適切な管理的、技術的、物理的措置を採用することで e-PHI (電子的に保護された医療情報)を保護することが義務付けられています。
この規則を遵守するために HHS は、4 つの具体的な HIPAA 保管要件を定めています。第一は、暗号化、パスワード保護、その他の保護対策により、e-PHI の機密性、完全性、可用性を確保することです。第二は、定期的な監視とリスク分析によって一般的に予見可能な脅威を特定し、保護することです。第三は、コンピュータセキュリティプロトコル、IAM、物理的なアクセス制限、内部プロセスの定期的な監査により、不正な使用や開示から保護することです。そして最後は、定期的なトレーニングや HIPAA で定められた基準の遵守により、チームメンバーのコンプライアンスを確保することです。
GDPR
GDPR(一般データ保護規則)は、世界で最も厳しく、最も広く施行されているデータプライバシー法の 1 つです。その主たる目的は、欧州連合(EU)域内の企業および個人の持つ個人情報を保護することです。
GDPR では、保存および転送中のデータに対し、デフォルトでの設計によるデータ保護、プロセスアクティビティの記録、個人情報の暗号化が要求されています。
企業が規制に準拠するために必要なソリューション
ほとんどのコンプライアンスフレームワークは、比較的一般的な言葉でその規則を記述しています。では、企業はどのようにすれば、クラウド上でのデータ保護を確実にし、それによって、企業に適用されている規制に準拠することができるのでしょうか。企業は、自社のクラウド環境と顧客のデータを保護するサイバーセキュリティソリューションを、可能な限り組み合わせる必要があります。
- MFA(多要素認証):このソリューションは、上記の 3 つのコンプライアンスフレームワークのすべてに適用されます。多要素認証は、組織が規制に準拠するために必要不可欠です。最近の Pulse の調査では、回答者の 76% が、コンプライアンスを強化するためにクラウドに組み込むべきソリューションとしてこのソリューションを最重要視していることが明らかになりました。
- 可視性:すべての規制に共通するもう 1 つの要件は、クラウド環境の可視化と監視の必要性です。つまり、リアルタイムのレポートを提供するソリューションを採用することが必要であるということです。これにより、企業は顧客の保存データを厳密に管理できます。
- クラウドファイアウォール:この技術は、HIPAA と GDPR のコンプライアンスフレームワークの要件を満たすために使用しなければなりません。その機能としては、企業が保存しているデータと転送中のデータの両方の暗号化と、潜在的なマルウェア攻撃の可能性を排除することが挙げられます。
- Wi-Fi:HIPAA や PCI DSS では、店舗や病院などの Wi-Fi 接続を保護するソリューションの利用が不可欠です。ハッカーは一度企業ネットワークに侵入した場合、容易に保護すべきデータが保存されているクラウド環境にアクセスするための横移動を行ってきます。
企業が円滑にビジネスを展開するためには、規制の遵守が欠かせません。上記のようなソリューションを導入することで、企業は規制に対応しながら、評判や 財務上の損失につながるセキュリティの侵害を心配することなく、クラウドのあらゆる利点を享受できるようになります。