クラウドのコンプライアンスとガバナンス

クラウドコンプライアンスとは？

クラウドコンプライアンスとは、クラウド環境がガバナンスルールを確実に遵守するための手順と実践のことです。つまり、コンプライアンスに準拠したクラウド環境を構築すると、その環境は 1 つ以上の特定のセキュリティおよびプライバシー基準に準拠することになります。

これらの基準は、欧州連合一般データ保護規則（GDPR）やカリフォルニア州プライバシー権法（CPRA）のようなコンプライアンスフレームワークのように、政府機関によって策定される場合があります。また、支払いカード業界データセキュリティ基準（PCI DSS）のような業界標準である場合もあります。または、企業が自社で定める内部ガバナンスポリシーである場合もあります。

特定のビジネスに影響を与えるフレームワークは、ビジネスの事業拠点の管轄区域、業界や業種、ユーザー数などの要因によって決定されます。例えば、GDPRは、EUの住民が所有または関連するデータを処理するほとんどのビジネスに適用されます。これは、企業がどの業界に属するかや、EU内に物理的な拠点があるかどうかは関係ありません。一方、PCI DSS基準は、支払い処理を行う企業のみに適用されます。

各コンプライアンスフレームワークには、独自のルールセットが含まれています。ただし、一般的には、ワークロードに対する「合理的なセキュリティ」の確保、機密データの暗号化、組織が潜在的なセキュリティ問題を特定し対応するための定期的な監査を実施していることを証明するなどの要件が含まれます。

クラウドのコンプライアンスと責任共有モデル

コンプライアンスとガバナンスは、パブリッククラウドプロバイダーが共有責任モデルに基づいて運営されているため、オンプレミスよりもクラウドでは少し複雑になります。このモデルでは、クラウドプロバイダーは、VM インスタンスやストレージバケットをホストする物理サーバーのセキュリティ確保など、セキュリティの一部の側面を管理します。また、さまざまな政府や業界のコンプライアンス基準で義務付けられている通り、通常、システムの定期的な監査も実施します。

ただし、エンドユーザーがクラウドに展開するリソースのほとんどの側面を保護する責任は、エンドユーザーにあります。クラウドプロバイダーは、例えば、コンプライアンスフレームワークで定められたアクセス制御でストレージバケットにアップロードしたデータを保護することや、クラウドVMインスタンス上で実行されているOSを保護することを、エンドユーザーに求めています。

クラウドのコンプライアンスにとってこれは、クラウドプロバイダーは、お客様のビジネスに影響を与えるコンプライアンスフレームワークの要件の一部に対応していますが、すべてに対応しているわけではないことを意味します。継続的なコンプライアンスの実施は、CNAPPの一部です。

クラウドホストがコンプライアンスに関して実施していることと実施していないことを詳しく確認するには、クラウドのドキュメントを参照してください。たとえば、AWS はこちらでコンプライアンスポリシーの詳細を、Azure はこちらでコンプライアンスの詳細を記載しています。

NIS2 Action Plan for the Cloud CISO (英語版）

LEARN MORE

クラウドコンプライアンスのしくみ

クラウドコンプライアンスの詳細は、クラウドでホストするワークロードの種類や、ビジネスが満たす必要のあるコンプライアンス規則によって異なりますが、ほとんどのクラウドのコンプライアンスワークフローは、いくつかの基本的なステップに分類できます。

コンプライアンス要件の評価

まず最初に着手するのはは、クラウドワークロードに関するコンプライアンス要件の決定です。ほとんどのコンプライアンスフレームワークは、コンプライアンスルールを比較的一般的な用語で説明しています。たとえば、GDPR では、機密データを保護するために「合理的なセキュリティ」が要求されていますが、合理的なセキュリティを実現するために企業が実装すべき具体的なツールや設定については規定されていません。

つまり、コンプライアンス要件を評価し、それを具体的なツールやプロセスにどのように変換するかを決定するのは、企業自身の責任となります。

コンプライアンス規則の定義

クラウドのコンプライアンス要件を満たすために必要なツールや実践方法を決定したら、その要件の遵守状況を追跡するための具体的なルールを定義する必要があります。

たとえば、クラウドのコンプライアンスルールとして、ユーザーデータは暗号化されていない形でクラウド環境に保存してはならない、と規定することができます。あるいは、クラウド VM では SSH アクセスをデフォルトで無効にする、というルールを設定することもできます。

コンプライアンス監査の実施

コンプライアンスルールを定義したら、そのルールが遵守されているかどうかを監査する必要があります。

もちろん、クラウドワークロードの構成を評価し、それが確立したルールに準拠しているかどうかを判断することで、この作業を手動で行うこともできます。

しかし、クラウドの構成ファイル、ログ、その他のデータソースを自動的にスキャンし、確立したルールに基づいてコンプライアンス違反を検出する監査ツールを使用して、コンプライアンスを自動化すると、はるかに効率的です

クラウドごとのコンプライアンスとガバナンス

コンプライアンスおよびガバナンスの要件を満たすプロセスは、どのタイプのクラウド環境でもほぼ同じですが、各主要クラウドプロバイダーがコンプライアンス要件の達成に役立つツールを提供しているものを把握しておくとよいでしょう。

AWSのコンプライアンス

AWS では、コンプライアンスの遵守を支援する主なツールとして、Audit Manager があります。Audit Manager は、AWS のお客様が、環境全体から情報を収集し、ワークロードの構成が特定のコンプライアンス要件に準拠しているかどうかを自動的に評価するために使用できるオプションのサービスです。

Audit Manager は、GDPR や PCI DSS などの一般的なフレームワークへの準拠を確認するための事前設定済みのルールを提供していますが、あまり一般的ではないフレームワークや社内のコンプライアンスプログラムを実施するには、カスタムルールを作成する必要があります。

より一般的には、AWS CloudTrail ログを使用して環境を監視することができます。ただし、CloudTrail 自体はコンプライアンスソリューションや高度なセキュリティモニタリングツールとして設計されていないため、通常、CloudTrail ログを外部監査ツールに取り込んで、そのデータを最大限に活用することをお勧めします。

Azure のコンプライアンス

AWS とは異なり、Azure には一元化された監査ツールはありませんが、高度なロギングアーキテクチャが提供されています。Azure ログを適切に構成して分析することで、Azure 環境全体のコンプライアンスを追跡することができます。

ここでも、コンプライアンス目的で Azure ログから最大の価値を引き出すためには、外部監査ツールを使用することをおすすめします。Azure のネイティブ監視サービス（Azure Monitor など）は、アプリケーションのパフォーマンスと可用性を管理するために設計されており、コンプライアンスの強制や監査の自動化を目的としたものではありません。

Google Cloud のコンプライアンス

Google Cloud には、企業が監査証跡を生成するために使用できる監査ログサービスがあります。監査ログには、クラウド環境内で実行されたアクション、その実行時刻、および実行者が記録されます。

Google Cloud の監査ログの主な制限は、ワークロードの構成を監査しないことです。このサービスでは、アクティビティの追跡のみが可能です。したがって、IAM ルール、ネットワーク構成、および環境のその他の部分がコンプライアンス要件に準拠して設定されていることを確認するには、外部ツールを使用する必要があります。

クラウドのコンプライアンスとガバナンスは、適用されるコンプライアンスフレームワークや、企業が実行するワークロードの種類によって、企業やクラウドごとに大きく異なります。ただし、すべてのクラウドコンプライアンス戦略は、企業が遵守しなければならないコンプライアンスポリシーの違反を検出するために、構成ファイルとログの両方を自動的かつ継続的にスキャンすることに重点を置く必要があります。問題を迅速に発見することで、企業はコンプライアンス違反による罰金やセキュリティ侵害につながる前に、問題を修正することができます。