Sysdig Secureを用いたAWS GDPRコンプライアンス

By 清水 孝郎 - AUGUST 18, 2021

SHARE:

本文の内容は、2021年8月18日にAlba Ferriが投稿したブログ(https://sysdig.com/blog/aws-gdpr-compliance-secure/)を元に日本語に翻訳・再構成した内容となっております。

AWS GDPRコンプライアンス、プライバシー、個人データ保護は、AWSクラウドでワークロードを実行するクラウドチームの間で最も一般的な関心事の一つです。

プライバシーを保護し、サービスを利用するユーザーから信頼を得るためのさまざまな仕組みを考えるとき、「コンプライアンス」は頭に浮かぶ言葉のひとつです。組織がヘルスケアや製薬、金融、政府、その他の分野に属していても、規制標準(SOC2NIST 800-53PCI-DSS、GDPRなど)に従わなければなりません。

GDPRの場合、コンプライアンスの第一の機能は、データ保護違反の可能性を検出し、それを防止することです。GDPRに違反した場合の罰金は、2,000万ユーロ、または企業の前年のグローバル年間売上高の4%のいずれか高い方となります。

Sysdigが提供するAWSにおけるGDPRコンプライアンス検証方法をご紹介しましょう!

GDPRとは?

GDPR(一般データ保護規則)は、EU市民の個人データを処理する場合、またはEUに所在する企業が個人データの処理者である場合に遵守しなければならない規則の1つです。この個人データには、個人の名前、政府機関のID番号、位置情報のほか、IPアドレス、クッキーなど、インターネットを閲覧するユーザーを企業が追跡するためのデータが含まれます。

GDPR logo
GDPRは、個人のプライバシー権を強化することを目的とし、個人データの安全性を確保するための具体的な対策を企業に求めています。

また、エンドユーザーが自分の個人情報を検索、確認、修正、削除するための仕組みを導入することも義務付けています。

最後に、情報漏洩の報告も義務付けられており、顧客データの管理ができなくなったり、ハッキングされたりした場合、72時間以内にユーザーに通知するよう指示しています。

GDPRの法律は2018年5月に成立したものの、最近まで施行されていませんでした。EUのプライバシー監視機関である欧州データ保護監督官(EDPS)は、EU市民にサービスを提供している企業に注目し始めています。そのため、消極的なスタートにもかかわらず、罰金は今、ペースを上げています。規制当局が十分な信頼を得て、GDPR法をより強力に施行するのは時間の問題といえるでしょう。

GDPRについてさらに詳しく知りたい方は、”GDPR explained for DevOps engineers “の記事に興味があるかもしれません。

なぜあなたのAWSインフラはGDPR準拠が必要なのか?

AWSは、AWS GDPR準拠の約半分を達成するのに役立つ、ある種の機能を提供しています。

結局のところ、AWSは責任共有モデルに従っているので、残りの半分はあなたのサービスアーキテクチャー内に実装する必要があります。クラウドプロバイダーとしてAWSを利用しているのであれば、いくつかの宿題があります。

Amazon Elastic Container Service(ECS)とそのKubernetes版(EKS)、Amazon CloudSearch、Amazon ElasticCache for Memcachedは、暗号化についてはクリアしておらず、削除と処理の監視のみとなっています。

そういったコントロールは、お客様の側に落ちるものです。

Sysdig SecureでAWSのGDPR対応を支援する方法

2021年6月には、Sysdig Secureの管理機能を利用することで、クラウドインフラストラクチャー全体でAWS GDPRに準拠することができるようになりました。
GDPR AWS compliance reports in Sysdig secure.
コンプライアンスレポートは、監査人へのコンプライアンスの証明として使用できます。

サイドバーの「コンプライアンス」メニューの下には、Sysdig Secureが実装するコンプライアンス標準の1つとして、GDPR AWSが表示されています。

このビューでは、セキュリティコンプライアンスの姿勢を把握することができます。GDPR AWSの管理項目のうち、いくつ合格しているかを一目で確認できます。

また、失敗しているものについては、Common fixの中の改善措置をすぐに確認することができます。

GDPR AWS compliance reports in Sysdig Secure. A highlight on the common fixes section, lists the 11 controls that are failing.Sysdig SecureのGDPR AWS準拠レポート。共通の修正項目のハイライトには、失敗している11のコントロールがリストアップされています。

しかし、なぜそのコントロールが必要なのか、どのようなステップを踏めば合格できるのかが明らかになっていないことがあります。それこそが、各コントロールの下にある詳細な説明に書かれている情報です。
GDPR AWS compliance reports in Sysdig Secure. A detail in one of the failing controls. Sysdig secure explains the control, how is it addressed, and the proposed remediation steps.Sysdig SecureのGDPR AWSコンプライアンスレポート。不合格になったコントロールの1つの詳細。Sysdig Secureでは、コントロールの説明、どのように対処しているか、改善手順の提案を行っている。

コンプライアンスは常に進化していくものです。設定を変更することで、コンプライアンスの状態を改善したり、減らしたりすることができるため、これらのレポートは定期的に実行されるようになっています。そのため、これらのレポートは定期的に実行されます。

さらに、ワークロードのGDPR対応も可能です

さらに、Sysdig Secureでは、ローカルのデータセンターにワークロードが残っている場合でも、GDPR WORKLOADコンプライアンスを実現することができます。

カーネルのシステムコール、Kubernetesの監査ログ、ホストのベンチマーク、ホストやコンテナ、Kubernetesクラスターに影響を与えるセキュリティ機能などをケアします。GDPR AWS compliance reports for workloads in Sysdig Secure.

まとめ

GDPR法を理解し、それがAWSインフラにどのような影響を与えるかを理解することで、EU市民にサービスを提供する際の法的問題を減らし、競争力を高めることができます。私たちはグローバル化した世界に住んでいることを忘れないでください。あなたの顧客は地球上のどこにでもいます。

この法律に違反したことが発覚した企業は、非常に高額な罰金を科せられることを覚えておいてください。GDPRに違反した場合の最高罰金額は、2,000万ユーロ、または前年の企業の年間グローバル収益の4%のいずれか高い方となります。

Sysdig Secureは、クラウドコンピューティングサービスを利用している場合でも、ワークロードをローカルに置いている場合でも、データを保護し、AWS GDPRに準拠することを支援します。ご自身で確かめてみませんか?今すぐ無料でご利用いただけます