ソブリン要件を評価する

Azure 用 Microsoft クラウド導入フレームワーク は、クラウドアーキテクト、IT プロフェッショナル、ビジネス意思決定者がクラウド導入の目標を達成するためのフルライフサイクルフレームワークです。 ベストプラクティス、ドキュメント、ツールを提供し、クラウドのビジネスおよびテクノロジー戦略の策定と実施を支援します。 ソブリン要件が厳しい公共部門は、ソブリン目標を計画策定に組み込むことで、クラウド導入に関する戦略的決定をソブリン要件に沿ったものにすることができます。

この記事では、組織がソブリン要件を評価、特定、および文書化した方がよいと思われる領域を強調し、これらの要件が Azure クラウド導入フレームワークに関連する広範な計画策定にどのように適合するかについての推奨事項を示します。

ソブリン データの特定

データ主権の要件には、データの所有権を保持する義務や、データの保存、使用、送信の方法を指定する義務などがあります。 データ主権の要件には、データ居住に関する制限や義務も含まれる場合があります。 組織のクラウド化の初期段階でこれらの要件を理解することは、ワークロード所有者がソブリン要件に対応するソリューションを開発することを期待するのではなく、データ ソブリンに関する共通の設計パターンを確立するのに役立ちます。

Azure のクラウド導入フレームワークに従っている組織は、計画段階でクラウドに移行するワークロードの候補を特定し、準備段階でこれらのワークロードをホストする環境を設計します。 これらの活動により、組織はターゲット状態のクラウド環境で特別な取り扱いを必要とする主権データ型を特定することができます。

マイクロソフトは、オンライン サービスやプロフェッショナルサービスを提供するために、マイクロソフトに提供される個人情報やクラウドサービスにアップロードされる顧客データなど、多くの種類のデータを使用しています。 マイクロソフトのデータ保護責任は、Microsoft Products and Services Data Protections Addendum (DPA) に文書化されており、マイクロソフトとの組織の契約に含まれています。 DPA は、マイクロソフトが管理するさまざまなデータタイプを指定し、それらのデータタイプを保護するためにマイクロソフトが使用する慣行を説明します。

多くの組織は、機密データの取り扱いに関する要件を規定した既存のデータガバナンス プログラムを持っており、この情報を使用して、データ主権要件がデータ分類のすべてに適用されるか、サブセットのみに適用されるかを判断することができます。 組織がクラウドサービスにデータをアップロードして管理する場合、データの取り扱い要件に従ってデータを正確に分類し、ラベル付けし、管理することは組織の責任です。 クラウドの導入を機に、データ分類プログラムを見直したいと考える組織もあるでしょう。

データ分類がクラウド導入にどのように適用されるかの詳細については、Azure におけるデータ分類 および Cクラウド ガバナンス ガイド を参照してください。

データ主権の要件の例

厳格なデータ主権要件がある組織は、ワークロードをクラウドに移行する際に、次のような代表的なシナリオを想定する必要があるかもしれません。

データ分類のラベル

分類ラベルは、特別な取り扱いが要求される資源を示します。 分類ラベルは文書に適用されますが、資産に適用することもできます。 Azure のネイティブタグ機能を使用して、コンピュート サービスやデータ ストアなどのリソースや、サブスクリプションや管理グループなどの Azure の論理構造に分類ラベルを適用できます。

詳細については、Azure でのタグ付け と Microsoft Purview eDiscovery ソリューション を参照してください。

データ分類の境界

組織が同様の分類のデータ (またはアプリケーション) を集約することを選択した場合、多くの場合、データの保存が許可される場所の境界として機能するセキュリティ境界が展開されます。 顧客が Azure にワークロードを展開する際、サブスクリプションと管理グループを使用して、組織のクラウド環境内に論理的な境界を作成できます。 これらの境界は、不正アクセスに関連する機密保持リスクや、データの集約と帰属に関連するプライバシー リスクの軽減に役立ちます。

厳格なデータ主権要件がある組織は、 (たとえば Bell-LaPadula モデルのように) 高いレベルの特権が低いレベルの特権を継承する階層型モデルで環境を構成するか、あるいは、強制的なアクセス制御を使用して環境の一部を他の環境から区分する境界を作成する非階層型モデルを実装するかを検討するとよいでしょう。 Azure のクラウド導入フレームワークの準備段階でランディング ゾーンを設計する際、組織がデータ分類の境界をどのように管理しているかを決定することは非常に重要です。

詳細については、Azure でのグループ管理 と データ ガバナンス を参照してください。

データの所在地

データ所在地の要件を満たす必要がある組織は、ワークロードをサポートするために必要な Azure サービスと、それらのサービスが地理的に利用可能な場所に特に注意を払う必要があります。 Azure サービスは、低遅延ネットワーク接続と Availability Zones などの機能をサポートするリージョンに展開されます。 これらの地域はジオグラフィにグループ化され、さらに弾力性とディザスター リカバリー機能を提供します。

組織がワークロードのデータ所在地を維持する必要がある場合、使用する Azure サービスが希望する地域と地理で利用可能であることを確認する必要があります。 さらに、サービスによってはグローバルに展開されており、そのサービス内に保存されているデータの地域や地理的なデータ所在地を提供していないものもあります。

データ所在地、Azure リージョンと Availability Zones、Azure サービスの地域可用性の詳細については、以下の記事を参照してください:

• Microsoft Cloud for Sovereignty のデータ所在地
• Azure のデータ所在地
• Azure リージョンと Availability Zones。
• リージョン別の Azure 製品。

データの所有権、保管、ポータビリティ

厳密なデータ主権要件を持つお客様は、Azure に保存されたデータの所有権を誰が保持するのか、そのデータに誰がアクセスできるのか、そしてお客様がワークロードを別のプラットフォームに移行することを選択した場合、そのデータはどうなるのかについて、多くの疑問を抱くケースが一般的です。 これらの要件は、その範囲や具体性はさまざまですが、通常、Microsoft Cloud Service でデータをホストしたときにデータがどうなるかという基本的な問題に関連する傾向があります。

これらの質問に高いレベルで対応し、クラウド・サービス・プロバイダーに適用されるデータ主権要件を特定するための出発点をお客様に提供するため、マイクロソフトは、顧客データの保護と管理に関する一連の記事を公開し、これらの質問の多くに対応しています。

詳細については、 マイクロソフトのデータ管理の概要 を参照してください。

クラウドで運用主権を維持

運用主権の要件は、Azure の環境がどのように設計、更新、管理されるかに影響します。 したがって、Azure のクラウド導入フレームワークの準備段階の一環として、技術設計を確定する前にこれらの要件を明確に理解することが重要です。 一般的な作戦主権の要件には、以下が含まれます:

• 事務スタッフの勤務地と国籍の制限。
• クラウドサービス プロバイダーによる特権アクセスを制限するアクセス制御要件。
• 高可用性とディザスター リカバリーの義務化。

これらの要件の多くは、オンプレミスで一般的に使用される方法とは異なる方法を使用してクラウドで満たされるため、これらの要件が軽減する意図とリスクを明確に理解することが重要です。

組織は、運用主権要件を特定した後、適切なレベルのリスク軽減と保証を提供するために、適切な技術的および管理的な主権管理を選択することができます。 ソブリン コントロールを選択する場合、運用上のソブリン コントロールを追加できる一部の機能を選択すると、他の Azure サービスを採用するための組織の選択肢が制限されることを理解することが重要です。

たとえば、Azure ワークロードに機密コンピューティングを必要とする組織は、アーキテクチャの選択肢を、機密仮想マシンや機密コンテナなど、Azure 機密コンピューティング上で実行できるサービスに限定しなければなりません。 このため、すべてのワークロードとデータが最も制限の厳しいソブリン要件に適合しなければならないというアプローチを採用するのではなく、運用上のソブリン要件と所定のデータ分類を関連付ける方がよい場合があります。

さらに、Autarky (たとえば、外部のネットワークやシステムから独立して実行できること) のような一部の運用主権要件は、システムを最適な状態に保つために定期的なプラットフォームのアップデートに依存する Azure のようなハイパースケール クラウドコ ンピューティング プラットフォームでは実現不可能です。

作戦上の主権要件の例

一般的な運用主権の要件と、その要件に対応する可能性のある関連する Azure のサービスおよび機能の例を次に示します:

ソフトウェアのセキュリティ

ソフトウェア セキュリティ要求事項には、特定の暗号的な安全策の適用、コードレビューの実施、アプリケーションセキュリティと侵入テストの実施などの開発活動を含めることができます。 また、アクセス制御の導入、暗号化技術の使用、セキュリティ イベントの監視などの運用プロセスも含まれます。

マイクロソフトは、マイクロソフトが開発したソフトウェアと顧客が開発したソフトウェアについて、顧客が運用主権要件を満たすのを支援するさまざまな機能を提供しています。 マイクロソフトは、Azure 向けのプラットフォームレベルのソフトウェアを開発する際、SDL (Secure Development Lifecycle) に従っています。 SDL の 12 のプラクティスは、マイクロソフトのエンジニアリング プロセスと手順に組み込まれており、マイクロソフトの保証活動の一環として定期的に評価されています。 さらに、マイクロソフトは、顧客がソフトウェア開発ライフサイクルの一環としてセキュア開発ライフサイクルのプラクティスを採用するのを支援する機能を提供しています。

詳細については、 Microsoft Secure Development Lifecycle および Azure におけるセキュア開発のベスト プラクティス を参照してください。

インフラストラクチャ セキュリティ

Azure上で実行されるワークロードは、Microsoft がプラットフォームの整合性を保証するために開発した多くの機能を利用することができます。 その機能には、ファームウェア、ソフトウェア、ホスト インフラが含まれます。 組織には、クラウド事業者からデータを分離する運用主権要件があるかもしれません。 Azure は、クラウド サービス プロバイダーやその管理スタッフから切り離された状態を維持しながら、パブリック クラウドの俊敏性と回復力を活用するための機能を提供します。 ハードウェアレベルの認証、ソフトウェアの完全性の検証 (セキュアブートなど) 、およびセキュアな鍵管理に関連する要件を持つ組織は、マイクロソフトのプラットフォームの完全性とセキュリティのプラクティスとアクセス監査文書を確認して、これらの機能の実装を検証することができます。

詳細については、プラットフォームの完全性とセキュリティ と Azure のインフラストラクチャ セキュリティ を参照してください。

休眠中のデータ、データイン トランジット、データインユースの暗号化は、データの機密性とプライバシーに関連する幅広い運用主権要件を満たすのに役立ちます。 しかし、これらの機能を必要とする組織は、暗号化キーの作成と管理を計画する必要があります。 Azure は、クラウドにホストされたデータに対してゼロナレッジ暗号化を提供するクライアント サイド暗号化方式から、ネイティブクラウド サービスとの最高度の相互運用性を提供するサービス管理型キーまで、お客様が選択できる幅広いデータ アット レスト暗号化モデルを提供します。

さらに、ホスト OS、カーネル、ハイパー バイザー、管理スタッフなどのプラットフォーム コンポーネントに対する信頼の必要性を最小限に抑えたい組織は、使用中のデータの暗号化を実装できます。 Azure 機密コンピューティング には、Intel Software Guard Extensions (SGX) または AMD Secure Encrypted Virtualization (SEV-SNP) を使用してメモリ内のデータを暗号化するハードウェア ベースのセキュリティエンクレーブで展開されるコンピュート サービスがいくつかあります。

暗号化を実装する必要がある運用主権要件を持つ組織は、Azure の以下の暗号化機能を熟知する必要があります:

• Azure Disk Encryption
• Azure Storage Service Encryption
• Azure SQL 常時暗号化
• Azure Key Vault
• Azure マネージド HSM
• カスタマー マネージド キー (Bring Your Own Key)
• Azure 機密コンピューティング サービス

運用と回復性

運用セキュリティ要件は、Azure プラットフォームを運用するために Microsoft が作成、管理するプラットフォーム レベルのソフトウェアと、ワークロードの一部である顧客が管理するソフトウェアの両方に適用できます。 クラウド コンピューティングの責任共有モデルは、管理責任を顧客からクラウド サービス プロバイダーに移行します。 利用されるクラウドサービスの種類によっては、マイクロソフトのデータセンター内のベアメタル インフラストラクチャ、オペレーティング システム、およびサービスの実行時間の管理と更新を担当する場合があります。 マイクロソフトのセキュリティ エンジニアリング組織は、マイクロソフトのセキュア開発ライフサイクル (SDL) のプラクティスに運用セキュリティのプラクティスを加えた運用セキュリティ プログラムを実施しています。 このプラクティスには、Microsoft Security Response Center が実施する秘密管理、侵入テスト、セキュリティ監視が含まれます。

まれに、サービスに影響を及ぼす可能性のある問題のトラブルシューティングのために、マイクロソフトが顧客データへのアクセスを要求する場合があります。 変更管理と特権アクセス管理に関連する運用主権要件があるお客様は、Customer Lockbox for Azure を有効にして、Microsoft のサポート ワークフローの一部としてアクセス要求を承認できるようにすることを推奨します。

さらに、プラットフォーム ソフトウェアのアップデートの承認とスケジューリングに厳格な要件があるお客様は、Azure Dedicated Hosts をご検討ください。メンテナンス構成を使用して、ホストレベルのプラットフォームのメンテナンス活動を制御することができます。 さらに、ワークロードをホストするために使用されるサービスやリージョンに主権ベースの制限があるかどうかを判断するためには、弾力性要件を見直す必要があります。

運用の継続性に関する運用主権要件 (たとえば、稼働時間を維持するためにワークロードを可用性の高い構成で展開する必要がある) は、データ所在地に関するデータ主権要件 (たとえば、多様なロケーションを提供しない地理的境界にワークロードを制限する) と競合する可能性があります。

組織は、早期にこれらの要件を評価し、これらの要件のバランスをとる最善の方法を検討する必要があります。

• Microsoft セキュリティ エンジニアリング
• コンプライアンスと監査レポートへのアクセス
• Azure 用カスタマー ロックボックス
• Azure の Virtual Machines のメンテナンス
• メンテナンス構成による VM アップデートの管理
• Azure の信頼性