クラウド コンピューティング: 法規制に関する問題
クラウドに移行する際、テクノロジとセキュリティの問題以外にも、法規制やコンプライアンスに関する数多くの問題について考慮する必要があります。
Vic (J.R.) Winkler
出典: 『Securing the Cloud: Cloud Computer Security Techniques and Tactics』(Syngress、2011 年)
クラウド コンピューティングに関する法規制を取り巻く環境は変化しています。クラウド コンピューティングのテナントとプロバイダー両方の責任に影響する可能性がある、新しい法律が提案されています。
Cloud Security Alliance 社の Glen Brunette と Rich Mogull は、ホワイト ペーパー「Security Guidance for Critical Areas of Focus in Cloud Computing」(クラウド コンピューティングにおける重要な領域に関するセキュリティ ガイダンス、英語) で、ハイブリッド クラウド、コミュニティ クラウド、またはパブリック クラウド モデルを採用しているクラウド コンピューティングは "クラウド プロバイダーというサードパーティの存在を巻き込みながら、組織とその情報の関係に新しい力学をもたらす。そのため、さまざまな情報管理シナリオに法規制がどのように適用されるかを理解するうえで、新しい課題が生まれる" と述べています。
その結果、さまざまなシナリオで多種多様な関係者に法規制がどのように適用されるか理解するうえで、運用上の問題が生まれます。使用するコンピューティング モデルがクラウドかどうかにかかわらず、特に収集、保存、および処理するデータに関しては、法規制の問題について考慮する必要があります。多くの場合、法規制を遵守するには、自分自身で (できれば顧問弁護士も) 考慮しなければならない、地方自治法、国内法、または国際法が存在します。
クラウドのテナントやクラウドの利用者が、米国、カナダ、EU に存在している場合、膨大な量の法規制を遵守する必要があります。このような法規制には、Control Objectives for Information and related Technology やセーフ ハーバーなどが含まれます。これらの法律は、データが保存または転送される場所、およびデータが機密性の側面からどのくらい適切に保護されているかということに関連することもあります。
このような法律の中には、医療業界に特化している "医療保険の携行性と責任に関する法律 (HIPAA)" など、特定の市場に適用されるものもあります。ただし、医療業界以外の多くの企業では、従業員の健康に関する情報を保持しています。つまり、このような企業は、医療産業にかかわっていなくても、HIPAA を遵守する必要があります。
データを十分に保護できなかった場合、さまざまな事態が生じますが、その一例として、1 つまたは複数の政府機関や業界の規制団体から罰金が課されることがあります。このような罰金は、高額になることもあり、中小企業に致命的なダメージを与える可能性があります。たとえば、クレジット カード業界 (PCI) では、法令遵守への違反があった場合、1 か月あたり最大 100,000 ドルの罰金が課されます。これらの罰金は、アクワイアリング バンクに課されますが、おそらく加盟店にも影響を及ぼします。
通常、法規制では、企業のだれがデータの正確さやセキュリティに責任を持つべきかを規定しています。HIPAA データを収集および保持している従業員は、確実に法令を遵守する必要があるセキュリティに責任を持つ地位に就いていなければなりません。米国企業改革法では、CFO と CEO が財務データに連帯責任を持つことを規定しています。グラム リーチ ブライリー法はさらに範囲が広く、セキュリティの責任が役員全員にあると規定しています。連邦取引委員会 (FTC) は、比較的あいまいで、単に特定の個人が企業の情報セキュリティ プログラムに責任を持つことを要求しています。
サードパーティの関与
クラウド サービス プロバイダーが提供するクラウド インフラストラクチャを使用する場合は、自社に適用されるすべての法規制の要件を、プロバイダーにも同様に課す必要があります。これは、プロバイダーの責任ではなく、プロバイダーが提供するサービスを利用する企業の責任になります。HIPAA の規制を例に取って説明しましょう。下請け企業 (クラウド サービス プロバイダーなど) との契約内容には、プロバイダーが適切なセキュリティ制御を採用することとデータのプライバシーの規定にすべて準拠することを定める項目が含まれている必要があります。
米国では、FTC や多くの司法長官など、連邦政府機関と州政府機関の両方で、下請け企業の行動に企業が責任を持つことを定めています。EU のデータ保護機関など、他の地域でも同じことが定められています。クラウド インフラストラクチャが普及すればするほど、サードパーティがデータに不法にアクセスする危険性も高まります。
データが暗号化されていても、暗号化に使用したキーにアクセスできれば、サードパーティはデータにアクセスすることができます。クラウド プロバイダー、クラウドのサポート/運用/管理チーム、アプリケーションの管理/ポート ームなど、数多くのサードパーティがかかわる場合もあるので、さらに危険が高まることが往々にしてあります。また、このような組織が、請け負い業者を雇えば、さらに収集がつかなくなります。
契約に関する問題
契約のあらゆる段階で考慮しなければならない問題には、次のようなものがあります。
- 最初に行う適切な注意
- 契約の交渉
- 実施
- 終了 (期限満了または変則的な終了)
- プロバイダーの変更
最初に行う適切な注意
クラウド プロバイダーと契約を結ぶ前に、自社のニーズと要件を評価する必要があります。必要なサービスの範囲、および対応すべき制限、規制、遵守に関する問題を定義する必要があります。たとえば、クラウドに従業員の HIPAA データを収集および保存する場合は、プロバイダーが、HIPAA の規制で定義されているガイドラインを満たすようにする必要があります。企業が遵守する必要があるさまざまな法規制を評価すれば、クラウドに導入できるものや、使用できるサービスの種類を適切に定義できます。
ビジネスにおける重要性という観点から、クラウドに導入するサービスを評価する必要もあります。ビジネスに重要なサービスを導入する場合や、使用できなくなると大きな混乱を招く可能性があるサービスを導入する場合、プロバイダーを評価するときには、そのことも考慮する必要があります。
クラウド サービスの市場には数多くのプロバイダーが参入しているため、倒産したり、利益が得られないと判断した場合にサービスの提供を停止したりするプロバイダーは存在します。多くの場合、大企業は、この市場に参入しても、期待する利益が得られない場合は撤退します。ただし、クラウド サービスの提供が、クラウド プロバイダーの主要なビジネスである場合、クラウド プロバイダーは少ない利益で長く運営し続けることを望むはずです。
クラウド サービス プロバイダーを評価する前に、次のような点について考慮する必要があります。
- このクラウド サービスは、プロバイダーの主要なビジネスかどうか。
- プロバイダーは、財務的にどの程度安定しているか。
- プロバイダーが、サードパーティにクラウド サービスのいずれかの側面をアウトソーシングしているか。アウトソーシングしている場合は、サードパーティがプロバイダーと適切な取り決めを交わしているか。
- データセンターの物理的なセキュリティが、法規制とビジネスのニーズを満たしているか。
- プロバイダーのビジネス継続性と障害回復計画は、自社のビジネス ニーズと整合性が取れているか。
- 運用チームの技術的な専門知識のレベルはどのくらいか。
- プロバイダーがサービスを提供してどのくらいになるか。また、立証可能な顧客との実績があるか。
- プロバイダーでは補償が行われるか。
このような適切な注意事項を確認したら、プロバイダーの本格的な評価を始めることができます。このプロセスを踏むことで、交渉に費やす時間全体を節約して、企業のニーズに適したレベルのセキュリティが適用されるようにすることができます。
クラウド プロバイダーが、皆さんの企業のビジネス要件を詳細に理解していると考えるのは危険で、おそらく遵守すべき規制について理解していません。規制に違反することがあれば、罰せられるのは、クラウド プロバイダーではなく、クラウド プロバイダーを利用している企業です。ですから、きちんと下調べをして、正しい選択を行いましょう。
.jpg)
Vic (J.R.) Winkler は、Booz Allen Hamilton のシニア アソシエートで、主に米国政府を顧客として技術コンサルティングを行っています。彼は情報セキュリティとサイバー セキュリティの研究者として著書を出版し、侵入検出や異常検出の専門家でもあります。
©2011 Elsevier Inc. All rights reserved. Syngress (Elsevier の事業部) の許可を得て掲載しています。Copyright 2011.『Securing the Cloud』(Vic (J.R.) Winkler 著) この書籍と類似書籍の詳細については、elsevierdirect.com (英語) を参照してください。