クラウドのコンプライアンスとガバナンス

セキュアなクラウド環境を構築することは重要ですが、クラウドのコンプライアンスとガバナンスを確立することも同じくらい重要です。

クラウドコンプライアンスを実現するには、多くの場合、基本的なセキュリティ対策以上の取り組みが必要です。また、利用しているクラウドが、組織に適用される内外のガバナンスルールに準拠していることを実証する必要もあります。

この記事では、クラウドコンプライアンスの概要とその流れ、そしてAWS、Azure、GCP の「ビッグ3」クラウドでのコンプライアンスの実現方法について説明します。

クラウドコンプライアンスとは

クラウドコンプライアンスは、クラウド環境でガバナンスルールに従うための手順とプラクティスで構成されます。コンプライアンスに準拠したクラウド環境を構築するには、セキュリティやプライバシーに関するいくつかの基準に従う必要があります。

従うべき基準には、EU 一般データ保護規則（GDPR）やカリフォルニア州プライバシー権利法（CPRA）のような政府機関が制定しているコンプライアンスフレームワークや、PCI データセキュリティ標準（PCI DSS）のような業界標準などがあります。また、組織が独自の内部ガバナンスポリシーを定めていることもあるでしょう。

組織に適用されるフレームワークは、事業を展開している管轄地域、属している業界やセクター、サービスを提供するユーザー数などの要因によって異なります。たとえば GDPR は、会社の業種や、EU 内に物理的な拠点を有しているかどうかに関係なく、EU 居住者が所有するデータまたは EU 居住者に関するデータを処理するほとんどの組織に適用されます。一方、PCI DSS は、決済処理を行う企業にのみ適用されます。

コンプライアンスフレームワークではそれぞれ独自のルールが定められていますが、基本的な義務は共通しています。たとえば、ワークロードに対して「合理的なセキュリティ」を確保する、機密データを暗号化する、セキュリティ監査を定期的に実施して問題点を特定し対応する、などです。

クラウドコンプライアンスと責任共有モデル

クラウドのコンプライアンスとガバナンスは、オンプレミスの場合と比べてやや複雑です。それは、パブリッククラウドプロバイダーが責任共有モデルに基づいて運用を行うためです。このモデルでは、クラウドプロバイダーがセキュリティ管理の責任を担うのは、VM インスタンスやストレージバケットをホストする物理サーバーの保護などの部分です。また、政府機関や業界が定めたコンプライアンス基準で義務付けられるシステムの定期的な監査も通常はプロバイダーが実施します。

一方で、エンドユーザーがクラウドに配置したリソースの多くはエンドユーザーに保護責任があります。適用されるコンプライアンスフレームワークに従って、ストレージバケットにアップロードするデータをアクセス制御などの方法で保護し、クラウドの VM インスタンス上で稼働する OS のセキュリティ対策をするのは、エンドユーザーの責任とみなされます。

つまり、クラウドコンプライアンスにおいて、クラウドプロバイダーは、エンドユーザーに適用されるコンプライアンスフレームワークに関係なく、一部の要件には対応するものの、すべての要件に責任を持つわけではないということです。クラウドプロバイダーがコンプライアンス責任を担う範囲について詳しくは、各プロバイダーの資料を参照してください。AWS の場合はこちら、Azure の場合はこちらで、コンプライアンスポリシーを公開しています。

クラウドコンプライアンスの流れ

クラウドコンプライアンスの具体的な内容は、クラウドで管理しているワークロードのタイプや、組織に適用されるコンプライアンスルールによって異なりますが、一般的に、クラウドコンプライアンスのワークフローはいくつかの基本ステップに分けられます。

1. コンプライアンスニーズの評価

最初のステップは、クラウドワークロードに関する具体的なコンプライアンス要件を決めることです。多くのコンプライアンスフレームワークでは、コンプライアスルールが包括的な表現で示されています。たとえば GDPR では、機密データを保護するために「合理的なセキュリティ」が求められるだけで、それを達成するために導入する具体的なツールや設定が指定されているわけではありません。

そのため、組織が独自にコンプライアンス要件を評価して、導入すべき具体的なツールやプロセスを判断する必要があります。

2. コンプライアンスルールの策定

クラウドコンプライアンス要件を満たすために必要なツールや実施プロセスが決まったら、要件の準拠状況を追跡するための具体的なルールを策定します。

たとえば、ユーザーデータを暗号化せずにクラウド環境に保存することを禁止する、クラウド VM では SSH アクセスをデフォルトで無効にするなどのルールです。

3. コンプライアンス監査の実施

コンプライアンスルールが決まったら、監査を実施して、ルールが守られているかどうかを確認します。

手動でクラウドワークロードの構成を評価して、策定したルールが守られているかどうかをチェックすることもできます。

ただし、監査ツールを使用して自動化した方が効率的です。ツールを使えば、クラウドの構成ファイル、ログ、その他のデータソースを自動的にスキャンし、策定したルールと照らし合わせてコンプライアンス違反を検出することができます。

クラウドプロバイダー別のコンプライアンスとガバナンス

コンプライアンスとガバナンス要件に準拠するためのプロセスはどのクラウド環境でも概ね同じですが、大手クラウドプロバイダーがそれぞれどのようなツールを提供しているかを知っておくと、コンプライアンス要件をより効率的に達成できます。

AWS コンプライアンス

AWS でのコンプライアンス実施で最も大きな役割を果たすのが Audit Manager です。Audit Manager は、AWS 利用者のためのオプションサービスであり、環境全体から情報を収集し、ワークロードの構成が個々のコンプライアンス要件を満たしているかどうかを自動的に評価できます。

Audit Manager には、GDPR や PCI DSS など、主要なフレームワークのコンプライアンス準拠状況をチェックするための設定済みのルールが用意されています。それ以外のフレームワークや組織独自のコンプライアンスプログラムを実施する場合は、カスタムルールを作成します。

また、AWS CloudTrail ログを使って環境全体を広く監視することもできます。ただし、CloudTrail はそもそもコンプライアンスソリューションや高度なセキュリティ監視ツールという位置付けではないため、CloudTrail ログを監査目的で最大限に活用するには、外部の監査ツールに取り込んで使用するのが一般的です。

Azure コンプライアンス

AWS とは異なり、Azure には専用の監査ツールはありませんが、洗練されたログアーキテクチャを備えています。Azure ログを適切に設定して分析すれば、Azure 環境全体でコンプライアンスの準拠状況を追跡できます。

Azure の場合も、ログを監査目的で最大限に活用するには、外部の監査ツールに取り込んで使用することをお勧めします。Azure Monitor など、Azure で提供される監視サービスは、アプリケーションのパフォーマンスと可用性の管理を支援するもので、コンプライアンスの実施や監査の自動化は目的としていません。

Google Cloud コンプライアンス

Google Cloud には、監査証跡の生成に使用できる監査ログサービスが用意されています。監査ログには、クラウド環境内で実行された操作、実行日時、実行したユーザーに関する情報が記録されます。

Google Cloud の監査ログには、ワークロードの構成を監査できないという大きな制限があります。追跡できるのはアクティビティのみです。そのため、環境内の IAM ルール、ネットワーク構成、その他の要素がコンプライアンス要件に準拠しているかどうかを確認するには、外部ツールを使用する必要があります。

クラウドのコンプライアンスとガバナンスは、適用されるコンプライアンスフレームワークや実行するワークロードのタイプによって、組織ごと、クラウドごとに大きく異なります。しかし、クラウドコンプライアンス戦略では、構成ファイルとログの両方を自動的かつ継続的にスキャンして、組織が準拠する必要のあるすべてのコンプライアンスポリシーについて違反を検出することを目指すべきという点は共通しています。問題を早期に検出すれば、違反による罰金やセキュリティ侵害に発展する前に対処できます。