クラウドコンピューティングのコンプライアンス問題に関する誤解と現実を合理的に考察

ハッカーが米国の3大信用機関の1つであるEquifaxのシステムを攻撃し、1億4,300万人の個人データを盗んだ。これは、米国人口のほぼ半数の公的データが漏洩したことを意味する。エキファックスの幹部数名は辞任したが、その影響は残っている。同大学のITチームは、個人が機関の記録に異議を唱えることを可能にするシステムを稼働させるために使用されているApache Strutsを更新し、パッチを適用しなかった。適切な更新が行われなければ、攻撃者が完全なアクセス権を取得できる状態になります。

[[212140]]

クラウド コンピューティングと仮想化環境におけるコンプライアンスの問題に関する誤解と現実を検討する際には、セキュリティの問題に対処し、解決する必要があります。実際、クラウド コンピューティングは、適切な保護対策を講じたデータ保護に非常に適した環境です。規制当局がクラウド コンピューティングの使用に反対しているという誤解を正す必要もあります。

誤解1: データセンターはクラウドよりも安全である

このテーマに関する有力者の意見を以下に紹介する。ニューヨーク・タイムズの技術編集者クエンティン・ハーディ氏は、クラウド内のデータは従来のデータセンター環境に保存されているデータよりも高度なセキュリティ保護の対象となる可能性があると指摘した。ハーディ氏は、世界で最も熟練した経験豊富なコンピューター科学者たちが、これらのクラウドシステムを破壊不可能なものにするために取り組んでいると指摘した。

クラウド セキュリティに関する業界メディアの視点で、David Linthicum 氏は、クラウド コンピューティングには真に安全な環境や準拠した環境を作成するための適切なメカニズムがないという一部の人々の見解を分析しています。リンシカム氏は、自社のデータセンター内のサーバーに保存するデータについてはより慎重になるべきだと考えている。従来のエコシステムとクラウド エコシステムに関する彼の評価では、クラウド コンピューティングはオンプレミスのデータ センターよりもセキュリティが優れていることが示されました。

調査会社ガートナーのレポートは、クラウド コンピューティングを信じていない人々にとって最も衝撃的なニュースとなるかもしれません。

「大手クラウドプロバイダーのセキュリティ体制は、ほとんどの企業データセンターと同等かそれ以上であり、セキュリティはパブリッククラウドサービスの導入に対する大きな障壁とはみなされないはずだ」とリンシカム氏は述べた。

言い換えれば、クラウド コンピューティングは、従来のデータ センターよりも準拠性の高い、最も強力で最先端かつ信頼性の高いツールです。アナリストは、2020 年までに、IaaS (Infrastructure-as-a-Service) システムにおける侵害が従来のデータ センター環境よりも少なくとも 60% 減少すると予測しています。

誤解2: 規制当局はクラウドコンピューティングを嫌っている

2 つのクラウド コンピューティング標準化団体と米国連邦政府機関は、クラウド コンピューティングの仮想化設計をますます受け入れ、それを実行可能なテクノロジーとして捉えるようになっています。たとえば、PCI セキュリティ標準協議会はクラウド コンピューティングに関するガイダンスを公開しています。

米国保健福祉省 (HHS) は、電子的に保護された医療情報 (ePHI) を継承または処理する医療機関および後継サービス パートナーに関連する HIPAA およびクラウド コンピューティングに関するガイダンスを発表しました。これらのパラメータは、適切な保護手段を講じれば、クラウド コンピューティングが連邦法の厳格なプライバシーおよびセキュリティ要件に準拠できるという承認を表しているため、特に重要です。

誤解3: クラウドコンピューティングへの準拠には企業の責任は必要ない

コンプライアンスは、クラウド サービス プロバイダーと規制対象企業の間で二重の責任となります。 PCI ガイドラインには、「顧客とクラウド コンピューティング プロバイダーは、すべてのセキュリティ要件に関するポリシーと手順について合意し、各要件の運用、管理、および報告の責任を明確に定義して理解する必要があります」と記載されています。この文言は、HHS におけるビジネスアソシエイト契約 (BAA) の概念に似ています。これらのプロトコルは、役割と責任を理解し、説明するために重要です。

誤解4: 仮想化はコンプライアンスの敵である

クラウド コンピューティングは仮想マシンですが、従来のデータ センター環境で作成された仮想マシンはどうでしょうか?企業が仮想環境の特定のニーズを満たしている場合は、「PCI DSS 仮想化ガイド」に記載されているクラウド コンピューティングの要件に完全に準拠できます。

たとえば、仮想化は独特の攻撃対象領域であるため、ハイパーバイザーには特別な注意を払うことが重要です。侵入者がセキュリティ制御の弱い VM を使用して機密データにアクセスする可能性があるため、企業は信頼レベルの異なる VM を混在させることにも注意する必要があります。仮想環境は、物理的なセットアップのニーズだけでなく、すべての主要な標準と規制も満たしています。

誤解5: コンプライアンスは簡単

現実には、コンプライアンスは複雑です。企業がコンプライアンスに準拠したデータを保護できるように、すべてのプロバイダーを慎重に審査することが重要です。暗号化やバックアップなどの適切な保護手段が確実に実施されていること、またプロセス、責任、説明責任を明確に理解していることも重要です。

クラウド コンピューティングでは現在、互換性のある設定を使用してセキュリティを強化していますが、これはクラウド コンピューティング テクノロジーはあらゆる組織に適しているという業界の専門家の見解と一致しています。