クラウドのセキュリティ基準：ISO、PCI、GDPRとクラウド

クラウドのセキュリティ基準とは？

​クラウドインフラへのシフトに伴い、コンプライアンス基準も進化を余儀なくされている。クラウドサービスやプラットフォームは、連邦、国際、地方、州のさまざまなセキュリティ法、規制、基準へのコンプライアンスを維持することが求められるようになった。

ISO、PCI DSS、HIPAA、GDPRなどのコンプライアンス基準には、クラウド環境に特有の要件がある。政府による強制的な規制の場合、違反すると罰金などの法的処罰を受ける可能性がある。

一般的なコンプライアンス基準に加え、組織が安全なクラウド環境を実現するために役立つ専門的な基準も発展している。これには、Center for Internet Security（CIS）のCloud Security Benchmarks、Cloud Security Alliance（CSA）のControls Matrix、Cloud Architecture Frameworkなどがある。

クラウド・セキュリティ・スタンダードの必要性

企業がワークロードをクラウドに移行し続ける中、クラウド・コンピューティングが自社のアプリケーションにとって適切なデリバリー環境であることを確認しなければならない。主な関心事は、セキュリティとリスクの軽減である。企業は、機密データがクラウド上で安全かどうか、標準や規制に準拠しながらクラウドサービスを採用する方法を評価している。

なぜなら、クラウドはデフォルトでパブリック・ネットワークに公開されており、攻撃者が悪用を学んでいる環境が十分に文書化されているからだ。クラウドの構成は複雑で、VM、サーバーレス機能、コンテナ、ストレージバケットなど、多数の可動部分がそれぞれ脅威の対象となる。

クラウドプロバイダーもクラウドユーザーも、セキュアな環境を確保するために何をすべきかを定義することが難しいと感じている。多くの研究機関、セキュリティのベストプラクティス、規制要件があるが、何が真に安全なクラウド環境を構成するかについての明確な基準やコンセンサスはない。

このため企業は、ID・アクセス管理（IAM）、ネットワーク・セキュリティ、仮想化セキュリティ、ZTNA（Zero Trust Network Access）、エンドポイント・セキュリティ、データ・プライバシー、コンテンツ・セキュリティなど、クラウド・セキュリティのあらゆる側面に対応できるフレームワークを採用することが、これまで以上に重要になっている。

クラウド・コンプライアンス主要なコンプライアンス基準はクラウドにどう影響するか？

ここでは、世界各国の重要なセキュリティ規制と、それらがクラウドセキュリティにどのような影響を及ぼすかを紹介する。

ISO規格

国際標準化機構（ISO）27001は、組織を支援するための規格を作成し、ベスト・プラクティスを用いて組織の情報保護を支援している。

ISOは、以下のような多くの種類のシステムや技術に関する規格を策定している：

• ISO/IEC 17789（2014）- この規格は、クラウド・コンピューティングのアクティビティ、機能コンポーネント、役割について、それらの相互作用の仕方も含めて概説している。
• ISO/IEC19944-1 (2020)- この規格は、クラウド・サービス・センターとクラウド・サービス・ユーザーを経由してデータがどのように転送されるかを規定している。
• ISO/IEC Technical Specification 23167 (2020)- この規格は、VM、コンテナ、ハイパーバイザーなど、クラウド・コンピューティングで採用されている技術やテクニックを規定している。
• ISO/IEC 27018 (2019)- この文書は、ISO/IEC 27002に基づくガイドラインを記述しており、パブリッククラウド内での個人識別情報（PII）の保護に重点を置いている。

PCI DSS

Payment Card Industry Data Security Standard（PCI DSS）は、デビットカードやクレジットカードを取り扱う加盟店向けの一連のセキュリティ条件です。PCI DSSは、カード会員データを保存または処理する組織に関するものです。

お客様の組織が機密性の高いペイメントカードの詳細をクラウドで保持し、取り扱う場合、IT チームに高度なクラウド専門知識を提供し、クラウド環境を安全に構築および維持することはお客様の責任です。PCI DSSクラウド・コンピューティング・ガイドラインを遵守しない場合、ペイメントカード取引の処理能力を失う可能性があります。

HIPAA

個人の健康関連データを保護するため、医療保険の相互運用性と説明責任に関する法律（HIPAA）には、情報のセキュリティに直接関係する項目がある。

HIPAAは、個人を特定できる医療情報を扱う組織に関する法律である。情報セキュリティに関しては、HIPAAセキュリティ規則（HSR）が最も適用範囲が広い。HSRは、個人の電子医療情報を安全に保つためのガイドラインを規定しています。これには、対象事業体が使用、作成、維持、または受領する情報が含まれる。

あなたの組織がクラウドベースのサービス（IaaS、PaaS、SaaS）を採用して医療情報を管理・移動する場合、サービスプロバイダーがHIPAAに準拠していることを確認するのはあなたの仕事です。また、クラウド構成を監督するためのベストプラクティスを実施する必要もある。

GDPR

世界中で最も厳格かつ広く適用されている情報プライバシー法のひとつが、一般データ保護規則（GDPR）である。その中心的な目的は、欧州連合（EU）内の企業および個人の個人情報を保護することです。

GDPR規制の11章の1つである「第4章：管理者と処理者」には、ユーザーデータを処理・管理するパブリッククラウド環境を扱うセキュリティチームやITチームに影響を与える条文が掲載されている。例えば

• 第25条設計によるデータ保護とデフォルトによるデータ保護-は、デフォルトで、本人の介入なしに不特定多数の自然人が個人情報を利用できるようにならないような対策を実施すべきであると指摘している。Microsoft Azure（アクティブディレクトリ）の権限とポリシー、およびAWS IAMは、情報アクセスの範囲が制限されることを確認するのに役立つ。
• 第30条処理活動の記録 -データ処理者は情報処理に関する記録を保持しなければならない。Azure MonitorまたはAWS CloudTrailによるAPI監視を許可し、ログをS3ストレージバケットまたはBlobsに転送することで、組織はこの要件を満たすことができる。
• 第32条プロセスのセキュリティ-​ 個人情報は暗号化されなければならない。セキュリティ・チームとITチームは、転送中および静止中のデータを暗号化する戦略を実施することができる。

システム・組織統制（SOC）報告書

SOC報告基準は任意である。組織は、データ・セキュリティに対する大きなコミットメントを示し、正しいセキュリティ戦略を実施していることを確認するために、SOC認証を実施している。

SOC 2の5つの信頼カテゴリーは、それぞれ9つのサブカテゴリーで構成されています。セキュリティ基準では、パブリッククラウドインフラストラクチャを管理するコンプライアンスとセキュリティチームに関連する信頼原則が含まれます：

• CC2.0：コミュニケーションと情報-組織が外部と内部のコミュニケーションとデータの流れをどのように管理するかを扱う。
• CC5.0：統制活動-組織の統制の追求が、技術やリスク管理をどのように考慮しているかを取り上げる。
• CC6.0：論理的・物理的アクセス制御- は、組織の管理によって IT クレデンシャルとシステムへの論理アクセスがどのように可能になるかを取り上げる。施設に対する物理的な立ち入りの管理、および不正アクセスを防止および検出するためのセキュリティ基準について説明する。
• CC7.0「システム運用」：セキュリティリスクをもたらす可能性のある事象、異常、設定変更について、組織がどのようにシステムを管理・監視するかを扱う。また、セキュリティインシデントを是正、封じ込め、公表するためのインシデント対応策も規定する。
• CC8.0：変更管理 -データ、インフラ、手順、ソフトウェアにどのような変更が必要かを、組織がどのように測定し、決定するかを取り上げる。これにより、不正な変更を防止しながら、必要な変更を安全に行うことができる。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

エキスパートからのアドバイス

私の経験から、クラウドのセキュリティ標準をより適切に導入・実施するためのヒントを紹介しよう：

クラウド間でコンプライアンスレポートを一元化
マルチクラウド戦略を採用している場合は、すべてのプラットフォームでコンプライアンス・レポートを標準化する。クラウドセキュリティアライアンス（CSA）の STAR 認証のような統一されたツールやフレームワークを使用することで、監査とセキュリティ管理を効率化できる。

地域固有の基準を優先する
地域によって独自の規制要件があります（欧州のGDPR、カリフォルニア州のCCPAなど）。特にグローバルに事業を展開している場合は、クラウドセキュリティ戦略でこれらの規制要件が考慮されていることを確認する。複雑さを軽減するために、複数地域のコンプライアンス自動化を優先する。

DevOpsパイプラインにコンプライアンスを組み込む
セキュリティ管理とコンプライアンスチェックをCI/CDパイプラインに組み込みます。これにより、ソフトウェア開発ライフサイクル全体を通じて、デプロイが ISO や PCI DSS などのクラウドセキュリティ標準に準拠していることが保証されます。

自動化されたクラウドコンプライアンス監査の活用
継続的にコンプライアンスチェックを行い、リアルタイムのレポートを生成できるクラウドネイティブツールまたはサードパーティツールを利用する。この自動化により、手作業による監査に費やす時間を削減し、規制当局によるレビューの前に問題を検出することができます。

責任共有トレーニングを実施する
ITチームとセキュリティチームの双方に、責任共有モデルに関する教育を実施する。クラウドプロバイダーと顧客の責任の境界を誤解すると、特にデータの暗号化やIAMなどの分野で、コンプライアンスギャップにつながる可能性がある。

クラウド特有のセキュリティフレームワークとベンチマーク

ここでは、組織が高いレベルのクラウドセキュリティを維持するためのフレームワークをいくつか紹介する。

CISクラウド・セキュリティ・ベンチマーク

CIS Foundations Benchmarksは、Center for Internet Security (CIS)が監督するサイバーセキュリティ基準の一部です。CIS Benchmarksは、ベンダーにとらわれず、最も一般的な技術やシステムに対するコンセンサスに基づく安全な設定ガイドラインです。

サーバー、オペレーティングシステム、モバイルデバイス、クラウドプロバイダー、ネットワークデバイス、デスクトップソフトウェアなど、多くのベンダー製品群を扱った100以上のCISベンチマークが自由に利用できます。CIS Foundations Benchmarksは、パブリック・クラウド環境をアカウント・レベルで支援します。

CISファウンデーション・ベンチマークは、次のような内容を扱っている：

• オラクル・クラウド・インフラストラクチャ
• IBM Cloud
• アマゾン ウェブ サービス (AWS)
• マイクロソフト・アジュール
• グーグル・クラウド・プラットフォーム
• アリババクラウド

CIS Benchmarksは、ベストプラクティスに基づくセキュリティ構成のアウトラインを提供し、ビジネス、政府、学界、業界団体によって承認されています。CIS Foundations Benchmarksは、アプリケーション管理者、システム管理者、セキュリティ専門家、監査人だけでなく、クラウド内でのソリューションの作成、導入、セキュリティ確保、評価を希望するプラットフォーム導入担当者、ヘルプデスク担当者、DevOps担当者を対象としています。PDFドキュメントとして無料でダウンロードできます。

CSAコントロール・マトリックス

クラウド・セキュリティ・アライアンス（CSA）が実施するこのセキュリティ管理グループは、セキュリティ・ベンダーに基本的なアウトラインを提供し、セキュリティ管理環境の堅牢性を高め、監査を合理化する。また、このフレームワークは、潜在的なクラウド・ベンダーのリスク態勢を評価する際にも役立ちます。

クラウド・セキュリティ・アライアンスは、STARとして知られる認証イニシアチブを創設した。CSA STAR認証は、顧客から尊敬される卓越したクラウドセキュリティの姿勢を示すものである。この一連の基準は、顧客がベンダーのセキュリティへの献身を評価する際の最重要資産となり得るものであり、顧客の信頼を確保しようとするあらゆる組織にとって必要不可欠なものである。

STARレジストリは、一般的なクラウド・コンピューティング機能によって提供されるプライバシーとセキュリティ管理の概要を示しているため、クラウド利用者はセキュリティ・プロバイダーを評価し、確実な購入を選択することができる。

クラウド・アーキテクチャ・フレームワーク

これらのフレームワークは、クラウドアーキテクトのベストプラクティスガイドラインとみなすことができ、運用セキュリティ、効率性、コスト価値分析を定期的に扱っている。ここでは、クラウドアーキテクトが知っておくべき3つのフレームワークを紹介する：

• AWS Well-Architected フレームワーク -アマゾン ウェブ サービス (AWS)アーキテクトが Amazon クラウドでアプリケーションとワークロードを作成するのに役立ちます。このフレームワークは、クラウド環境を評価するための質問を概説し、お客様にアーキテクチャ分析のための信頼できるリソースを提供します。セキュリティ、卓越した運用、パフォーマンスの効率性、信頼性、コストの最適化という5つの基本原則が、Amazonのアーキテクトを導きます。
• Googleクラウドアーキテクトフレームワークは、Googleクラウドの機能を強化し、構築するための基盤を提供します。このフレームワークは、セキュリティとコンプライアンス、オペレーショナル・エクセレンス、パフォーマンス・コストの最適化、信頼性という4つの中心原則を扱うことで、アーキテクトを支援します。
• Azure アーキテクチャフレームワーク -アーキテクトが Microsoft Azure でクラウドベースの機能を開発するのに役立ちます。このガイドは、アーキテクチャのワークロードを最適化するのに役立ち、データセキュリティ、コストの最適化、信頼性、パフォーマンスの効率性、オペレーショナルエクセレンスなど、Google CloudやAWS Frameworksと同様の原則に基づいています。

エクサビーム：高度なセキュリティ分析で脅威検知を強化

Exabeam Fusion Enterprise Edition Incident Responderは、SIEM、行動分析、自動化、ネットワークの可視性を強力に組み合わせ、企業が脅威を検知、調査、対応する方法を変革します。ファイアウォールのログと、エンドポイント、クラウド環境、アイデンティティ・システム、その他のセキュリティ・ソースからのデータを相関させることにより、Exabeamは、通常であれば検出されない進化する脅威について、より深い洞察を提供します。

Exabeamは、行動分析によって静的なルールやシグネチャの枠を超え、クレデンシャルの不正使用、内部脅威、ネットワーク全体の横移動を示す異常な行動を特定します。通常のユーザーやエンティティの行動を長期にわたって分析することで、Exabeamは従来のセキュリティ・ツールが見落としていたリスクの高い行動を発見します。

自動化された調査は、異種のデータポイントを包括的な脅威のタイムラインにリンクすることでセキュリティ運用を合理化し、アナリストが手作業でインシデントをつなぎ合わせる時間を短縮します。これにより、チームは攻撃の根本原因を迅速に特定し、的確に対応できるようになります。

詳細はこちらExabeam Fusion SIEM