リスクおよびコンプライアンス
クラウド導入のリスクおよびコンプライアンス管理とは、クラウドベースのテクノロジー・ソリューションに関連するリスクの特定、評価、軽減を保証する一連のポリシー、手順、およびプラクティスを指します。これには、クラウド導入に関連する潜在的なリスクを理解し、リスク管理フレームワークを確立して、組織のリスク・エクスポージャを最小限に抑えるための統制を実施することが含まれます。
リスクおよびコンプライアンスの管理には、クラウドベースのテクノロジ・ソリューションが規制要件および内部ポリシーおよび標準に準拠していることの確認も含まれます。クラウド・テクノロジをセキュアかつコンプライアンスに準拠して使用し、資産および評判を保護するには、効果的なリスクおよびコンプライアンス管理が不可欠です。
組織の情報セキュリティ・リスク管理プログラムは、共有責任の概念を組み込む必要があります。Oracle Cloud Infrastructure (OCI)には、Payment Card Industry (PCI)やSystem and Organization Controls (SOC)およびCloud Computing Compliance Controls Catalogue (C5)の補完的なユーザー・エンティティ・コントロールなど、コンプライアンス方法の明確なロールおよび責任マトリックスが用意されています。OCIコンプライアンス・ドキュメント・サービスを使用して、コンソールからこれらのドキュメントをダウンロードします。
目標
クラウド導入におけるリスクとコンプライアンスの目標は、クラウド環境に関連する潜在的な脅威、脆弱性、および法的問題を最小限に抑えながら、クラウド・イニシアチブを関連する規制および業界標準に整合させることです。
役割
リスクとコンプライアンスの責任は、通常、クラウド導入時のプロセスの形成に関与する複数の役割に該当します。
Cloud Governanceチーム
クラウド環境におけるリスクとコンプライアンスを保証するポリシー、手順および統制の作成と実装を担当します。
クラウド・セキュリティ・チーム
セキュリティ・リスクの評価と軽減、セキュリティ制御の実装、データ保護の確保に重点を置いています。
法務およびコンプライアンス・チーム
クラウドの導入が、法的要件、データ・プライバシに関する法律および業界の規制に整合することを保証します。
Risk Managementチーム
クラウド導入に関連するリスクを特定、評価、管理し、リスク軽減戦略を策定します。
実装
次の情報では、クラウド導入のリスクおよびコンプライアンス・プロセスを実装する際の機能および設計上の考慮事項について説明します。
規制分析
クラウドの導入に影響を与える関連規制やコンプライアンス基準を分析するには、クラウド・イニシアチブに適用可能な法的要件や規制要件を特定、解釈、対処するための体系的なアプローチが必要です。
次の情報では、これらの規制を効果的に分析する手順について説明します。
- 適用可能な規制を識別します。
- 組織が運営している地域と管轄区域、およびデータがクラウドに保存または処理される場所を特定します。
- 医療、財務、政府など、クラウド活動に適用される可能性のある特定の業界またはセクターの規制を決定します。
- コンプライアンス・チームを組み立てます。
- 法務エキスパート、コンプライアンス担当者、ITプロフェッショナル、および関連するビジネス・ユニットの担当者を含む部門横断的なチームを形成します。
- チームがクラウド・テクノロジー、データ・プライバシに関する法律、業界固有の規制を包括的に理解していることを確認します。
- 調査および文書の規則:
- 特定された管轄区域および業界に関連する規制およびコンプライアンス標準に関する情報を調査および収集します。
- クラウド・デプロイメント・モデルで概説されている主な規定、要件および義務を文書化します。
- 組織で使用する予定のクラウド・デプロイメント・モデル(パブリック、プライベート、ハイブリッド)を決定し、それが規制コンプライアンスにどのように影響するかを検討します。
- データ型とカテゴリの理解:
- クラウド環境で処理、格納または転送されるデータのタイプを識別します。
- 個人を識別可能な情報(PII)、財務データ、健康記録など、機密性に基づいてデータを分類します。
- データ・フローおよびプロセスをマップします。
- オンプレミス環境とクラウド環境間のやり取りなど、データがどのようにシステムを通過するかを理解します。
- データ処理活動、保管場所、データ転送、および第三者とのデータ共有を文書化します。
- 解釈と分析:
- 収集した規制およびコンプライアンス標準をレビューし、クラウド導入計画にどのように適用されるかを理解します。
- クラウド固有の課題と機会のコンテキストで要件を解釈します。
- ギャップ分析の実行:
- 既存のポリシー、プラクティスおよび技術統制と、特定された規制要件を比較します。
- 現在のプラクティスとコンプライアンス義務の間のギャップを特定します。
- データ・プライバシ影響アセスメント(DPIA)の実施:
- DPIAを実施し、クラウド導入がデータ・プライバシおよび保護に及ぼす潜在的な影響を評価する。
- データ処理、セキュリティ、および潜在的な国境を越えたデータ転送に関連するリスクと軽減を評価します。
- コンプライアンス戦略を策定します。
- 分析に基づいて、クラウド環境の規制要件を満たすために必要なアクションの概要を示すコンプライアンス戦略を開発します。
- 特定されたギャップに対処するために、特定のメジャー、コントロールおよびプロセスを定義します。
- 法務およびコンプライアンスの専門家とのコラボレーション:
- 法務およびコンプライアンスの専門家と緊密に協力して、規制の正確な解釈とコンプライアンスへの取り組みの整合性を確保します。
- 戦略のレビューと承認:
- 法律顧問やコンプライアンス担当役員など、主要な利害関係者とのコンプライアンス戦略を見直して、正確性と整合性を確保します。
- ドキュメントとレポート:
- 分析、コンプライアンス戦略、および軽減策を明確かつ整理した方法で文書化します。
- 将来の参照および監査のための規制要件に対処するためにとられたステップのレコードを管理します。
- 定期的に更新します。
- コンプライアンス戦略と分析を最新の状態に保ち、規制、業界標準、クラウド導入計画の変更を反映します。
コンプライアンス・ポリシー
一般データ保護規則(GDPR)、PCI、Health Insurance Portability and Accountability Act (HIPAA)、Sarbanes-Oxley Act (SOX)、データ・マスキング、データ保持などのコンプライアンス要件に対するポリシーの設定には、次のステップが含まれます。
- 関連するコンプライアンス要件の特定: 最初のステップは、組織に適用されるコンプライアンス要件を特定することです。これには、業界や地理的な場所に適用される規制や基準を決定するために、法律またはコンプライアンスの専門家と相談することが含まれます。
- ポリシーの範囲の決定: 関連するコンプライアンス要件を特定したら、ポリシーの範囲を決定する必要があります。これには、コンプライアンス要件の対象となるデータとシステム、および実装する必要がある特定の制御の特定が含まれます。
- ポリシーと手順の開発: コンプライアンス要件とポリシーの範囲に基づいて、コンプライアンスを達成するために実装する必要がある制御の概要を示すポリシーと手順を開発できます。これらの方針を文書化し、関連するすべての利害関係者に伝達する必要があります。
- ポリシーの実装と施行: ポリシーの開発後、次のステップはポリシーを実装して施行することです。これには、ポリシーに準拠するためのクラウド・インフラストラクチャおよびアプリケーションの構成、ポリシーに関する従業員のトレーニング、およびコンプライアンスの監視が含まれる場合があります。
- 定期的にポリシーを確認および更新: コンプライアンス要件と業界標準は常に進化しており、ポリシーを定期的に確認および更新して、ポリシーが最新かつ効果的に維持されるようにすることが重要です。
次の情報では、コンプライアンス要件のポリシーを設定する際の具体的な考慮事項について説明します。
- GDPR: GDPRのポリシーには、データ暗号化、アクセス制御、データ保持ポリシーなどのデータ保護対策を含める必要があります。また、データ漏洩に対応し、データ主体の要求を処理するための手順も必要です。
- PCI: PCIコンプライアンスのポリシーでは、カード保有者データの保護(暗号化、アクセス制御、カード保有者データへのアクセスの監視など)に重点を置く必要があります。また、セキュリティ・インシデントへの対応および定期的な脆弱性スキャンを実施するための手順も必要です。
- HIPAA: HIPAAコンプライアンスのポリシーには、暗号化、アクセス制御、監査ログなどの電子保護医療情報(ePHI)を保護するための対策を含める必要があります。また、セキュリティ・インシデントに対応し、定期的なリスク評価を実施するための手順も必要です。
- SOX: SOXコンプライアンスのポリシーでは、財務レポートの正確性と整合性の確保に重点を置く必要があります。これには、財務システムへのアクセス、職務分掌、財務トランザクションの定期的な監視に関する制御が含まれる場合があります。
- データ・マスキング: データ・マスキングのポリシーには、個人識別情報(PII)や財務データなどの機密データを識別および保護するための手順が含まれている必要があります。これには、テスト環境および開発環境で機密データをマスキングまたはリダクションする場合があります。
- データ保持: データ保持のポリシーでは、データの保持期間と削除が必要な時期を指定する必要があります。これには、規制要件、ビジネス・ニーズ、データ機密性に基づいて保存期間を設定することが関係する場合があります。
現地法
地域の法律を遵守することは、組織がコンプライアンスを維持し、法的な罰則と評判上の損害を回避するために重要です。現地の法律は管轄区域によって異なり、データ保護、プライバシ、雇用慣行および課税に関連する規制が含まれる場合があります。たとえば、米国では、HIPAAは個人の健康情報を保護するための基準を設定し、カリフォルニア消費者プライバシー法(CCPA)はカリフォルニアで事業を展開する企業による個人データの収集および使用を規制します。地域の法律の遵守は、組織が欧州連合のGDPRや中国のサイバーセキュリティ法などの規制を遵守する必要がある国際管轄区域にも及びます。地域の法律を遵守しないと、Equifaxのデータ侵害やFacebookのCambridge Analyticaスキャンダルなどの注目のケースで見られるように、法的罰則と評判の低下につながる可能性があります。
リスク評価
リスク識別
クラウド導入のためのエンタープライズ・アーキテクチャにおけるリスク特定プロセスには、クラウド・サービスの導入に関連するリスクを特定および評価するための体系的なアプローチが含まれます。効果的なリスクの特定と評価は、潜在的なリスクと脅威を理解し、それらを優先順位付けし、リスクを軽減するための戦略を策定するのに役立つため、重要です。次の情報では、プロセスに関連するステップについて説明します。
- スコープの定義: 最初のステップは、リスク識別プロセスのスコープを定義することです。これには、組織が採用する予定のクラウド・サービスと、影響を受けるビジネス・プロセスおよびシステムの特定が含まれます。
- 利害関係者の特定: ビジネス・ユーザー、ITチーム、サードパーティ・プロバイダなど、クラウド・サービスの導入によって影響を受ける利害関係者を特定します。
- 情報の収集: 導入を検討しているクラウド・サービスに関する情報(その機能、メリット、潜在的なリスクなど)を収集します。
- 潜在的なリスクの特定: 構造化されたアプローチを使用して、クラウド・サービスの導入に関連する潜在的なリスクを特定します。これには、リスク管理フレームワークとツールを使用したリスクの特定と優先順位付けが含まれます。
- リスクの評価: 潜在的なリスクが特定されたら、各リスクの可能性と影響を評価します。これにより、リスクに優先順位を付け、さらなる対策が必要なリスクを判断できます。
- リスクの軽減: 特定されたリスクを軽減する計画を策定します。これには、統制の実装、偶発計画の開発、またはリスクの回避または転送の選択が含まれる場合があります。
- 監視とレビュー: リスク軽減策の有効性を監視し、リスク識別プロセスを定期的にレビューして、長期にわたって有効であることを確認します。
リスク登録
リスク登録とは、特定されたすべてのリスク、潜在的な影響、およびリスクを管理するための計画を取得および追跡するドキュメントまたはデータベースです。クラウド導入のためのエンタープライズ・アーキテクチャでは、リスク登録は、クラウド・サービスの導入に関連するリスクを特定、評価、管理するのに役立つ重要なツールです。
次の情報では、リスク登録を作成するプロセスについて説明します。
- リスクの特定: リスク・レジスタを作成する最初のステップは、クラウド・サービスの導入に関連する潜在的なリスクを特定することです。これは、リスク評価、セキュリティ評価、脆弱性スキャンなど、様々な方法を使用して実行できます。
- リスクの評価: リスクが特定されたら、各リスクの可能性と潜在的な影響を評価します。これにより、リスクに優先順位を付け、即時アクションが必要なリスクを判断できます。
- リスクの優先順位付け: リスクの可能性と潜在的な影響に基づいてリスクに優先順位を付けます。これは、最も重要なリスクを最初に解決するのに役立ちます。
- 緩和戦略の開発: 特定されたリスクごとに緩和戦略を開発します。これには、統制の実装、偶発計画の作成、リスクの回避または転送の選択などが含まれます。
- リスクと軽減戦略の文書化: 特定されたすべてのリスクとそれに関連する軽減戦略をリスク登録に文書化します。これにより、すべての利害関係者がリスク管理アクティビティを確実に可視化できます。
- モニターおよびレビュー: リスク・レジスタを定期的にモニターおよびレビューして、リスク・レジスタが最新かつ有効であることを確認します。これには、リスク評価の更新、軽減戦略のレビュー、軽減措置の実施の追跡が含まれます。
クラウド導入のためのエンタープライズ・アーキテクチャにおけるリスク登録の重要性は誇張できません。特定されたすべてのリスクとそれに関連する軽減戦略について一元的なリポジトリを提供し、すべての利害関係者がリスク管理活動を可視化できるようにします。これは、次の領域で役立ちます:
- リスクの特定と優先順位付け: 特定されたすべてのリスクを1箇所で把握することで、リスクの可能性と潜在的な影響に基づいてリスクに優先順位を付けることができます。これにより、最も重要なリスクが最初に解決されます。
- 効果的な軽減戦略の策定: リスク登録で軽減戦略を文書化することで、特定されたリスクを管理するための包括的な計画を立てることができます。これにより、業務や評判に対するリスクの影響を最小限に抑えることができます。
- リスク管理活動のモニターおよびレビュー: リスク登録を定期的に監視およびレビューすることで、リスク管理活動が時間の経過とともに引き続き有効であることを確認できます。これには、リスク評価の更新、軽減戦略のレビュー、軽減措置の実施の追跡が含まれます。
リスクの優先順位付けとスコアリング
リスク評価、優先順位付けおよびスコアリングは、クラウド導入のためのエンタープライズ・アーキテクチャの重要な活動です。これらの活動は、クラウド・サービスの導入に関連するリスクを特定し、管理するのに役立ちます。次の情報は、これらのアクティビティの概要と例を示しています。
-
リスク評価: リスク評価とは、クラウド導入に関連する潜在的なリスクを特定するプロセスです。これには、データの機密性、コンプライアンス要件、ビジネスへの影響など、様々な要因の分析が含まれます。脅威モデリング、脆弱性スキャン、セキュリティ評価など、さまざまな方法を使用してリスク評価を実行できます。
例:重要なビジネス・アプリケーションをクラウドに移行する予定の場合、リスク・アセスメントでは、データ損失、サービスの利用不能、機密データへの不正アクセスなどのリスクを識別できます。- リスクの優先順位付け: リスクが特定された後、次のステップは、組織に対する潜在的な影響に基づいてリスクに優先順位を付けることです。これにより、最も重要なリスクを最初に解決できます。リスクの優先順位付けは、リスクの発生可能性、組織への潜在的な影響、緩和策の可用性などの様々な要因に基づきます。
例:前のシナリオでは、データ損失のリスクが機密データへの不正アクセスのリスクよりも高くなる可能性があります。業務と評判に大きな影響を与えます。- リスク・スコアリング: リスク・スコアリングは、その可能性と潜在的な影響に基づいて、識別された各リスクに数値スコアを割り当てるプロセスです。これにより、リスクに優先順位を付け、即時アクションが必要なリスクを判断できます。リスク・スコアリングは、リスク・マトリックスやリスク計算機などの様々な方法を使用して実行できます。
例:前のシナリオでは、データ損失のリスクには、業務および評判に対する潜在的な影響が高く、発生の可能性が中程度であるため、スコア8 (1から10のスケール)が割り当てられる可能性があります。機密データへの不正アクセスのリスクは、組織への潜在的な影響が低く、発生の可能性が低いため、スコア6が割り当てられる可能性があります。
ポリシー開発
クラウド導入のためのセキュリティ対策、データ保護の実践、アクセス制御およびコンプライアンス要件の概要を示すポリシーを開発するには、クラウド環境が安全でコンプライアンスに準拠し、目標に適合していることを確認する構造化されたプロセスが必要です。次の情報では、このプロセスのステップについて説明します。
- 組織のニーズおよび目的の理解:
- まず、ビジネス目標、業界の規制および特定のクラウド導入の目標を明確に理解します。
- データ・プライバシ要件を考慮して、クラウドで処理および格納される機密データ型を識別します。
- 適用可能な規制および標準を識別します。
- クラウドでのデータ・セキュリティおよび保護に関連する規制および業界標準を調査および識別します。
- GDPR、HIPAA、業界固有の規制など、対処する必要がある特定のコンプライアンス要件を理解します。
- 機能横断的なポリシー開発チームを形成します。
- IT、法務、コンプライアンス、セキュリティ、および関連するビジネス・ユニットの担当者とチームを組み立てます。
- チームがクラウド・テクノロジー、セキュリティ・プラクティス、コンプライアンス義務を包括的に理解していることを確認します。
- ポリシーの範囲と目的を定義します。
- ポリシーの範囲を明確に定義し、対象となるクラウド・サービス、データ型およびプロセスを指定します。
- 特定の規制への準拠に加えて、データの機密性、整合性、可用性の確保など、ポリシーの明確な目標を設定します。
- ポリシーの開発:
- クラウド導入のセキュリティ対策、データ保護の実践、アクセス制御、コンプライアンス要件の概要を示すポリシー・ドキュメントをコラボラティブに作成します。
- データ分類、暗号化標準、認証メカニズム、インシデント・レスポンス、アクセス権限などの主要な領域に対処します。
- ポリシーをクラウド・サービスに合わせてカスタマイズ:
- 各サービスによって提供される独自のセキュリティ機能およびコントロールを考慮して、使用中の特定のクラウド・サービス(Infrastructure as a Service (IaaS)、Platform as a Service (PaaS)、Software as a Service (SaaS)など)にポリシーを調整します。
- アクセス制御を定義します。
- 役割ベースのアクセス、多要素認証(MFA)、最小権限の原則などのアクセス制御メカニズムを指定します。
- ユーザーのロールと権限がクラウド環境内でどのように管理されるかについて詳しく説明します。
- データ保護と暗号化を定義します。
- 転送中および保存中のデータの暗号化要件など、データ保護の実践の概要を示します。
- 暗号化標準、キー管理手順およびデータ・マスキング(該当する場合)を指定します。
- コンプライアンス要件の開発:
- クラウド環境が関連する規制をどのように遵守し、データ処理、保持および報告義務を規定するかを詳しく説明します。
- コンプライアンス標準で必要とされる監査証跡、ロギングおよびデータ・アクセスの監視に対応します。
- インシデント対応とレポートの作成:
- セキュリティ・インシデントまたは違反を検出、レポートおよび対応するための手順を定義します。
- 明確なインシデント・エスカレーション・プロセスと通信プロトコルを確立します。
- レビューと承認:
- 主要な利害関係者とポリシー草案をレビューし、法律、コンプライアンスおよびセキュリティの専門家からのフィードバックと意見を求めます。
- フィードバックに基づいてポリシーを改訂し、関連する当事者から必要な承認を得ます。
- コミュニケーションとトレーニングの提供:
- クラウドの導入に関連するすべての従業員、契約社員、利害関係者にポリシーを伝達します。
- ポリシー、セキュリティ・プラクティスおよびコンプライアンス要件について従業員を教育するためのトレーニング・セッションを提供します。
- 定期的なレビューおよび更新を実施すること。
- 定期的なポリシー・レビューおよび更新のスケジュールを確立し、進化するクラウド・テクノロジおよび変化する規制に整合性を保ちます。
仕入先期限のデリジェンス
サードパーティのソフトウェアやサービスが関与することで、コンプライアンス・リスクを組織に追加できます。サードパーティ・ベンダーは機密データやシステムにアクセスでき、規制やセキュリティ基準に準拠していないことが組織に影響する可能性があります。
次の情報では、これらの外部の追加リスクを効果的に克服するために実行できるいくつかのステップについて説明します。
- デュー・デリジェンスの実施: サードパーティ・ベンダーと契約する前に、ベンダーが関連する規制およびセキュリティ基準に準拠していることを確認するためにデュー・デリジェンスを実行する必要があります。これには、ベンダーのコンプライアンス・ポリシーの確認やセキュリティ評価の実施が含まれます。たとえば、ベンダーがPCI DSSに準拠し、ベンダーのシステムおよびプロセスがこれらの標準に準拠していることを確認するための評価を実施する必要がある場合があります。
- コンプライアンス要件を契約に含める: サードパーティ・ベンダーとの契約にコンプライアンス要件を含める必要があります。これには、ベンダーが特定の規制やセキュリティ基準に準拠し、コンプライアンス・ステータスを定期的に報告するための要件が含まれる場合があります。たとえば、ベンダーとの契約では、ベンダーがGDPRに準拠し、コンプライアンス・ステータスに関する定期的なレポートを提供する必要がある場合があります。
- 継続的な監視の実装: サードパーティ・ベンダーの継続的な監視を実装して、規制やセキュリティ標準に準拠していることを確認する必要があります。これには、ベンダーのシステムおよびプロセスの定期的な評価や、コンプライアンス・レポートの定期的なレビューが含まれる場合があります。たとえば、ベンダーがGDPRへの準拠に関する定期的なレポートを提供し、ベンダーがコンプライアンスを維持できるように定期的な評価を実施する必要がある場合があります。
- セキュリティ認識トレーニングの提供: 従業員およびサードパーティ・ベンダーがセキュリティ・リスクおよびベスト・プラクティスを認識していることを確認するために、セキュリティ認識トレーニングを従業員およびサードパーティ・ベンダーに提供する必要があります。これには、フィッシング、パスワード・セキュリティおよびデータ処理のベスト・プラクティスのトレーニングが含まれる場合があります。たとえば、ベンダーが機密データの処理に関連するリスクを認識していることを確認するために、セキュリティ認識トレーニングを完了するようベンダーに要求する場合があります。
契約契約
ベンダーとの明確な契約条件を確立することは、クラウドの導入がセキュアでコンプライアンスに準拠し、適切に管理されていることを保証するために非常に重要です。次のステップを使用して、これらの契約条件を効果的に確立します。
- ベンダーの主な要件の理解:
- 組織がベンダーから調達しようとしている特定のクラウド・サービスおよびソリューションを決定します。
- 責任、データの所有権、セキュリティ、違反通知など、契約で対処する必要がある重要な側面を特定します。
- 法務および調達チームとのコラボレーション:
- 組織内の法務および調達の専門家と協力して、契約の起草と交渉を支援します。
- 契約が法的要件および規制要件に準拠し、標準に準拠していることを確認します。
- ロールおよび職責を定義します。
- 契約における両当事者の役割と責任の概要を明確に説明します。
- データ保護、セキュリティ、コンプライアンスおよびサービス提供に関連するベンダーの義務を指定します。
- データの所有権を定義し、次を使用します。
- 誰がデータを所有しているか、誰がデータにアクセスできるか、ベンダーがデータ所有権をどのように使用できるかなど、データ所有権権限を明確に定義します。
- データの保存、転送および削除の要件を指定します。
- 詳細なセキュリティ義務:
- ベンダーがデータを保護し、情報の機密性、整合性および可用性を確保するために実装する必要がある詳細なセキュリティ対策および制御。
- 暗号化、アクセス制御、脆弱性管理、インシデント対応の手順に対応します。
- 侵害通知手順を指定します。
- データ侵害またはセキュリティーインシデントが発生した場合に組織に通知するための手順とスケジュールを指定します。
- 侵害通知に含める必要がある情報を定義します。
- データ処理とコンプライアンスに対応:
- ベンダーがお客様のためにデータを処理する方法に対応し、GDPRやHIPAAなどの関連規制へのコンプライアンスを確保します。
- サービス・レベル契約の確立:
- クラウド・サービスの期待されるパフォーマンス、可用性および稼働時間を定義する明確なサービス・レベル合意(SLA)を確立します。
- SLA違反に対する是正または罰則を含めます。
- 契約期間および更新を決定します。
- 契約条件、更改オプションおよび終了条項を決定します。
- 変化するビジネス・ニーズに対応するための再ネゴシエーション、スケーラビリティおよび柔軟性に関する規定を含めます。
- 係争解決メカニズムを指定します。
- 必要に応じて調停、仲裁、法的措置など、紛争を解決するための手順の概要を説明します。
- レビューと承認:
- 主要な利害関係者、法務エキスパートおよび関連部門との契約草案をレビューし、組織のニーズに正確性と整合性を確保します。
- 条件の交渉と最終決定:
- ベンダーとの交渉に参加して、契約条件に関する相互に受け入れられる契約を締結します。
- 関係するすべての当事者が、最終決定の前に条件を理解し、同意するようにしてください。
- 契約に署名して実行します。
- 契約条件が合意されると、両当事者は契約に署名し、実行します。
- 定期的なレビューと更新の実施:
- 定期的な契約レビューと更新のスケジュールを確立して、条件が引き続き関連し、進化するクラウド・ニーズや規制変更に整合できるようにします。
トレーニングと意識
トレーニングと準備は、データ処理に関わるすべての関係者にとって、データを安全に処理し、潜在的なデータ侵害や法的義務を回避するために必要な知識とスキルを備えていることを確認するために重要です。
次の情報は、トレーニングと準備が不可欠な理由を説明しています。
- 機密情報の保護: 組織は、顧客、従業員およびパートナに関する機密情報を収集および格納します。この情報には、個人情報(PII)、財務情報、健康情報、その他の機密データが含まれます。データ侵害が原因でこの情報が間違った手に渡った場合、財務上の損失、個人情報盗難、評判の低下、法的責任が発生する可能性があります。
- 規制への準拠: 多くの業界には、組織がデータのプライバシーとセキュリティを保護する必要がある規制があります。たとえば、医療機関は、患者データの保護を義務付けるHIPAAに準拠する必要があります。金融機関は、消費者金融情報の保護を義務付けるGramm-Leach-Bliley Act(GLBA)に準拠する必要があります。これらの規制を遵守しないと、罰金や法的責任が大きくなる可能性があります。
- 信頼の維持: 顧客は、データを安全に保つために組織を信頼します。組織が過失または準備不足のためにデータ侵害を経験した場合、顧客の信頼を損なう可能性があり、ビジネスが失われる可能性があります。
データ処理におけるトレーニングと準備の重要性の例
- フィッシング攻撃: フィッシング攻撃は、サイバー犯罪者が機密データにアクセスするための一般的な方法です。フィッシング電子メールを認識するように訓練されていない従業員は、誤ってリンクをクリックしたり、マルウェアを含む添付ファイルをダウンロードしたりして、攻撃者が機密データにアクセスできるようにすることがあります。フィッシング攻撃を認識して回避する方法に関するトレーニングを提供することで、組織はデータ侵害のリスクを軽減できます。
- データのバックアップとリカバリ: データ違反が発生した場合、失われたデータや盗難データを迅速にリカバリする準備を整える必要があります。これには、定期的なバックアップとテスト済のリカバリ計画が必要です。従業員がデータを適切にバックアップおよびリカバリする方法についてトレーニングを受けていない場合、組織は違反後に重要な情報をリカバリできない可能性があります。
- データ・アクセス制御: 組織は、認可された担当者のみが機密データにアクセスできるようにする必要があります。そのためには、アクセス制御を実装し、その使用方法に関するトレーニングを従業員に提供する必要があります。データ・アクセスを適切に制御しないと、データ侵害や法的負債が発生する可能性があります。
Security Controlsの実装
クラウド環境で堅牢なセキュリティ対策、暗号化、アクセス制御、認証メカニズムを実装することは、データを保護し、セキュアなコンピューティング環境を確保するために不可欠です。次の情報では、これらのセキュリティー対策を効果的に実装する手順について説明します。
- セキュリティー・アセスメントを実施すること。
- クラウド環境の脆弱性、脅威および潜在的なリスクを特定するための包括的なセキュリティ評価から開始します。
- セキュリティ侵害による潜在的な影響に加えて、クラウドで処理および処理するデータのタイプを理解します。
- セキュリティ要件を定義します。
- 評価に基づいて、クラウド環境で対処する必要がある特定のセキュリティ要件を定義します。
- 必要な暗号化、アクセス制御および認証メカニズムのタイプを識別します。
- 強力な暗号化方法の選択:
- 保存データ、転送データおよび使用中のデータに対する適切な暗号化方法を決定します。
- 強力な暗号化アルゴリズムとキー管理プラクティスを選択して、データの機密性を確保します。
- 次のようなアクセス制御を実装します。
- アクセス制御をきめ細かく確立して、クラウド内のデータやリソースにだれがアクセス、変更または削除できるかを制限します。
- 最小権限の原則を実装して、ユーザーに必要な権限のみがあることを確認します。
- マルチファクタ認証(MFA)を実装します。
- MFAを実装して、ユーザー認証のセキュリティ・レイヤーを追加します。
- 機密データまたはシステムにアクセスする前に、ユーザーが複数の形式の検証を行う必要があります。
- ロールベースのアクセス制御(RBAC)を実装します。
- ロールを定義し、職責とジョブ機能に基づいて特定の権限をユーザーに割り当てます。
- タスクに必要なリソースとデータにのみユーザーがアクセスできることを確認します。
- ネットワーク・セキュリティを実装します。
- ファイアウォール、ネットワークセグメンテーション、侵入検知/防止システムを構成し、不正アクセスや攻撃から保護します。
- 暗号化キー管理を実装します。
- 暗号化キーを安全に生成、格納、ローテーションおよび取り消すための適切なキー管理プラクティスを確立します。
- 不正なアクセスや潜在的な違反から鍵を保護します。
- セキュリティ・ソリューションを実装します。
- ウイルス対策ソフトウェア、侵入検知システム、データ損失防止ツールなどのセキュリティ・ソリューションを導入します。
- 定期的なセキュリティ・パッチ適用を実行します。
- 既知の脆弱性に対処するための最新のセキュリティ・パッチにより、すべてのクラウド・サービス、オペレーティング・システムおよびソフトウェアを最新の状態に保ちます。
- 従業員のトレーニングと啓発プログラムを提供:
- セキュリティのベストプラクティス、フィッシング、およびソーシャルエンジニアリングのリスクについて従業員に教育するための定期的なトレーニングおよび認知プログラムを提供します。
- 継続モニタリングを実装します。
- クラウド環境の継続的な監視を実装して、セキュリティ・インシデントや異常を検出して対応できます。
- インシデント・レスポンス計画を作成します。
- 明確に定義されたインシデント対応計画を作成して、セキュリティの侵害やインシデントに迅速に対処し、軽減します。
- サードパーティ監査の実施:
- サードパーティのセキュリティ監査と評価を考慮して、セキュリティ対策の有効性を検証します。
- 定期的なセキュリティ監査の実施。
- 定期的なセキュリティ監査と評価を実施して、実装されたセキュリティ制御の有効性を評価し、改善すべき領域を特定します。
- ドキュメントとポリシーの作成:
- すべてのセキュリティ対策、構成、ポリシーを一元化されたリポジトリに文書化して、参照とコンプライアンスを容易にします。
- 規制コンプライアンスに準拠:
- セキュリティ対策が、関連する業界の規制やコンプライアンス標準に準拠していることを確認します。
- 継続的な改善:
- クラウド環境における新たな脅威、ベスト・プラクティスおよび変化に基づいて、セキュリティ対策を継続的に評価および改善します。
継続的な監視
クラウド環境の継続的な監視のためのツールとプロセスを実装することは、潜在的なセキュリティの脅威や異常をタイムリーに検出して対応するために不可欠です。次の情報では、継続的監視を効果的に実装するステップについて説明します。
- 監視目標を定義します。
- 不正アクセス、異常なアクティビティ、データ漏洩、パフォーマンスの問題の検出など、継続的な監視の目標と目的を明確に定義します。
- モニタリング・ツールの選択:
- ご使用のクラウド・プラットフォームおよびサービスに合った適切な監視ツールおよびソリューションを選択します。
- クラウドネイティブな監視サービス、サードパーティのセキュリティ情報およびイベント管理(SIEM)ツール、侵入検知システム(IDS)の使用を検討してください。
- データ収集を設定します。
- データ・ソースを構成して、クラウド・リソース、アプリケーション、ネットワークおよびセキュリティ・デバイスからログ、イベントおよびメトリックを収集します。
- 分析のために関連データを収集していることを確認します。
- ベースラインの確立:
- クラウド環境のベースライン・パフォーマンスおよび動作プロファイルを作成して、通常のアクティビティの参照ポイントを確立します。
- リアルタイム・モニタリングの実装:
- リアルタイム監視を設定して、アクティビティとイベントが発生したときに追跡し、異常への迅速な対応を可能にします。
- データの集計と相互関連付け:
- 複数のソースからのデータを集約および関連付けて、クラウド環境の包括的なビューを取得します。
- さまざまなタイプのデータを関連付けて、パターンと潜在的なセキュリティ・インシデントを識別します。
- アラートしきい値の作成:
- ベースライン動作および通常のアクティビティの既知のパターンに基づいてアラートしきい値を定義します。
- ベースラインからの逸脱が発生したときにアラートをトリガーするしきい値を設定します。
- 自動アラートを構成します。
- 自動アラートを構成して、異常が検出されたときに適切な人員またはチームに通知します。
- アラートにアクションの明確な指示を含めます。
- インシデント・レスポンス計画の統合:
- 継続的な監視をインシデント・レスポンス計画と統合して、検出された異常への迅速かつ効果的な対応を確実に行います。
- インシデントのエスカレーションの確立:
- 様々なタイプのアラートに対応するためのエスカレーション・パスと職責を定義し、クリティカル・インシデントが迅速にエスカレーションされるようにします。
- データ分析と可視化の使用:
- データ分析および可視化ツールを使用して、監視対象データからの傾向、異常および潜在的な脅威を特定します。
- 定期的な分析およびレビューを実施すること。
- 監視データの定期的な分析とレビューを実施して、永続的な脅威や進化する攻撃パターンを特定します。
- 自動修正の実装:
- 悪意のあるIPアドレスをブロックしたり、事前定義されたアクションをトリガーするなど、特定のタイプのアラートに対する自動レスポンスを実装します。
- 定期レポート:
- モニタリング・プログラムの全体的なセキュリティ状態と有効性に関するインサイトを提供する定期的なレポートを生成および配布します。
- 継続的な改善:
- インシデントから得た教訓と進化する脅威の風景に基づいて、監視プロセスやアラートを継続的に改善し、改善します。
- コンプライアンス要件に準拠:
- 監視プロセスやツールが業界の規制やコンプライアンス標準に準拠していることを確認します。
- トレーニングとスキル開発の提供:
- モニタリング・チームにトレーニングを提供し、モニタリング・アラートを効果的に解釈して対応できるようにします。
インシデント対応計画
セキュリティ侵害、データ漏洩、コンプライアンス違反に対して、体系的かつ協調的な方法で効果的に対応できるよう、包括的なインシデント対応計画を策定することが重要です。次の情報では、プランを作成するステップについて説明します。
- 機能横断的なインシデント・レスポンス・チームを設定します。
- IT、セキュリティ、法務、コンプライアンス、コミュニケーション、および関連するビジネス・ユニットのエキスパート・チームを組み立てます。
- チーム内のロールと職責、一連のコマンドを定義します。
- インシデント・カテゴリおよび重大度レベルを定義します。
- 低、中、高などの影響および重大度に基づいて、潜在的なインシデントを分類します。
- データ侵害、マルウェア感染、不正アクセス、コンプライアンス違反などのインシデントの種類を明確に定義します。
- インシデント・レスポンス・ポリシーを作成します。
- 目標、指針、目標など、インシデント・レスポンスに対するアプローチの概要を示すポリシー・ドキュメントを作成します。
- インシデント対応手順の開発:
- 様々なタイプのインシデントを検出、レポート、評価、包含、消去およびリカバリするための詳細なステップバイステップの手順。
- 通信、証拠の保存、規制当局への報告の手順を含めます。
- 通信プロトコルを設定します。
- インシデントを報告および管理するためのコミュニケーション・チャネルを内部および外部の両方で定義します。
- 重大なインシデントが発生した場合に、利害関係者、顧客、パートナおよびパブリックと通信する方法を決定します。
- エスカレーション・パスの定義:
- インシデントの重大度に基づいて、エスカレーション・パスと意思決定当局の概要を明確に説明します。
- クリティカル・インシデントが適切な管理レベルに迅速にエスカレーションされるようにします。
- 法的およびコンプライアンスとの調整:
- 法的およびコンプライアンス・チームと協力して、インシデント対応活動が法的要件および規制上の義務と一致するようにします。
- データ侵害通知プロシージャを実装します。
- データ漏洩通知に関する法律および規制を遵守するための手順を作成します。
- 影響を受ける個人および規制当局に通知するタイムラインおよび方法を指定します。
- トレーニングと意識の提供:
- インシデント対応中に、従業員、インシデント対応チーム・メンバー、および関連する利害関係者の役割と責任についてトレーニングします。
- 定期的なドリルとシミュレーションを実行して、準備を整えます。
- 計画をテストし、調整します。
- 卓上演習とシミュレーションを実施して、インシデント対応計画の有効性をテストします。
- 改善すべき領域を特定し、学習した教訓に基づいて計画を更新します。
- インシデント対応ツールとリソースを文書化します。
- インシデント・レスポンス時に使用されるツール、テクノロジ、リソースおよび連絡先情報のリストをコンパイルします。
- インシデント・データの収集と分析:
- インシデント・データを収集および分析するメカニズムを実装して、レスポンス戦略と予防措置を改善します。
- インシデント後の分析とレポート:
- 事後分析を実施し、対応の有効性を評価し、改善すべき領域を特定します。
- 学習した教訓を文書化し、それに応じてインシデント・レスポンス・プランを更新します。
- 法律および広報に関する考慮事項:
- 法律顧問との調整や公共声明の起草など、インシデント対応の法的および広報面に対処します。
- 規制コンプライアンスの更新:
- 進化する規制要件や業界のベストプラクティスに合わせて、インシデント対応計画を継続的に更新します。
- ベンダーとサードパーティの統合:
- インシデント対応計画に、クラウド・プロバイダ、ベンダーおよびサードパーティ・パートナとの調整手順が含まれていることを確認します。
定期的な監査と評価
定期的なコンプライアンス監査の実施は、組織内での健全性と優れたガバナンスの維持に不可欠な部分です。コンプライアンス監査は、業界標準、規制、内部ポリシーに準拠していることを確認し、潜在的なリスクや脆弱性を特定するのに役立ちます。
次の情報では、コンプライアンス監査が健全性と優れたガバナンスの維持に役立ついくつかの方法について説明します。
- 規制コンプライアンスの確保: コンプライアンス監査は、組織がGDPR、PCI DSS、SOXなどの関連する規制や標準に準拠していることを確認するのに役立ちます。コンプライアンス違反の領域を特定することで、法的罰則や評判の低下を回避するための是正措置を講じることができます。たとえば、コンプライアンス監査では、組織が顧客データを適切に保護していないことが判明し、GDPRに準拠していないことが判明する場合があります。暗号化やアクセス制御の実装など、是正措置を講じることで、組織はコンプライアンス状況を改善できます。
- リスクと脆弱性の特定: コンプライアンス監査は、システムおよびプロセスの潜在的なリスクと脆弱性を特定するのに役立ちます。これらのリスクを特定することで、リスクを軽減し、データ侵害を防止するための積極的な措置を講じることができます。たとえば、コンプライアンス監査では、フィッシング攻撃やマルウェアなどの外部の脅威に対してシステムが適切に保護されていないことが判明する場合があります。2要素認証やマルウェア対策ソフトウェアなどの追加のセキュリティ対策を実装することで、組織はデータ侵害のリスクを軽減できます。
- 内部ポリシーとプロセスの改善: コンプライアンス監査は、内部ポリシーとプロセスが改善される可能性のある領域の特定にも役立ちます。非準拠または非効率性の領域を特定することで、ガバナンスを改善し、エラーや不正行為のリスクを低減するための是正措置を講じることができます。たとえば、コンプライアンス監査では、パスワード・ポリシーが適切でないことが識別され、パスワードが弱くなり、データ侵害のリスクが高まる可能性があります。より強力なパスワードポリシーを実装し、従業員にパスワードのベストプラクティスを教えることで、組織はセキュリティ体制を改善し、侵害のリスクを軽減できます。
リスク軽減戦略
リスク軽減計画は、リスク評価プロセスで特定されたリスクを軽減または排除するために実行するステップとアクションの概要を示す計画です。既存のリスク評価、リスク登録、優先順位付けおよびスコアリング・プロセスに基づいており、次のステップが含まれます。
- 軽減するリスクの特定: 最初のステップは、軽減する必要があるリスクを特定することです。これには、リスク評価とリスク登録を確認して、組織にとって最大の脅威となるリスクを特定し、軽減のために優先順位を付ける必要があります。
- 適切なリスク対応の決定: リスクを特定した後、次のステップは適切なリスク対応を決定することです。これには、リスクの回避、リスクの第三者への移転、リスクの軽減、リスクの受け入れなどが含まれます。
- リスク軽減計画の開発: リスク対応に基づいて、リスク軽減計画が策定されます。この計画では、リスクを軽減または排除するために実行する必要があるステップとアクションの概要を示します。これには、セキュリティ制御の実装、認識とトレーニングの向上、定期的な脆弱性評価の実施、セキュリティ・ログの監視が含まれます。
- 責任および説明責任の割当て: リスク軽減計画は、各軽減策の実施を担当する個人またはチーム、および完了までの時間枠を明確に識別する必要があります。これにより、誰もが軽減プロセスにおける役割を理解し、その行動について責任を負うことができます。
- 計画のモニターおよびレビュー: リスク軽減計画を実装した後、計画を定期的にモニターおよびレビューして、軽減策が有効で正しく実装されていることを確認することが重要です。これには、定期的なリスク評価の実施、セキュリティ・ログの確認、監査の実施が含まれる場合があります。
リスク軽減策の例
- 機密データやシステムにアクセスするための多要素認証の実装
- セキュリティの弱点を特定し対処するための定期的な脆弱性評価と侵入テストの実施
- 転送中および保存中のデータの暗号化による不正アクセスからの保護
- セキュリティ・インシデントが発生した場合にデータが失われないようにするためのデータのバックアップおよびリカバリ手順の実装
- セキュリティ・インシデントへの迅速かつ効果的な対応を可能にするインシデント対応手順の確立
- トレーニングおよび教育プログラムを通じて、従業員のセキュリティ・リスクに対する意識を高める。
継続的なリスク識別
継続的なリスクの特定、評価および軽減の計画を設定することは、クラウド導入ジャーニーの成功にとって、次の理由から重要です。
- クラウド環境は常に進化しています。クラウド・テクノロジおよび関連するリスクは絶えず変化しており、リスクを継続的に監視および評価して、リスクを適切に軽減することが重要です。
- 新たなリスクが生まれるかもしれません。クラウド導入の過程が進むにつれて、新しいリスクが生じる可能性があります。定期的なリスクの特定と評価は、新しいリスクを適切なタイミングで特定し、対処するのに役立ちます。
- コンプライアンス要件が変更される場合があります。GDPR、HIPAA、PCI DSSなどのコンプライアンス要件は定期的に更新されるため、組織はクラウド環境がこれらの規制に準拠していることを確認する必要があります。継続的なリスク評価は、コンプライアンスのギャップを特定し、組織が問題になる前にそれに対処できるようにするのに役立ちます。
- セキュリティインシデントの早期発見継続的なリスクの特定と評価により、セキュリティ・インシデントを早期に検出できるため、組織は迅速に対応し、インシデントの影響を最小限に抑えることができます。
- コスト最適化定期的なリスク評価は、セキュリティやコンプライアンスを損なうことなくコスト削減対策を実施できる領域を特定することで、組織がクラウド・コストを最適化するのに役立ちます。
日常的なメンテナンス
定期的なメンテナンスは、システム・コンプライアンスを維持し、予期しないセキュリティ脅威からのデータ利用および違反のリスクを軽減するために不可欠です。次の情報では、定期的な保守に役立ついくつかの方法について説明します。
- パッチ管理: ソフトウェアの脆弱性は、サイバー犯罪者にとって一般的なターゲットです。定期的なメンテナンスには、脆弱性を修正するためのセキュリティ・パッチの適用や、攻撃者が脆弱性を悪用するのを防ぐためのパッチの適用が含まれます。パッチ管理は、PCI DSSやGDPRなどの業界標準や規制にシステムが準拠していることを確認するのに役立ちます。たとえば、2017年にWannaCryランサムウェア攻撃が起きた場合、定期的なパッチ適用を実装した組織は、攻撃に対する脆弱性が低くなりました。
- システム・バックアップ: 定期的なメンテナンスには、重要なデータおよびシステムのバックアップが含まれており、違反があった場合に組織がデータを迅速にリカバリできるようにします。バックアップは、医療機関が電子的に保護された健康情報のバックアップを維持する必要があるHIPAAなどの規制へのコンプライアンスを確保するためにも役立ちます。たとえば、アトランタ市が2018年にランサムウェア攻撃に襲われたとき、定期的なバックアップにより、市は身代金を支払わずにデータとシステムを回復することができました。
- ユーザーアクセス管理: 定期的な保守には、システムおよびデータへのユーザーアクセスを確認して、承認された担当者のみが機密情報にアクセスできることを確認することが含まれます。これにより、ヒューマン・エラーによる内部脅威やデータ侵害を防ぐことができます。たとえば、従業員が退職した場合やロールを変更した場合、日常的なメンテナンスは、機密データへのアクセスが取り消されたり更新されたりすることを確認するのに役立ちます。
- ファイアウォールとウイルス対策の更新: ファイアウォールとウイルス対策ソフトウェアは、セキュリティの脅威の防止と検出に役立ちます。定期的な保守には、これらのシステムを更新して、新規および新規の脅威に対して効果的であることを保証することが含まれます。
その他の考慮事項
- サードパーティの監査: サードパーティの監査を考慮して、業界標準や規制へのコンプライアンスを検証します。
- データ・レジデンシ: データ・レジデンシ要件に対応し、関連する法律に準拠してデータが保存および処理されるようにします。
- 国際コンプライアンス: 国境を越えて業務を行う場合は、国際データ保護規則およびプライバシー法を検討してください。
制約およびブロッカ
- 規制の複雑さ: 複雑で進化する規制をさまざまな管轄区域にわたってナビゲートすると、課題が生じる可能性があります。
- クラウド・ベンダーの制限: 一部のクラウド・プロバイダには、コンプライアンス対策やデータ処理慣行に影響する制限がある場合があります。
- 変化への抵抗: 従業員は新しいプロセスやセキュリティ対策の採用に抵抗し、コンプライアンスの取組みに影響を与える可能性があります。