クラウド コンピューティング: クラウドにおけるデータのプライバシー
クラウドに移行するときには、企業データのセキュリティを確保するために実行できる (実行すべき) いくつかの手順があります。
Vic (J.R.) Winkler
出典: 『Securing the Cloud』(Syngress、2011 年)
データのプライバシーの問題は、すべてのユーザーの最大関心事です。テレビのコマーシャルではセキュリティ製品が宣伝され、ニュース番組では頻繁に最近のデータ漏えいの問題が取り上げられています。世間の認知度が高まる一方で、企業にも、従業員とクライアントのプライバシー保護について法的な義務が求められるようになっています。
収集したデータを当初の目的以外の用途に使用することは、法律で禁止されています。たとえば、従業員の健康状態に関するデータを収集し、収集したデータを喫煙者に高額の保険料を課す目的に使用することはできません。また、第三者と共有できないデータもあります。クラウド コンピューティングの世界では、第三者にインフラストラクチャの運営と管理を任せるため、これはさらに難しい課題となっています。というのも、クラウド サービスのプロバイダーが、そもそもデータにアクセスできるからです。
クラウドでデータを収集および保存しており、データに 1 つ以上の法規制 (医療保険の携行性と責任に関する法律 (HIPAA) やグラム リーチ ブライリー法 (GLBA) など) が適用される場合、クラウド サービス プロバイダーが適切な方法でデータのプライバシーを保護していることを確認する必要があります。社内で収集されるデータと同様に、クラウドで収集されるデータも、収集された当初の目的以外の用途に使用することはできません。個人がデータの使用を特定の目的に限定した場合、その約束は守られる必要があります。
多くの場合、プライバシーに関する声明によって、個人がデータにアクセスしたり、データを削除または変更したりできることが規定されています。データがクラウド サービス プロバイダーの環境にある場合でも、プライバシーの要件は適用されます。企業は、データが社内に保存されているときと同様に、プライバシーの要件が同じ時間枠で満たされるようにする必要があります。クラウド サービス プロバイダーの従業員のみがデータにアクセスできる場合は、プロバイダーの従業員が、このような作業に随時対応できることを確認する必要があります。
クリックラップ契約を結んだ場合は、クラウド サービス プロバイダーが契約に盛り込んだ条件の制約を受けることになります。クラウド サービス プロバイダーによって調整が行われた契約を結んだ場合でも、クラウド サービス プロバイダーは、クライアントが一貫した方法でサービスを使用できるようにデータの管理を制限することがあります。データの管理を制限すると、クラウド サービス プロバイダーのオーバーヘッドや専門のスタッフを配置する必要性が軽減されます。データを完全に管理する必要がある場合は、この点を事前に確認し、クラウド サービス プロバイダーが提示している条件に従わないようにする必要があります。
特定の市場に特化し、その市場に合わせてサービスを調整しているクラウド サービス プロバイダーは多数存在します。今後数年で、このようなクラウド サービス プロバイダーはさらに増加することが予想されます。すき間市場に対応するクラウド サービス プロバイダーも現れるでしょう。たとえば、ヘルス ケアに関するサービスを提供するクラウド サービス プロバイダーは、HIPAA などの関連する法規制に従う必要があります。このようなクラウド サービス プロバイダーは、必要とされる特別な処理や管理に対して料金を請求することが予想されます。
データの場所
Web サイトを利用するビジネスやソーシャル ネットワーキング サイトに投稿している個人ユーザーは、どこに配置されているかわからない 1 台または複数台のサーバーにデータを記録しています。Facebook に個人的な情報を投稿した場合でも、LinkedIn でビジネス関連のリンクを更新した場合でも、このデータはどこかに保存されています。ビジネスにおいてクラウド サービス プロバイダーが受け入れられて利用されるようになると、このようなデータの保存場所は、データのプライバシーや法規制の要件に対応するうえで重要になります。
グローバル企業では、従業員、外国子会社、またはサード パーティに関連する法規制に従って、クラウドに展開されたサービスが使用されるようにする必要があります。米国の法律は、その他の地域の法律と大きく異なるため、自社の従業員がサービスを使用する場合でも、従業員の勤務場所で適用される法律に留意する必要があります。
他の地域の子会社は、一般的に同じだと考えられる地域にあって場合でも、わずかに異なる法律が適用される可能性があるため考慮する必要があります。外国子会社によっては、ある地域とデータを共有できても、別の地域とは共有できないことがあります。クラウド サービス プロバイダーを利用するようになると、状況はさらに複雑になります。
このような法規制に従うためには、データを保存する主な場所やバックアップ場所が公開されている必要があります。多くの場合、バックアップ場所は指定する必要があります。たとえば、Amazon.com Inc. では、米国とアイルランドの両方に大規模なデータセンターを所有していますが、このデータセンターを特定の種類のデータのバックアップ場所として使用すると、問題が発生する場合があります。
欧州連合 (EU) の各国およびその他の地域のデータ保護に関する法律は、非常に複雑で、明確な要件が多数含まれます。これらの地域外に個人データを転送するには、所定の方法で対応する必要があります。たとえば、EU では、データの収集者 (つまり、データの管理者) によって、データが EU 圏外に送信されて処理されることをユーザーに通知する必要があります。また、データの収集者とデータの処理担当者は、データ保護委員会によって承認された契約を事前に交わす必要があります。この承認の難易度は、データを処理する地域によって異なります。米国と EU の間には互恵待遇協定が締結されており、米国の契約者側で必要な作業は、米国商務省に登録して、データの使用用途の自己証明を行うことだけです。
使用するクラウド サービス プロバイダーが異なる司法管轄区域にある場合、クラウド サービス プロバイダーが適切なセキュリティ対策を講じる必要があります。これには、データの主な保存場所やバックアップ場所、およびデータを管轄区域間で転送する場合の中継場所が含まれます。
クラウド サービス プロバイダーであるかどうかにかかわらず、サードパーティのサーバーにデータを配置すると、データは、そのサードパーティに委託されたことになります。ニーズに合った適切なセキュリティが確保され、法規制の要件をすべて満たす必要があります。プロバイダーによる管理と処理では、サーバーが配置されている地域の法律も遵守する必要があります。EU にあるサーバーでデータをホストしている米国の企業と契約を結んだ場合、データをシステムに転送する/システムから転送するときには EU の法律に従う必要があります。
中国など、データの機密性に関係なく、その国や地域の公的機関がデータに無制限にアクセスすることが法律で許可されている地域でサーバーがホストされている場合、このような法律への対応に困ることがあります。このような公的機関が暗号化解除できない方法でデータを暗号化することが制限 (または禁止) される場合もあります。
クラウド サービス プロバイダーの市場は拡大していますが、大規模なアプリケーションやデータ ホスティング サービスを提供できる企業は限られています。そのため、企業は一部またはすべてのホスティング サービスを別の企業 (場合によっては別の地域の企業) に委託することがあります。契約を結ぶ前に、下請け会社との契約内容に注意し、下請け会社との契約内容についても適切なセキュリティ チェックを行うようにしてください。
クラウド サービス プロバイダーによっては、破産または操業停止に追い込まれる場合があります。このような事態が発生すると、その時点でデータにアクセスできなくなります。サーバーの場所によっては、データを別の地域の司法管轄区域に転送して回復する必要があります。このとき、データはまったく異なるアクセス規則に従わなければならない場合があります。
データの二次利用
契約しているクラウド プロバイダーの種類によっては、データがサプライヤーなどによって利用されることについて検討する必要があります。データが知らないうちに利用されていたり、プロバイダーによる構成ミスが原因でデータが知らないうちに使用されることがあります。データの機密性に応じて、プロバイダーによるデータの使用を禁止、または少なくとも制限するように契約することをお勧めします。
これは、特にクリックラップ契約を結ぶ場合に対処が難しくなる場合があります。だれもが知っているとおり、契約の内容を細部まで確認することはほとんどありません。[同意] ボタンが表示されたら、とにかくクリックします。2009 年に Facebook がデータのセキュリティに関する条項を変更したときには、多くのユーザーが不満を訴えました。それでも、ユーザーの大半は Facebook の利便性に魅力を感じ、サービスを利用し続けました。ユーザーがこのような反応を示すと、セキュリティ上の問題が発生するおそれがあります。
クラウドに保存するデータは、機密性が高く、セキュリティを確保する必要がある個人情報が含まれることがあります。クラウド プロバイダーは、サーバーの保守および管理のため、このようなデータに対して完全なアクセス権を持つことになります。このアクセス権がどのような状況においても悪用されないようにする必要があります。契約を結ぶことで法的には保護されますが、プロバイダーのセキュリティ対策によって、データへの承認されていないアクセスが確実に検出されることに確信を持てるようにする必要があります。
障害回復
ビジネスの継続性や障害回復の重要性については、どれだけ誇張しても誇張しすぎることはありません。障害回復の観点から、プロバイダーの倒産やデータセンターの停止など、起こり得るシナリオについて考慮する必要があります。1 つ目のシナリオの大きな問題は、データを回復して、クラウド アプリケーションを別のサプライヤーの環境に再配置することです。このような問題については、クラウドに展開する前に検討する必要があります。また、定期的なデータ バックアップを行って、利益の保護を強化するようにします。
クラウドに移行するときには、なんらかの形で計画を立て、定期的にその計画を見直します。これは、市場要素など、さまざまな状況が急速に変化するためです。データセンターが壊滅的な停止状態に陥り、多くの Web サイトやビジネスでサービスの停止または混乱を引き起こした事例は多数あります。
- 2009 年、ウィスコンシン州グリーンベイにあるデータセンターの火災により、ホストされていた一部の Web サイトが最大 10 日間停止しました。
- 2009 年 7 月、シアトルのフィッシャー プラザで発生した停電により、Bing Travel などの多くのサイトが影響を受けました。
- 2008 年、ヒューストンにある工場のデータセンターの爆発事故により、9,000 人近くの顧客が数日間オフライン状態になりました。
- 2009 年、ダラスにある Rackspace US Inc. のデータセンターで発生した停電は、復旧に 1 時間近くかかりました。
- 2007 年、365 Main データセンターで発生した停電は、Craigslist や Yelp などに影響を与えました。
- 2009 年 2 月、Google はソフトウェアのアップグレード エラーが原因でデータセンターの輪番停電を行うことになり、多くの顧客の電子メール サービスが停止しました。
どのレベルの対策を行っているかで、これらの事故はわずかな不都合を感じる程度で済むか、業務に差し迫った脅威をもたらすことがあります。小規模な企業ほど、経験やリソースが乏しいため、大きな打撃を受ける可能性が高いでしょう。停電は業務に深刻な混乱を引き起こすことがあります。
上記の事故の一覧からわかるように、データセンターの停止は、電力や冷却の障害による物理的な問題だけでなく、ソフトウェアのエラーも原因となっています。ハッカーによる特定の Web サイトに対するサービス拒否攻撃も、攻撃対象のサイトが同じデータセンターでホストされている場合には、帯域幅の問題によって、使用中のサイトが影響を受けることがあります。
セキュリティ侵害
クラウドでホストされている間に、アプリケーションやデータは侵害される可能性があります。このような事象が発生した場合、クラウド サービス プロバイダーのシステムまたはその他の手段で通知を受けることになります。顧客から個人情報の盗難が報告されたときに、侵害に気付くという状況に直面しないことを祈りましょう。
クラウド サービス プロバイダーの情報開示ポリシーを確認し、このような侵害について開示されるタイミングを把握しておく必要があります。米国では大半の州がセキュリティ侵害に関する情報開示の法律を制定しており、データの所有者は個人情報がなんらかの形で侵害を受けた場合は、個人に通知する必要があります。これらの法律は、侵害について即座に通知を受け取るようにすることを目的としており、最初の契約で定義されるのが望ましいとしています。
また、データが侵害されていることに気付いた場合は、クラウド サービス プロバイダーに通知する必要があります。この通知は、他の顧客にとっても意味があります。1 つの環境を複数の企業で共有していると、侵害の程度によっては、他の企業に影響を与える可能性があります。契約で適切な対策を定義し、事故対応計画に相互に同意することで、双方の侵害の影響を軽減できます。
.jpg)
Vic (J.R.) Winkler は、Booz Allen Hamilton のシニア アソシエートで、主に米国政府を顧客として技術コンサルティングを行っています。彼は情報セキュリティとサイバー セキュリティの研究者として著書を出版し、侵入検出や異常検出の専門家でもあります。
©2011 Elsevier Inc. All rights reserved. Syngress (Elsevier の事業部) の許可を得て掲載しています。Copyright 2011.『Securing the Cloud』(Vic (J.R.) Winkler 著) この書籍と類似書籍の詳細については、elsevierdirect.com (英語) を参照してください。