Azure Cloud、 2020.10.02

Azureのクラウドコンプライアンスをエリア別に紹介

クラウドサービスではサーバーやストレージ、ネットワーク回線などのITインフラを必要なときに必要なだけ使用することができます。手軽に規模の変更がしやすい反面、利用にあたっては注意しなければならない点もあります。今回はクラウドサービスを利用する際のセキュリティコンプライアンスに関して記載します。

クラウドコンプライアンスの重要性

クラウドサービスを介して業務システムを構築する場合、オンプレミス環境に比べ、利用するITインフラのリソースを必要に応じて拡張したり縮小したりしやすいという自由度の高さが大きな利点の一つです。

一方、クラウド利用では企業の外部で顧客情報や機密情報といった重要なデータを保管することになりますので、セキュリティの確保や、法令順守などコンプライアンスの確保については自社システムで運用する場合以上に注意を払う必要があります。

Azureコンプライアンス

法令やコンプライアンスの順守はクラウドサービスを利用する上で重要な確認事項ですが、法令は国や地域によって異なります。また医療、金融、行政など業界によっては固有の基準が設けられている場合もあります。

Microsoftの「Microsoft Azure」など大手クラウドサービスでは、各国や地域がそれぞれ定めている基準や規格などを満たす認証や各種の証明書を発行したり、コンプライアンスへの取り組みを支援するサービスを提供したりしています。

では、Microsoft Azureで提供されている主なコンプライアンス製品について、地域別に見ていきましょう。

グローバル

Azureのグローバルカテゴリには、様々な分野で国際規格を定めている国際標準化機構(ISO)の各種ISO基準から、米国クラウドセキュリティアライアンス(CSA)によって定められた「CSA STAR認証」や、米国のインターネットセキュリティの標準化に取り組む団体である「CIS(Center for Internet Security)」による「CISベンチマーク」など世界中で広く使われている基準に従った製品があります。

また、ISO認証では自然災害などに遭遇した場合に事業継続性を確保するための基準を規格化した「ISO 22301」を大規模クラウドサービスで最初に取得しています。ほかにもITサービスマネジメントを規格化している「ISO 20000-1:2011」など各種のISO認証に応じたコンプライアンス製品が提供されています。

これだけは押さえたい！マルチクラウド活用の進め方と勘所～Step2：オンプレミスに加えてマネージドクラウドという選択～

日本

マイナンバー

日本では個人を識別するために使われる番号の「マイナンバー」が2016年に制定されたことに伴い、マイナンバー法とマイナンバーの取り扱いに関するガイドライン「特定個人情報の適正な取扱いに関するガイドライン」が制定されました。Microsoftのビジネスクラウドサービスにはマイナンバー法とガイドラインを順守するためのセキュリティ要件が備わっています。

FICS

日本の金融システムの安全性向上を目指すためのガイドラインとしては、非営利組織「金融情報システムセンター(FISC)」が策定した「FISC安全対策基準」があります。このガイドラインには電源や空調などの設備に関する基準や、管理やトレーニング体制、システム開発など運用面での基準、安全対策や災害復旧などにも関わる技術面での基準についての項目が定められています。Azureは「FISC安全対策基準」についても、要件を満たしています。

CSゴールドマーク

クラウドセキュリティ（CS）に関する認証制度として国際規格であるISO-IEC 27017をベースにした日本独自の認定制度「CSマーク」があります。CSマークのうちゴールドマークは重要な政府資料を扱えるレベルにあることを表しています。

Azureは日本セキュリティ監査協会(JASA)による監査を経て、IaaS、PaaS、SaaSの3分野すべてでCSゴールドマークを取得しています。

アメリカ

HIPAA / HITEC

「HIPAA（医療保険の相互運用性と説明責任に関する法律、Health Insurance Portability and Accountability Act）」は1996年に制定された米国の医療関連法で、保護医療情報(PHI、Protected Health Information)の電子化とセキュリティ確保について定めたものです。さらに、2009年には「HITEC（経済的及び臨床的健全性のための医療情報技術に関する法律、Health Information Technology for Economic and Clinical Health Act)」により、PHIの細かい運用ルールが定められました。現在のところ、HIPAAまたはHITECHに関する公式認定資格はありませんが、Microsoftではクライアント企業がこれらの基準を満たせるよう個別に支援を行っています。

CJIS

「米国連邦政府機関(FBI)」の「犯罪司法情報サービス(CJIS)」部門では、指紋記録や犯罪履歴など「犯罪司法情報(CJI)」の閲覧が可能です。捜査などのためにクラウドサービスを利用してCJIのデータを閲覧したり保存したりする場合、そのクラウドサービスプロバイダーがCJIを保護するためのセキュリティポリシーに準拠している必要があります。

政府向けクラウドコンピューティング「Azure Government」はCJISの要件を満たしているので、CJIにスムーズに接続して必要な情報を得ることができます。

FIPS 140-2

米国政府機関向けの標準規格「FIPS（米国連邦情報処理規格、Federal Information Processing Standard Publication）140-2」は、情報通信における暗号化モジュールのセキュリティ要件を定めたものです。現状ではクラウドサービスに対して監査や検証を行う定めはありませんが、AzureではFIPS 140-2の要件を満たす暗号化モジュールを取得して運用することができます。

ヨーロッパ

GDPR

EU（欧州連合）加盟国では、EU域内の個人データ保護を規定する「一般データ保護規則(General Data Protection Regulation、GDPR)」が2018年に制定され、EUおよびEEA（欧州経済領域）で取得した氏名やメールアドレスなどの個人データを収集したり利用したりする場合には安全管理措置を講じるなどの義務が生じ、違反には厳しい罰則が科せられます。MicrosoftではGDPR対策として、「Azure Information Protection」などの機密データを保護する仕組みに加え、データ保護責任者(DPO)を独自に配置しています。また、GDPRコンプライアンスに準拠した独自のDPIAを作成するためのサポートなどを積極的に行っています。

プライバシーシールド

「プライバシーシールド」はEU加盟国およびスイスから米国に個人データを転送する場合に守らなければならないデータ保護要件です。対象となる個人に収集したデータの取り扱い方法を通知し、使用目的を制限した上でデータを保護し、第三者に転送される場合は説明責任を確保しなければなりません。MicrosoftやAzureはこれらのルールにも準拠しています。

EBA

欧州銀行監督局(EBA)はEUの専門機関の一つで、加盟各国の銀行当局の規制および監督を行う機関です。EBAは2017年に「クラウドサービスプロバイダーへのアウトソーシングに関する勧告」で、EU圏内の金融機関によるクラウド利用のガイドラインを示しています。これを受けMicrosoftは「クラウドコンピューティングへ取り組む際の欧州銀行監督局ガイダンス」を公開し、Azureを利用してこの勧告を満たす方法を解説しています。

その他世界各国

APRA（オーストラリア）

豪州では「APRA（オーストラリア健全性規制庁、Australian Prudential Regulation Authority)」が銀行や保険会社などの金融機関を監査しています。このAPRが定めたクラウド利用のガイドライン「Prudential Standard CPS 231 Outsourcing」ではクラウド運用やリスクマネジメントについて記載しています。Microsoftはこのガイドラインに沿って、アドバイスを行ったりチェックリストなどのツールを提供したりしています。

OSFI（カナダ）

「金融機関監督官局(OSFI)」は金融機関と年金制度を監督するカナダの政府機関です。OSFIはクラウドのビジネス利用ガイドライン「B-10」を発行して、リスクを評価し管理するための基準を設けています。これを踏まえ、Microsoftはカナダの金融機関向けに規制要件に関するチェックリストを設けるなどして、スムーズな導入ができるようにサポートを行っています。

MTCS（シンガポール）

シンガポールでは「シンガポール情報通信開発局(IDA)」の管轄で、ISO 27001-02に準拠して作成されたセキュリティ管理規格「MTCS（Multi-Tier Cloud Security、多階層クラウドセキュリティ)」があります。MicrosoftのクラウドサービスはMTCS認定機関による評価を受け、IaaS、PaaS、SaaSのすべてについて認定を取得しています。