早いものでとうとうオルターブースアドベントカレンダーも最終日になりました。
今年も色々ありましたね。
ということで最終日は小島が書きます!
クラウドにおけるコンプライアンスってなに?
さて、日々様々な業種の方からご相談を頂きますが、特にエンタープライズなシステムは何かと規制やらガバナンスやら、公的なガイドラインなどによってシステム設計が左右されます。
わかりやすい例は金融業界や医療業界ですね。
僕たちエンジニアは日々最高のWebサービスを提供するためのプラットフォームとしてクラウドアーキテクチャーを設計、実装、運用していますがもっともっと上位の概念としての要件として「コンプライアンス」があり、このコンプライアンスに適合したプラットフォームを作らないといけないのです。
では、このコンプライアンスはクラウドにどのように適用されているのでしょうか?
コンプライアンスの適用は大まかに2つのゾーンがあります。
- クラウドプラットフォームの基盤に適用される
- ユーザーが作るシステムに適用される
このブログでは1のゾーンについてまとめていきます。
各クラウドのコンプライアンス
各クラウドのコンプライアンスサイトをまとめてみました。
Oracle Cloudが英語ですが基本的に各社のコンプライアンスは上記で確認できます。
ここで大事なことは対応できているというブログ情報ではなく明確なシールがあるかどうかです。
おおよそのパブリッククラウドではこのようなコンプライアンス情報はユーザーに公開しているのですがシールを固有で発行することはあまりないと思います。
よくある話が「データセンター内を監査したい」という要望については中々難しいかと思いますので、こういった公開されているコンプライアンス情報をもとに監査対応する必要があります。
Azureにおけるコンプライアンス
Azureにおけるコンプライアンスは簡単にまとめると以下です。
幅広い国際的および業界固有のコンプライアンス基準に適合
- ISO 27001、HIPAA、FedRAMP、SOC 1、SOC 2 など
- オーストラリアの IRAP、英国の G-Cloud、日本の FISC などの国ごとの基準
データセンター内でのセキュリティ
- データセンターでは不正なトラフィックの自動検知、遮断を実行
- ネットワーク レイヤに人工知能を用いた DDoS/DOS/IDS 機能を標準搭載
サイバークライム センターの運営
- 米国本社の他、日本を含む世界5都市に拠点を展開
- 最新データのモニタリング:1日5億件以上のトラフィックを分析、マルウェアの情報/状況を把握
- 攻撃元の特定を実施:セキュリティ関連団体、インターポールや各国の警察機関に情報提供
※若干サーバークライムセンターの情報が古いので今はまた別のものになっている可能性があります。ご了承くださいませ。
GDPR含むアカウンタビリティに関しての対応
GDPRにとどまらず個人情報に関しての取り扱いはクラウドを利用するうえでとても重要です。
特にユーザーのシステムにおけるコンプライアンスはプラットフォームとなるクラウドに依存することも多くあります。
(SaaSが典型的な例です)
Azure(マイクロソフトが提供するすべてのクラウドサービスも)ではこのようなアカウンタビリティの対応にユーザーが迷わないようにチェックリストを提供しています。
マイクロソフトのクラウドサービス以外でもサポートやコンサルティングにも適用されているのがミソです。
ちなみに以下は日本政府のセキュリティ監査基準に適合しているクラウドサービスリストです。
https://www.ismap.go.jp/csm?id=cloud_service_listwww.ismap.go.jp
Azureはこちら。
ということで最終日はいつもの技術的な感じではなく、もっと上位であるコンプライアンスについてまとめてみました。
エンタープライズなシステムを設計するときにはこのようなコンプライアンスを参考にされると良いと思います。
では、これにてオルターブースアドベントカレンダー完了です!!
オルターブースではこれからも様々なクラウド体験を提供すべく邁進してまりますので是非皆様よろしくお願いいたします。
