“危ないクラウドストレージ”にありがちな5つの落とし穴：データの所在地や規制を要確認

企業がクラウドストレージを利用する際、データの保管場所がどこなのか、データ保護規制に準拠しているのかどうかといった問題が浮上する。適切に対処するために知っておくべき5つのポイントを取り上げる。

[Stephen Pritchard，TechTarget]

　テレワークの普及と同時に、企業の間ではクラウドストレージをはじめとしたクラウドサービスの利用が加速した。クラウドサービスを利用するとクラウドベンダーがインフラを運用してくれることから、企業はデータ保護の課題を棚上げにしがちだ。だがクラウドサービスが企業におけるコンプライアンス（法令順守）の不備を全て解消してくれるわけではない。

　企業は今後、従来あるデータ保護規制に加えて、新たに登場する規制にも対処しなければならない。クラウドストレージの利用が広がる中で、企業はデータセキュリティやプライバシー保護の対策を確実に実施するために、何をどうすればいいのか。念頭に置いた方がよい5つの要点を紹介しよう。

併せて読みたいお薦め記事

クラウドストレージ選びの“勘所”とは

• クラウドコストはなぜ高くなる？　「契約」に潜む落とし穴
• クラウドストレージ“最大”のリスクは「設定ミス」　対処法は？
• クラウドストレージを使ってはいけない“危ないベンダー”の特徴

GDPRとデータ保護法

　EUの一般データ保護規則「GDPR」（General Data Protection Regulation）は、第三者がデータを扱う場合も含め、データ処理のルールを定めている。プライバシーコンサルティング会社VigiTrustのCEOマシュー・ゴージ氏によれば、クラウドサービスの利用は、第三者にデータを預けることを意味する。クラウドベンダーが「データの処理者」となり、ユーザー企業は「データの管理者」となる。「データ管理者は、データ処理者が自社と同レベルの適切なセキュリティを提供していることを確認しなければならない」とゴージ氏は話す。

PCI DSSとPCI DSS 4.0

　クレジットカード業界のセキュリティ基準「Payment Card Industry Data Security Standard」（PCI DSS）は法的要件ではないが、データプライバシーの専門家は、PCI DSSを法的要件として扱うことを推奨している。PCI DSSを策定する業界団体Payment Card Industry Security Standards Council（PCI SSC）は、2022年3月に最新版の「PCI DSS v.4.0」を公開した。PCI SSCは、PCI DSSの要件を将来的に再度更新する可能性がある。その時期はまだ不明だが、PCI DSS v.4.0の公開から2年半から3年後になると考えられる。CIO（最高情報責任者）やCISO（情報セキュリティ最高責任者）、データ管理者は、自組織のデータセキュリティがPCI DSSに準拠しているかどうかを継続的に見直す必要がある。

　クレジットカードの詳細情報には、クレジットカード所有者の自宅住所や氏名といった個人情報が含まれることがよくある。「こうした情報の侵害は、PCI DSSやGDPRに抵触し、いずれも罰則を科せられる可能性がある」。ITコンサルティング会社HeleCloudのシニアクラウドコンサルタントであるクレイグ・タンストール氏は、そう注意を促す。

NIS指令（ネットワークおよび情報システム指令）

　EUの規制の一つに、「NIS指令」（ネットワークおよび情報システム指令）がある。NIS指令はGDPRに比べて知られていないが、その要件は厳格であり、企業にとっては重要だ。クラウドベンダーなどの事業者は、データの漏えいや侵害を防ぐためのセキュリティ対策を講じる必要がある。

　NIS指令が対象とする組織は、エネルギーや運輸、水道、銀行、デジタルインフラ分野の主要サービス事業者と、それに関連するデジタルサービス提供者だ。対象の組織は、国のインフラに対する提供サービスの重要性によって決定する。

　サイバーセキュリティコンサルティング会社Prism Infosecの創設者で主任コンサルタントのフィル・ロビンソン氏によると、データがクラウドサービスにある場合、主要サービス事業者またはデジタルサービス提供者は、セキュリティインシデントを規制当局に報告する義務がある。

責任の分担

　クラウドサービスを利用する企業は、データ保護やプライバシー保護、セキュリティに関する責任を、クラウドベンダーと共有することを理解しなければならない。これはGDPRやNIS指令だけではなく、各種のデータ保護規則に通底する基本的な考え方だ。

　簡単に言えば、データがクラウドベンダーのインフラに保存されている場合でも、企業はそのデータの保護に責任を持つことになる。この考え方はクラウドサービス群の「Amazon Web Services」やサブスクリプション型のオフィススイート「Microsoft 365」、クラウドストレージ「Dropbox」といったさまざまなクラウドサービスに適用できる。

　企業が利用するクラウドサービスは多様化している。企業は改めて、使用しているインフラやシステムについて、各種規制要件に順守しているかどうかを確認する必要がある。利用中のクラウドサービスがPCI DSSに準拠しているからといって、そこで運用する自社のデータやシステムがPCI DSSに準拠しているとは限らない。「重要なのはクラウドベンダーが担う責任と、自社がどのようなサービスを利用しているのかを理解することだ」（タンストール氏）

データレジデンシー

　企業は、データがどこにあるのかを常に把握しておく必要がある。オンプレミスのインフラでシステムを運用するのが通例だった時代は、データの保管場所が変わることはまれだった。データがあるのは自社保有のデータセンターかサーバルーム、あるいはコロケーションサービスのデータセンターで、データがそこから移動するのは災害復旧時のようなまれな場合だけだった。

　“グローバルなクラウドサービス”とは、データが世界中のデータセンターに存在できることを意味する。1つのファイルのデータを分割し、それぞれを複数のデータセンターに保管することも可能だ。

　主要クラウドベンダーは、基本的には世界各地にデータセンターを配置し、データを特定の地域内のみで保管するサービスを提供している。だがそうしたサービスを提供していないクラウドサービスもあり、その場合はデータがどこに保管されるのかが明確ではない。

　こうしたクラウドサービスの事情と、データ保護規制の要件を踏まえると、データレジデンシー（データの所在地）に関する問題は複雑になる。クラウドサービス利用に着手する初期の段階で、専門家のアドバイスを受けるのが望ましい。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。