クラウド・セキュリティを学んでみよう!:ガバナンス編 - 第3回

2011/06/24

※本記事は、マカフィー株式会社 コーポレートサポート本部 本部長 諸角昌宏によるものです。

前回は、CSAJC(Cloud Security Alliance Japan Charter)から提供されている「解説クラウド・セキュリティ・ガイダンス」の「II 法律問題編」について、説明しました。今回は、クラウド・セキュリティ・ガイダンスに戻って、「ドメイン4:電子情報開示(e-ディスカバリ)」と「ドメイン5:コンプライアンスと監査」について説明します。

ドメイン4:電子情報開示 (Eディスカバリ)
電子情報開示(Electronic Discovery)は、電子証拠開示と記述される場合もありますが、Eディスカバリという言葉で広く知られているようです。Eディスカバリがクラウド・セキュリティ上で取り上げられる理由の前に、まず、ディスカバリ(証拠開示手続き)について説明します。

ディスカバリ(証拠開示手続き)は、米国の民事訴訟制度で、訴訟に関連して保持する証拠を開示し合う手続きのことで、原告・被告とも事件に関連する文書や資料などの情報を、お互いに開示する義務があるというものです。つまり、原告・被告とも、内部情報を含めて、関連した証拠の全面的な開示を相手に要求することができますし、これを隠していると訴訟上不利になるということになります。これを、電子データ(Eメール、インスタントメッセージ、Officeのファイルなどの電子的に保存された情報)を対象として、連邦民事訴訟規則に改定されたものがEディスカバリです。改定は、2006年12月1日に実施されました。日本では、まだEディスカバリに関する規定は定められていませんが、海外に展開する企業は、Eディスカバリの対象となる可能性があるため、理解が必要です。

Eディスカバリへの対応としては、訴訟の前に関連する可能性のある電子データをすべて保管しておくと同時に、それらから証拠となりうるデータを引き出すことが必要になります。これは、通常専門の業者(訴訟サポート業者)に頼むことが多いですが、ソフトウェアを使用する場合もあります。

さて、Eディスカバリをクラウドコンピューティングに適用すると、デジタル情報の真実を証明するために、信用できる証拠として提示できることを行わなければなりません。この際、以下の2点について考える必要があります。

  • 運用上の管理のサービスプロバイダへの移動
  • デジタル資産を維持管理する責任のサービスプロバイダへの移動

企業は、この2点において、数多くの法的な問題に対処する必要があります。

また、証拠に関するルールは、民法および慣習法では、事業活動記録および情報が正当で証拠として信頼できることが重要であるため、サービスプロバイダは、データとしての正当性や安全性、整合性が要求されます。サービスプロバイダは、これをサービス契約の中で強調することで、クラウドコンピューティングの長期的な成功を保証することができます。

以上の点から、電子情報開示 (Eディスカバリ)として重要な点は、以下の3点といえます。

  • クラウド・サービスプロバイダは、データの保管者とみなされ、Eディスカバリはサービスプロバイダに不可欠な機能となっています
  • 利用者とサービスプロバイダは、Eディスカバリに関して、双方の役割および責任について相互に理解しなければなりません
  • サービスプロバイダは、利用者のデータを正確で信頼できる状態で保管されていることを保証できる必要があります

以上のように、Eディスカバリは、クラウド利用者にとってその証拠能力を維持するために必要となるものです。例えば、データが米国で保管されていて、米国のEディスカバリが適用される場合には、日本のユーザーは、米国における民事訴訟法上のディスカバリに関する制裁規定の適用を受ける可能性があります。「解説クラウド・セキュリティ・ガイダンス」の「II 法律問題編」で述べられているように、データが国境を超えて保管される場合は、他国の制裁規定の適用を受ける可能性についても、十分な注意が必要です。

ドメイン5:コンプライアンスと監査
ドメイン5の前提となる考え方は、クラウドコンピューティングの計画を進める前に、セキュリティポリシーと様々な規制や法律の要件に則ったコンプライアンスを維持することを考えなければならないということです。この前提から、コンプライアンスと監査に関するクラウドコンピューティングの問題点は以下の3点といえるでしょう。

  • 処理が行われる場所やデータの記憶場所など、クラウドコンピューティング環境では、境界がはっきりしないため、プライバシー立法の適用について問題が発生する可能性があります。EUのデータ保護条例では、国境を越えて特定のタイプのデータを移動させることやアクセスさせることを制限しています。このように、データの保存場所やアクセス方法に対して、法律上の制限が加わる場合があります。
  • サービスプロバイダがデータをどのように保存しているかが分からないため、機密データに対する法規制の遵守が難しくなっています。データのコピー、バックアップ等がどのように行われているのかが不明のため、仮想化システムで物理的にデータが共有される場合にどのように隔離されているのか、という問題も存在します。
  • クラウド環境では、上記の事項を監査することがさらに難しくなっていると同時に、非常に高価なものになっています。クラウド利用者は、サービスプロバイダに対してSLAなどを求めますが、それを監査するためのコストも必要になります。また、第三者機関を使用した監査も必要になる場合があり、コストをさらに押し上げる要因となります。
これらの問題点に対して、クラウド・セキュリティ・ガイダンスでは、以下の6つのガイダンスを提供しています。

  • 法律上の義務を知る:これは、クラウドコンピューティングだけでなく一般的に必要なことですが、企業として必要な法的要件を理解しておく必要があります。企業には、どのようなデータを扱っているかを理解し、そのコンプライアンスを維持する義務があります。監査役、外部の監査人、法律事務所と一緒に、法律上の義務をすべて網羅する必要があります
  • データとシステムを分離しラベル付けする:まず、データをきちんと分類し、機密データと機密でないデータを分ける必要があります。また、データとデータを処理するシステムに対してラベル付けを行い、明確に分類する必要があります。事前にラベル付けを行っておくことで、監査時に分類を行う必要がなくなります。
  • 外部機関によるリスクアセスメントの実施:広範囲なリスクを見つけるために、第三者機関によるリスク査定を行う必要があります。これにより、リスクの特定を行うことができます。
  • デューデリジェンス/外部レポートを利用する:コンプライアンスを事前検証するために、サービスプロバイダのセキュリティ状況、セキュリティ対策を理解しておく必要があります。非常に厳しいセキュリティ要件がある場合には、サービスプロバイダがISO/IEC2700:12005を取得しているかどうかを確認する必要があります。また、サービスプロバイダが、定期的なセキュリティスキャンや侵入試験を実施しているかどうかを確認することも必要です。
  • データがどこにあるかを理解する:立法上のコンプライアンスの観点から、サービスプロバイダに対して、データの転送や保存の際のデータの存在場所を保証させる必要があります。これは、サービスプロバイダが使用する第三者やアウトソーシング会社にも適用されます。

以上のように、クラウドコンピューティング環境におけるセキュリティは、企業の内部ポリシー、手順、標準、ガイドラインをお互いに締め出すものではなく、クラウド利用者自身のポリシーと手順に統合することが必要です。

今回は、ドメイン4:電子情報開示と、ドメイン5:コンプライアンスと監査について説明しました。次回は、「クラウドの統制」として最後として、「ドメイン6:情報ライフサイクル」と「ドメイン7:移植性および相互運用性」について説明します。

*本記事は、弊社「クラウド・セキュリティ・勉強会」メンバーである、藤井大翼、桐谷彰一、中山幹夫の協力により、執筆されました。