ストーリー
田
田中VPoE
セキュリティの最後のピースはコンプライアンスだ。EU展開を控えている以上、GDPRへの対応は避けられない
あなた
GDPRだけでなく、日本の個人情報保護法やISMAPなども考慮が必要ですよね
あ
田
田中VPoE
その通り。マルチクラウドでは「どのクラウドに」「どの国の」「どんなデータが」置かれているかを正確に把握し、それぞれの規制に準拠する必要がある。一つでも漏れがあれば、巨額の罰金や事業停止のリスクがある
あなた
クラウドごとに準拠証明の取得状況も違いますし、複雑ですね
あ
田
田中VPoE
複雑だからこそ、体系的なコンプライアンス管理フレームワークが必要だ
主要な規制・基準の整理
グローバル規制マップ
| 規制/基準 | 対象地域 | 対象データ | 主な要件 | 罰則 |
|---|---|---|---|---|
| GDPR | EU/EEA | EU居住者の個人データ | データ主権、同意管理、忘れられる権利 | 売上の4%または2,000万ユーロ |
| 個人情報保護法 | 日本 | 個人情報 | 利用目的の特定、安全管理措置 | 1億円以下の罰金 |
| SOC 2 | グローバル | サービス提供データ | セキュリティ、可用性、処理の完全性 | 監査不適合 |
| ISO 27001 | グローバル | 情報資産全般 | ISMS構築・運用 | 認証取消 |
| PCI DSS | グローバル | カード会員データ | データ暗号化、アクセス制御 | 罰金、カード取扱停止 |
| ISMAP | 日本 | 政府情報システム | クラウドサービスの安全性評価 | 政府調達不可 |
クラウドプロバイダーの準拠状況
主要認証の取得状況
| 認証/基準 | AWS | GCP | Azure |
|---|---|---|---|
| SOC 1/2/3 | 取得済み | 取得済み | 取得済み |
| ISO 27001 | 取得済み | 取得済み | 取得済み |
| ISO 27017/27018 | 取得済み | 取得済み | 取得済み |
| PCI DSS Level 1 | 取得済み | 取得済み | 取得済み |
| GDPR対応 | DPA提供 | DPA提供 | DPA提供 |
| ISMAP | 登録済み | 登録済み | 登録済み |
| FedRAMP | High | Moderate | High |
| HIPAA | BAA提供 | BAA提供 | BAA提供 |
クラウドプロバイダーが認証を取得していても、その上で構築するシステムのコンプライアンスは顧客の責任。プロバイダーの認証はあくまで「基盤」の証明だ。
コンプライアンス管理フレームワーク
Policy as Code
| ツール | 対象 | 特徴 |
|---|---|---|
| Open Policy Agent(OPA) | マルチクラウド | Regoポリシー言語、K8s統合 |
| AWS Config Rules | AWS | AWS固有のコンプライアンスチェック |
| GCP Organization Policy | GCP | GCP組織レベルのポリシー |
| Azure Policy | Azure | Azure固有のコンプライアンス |
| Terraform Sentinel | IaC | デプロイ前のポリシーチェック |
コンプライアンス自動チェック
Policy as Codeの適用フロー:
IaC変更(Pull Request)
│
├── Terraform Plan
│ │
│ ├── Sentinel Policy Check ──→ 違反があればブロック
│ │
│ └── Infracost Check ──→ コスト影響の表示
│
├── OPA/Conftest Check ──→ セキュリティポリシーの検証
│
└── マージ → デプロイ
ランタイムチェック(継続的):
│
├── AWS Config ──→ 設定変更の検知・自動修復
├── GCP SCC ──→ セキュリティ状態の継続的評価
└── Azure Policy ──→ コンプライアンス状態の監視データ主権と越境データ移転
データ所在地の管理
| データ分類 | 保管場所の制約 | マルチクラウドでの対応 |
|---|---|---|
| EU個人データ | EU域内に保管 | AzureのEUリージョンを使用 |
| 日本の個人情報 | 越境移転に制限あり | 日本リージョンを優先 |
| 決済データ(PCI DSS) | PCI準拠環境に保管 | 認定済みリージョンのみ |
| 政府関連データ | ISMAPクラウドに保管 | ISMAP登録クラウド・リージョン |
越境データ移転の判断フロー
データの越境移転が必要か?
│
├── No → 国内リージョンで完結
│
└── Yes → 移転先の適切性を確認
│
├── 十分性認定国? → 移転可能
│
├── SCC(標準契約条項)あり? → 条件付き移転可能
│
└── それ以外 → 個別審査・同意取得が必要監査対応
マルチクラウド監査の準備
| 準備項目 | 内容 | 責任者 |
|---|---|---|
| 資産台帳 | 全クラウドのリソース一覧と分類 | セキュリティチーム |
| ポリシー文書 | セキュリティポリシー、データ分類基準 | CISO |
| アクセスログ | 全クラウドの操作ログ(最低1年保管) | SRE |
| 設定証跡 | 設定変更の履歴と承認記録 | インフラチーム |
| インシデント記録 | セキュリティインシデントの対応記録 | セキュリティチーム |
| 教育記録 | セキュリティ教育の実施記録 | 人事部 |
まとめ
| ポイント | 内容 |
|---|---|
| 規制の把握 | GDPR、個人情報保護法、PCI DSS等の要件を正確に理解 |
| プロバイダー認証 | クラウドの認証は基盤の証明。システムのコンプライアンスは自社責任 |
| Policy as Code | OPAやSentinelでコンプライアンスチェックを自動化 |
| データ主権 | データの所在地と越境移転ルールを管理 |
チェックリスト
- 主要な規制・基準の要件を理解した
- クラウドプロバイダーの認証と自社責任の違いを理解した
- Policy as Codeの概念と実装方法を理解した
- データ主権と越境データ移転の管理方法を理解した
次のステップへ
次は「演習:統合セキュリティポリシーを策定しよう」で、学んだフレームワークを使って実際のセキュリティポリシーを設計します。
推定読了時間: 30分