主権戦略を定義する
この記事では、クラウド サービスを使用するときに主権戦略を計画する方法について説明します。 多くの地政学的地域には、プライバシーに関する機密データや政府のデータなど、特定の種類のデータを処理するための規制があります。 通常、この規制では、データ所在地、データの制御、また場合によっては、運用上の独立 (autarky と呼ばれる) に関連する主権要件が適用されます。
組織がこれらの規制に従う必要がある場合は、主権要件を満たす戦略を定義する必要があります。 組織がオンプレミス サービスからクラウド サービスに移行する場合は、それに応じて主権戦略を調整する必要があります。
主権戦略を最新化する
オンプレミスのデータセンターの場合、お客様は次のような主権に通常関連付けられているほとんどの側面について責任を負います。
- データが格納および処理されるデータセンター。
- データセンターと物理インフラストラクチャへのアクセス。
- ハードウェアとソフトウェア (ハードウェアとソフトウェアのサプライ チェーンを含む)。
- ハードウェアとソフトウェアを検証する保証プロセス。
- 障害や地政学的なイベントが発生した場合にビジネス継続性を確保するインフラストラクチャとプロセス。
- 誰がどのデータとシステムにアクセスできるかを決定する構成とプロセス。
- 外部および内部の脅威に対してデータとシステムをセキュリティで保護するツールとプロセス。
クラウド サービスを導入する場合、これらの側面の責任は共有責任に移行します。 コンプライアンス チームは、主権要件が満たされているかどうかを判断するために使用する戦略を変更します。 コンプライアンス チームは、次のことを考慮します。
クラウド サービスのコンプライアンス。 クラウド プロバイダーのサービスが主権とコンプライアンスの要件を満たす方法
組織が責任を負うシステムとプロセスのコンプライアンス。 主権とコンプライアンスの要件を満たすために使用できるツールと、これらのツールの使用方法
コンプライアンス チームは、規制機関と協力して、同じ目標を達成するための別の方法を使用する許可を得る必要がある場合があります。 場合によっては、オプションを追加したり、特定のソリューションを使用して意図した結果を得るためにディレクティブを調整したりして、規制を変更する必要がある場合があります。 規制の変更は、時間の長いプロセスになる可能性があります。 ただし、規制の意図を達成したかどうかを示すことができる場合は、除外を受ける可能性があります。
たとえば、規制では、組織が特定のクラウド サービスを使用できないように制限する場合があります。分離要件は、通常クラウドでは使用できないハードウェアの分離でのみ満たすことができるためです。 ただし、意図した結果は、仮想的な分離を使用して取得することもできます。 戦略の一環として、これらの潜在的な阻害要因が発生したときに、規制当局や監査者と連携する方法を決定する必要があります。
コンプライアンスと主権のニーズを満たす方法の詳細については、主権に関する Microsoft Cloud を参照してください。
クラウド サービスのコンプライアンス
コンプライアンス チームは、次のようなさまざまなソースと方法を使用して、クラウド サービスのコンプライアンスを確認します。
サービスのしくみと使用方法に関するベンダー ドキュメント (米国連邦リスクおよび承認管理プログラム (FedRAMP) 製品ドキュメントやシステム セキュリティ計画など)。
グローバル、地域、および業界のコンプライアンス フレームワークへのコンプライアンスを認定する独立監査人認定。 詳しくは、Microsoft 365、Azure、および他の Microsoft サービスのコンプライアンス認証に関する記事をご覧ください。
独立監査人が作成する監査レポート は、クラウド サービスがグローバル、リージョン、および業界のコンプライアンス フレームワークの要件を満たす方法に関する分析情報を提供します。 一部の監査レポートは、サービス トラスト ポータル から入手できます。
政府機関セキュリティ プログラムなどのベンダー監査オファリングを介してコンプライアンス チームによって、またはコンプライアンス チームに代わって実行される監査 (一部のお客様のみが利用できます)。
コンプライアンス チームが使用するソースと方法の組み合わせは、必要な分析情報のレベル、さまざまなオプションでの信頼、リソースと予算によって異なります。 サード パーティの監査担当者認定により、チームが監査を実行する必要がなくなり、コストは削減されますが、監査担当者と監査プロセスに対する信頼が必要になります。
システムとプロセスのコンプライアンス
組織のコンプライアンス プロセスとシステムは、クラウド サービスの追加機能の恩恵を受けることができます。 これらの機能を使用すると、次のことができます。
技術ポリシーを適用または報告する。 たとえば、サービスや構成の展開をブロックしたり、主権とコンプライアンスの技術的要件を満たしていない違反を報告したりできます。
特定のコンプライアンス フレームワークに合わせて事前に構築されたポリシー定義を使用します。
監査をログに記録して監視します。
セキュリティ ツールを使用します。 詳細については、「セキュリティ戦略を定義する」を参照してください。
Azure 機密コンピューティングなどの技術保証と監視機能を実行します。
組織の環境と個々のワークロードに対して、これらの機能を慎重に検討します。 各機能について、必要な作業量、適用性、および作用を検討します。 たとえば、ポリシーの実施は、コンプライアンスをサポートする比較的単純な方法ですが、使用できるサービスとその使用方法を制限できます。 これに対し、技術保証にはかなりの労力が必要であり、少数のサービスでのみ使用できるため、より制限が厳しくなっています。 また、大量の知識も必要です。
共同責任を導入する
クラウド サービスを導入する場合は、共同責任モデルを導入します。 クラウド プロバイダーに移行する責任とユーザーに残る責任を決定します。 これらの変更が規制の主権要件にどのように影響するかを理解します。 詳細については、「クラウド サービスのコンプライアンス」のリソースを参照してください。 概要を取得するには、次のリソースを検討してください。
Azure インフラストラクチャ セキュリティでは、Microsoft が物理インフラストラクチャの保護を提供する方法について説明します。
Azure プラットフォームの整合性とセキュリティでは、Microsoft がプラットフォームと技術保証プロセスへの脅威に対する保護を提供する方法について説明します。
Azure のデータ所在地では、データ所在地の機能について説明します。 欧州連合 (EU) のお客様については、「Microsoft EU データ境界」を参照してください。
クラウド プロバイダーは、クラウドを運用する重要なシステムの継続性を確保することで、プラットフォームの回復性を通じてビジネス継続性を部分的に提供します。 ワークロードで使用されるサービスには、ワークロードの構築に使用できる継続性オプションが用意されています。 または、Azure Backup や Azure Site Recovery などの他のサービスを使用することもできます。 詳細については、Azure 信頼性のドキュメントを参照してください。
クラウド プロバイダーは、内部と外部の両方の脅威からクラウド プラットフォームへのアクセスをセキュリティで保護することに責任を負います。 お客様は、ID およびアクセス管理、暗号化、その他のセキュリティ対策を使用してデータをセキュリティで保護するようにシステムを構成することに責任を負います。 詳細については、「セキュリティ戦略を定義する」を参照してください。
分類を使用してデータを区別する
データの機密性やプライバシーに関する機密データが含まれているかどうかなどの要因に応じて、データとワークロードの種類によって主権要件が異なる場合があります。 どのデータ分類が組織に適用され、どのデータとシステムがどの分類の対象となるかを理解することが重要です。 一部のデータとアプリケーションには複数の規制が適用されるため、組み合わせた要件が必要になる可能性があります。 たとえば、データの機密性とシステムの重要度に関連する規制がある場合があります。 結果として生じる分類は、機密性が高く重要度が低い、または機密性が中程度で重要度が高い場合があります。
主権要件に準拠すると、コスト、回復性、スケーラビリティ、セキュリティ、サービスの豊富さなど、他の要因に影響を与える可能性があります。 主権戦略では、適切なコントロールをデータ分類に適用することが重要です。 万能のアプローチは、最も高いコンプライアンス要件を優先する環境につながります。これは、コストが最も高く、最も有益でない可能性があります。
次のステップ
Cloud for Sovereignty は、Azure プラットフォーム上のソブリン機能に関する分析情報を提供し、主権要件に対処する方法について説明します。
セキュリティと主権は同じではありませんが、セキュリティで保護されていない場合はソブリンにすることはできません。 したがって、主権戦略と統合するセキュリティ戦略を定義する必要があります。