このたび、マイクロソフトは「Data Protection and Privacy Compliance in the Cloud: Privacy Concerns Are Not Slowing the Adoption of Cloud Services, but Challenges Remain (クラウドにおけるデータ保護とプライバシー コンプライアンス: プライバシーに関する懸念はクラウド サービス導入を妨げないが、課題は残る) (英語)」と題したレポートを発表しました。これは、Ponemon Institute がマイクロソフトの出資を受けて行った独自調査です。このレポートでは、組織がクラウドのプライバシーとセキュリティに関する懸念に対応する上で推奨される、10 個の手順が挙げられています。当ブログではさらに、10 個の手順すべてに対応する上で役立つ、Azure Active Directory や Azure Key Vault といった Azure サービスについて、情報を紹介します。

今回の調査は、各組織が EU 一般データ保護規則 (GDPR) のような重要なプライバシー規制の順守という組織的な課題に取り組みつつ、どのようにデジタル変革を進めているかについて、より深く理解することを目的として実施されました。その中では、クラウドに移行している理由、セキュリティやプライバシーに関してクラウド環境で直面している課題、機密データの保護とコンプライアンスの達成に向けて取っている対策などを調べました。

米国と EU の IT 専門家 1,000 人以上を対象に調査を行った結果、プライバシーに関する懸念はクラウド サービス導入の妨げにならないこと、そしてプライバシー関連の取り組みの大部分はクラウドで行う方が容易であることが分かりました。しかしそれと同時に、オンラインのプライバシー管理にあたり必要となる「コントロール権」そして「可視性」を得られていないという認識を、ほとんどの組織が持っていることも明らかになっています。  このレポートでは、セキュリティとプライバシー環境を向上させるために組織の取れる手順が 10 個挙げられています。

調査結果の要点を以下に抜粋します。

• プライバシーに関する懸念は、クラウド サービスの導入を妨げていない。プライバシー問題がクラウド サービス導入の中止または遅延につながったと答えたのは、米国では 3 人に 1 人、EU では 38% の回答者に限られた。コストの削減や製品投入にかかる時間の短縮でクラウドが果たし得る重要な役割が、プライバシーに関する懸念に勝るようだ。
• プライバシー関連の取り組みの大部分は、クラウド上での展開の方が容易である。そのような取り組みの例としては、プライバシーへの影響の評価、機密性に基づいた個人データの分類やタグ付け、GDPR 条項のような法定義務の順守といったガバナンス プラクティスが挙げられる。しかし、インシデント対応の管理のようなほかの取り組みは、クラウドよりもオンプレミスで展開する方が容易であると考えられる。
• 米国の 53%、EU の 60% の回答者は、自分の所属する組織が現時点でプライバシーとデータ保護の要件を満たしているという確信を持てていない。それは、クラウドベースのソフトウェアがプライバシーやデータ セキュリティの要件を満たしているかどうかについて、大部分の組織はソフトウェアの展開前に入念な調査を行っていないためとも考えられる。
• クラウドにおける機密データ保護について、組織は事前準備を行うよりも、事後対応的である。特に、クラウドベースのソフトウェアやプラットフォームがプライバシーやデータ セキュリティにどのようなリスクを抱えているかについて、入念な調査を行っていると答えた回答者は 44% にとどまっている。また、機密性が非常に高く、クラウドに保存すべきではない情報を特定していると答えた回答者もわずか 39% だった。
• クラウドで収集、処理、保存する機密データに対して必要とされる、全面的な可視性を有していると答えたのは、わずか 29% の回答者に限られていた。さらに組織は、これまでに展開してきたクラウド アプリケーションやプラットフォームをすべて把握しているという確信を持てていない。

Ponemon Institute によるレポートの最後には、組織がクラウドのプライバシーとセキュリティに関する懸念に対応する上で推奨される、以下のような手順が挙げられています。また、ここではそれに関連する Azure サービスも併記していますので、ぜひ、それぞれの手順の実施に役立ててください。

1. クラウド環境で収集、処理、保存する機密データに対する可視性を向上させる。 
   Azure サービス: Azure Information Protection は機密データの発見、分類、管理に役立ちます。詳細はこちらから。
2. すでに利用しているすべてのクラウド アプリケーションとプラットフォームについて知っておく。
   Azure サービス: Microsoft Cloud App Security を使えば、クラウド アプリや IaaS (サービスとしてのインフラストラクチャ)、PaaS (サービスとしてのプラットフォーム) といったさまざまなサービスを特定して、シャドー IT を発見し、その管理につながります。詳細はこちらから。
3. オンプレミスとクラウドの両環境でユーザー認証を簡素化する。
   Azure サービス: Azure Active Directory は、クラウド サービスとオンプレミス サービスのシングルサインオン認証を管理、展開するツールを提供しています。詳細はこちらから。
4. クラウド環境での不審または異常なトラフィックについて、クラウド プロバイダーがイベント監視サービスを提供しているか確認する。
   Azure サービス: Azure Monitor は Azure 環境およびオンプレミス環境から送られてくるテレメトリ データを顧客が収集、分析し、そのデータに基づいて行動できるようにします。詳細はこちらから。
5. 伝信中または保管する機密データを暗号化する機能を導入する。
   Azure サービス: Azure は伝送中または保管するデータの暗号化に向けて、さまざまな選択肢を提供しています。詳細はこちらから。
6. 組織で独自の暗号化鍵が利用および管理されていることを確認する (BYOK)。
   Azure サービス: Azure Key Vault を使うと、ハードウェア セキュリティ モジュール (HSM) でキーをインポートしたり、生成したりできます。そのキーが HSM の境界から外に出ることはありません。詳細はこちらから。
7. クラウド環境のデータやアプリケーションへのアクセスを許可する前に、多要素認証を実行する。
   Azure サービス: Azure Active Directory は、クラウド サービスとオンプレミス サービスに多要素認証を展開するための選択肢を多数提供しています。詳細はこちらから。
8. プライバシーおよびデータの保護に関する規制の順守や、クラウド上のセキュリティ対策の実施について、各分野に精通するコンプライアンス チームや IT セキュリティ チームに責任を割り当てる。プライバシーとデータの保護に携わるチームは、導入検討中のクラウド アプリケーションやプラットフォームを評価する作業にも関わるべきである。
   Azure サービス: ロールベースのアクセス制御 (RBAC) は、誰が Azure リソースにアクセスできるのか、そのリソースに対して何を行えるのか、そしてどの領域にアクセスできるのか、といったことを管理するために役立ちます。詳細はこちらから。
9. 非常に機密性が高くクラウドに保存するべきではない情報を特定する。さらに、機密情報の保護およびセキュア化にクラウド サービスをどのように活用できるか評価する。
   Azure サービス: Azure Information Protection は機密データの発見、分類、制御に役立ちます。詳細はこちらから。
10. クラウドベースのソフトウェアやプラットフォームがプライバシーやセキュリティに関してどのようなリスクを有しているか、徹底的に評価する。
    Azure サービス: Microsoft Cloud App Security はリスク レベルやビジネスへの即応性について、16,000 種以上のアプリケーションを評価します。詳細はこちらから。

以上の詳細については、レポート全文 (英語) はこちらからご参照ください。