Amazon Web Services ブログ

IDCが新しいホワイトペーパー「Trusted Cloud: データ主権と加速するデジタルトランスフォーメーションの関係」を発表しました。

本記事は、Marta Targgart (AWSセキュリティ プロダクトマーケティング シニアプロダクトマーケティングマネージャー) と、Orland Scott-Cowley (EMEA 公共部門のセキュリティコンプライアンスリード)によって2022年4月に投稿されたものです。

AWSがスポンサーを務めるInternational Data Corporation(IDC)の新しいホワイトペーパー「Trusted Cloud: Overcoming the Tension Between Data Sovereignty and Accelerated Digital Transformation」では、デジタルEU組織の未来構築におけるクラウドの重要性を検証しています。IDCは、欧州の大規模組織のCEOの70%が、2025年までに収益の40%以上をデジタルから生み出すよう奨励されると予測しており、これはデジタル変革を加速させる必要があることを意味しています。2022年にIDCが欧州のCEOを対象に行った調査では、欧州のCEOの46%が最も戦略的なITイニシアティブとしてクラウドへの移行を加速させるとしています。

IDCはホワイトペーパーの中で、運用の効率性、デジタル投資、そして最終的にはビジネスの成長を、データ主権要件とどのようにバランスを取る必要があるかについての見解を示しており、データ主権を「デジタル主権のサブセット」と定義しています。これは、データが収集された、または関連する国の法律と統治機構に従うという概念です。

IDCは、国家安全保障法の下での外国情報の域外適用、国内または国境を越えたデータ転送による個人のプライバシー保護のレベルなど、クラウドデータ主権に関する現在の議論の一部について見解を示しています。EUと米国間の個人データ移転に関するSchrems IIの決定とその影響により、多くの組織がEU域外にデータを移転する際に法的要件を遵守する方法に頭を悩ませています。

IDCは、クラウドにおけるコントロールについて、次のような背景を説明しています。

  • クラウドプロバイダーは、クラウド上の顧客データに無制限にアクセスできるわけではありません。組織は、データのすべての所有権と管理権を保持します。クレデンシャルと許可設定を通じて、誰が自分のデータにアクセスできるかを管理するのはお客様です。
  • クラウドプロバイダーは、最小限の特権に基づく厳格な組織的・技術的管理のセットを使用して、不正アクセスや不適切な使用からデータを保護します。
  • クラウドサービスの運用は、メンテナンスやトラブルシューティングを含めて、ほとんど自動化されています。顧客データへの人的アクセスが必要な場合は、契約したサービスを顧客に提供するために必要な範囲に限定し、一時的に行う。すべてのアクセスは厳密に記録され、監視され、監査され、その活動が有効でコンプライアンスに適合していることを確認する必要があります。
  • 暗号化や鍵の管理などの技術的な管理は、より重要性を増しています。保存時および転送時の暗号化は、データ保護のベストプラクティスの基本であり、規制当局もこれを強く推奨しています。暗号化されたデータは、専用のハードウェアおよびファームウェアベースの実行環境内で、メモリに取り込まれ、処理されることがあります。このようなコンフィデンシャルコンピューティング環境は、機密情報をクラウドプロバイダーからアクセスできないようにすることで、このような規制上の懸念を軽減することができます。Amazon EC2インスタンスの基盤プラットフォームであるAWS Nitro Systemは、このような保護機能を提供する業界の一例となっています。
  • プライバシーとセキュリティの順守を評価するための基準として、公的な規格に対する独立した認定が認められています。欧州データ保護委員会が承認したEUクラウド行動規範とCISPEのクラウドインフラサービスプロバイダーの行動規範は、GDPR第28条に基づくプロセッサの義務への準拠を実証するのに役立つ説明責任の枠組みを提供します。GDPRの遵守には必要ありませんが、CISPEは認定クラウドプロバイダーに対し、顧客コンテンツ内のすべての個人データを欧州経済領域(EEA)に保持する選択肢を顧客に提供するよう求めています。
  • データを国内でホスティングすることがより優れたデータ管理のセキュリティであると説明されることがあります。しかし、IDCは、データの物理的な所在は、サイバー脅威に対するデータリスクの軽減には関係がないと指摘しています。データの所在は、セキュリティとレジリエンスという組織の目標に反している可能性があり、多くの企業は、大規模なクラウドプロバイダーが提供できるようなセキュリティ上のメリットを提供するためのリソースや専門知識を持ち合わせていないため、現在ではますます多くの欧州の企業が、セキュリティ上のニーズに対してクラウドを信頼しています。

データ主権に関する要件を実行可能なビジネスおよび IT 戦略に変換する方法の詳細については、IDC ホワイトペーパー「Trusted Cloud: Overcoming the Tension Between Data Sovereignty and Accelerated Digital Transformation」をご参照ください。また、AWSのEUデータ保護に関するWebページでは、EUの顧客のデータを保護するためのコミットメントについて詳しく説明されています。

原文はこちらです。

本ブログは、セキュリティ アシュアランス本部 松本照吾が翻訳しました。