データ セキュリティとコンプライアンスの重要性

データ セキュリティとは、デジタル情報のライフサイクル全体を通じて、不正なアクセス、開示、改ざん、破壊を防止することです。ハッカー、ウイルス、物理的な盗難、不慮の損失などの潜在的な脅威からデータを保護するには、セキュリティ保護、ポリシー、テクノロジーの枠組みを規定する必要があります。

コンプライアンスとは、特定の法律、規則、業界標準、社内ポリシーなどを順守しながらデータを処理、保管、保護することを意味します。コンプライアンスは、機密データを保護し、プライバシーを守り、データ侵害やコンプライアンス違反への罰則関連のリスクを軽減するために定められた規則を、企業が順守することを保証するものです。

データの保護、レジデンシー、ガバナンスに対する規制の増加に伴い、企業にとってはデータ セキュリティとデータ コンプライアンスへの対応を強化することの重要性がこれまでになく高まっています。各国/各地域の規則がカバーする領域はデータ レジデンシーに留まらず、データの保護、ガバナンス、開示、レポートにまで及ぶようになっています。こうした規制の例としては、愛国者法（米国）、GDPR（EU）、プライバシー法（オーストラリア/ニュージーランド）、個人情報保護法（シンガポール/マレーシア/タイ/インドネシア）、デジタル プライバシー法（カナダ）、LGPD（ブラジル）などがあります。

EU の GDPR は、世界各国におけるデータ プライバシー規制の基盤となっています。この規制の基本方針は、個人データの安全な処理です。英国一般データ保護規則（UK GDPR）では、セキュリティ対策はデータの Confidentiality（機密性）、Integrity（完全性）、Availability（可用性）を確保するとともに、偶発的な損失、破壊、損傷からデータを保護できるものでなければならないと定められています。

データ保護の重視により、米国標準技術局（NIST）、Federal Risk and Authorization Management Program（FedRAMP）、クレジット カード業界（PCI）、国際標準化機構（ISO）番号 27001（ISO27001）、国際標準化機構（ISO）番号 27032（ISO27032）、英国規格協会（BSI）、Internet Engineering Task Force（IETF）などのコンプライアンス基準を順守することの重要性はかつてなく高まっています。

特に個人データを扱う場合、データ セキュリティが非常に重要になることは容易にわかります。データの損失はなりすましなどの問題につながります。一方、データの破壊、損傷、悪用は、行政機関、医療、金融などの重要な分野では、企業と消費者の両方に取り返しのつかない悪影響を与える可能性があります。データ セキュリティのもう 1 つの重要な役割は、機密性の高いデータや極秘データへのユーザー アクセスを制限すると同時に、可搬性が求められる際の信頼性と柔軟性を確保することです。

ソブリンクラウドを利用すれば、厳重に保護された一部のワークロードについても、IT 部門の負担を増やすことなく、プライベートクラウドがもたらすデータ主権のメリットを享受できます。ソブリンクラウドでは、自社データに対する制御を維持できます。ソブリンクラウドでは、保存されたデータに対してほかの司法管轄区域が国境を越えた権限の行使やアクセスを行えないことが保証されるため、メタデータを含め、すべてのデータについて強力なプライバシーと保護を確保できます。また、データの越境移転に関する規則にも容易に従うことができます。ソブリンクラウドを利用することで、国内で保管、管理されるデータを利用してその可能性を最大限に引き出し、新たな価値を創出することができます。

データをどこに保存し、アクセス権をだれに付与するかなど、データ主権の法律を順守するにはコンプライアンスが不可欠です。法律が頻繁に改訂されるなか、コンプライアンス担当者は、関連する地域や業界の規制を常に把握し、順守しなければなりません。ソブリンクラウド プロバイダーを利用すれば、最新の法律を把握している現地のコンプライアンス エキスパートに任せることができます。

ソブリンクラウドの管理は主権を持つ市民が担当するため、データ主権に関する厳格なルールを順守できます。ソブリンクラウドでは、レジデント ドメインはプロバイダーのコア ネットワークやインターネットから隔離されます。管理プレーンと制御プレーンは完全にソブリンクラウド内でホストされ、域外の組織やリソースとは依存関係がないため、主権の確保された境界外にデータが移転されることはありません。バックアップ、メタデータ、会計やサポートに関するデータなど、いかなるデータも当該の国/地域外で保管されることはありません。

ソブリンクラウドを利用すれば、暗号化キーを自社で管理してクラウド プロバイダーがデータにアクセスできないようにする選択もできるため、最高レベルのセキュリティを実現できます。さらにソブリンクラウドでは、データ プライバシーとデータ主権を保護するために、商用のクラウドでは提供されない優れた制御機能やサービスも用意されています。

データ主権とデータ プライバシーに関する規制を順守するための第一歩は、自社が扱うデータの内容とその所在地を把握し、そして各国/地域のデータ レジデンシー、プライバシー、主権に関するポリシーを理解することです。そのためには、自社のデータを的確に分類することが必要になります。

ソブリンクラウドが安全なのは、構築、カスタマイズ、維持管理がすべて現地で行われ、現地の法律と規制を順守する認定済みのプラットフォームで運用されるからです。ソブリンクラウドを運用するプロバイダーには豊富な経験が求められます。高度なセキュリティ制御を使用して、進化する攻撃ベクターからクラウド上のアプリケーションやデータを保護する方法を知っているだけでなく、データ規制に関する現地の法律や要件を順守して、非常に機密性の高いデータやワークロードを保護できなければなりません。

ソブリンクラウドを運用するプロバイダーには豊富な経験が求められます。高度なセキュリティ制御を使用して、進化する攻撃ベクターからクラウド上のアプリケーションやデータを保護する方法を知っているだけでなく、データ規制に関する現地の法律や要件を順守して、非常に機密性の高いデータやワークロードを保護できなければなりません。また、プロバイダーが使用する情報セキュリティ管理システム（ISMS）のコントロールは、業界標準への準拠が認定されており、定期的な監査によってセキュリティが維持されている必要があります。

ソブリンクラウド プロバイダーはお客様のデータを保護するために、ゼロトラストの考え方に基づくマイクロセグメンテーションを取り入れて、明確に許可されない限りワークロードが互いにやり取りできないようにしなければなりません。さらに、ソブリンクラウドをエアギャップで隔離し、暗号化を利用して外界から保護する必要があります。ソブリンクラウドのデータやアプリケーションは多層的なセキュリティ アプローチで保護されるため、データの損失、破壊、損傷を防ぐことができます。

セキュリティとコンプライアンスに関する課題は、個人データ、機密データ、秘密データなどのプライバシーを保護するために、データ プライバシー法でデータを扱う方法が規定されていることです。そのような法律には多くの場合、組織がデータを保護するために講じなければならない特定のセキュリティ要件が含まれています。また、法令への違反につながるデータの紛失や漏洩を防ぐためのセキュリティ対策も必要になります。

各組織はこうしたデータ プライバシー法や業界の規制を順守するだけでなく、その順守を証明することも求められます。プライバシー法の種類が増加し、変更も頻繁に行われるなか、コンプライアンスを維持することはいっそう難しくなっており、コンプライアンス違反は多額の罰金につながる恐れがあります。

今日の法律や規制が求める、データ保護に関するより高い基準を達成するには、セキュリティとコンプライアンスに関する堅牢な戦略を策定することが不可欠です。VMware Cloud Provider は、情報システムや機密データの完全性、安全性、可用性を確保するうえで役立つソブリンクラウドを提供します。

• ソブリンクラウド プロバイダーは、以下の要件を満たすことで、企業のシステムとデータをセキュリティ リスクから保護できます。
• データ主権を維持し、外国当局による強制開示を回避する
• 進化する攻撃ベクターに対するセキュリティ防御に優先的に取り組み、データとアプリケーションを保護する
• 商用パブリッククラウドを上回る、ソブリンクラウドの保護とコンプライアンスのサービスを提供する
• 国内の経済活動を活性化するために、信頼できる関係企業と共有可能なデータを活用する
• 常に変化するセキュリティおよび規制の要件に備える
• 国内の経済をフルに活用してビジネスの成長を実現する、安全性とレジリエンスに優れたクラウドを提供する