※ 本記事は、Nancy Kramerによる”Selecting the Right Compliance Framework to Evaluate Cloud Services“を翻訳したものです。
2023年8月23日
組織は、必要不可欠なビジネス・プロセスとテクノロジ・インフラストラクチャをサポートするために、クラウド・サービスにますます依存するようになっています。クラウド・サービスを使用することで、組織はスケール・メリットを活用し、最新のテクノロジを採用して、従業員が顧客への価値提供に集中できるようにします。クラウド・サービスを日常業務に頼ると、組織の最も重要なサプライヤにクラウド・プロバイダを配置できます。このブログ投稿では、クラウド・サプライヤ管理の1つの側面に重点を置きます。既存のコンプライアンス・フレームワーク・アテステーションを使用して、クラウド・サービスのセキュリティおよびプライバシ・プラクティスを効率的かつ効果的に評価します。適切なコンプライアンス・フレームワークに集中することで、購入の課題を低減できます。認定された独立系監査者からのサードパーティのアセスメントを活用することで、クラウド・サービスの調達を加速できるだけでなく、サプライヤ・リスクの管理を強化し、クラウド・サービスの調達コストを削減することもできます。
コンプライアンス・フレームワークとは?
このブログ投稿のコンテキストにおいて、コンプライアンス・フレームワークとは、会社の業務、製品またはサービスが評価される一連の情報セキュリティまたはデータ・プライバシ要件を指します。通常、認定外部監査者は、評価対象の会社が提供する証拠を使用して、管理要件への適合性を評価します。
Oracleは、Oracleライン・オブ・ビジネスが「アテステーション」という形で、1つ以上のサービスのサード・パーティのアテステーションまたは認証を達成したフレームワークに関する情報を提供します。これらのアテステーションは、コンプライアンスおよびレポートを支援し、該当するOracleクラウド・サービスのセキュリティ、プライバシおよびコンプライアンス制御を個別に評価できます。これらのサードパーティーのアテステーションを確認する際には、アテステーションは通常、一連のクラウドサービスとデータセンターに固有であることを考慮することが重要です。
コンプライアンス・フレームワークのタイプ
コンプライアンス・フレームワークの中には、様々な組織や業界に広く適用されているものもありますが、製品/サービスの種類や業種に固有なものもあれば、機密データ(財務、健康、個人情報など)の特定のカテゴリを処理する際に適用されるものもあります。特定の規制では、コンプライアンス・フレームワークへの適合性を実証する必要があります。クラウド・サービス・サプライヤは、顧客への信頼性を実証するために、追加のコンプライアンス・フレームワークに対する評価を実施することを選択しています。
コンプライアンス・フレームワークを分類するもう1つの方法は、一連の要件を発行するソースまたは組織です。:
- 政府および規制当局は、次のようなコンプライアンス・フレームワークを発行します。:
- 米国: National Institute of Standards and Technology (NIST) SP 800-53 シリーズ
- 英国: 国家サイバー・セキュリティ・センター(NCSC)サイバー・エッセンシャル
- EU: クラウド行動規範(CoC)
- グローバル組織は、次のようなコンプライアンス・フレームワークを発行します。:
- 商用エンティティも、独自のコンプライアンス・フレームワークを発行します。
政府およびグローバル・コンプライアンス・フレームワークの利点
組織がクラウド・サービス・サプライヤを評価する方法を決定する際には、政府およびグローバル組織が発行するコンプライアンス・フレームワークを使用する多くのメリットを考慮してください。これらの一連の情報セキュリティとプライバシ管理は客観的に定義され、サプライヤと購買者の両方の視点を表す様々な貢献者からの入力で開発されます。また、重要な用語の定義が提供され、要件をより一貫して解釈できるようにすることも一般的です。これにより、競合他社の公平な比較が容易になり、「レベル・プレイ・フィールド」が提供されます。
これらのコンプライアンス・フレームワークへのアテステーションがより簡単に利用でき、クラウド・サービスの評価の実用的かつ効率的な方法となっています。クラウド・サービスは、ISO 27001やSOC 2などの一般的な情報セキュリティ・フレームワークに定期的に評価されることが一般的であるため、独立したサードパーティ監査者からの認証の取得に遅れはありません。
監査人の認定は、政府および業界のコンプライアンス・フレームワークの3番目のメリットです。各種コンプライアンス・フレームワークに対する評価を実施するには、監査人は、厳格なトレーニング、定期的なテスト、継続的な教育および監査品質評価を完了する必要があります。監査者は、一貫した正確性と公平性基準を維持し、行動規範内で運営することも求められています。
Oracle Cloud Serviceコンプライアンスの評価に関する推奨事項
Oracleは、クラウド・サービスを購入する組織に対して、次のリソースおよび推奨事項を提供しています。:
- Oracle Cloud Customer Connectのケース・スタディに関するWebセミナー「クラウド・サービスの評価方法」をご覧ください。
- このWebセミナーでチェックリストを使用します。
- クラウド・コンプライアンス・サイトやコーポレート・セキュリティ・プラクティスなど、OracleのTrust Centerを確認してください。
- 商用/独自のフレームワークに依存するのではなく、サプライヤを評価する際に政府および業界組織のコンプライアンス・フレームワークに優先順位を付けます。
- Salesに連絡して、様々なコンプライアンス・フレームワークのOracleクラウド・サービス・アテステーションを入手します。
クラウド・プロバイダ評価チェックリスト
クラウド・サービスを選択する場合、コンプライアンスは唯一の考慮事項ではありません。組織がクラウド・サービスを機能要件、財務要件、セキュリティ要件およびプライバシ要件に照らして評価できるように、Oracleでは5ステップのチェックリストをお薦めします。このチェックリストは、グローバルな金融サービス企業に関するクラウド・サービスの評価方法に関するケース・スタディ・ウェビナーで説明します。
この5ステップのチェックリストとケース・スタディについて詳しく説明する今後の一連の投稿については、このブログを引き続きご覧ください。