GDPR(EU一般データ保護規則)における個人データに関する要件を満たすためのHSM as a Service活用術

HSM:ハードウェアセキュリティモジュール

 

連日、GDPR(EU一般データ保護規則)が話題になっていますが、5月25日施行のこの規則によって、EU市民は自身の個人データを厳重に管理できるようになり、EU全加盟国は一連の規則基準の適用を受けることになります。その結果、EU市民と企業は、進歩し続けるデジタル経済の大きな恩恵を受けることができます。この規則の対象となるのは、EU内で事業を行う企業に加え、EUの市民や企業に対して商品・サービスを提供する企業も含まれます。GDPRの主な目的は個人データの保護であるため、その目的達成のためには暗号化キーの管理が重要な役割を果たします。

 

GDPRが定める、個人データの幅広い定義

GDPRの目的の核心部分は、EU市民の個人データに対して今まで以上に安全で信頼できる管理を行うことです。私たちが通常個人データとして考えるのは、氏名、住所、電話番号、クレジットカードの取引履歴、資産情報、医療記録などの重要情報だと思います。しかし、テクノロジーやデータ収集方法の急速な変化により、個人データの範囲は拡大してきています。GDPRは、こうした変化に対応するために策定されました。

GDPR第4条による個人データの定義は以下の通りです。

「「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。 識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照するこ とによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示 す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう (個人情報保護委員会 仮訳)」

個人データのこの幅広い定義(および第 5条 個人データの取扱いと関連する基本原則)により、EU内で事業を行う企業はすべて重責を負うことになります。そして、この定義をカバーできるコンプライアンスを実践するには、暗号化キーの管理に相当の注意を払うこと、つまりデータを保護するための適切な手段を講じることが必要です。

 

暗号化—データ漏洩を防ぐ強力な防御

GDPRの下では、企業は高水準のデータ保護策を業務プロセスに組み込む必要があります。この考えは、第 25条 で「データ保護バイデザイン及びデータ保護バイデフォルト」と明記されています。ここでは適切な水準のデータ保護を実現するための重要な手段として、暗号化を挙げています。この規則では、さらに暗号化キーを暗号化データから分離して保管することにより、データ漏洩に対する高水準の防止措置をとることを求めています。多くの企業が業務運営のためにクラウド環境(多くの場合マルチクラウド環境)を採用していますが、こうした状況を背景に、暗号化キーの最適な管理方法とはどのようなものなのか、という問いが浮上してきます。

 

マルチクラウド環境での暗号化キーの管理

暗号化キーはこれまで、企業のデータセンターのハードウェアセキュリティモジュール(HSM:暗号鍵ライフサイクルの保護のために設計された専用の暗号化プロセッサアプライアンス)によって管理されてきました。しかし、多くの企業、特に国際的な業務を行っている企業や分散されたクラウド環境に移行中の企業にとって、オンプレミスのHSM管理はもはや適切で現実的な方法とは言えません。(過去のブログ)なぜならば、従来型HSMを広く分散化されたクラウド環境にプロビジョニングするのは、コストがかかる上、設置作業にも困難が伴うからです。EU内に拠点を置く企業はその多くが、複数のクラウドプロバイダーを通じて既に何らかの形でクラウド(プライベート、パブリックまたはハイブリッドクラウド)を導入し、EU加盟国内での業務に役立てていると思われます。

マルチクラウド環境を利用している企業は、着実に実施可能でありかつ複数のハイブリッド環境をまたいで管理できる暗号化キー戦略を展開していく必要があります。企業がセキュリティを損なうことなくGDPRが要求する個人データの保護水準を満たすため、そして暗号化キー管理のライフサイクル全体(生成、利用、ローテーション、廃棄)を簡素化する形で実現するためには、次に挙げる特性や機能を、暗号化キーソリューションを評価する際に検討する必要があります。

  • そのソリューションは、容易に実装できるか?
  • そのソリューションは、地理的要因を考慮した場合、業務拠点のあるEU加盟国のクラウド環境やデータ主権をサポートできるか?
  • そのソリューションによって、オンプレミスによる暗号化およびデータセキュリティと同水準のセキュリティを確保できるか?
  • そのソリューションは、マルチクラウドに対して中立か?そのソリューションによって、暗号化キーを複数のクラウド環境にわたって管理できるか?
  • そのソリューションでは、暗号化キーと暗号化データのロケーションに関係なくすべての暗号化キーを集中管理できるか?
  • そのソリューションを、「エッジに」実装することによって、暗号化キーを暗号化データから分離しつつ、同時に暗号化データに近接させることができるか?

 

サービスとしてのHSM

これまでに述べた各機能を実現できる最良のアプローチは、サービスとしてのHSM(HSMaaS:HSM as a Service)ソリューションを利用することです。HSMaaSは、広範なアベイラビリティ、オンデマンドのサービス、スケーラビリティといったクラウド特有の強みを活用しているため、暗号化キーを容易に導入し、管理できます。

従来のHSMを広範なロケーションにプロビジョニングするためのコストと工程とは対照的に、HSMaaSは実装が容易であり、暗号化キーを数分内で生成・管理できます。さらにHSMaaSの国内アベイラビリティは、GDPRが定める個人データのセキュリティ要件にも合致します。HSMaaSはクラウドニュートラルであり、 AWS、Azure、Google、Oracle、IBMなどの主要クラウド環境をサポートしています。単一の制御ポイントからの簡素化されたキー管理を通じ、マルチクラウド環境を集中的かつ安全に管理できます。HSMaaSの利用により、暗号化キーを暗号化データの近くに配置しながら、そのデータからは分離させることができます。これにより、遅延を低減させつつ、データ漏洩防止策を強化できます。

企業が、マルチクラウド環境で暗号化キーを安全に管理するために容易に導入できるソリューションを求めている場合、その企業にとってHSMaaSは、理想的なソリューションと言えるでしょう。HSMaaSを利用することで、GDPRが求めるコンプライアンス要件を満たし、その体制を管理することが格段に容易になります。

 

GDPR対策の最初のステップ

GDPR対策は難題であり、そのコンプライアンスを遵守するためには、骨の折れる準備、大きな投資、地理的に分散したリソースの連携が必要になります。GDPRに対して、もしクラウド環境下におけるデータセキュリティ管理と暗号化キー管理に関して大きな懸念を抱いているならば、当社のEquinix SmartKey™をお勧めします。Equinix SmartKeyはエクイニクスのプラットフォームで運用することができ、これらの問題解決に役立つサービスです。お客様がGDPRの要件に対応できるように、エクイニクスはそのグローバルプレゼンス、抜群の接続性、統合機能(IBXデータセンターおよびコロケーション)によって、重要な役割を果たしていきます。

 

エクイニクス及びEquinixは、Equinix, Inc.の登録商標です。SmartKeyは、Equinix, Inc.の商標です。
Print Friendly


Related Content

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です