クラウド コラボレーションのプライバシー保護で考慮すべき 3 項目

データ プライバシーとクラウド コラボレーションの目標を達成するとなると、何が必要かを明確にするのは容易ではありません。ある国や地域では十分とされたプライバシー対策が、ほかの国や地域では不十分と見なされる場合があり、どの管轄区域にもクラウドのデータ処理に関する独自の規則が設定されています。そのため、地域のコンプライアンス要件を満たすだけでなく、運用場所を問わない、ベスト プラクティスのプライバシー管理を実現することが重要です。 データ プライバシー保護は、ユーザーと顧客の地域のプライバシー要件を満たそうとする世界中のどの組織にとっても、基本的なニーズになりつつあります。しかし、データ保護のベスト プラクティスで気にすべき点となると、データ レジデンシー、コンプライアンス、認定などが思い当たるものの、簡単には特定できません。最も重要なのは、自社のプライバシー プログラムの目標を理解することです。目標が明確になったら、適切な質問をすることで、ニーズを満たしデータを守るクラウド コラボレーション ソリューションを選択できます。 多くの組織にとって、次の 3 つの確認項目がクラウド コラボレーションでのデータ プライバシー保護に重要となります。 #1: 組織のデータ ガバナンス: どのような情報が組織の内外で共有されているか。 #2: 規制へのコンプライアンス: 地域や業界の規制に準拠しているか。 #3: プロバイダーへの信頼: コラボレーション プロバイダーはデータ保護が可能なことを実証できるか。

1. 組織のデータ ガバナンス

データ管理は万全でしょうか。セキュリティ リーダーは、組織内での共有情報を管理できるかどうかを最も懸念し、コラボレーション ツールの誤操作や悪意のある操作による機密情報の漏洩を防ぎたいと考えています。きわめて重要となるのは、組織の境界を保護し規則に準拠すると同時に、ユーザーのコラボレーションを妨げないようにすることです。 データ ガバナンスを考慮する際には、次の項目を自問することが重要です。 どのユーザー同士がコラボレーションを行えるか。 どの情報の共有を許可または拒否するか。 違反が発生した場合にどのような影響が及ぶか。 データ管理者にどのような管理権限を与えているか。

Webex による情報の不正利用の防止と包括的な管理

リアルタイム データ損失防止 (DLP) を利用して、IT 管理者は内部または外部のユーザーによる機密データへのアクセスを防止できます。こうした機能は、Cisco Cloudlock で実現できます (パートナー エコシステムにも拡張可能)。これにより、音声コンテンツ、共有コンテンツ、表示コンテンツのいずれにも、データ損失防止 (DLP) システム内でフラグを立てることができます。 その他にもシスコは倫理上の壁を設ける強力なツール機能を提供しており、これにより、組織内のさまざまな部門間で行われる Webex でのやり取りを Webex 管理者によって禁止できます。特定の部門に対して、最大 5 つの異なるグループとのコミュニケーションを禁止できます。 さらに、Webex では、さまざまな方法で組織のプライバシーを常に管理できます。たとえば、提供が終了したサービスの個人情報を削除するユーザー プロファイルの管理、情報の保存期間を指定するユーザー生成コンテンツの管理、メタデータ保持のデフォルト期間を持つデータ システムの管理、シスコのプライバシー データ シートから得た副データ処理者の管理情報の利用などです。

2. 規制へのコンプライアンス

自社のビジネスに関連する法律によって、組織内外のコミュニケーションに規制要件が適用される可能性があります。地域によっては、政府からデータ プライバシー保護とその義務が要求されることもあります。データを現地に保存するプログラムの導入に関心を持つ組織が増え、そうした組織は、現地でのデータ保持が可能なサービス プロバイダーを求めています。シスコが最近実施したデータ プライバシーに関するベンチマーク調査によると、92% のセキュリティ担当者が自組織にとって現地でのデータ保存は重要であり、その場合に個人データが保護されるべきと考えています。 現地でのデータ保存という目標を達成するには、プロバイダーが現地に該当する国や地域にデータを保持できなければなりません。必ずしもそうした国や地域にプロバイダーのデータ センターが存在する必要はなく、プロバイダーに求められるのは、そうした場所でデータの保存と処理を安全に行えることです。

Webex で注力されるアプローチ: 現地と地域のプライバシー基準を組み込む

特定の地域でのデータ保存や現地のコンプライアンスに関連するニーズに応じてお客様がデータを現地に保存できるように、Webex ではそうしたアプローチをとっています。ヨーロッパの Webex のお客様は、フランクフルトとアムステルダムのデータ センターを利用することで、ヨーロッパでのデータ保存を選択できます。これにより、自分のデータ (会議で作成したデータや、メッセージ、ファイル、ホワイトボードのデータなど) がその地域外に出ないことを確信できます。同様に、カナダの Webex ユーザーには、コンテンツを完全に国内に保持するオプションが用意されています。 シスコがセキュリティとプライバシーの確保に尽力していることは、SOC2、CSA Star レベル 1 とレベル 2、ISO 27001、27017、27018、HIPAA Self Assessments などによる多くの認定に加え、厳格な侵入テスト、第三者監査、会議と電話に追加したセキュリティとプライバシーの各種オプションによって証明されています。また、Webex は、初のクラウド サービス プロバイダーとして EU Code of Conduct の認定を受けました。EU Cloud Code of Conduct によって、クラウド サービス プロバイダーに法的確実性が誓約されるとともに、データ保護規則への準拠が証明されます。

3. プロバイダーへの信頼

自組織にとってサービス プロバイダーは通常、データ保管者とされ、自組織はデータ管理者と見なされます。自問しながら確認しましょう。エンド ユーザーがプライバシー関連の要件を持つ場合、そうした要件に対応するための十分な管理をプロバイダー側で行えますか。その際に、プロバイダーは十分な透明性を確保できますか。副データ処理者の場合はどうですか。それ以外のどのような場所にデータは流れていますか。その用途は何ですか。 信頼度は、製品、原則、コミットメントといった、さまざまな要素から判断できます。 1. 製品: データ保護、プライバシー、セキュリティの要件を製品に統合する必要があり、設計と開発に加え、製品ライフサイクル全体でそうした統合を検討しなければなりません。後付けで統合するのではなく、あらかじめ組み込んでおく必要があります。さらに、ゼロ トラストのエンドツーエンド セキュリティといった、さまざまなセキュリティ フレームワークを製品に適用して、データと顧客を保護するようにします。

細部にわたって徹底された Webex のデータ保護

Webex は、データを保護するために、さまざまなコントロール手段を使用しています。たとえば、ゼロ トラストのエンドツーエンド暗号化です。Webex Meetings プラットフォームでのコミュニケーションはどれも、暗号化チャネルを介して行われます。データの機密性要件が厳しい組織では、暗号キーを管理して、そのキーにアクセスできるユーザーや、そのキーを利用してコンテンツを複合できるユーザーを管理したい場合があります。こうしたお客様は、Webex の Bring Your Own Key (BYOK) 機能を使用して、クラウドで簡単に暗号キーを設定し管理できます。キーは、Webex Messaging (メッセージ、ファイル、ホワイトボードなど) にも、Webex Meetings のコンテンツ (録画、音声テキスト、電話 (ボイスメール) など) にも使用できます。 2. 原則: 選択すべきプロバイダーは、それらが今日のデジタル世界で持つ原則や価値観で決まります。透明性やデータ権利の尊重といった原則は、今日のデータ処理の促進だけでなく、将来のテクノロジーの進化にもつながります。たとえば、人工知能がコラボレーションで頻繁に利用されるようになると、そうした原則によって、データ処理の責任と説明責任がしっかりと果たされるようになります。Webex では、データ処理に、最も成熟した包括的な基準を設けています。

Webex での取り組み: 透明性を確保し脅威対応への責任を果たす

シスコは、2017 年 12 月以降、データ処理情報をオンライン上の 1 か所にまとめた Trust Portal をお客様に公開してきました。ここでは、プライバシー データ シートやプライバシー データ マップなどを利用できます。データ保護影響評価 (DPIA) は、シスコ プライバシー プログラムのきわめて重要な要素であり、その一部では、製品開発を反映する再評価が繰り返し実施されます。公開されているプライバシー データ シートは基本的にプライバシー評価を要約したもので、これによって、プライバシー関連の情報をお客様にお知らせします。シスコの Security and Trust Organization は、データ インシデント対応のプロセスを調整し、データ中心のインシデントに対する企業全体での対応を管理している組織です。シスコの製品とネットワークに関連するセキュリティの脆弱性について、情報の受領、調査、公開レポートを管理しており、お客様、独立したセキュリティ調査会社、コンサルタント、業界組織、その他のベンダーなどと共同で、シスコの製品とネットワークに生じる可能性のあるセキュリティの問題を特定します。 3. コミットメント: プロバイダーは、変化の激しい、セキュリティ、プライバシー、コンプライアンス関連の要求に対応できるように常に尽力していることを証明しなければなりません。このために、たとえば、認可、認定、地域や業界の規則に対する準拠を示す証拠を取得したり、追求したりする必要があります。場合によっては、データ センターを自国に所有することで現地でのデータ保存要件を満たすことがコンプライアンス確保を意味します。

設計のあらゆる面にプライバシーとセキュリティの確保が反映された Webex

シスコは、セキュリティとプライバシーを常に最優先しています。そのため、製品ライフサイクル全体で、データ保護、プライバシー、セキュリティの要件を製品の設計と開発の方法にすべて反映するとともに、さまざまなセキュリティ フレームワークを使用して弊社とお客様のデータを保護しています。また、すべての製品を、プライバシー影響評価、予防的侵入テスト、脅威モデリングなどが含まれる Cisco Secure Development Lifecycle (SDL) に従って構築しています。

まとめ

コラボレーション プロバイダーに求められるのは、顧客の信頼につながる根拠をさまざまな次元で示すこと、そして、転送中のデータでも、クラウドや顧客の指定場所に保存されたデータでもセキュリティを確保できることです。Webex では、プロアクティブな対策を講じて最高レベルのセキュリティとプライバシー保護を行っており、初期段階の設計から、継続的なテスト、脅威の認識に至るプロセス全体に、プライバシー保護を組み込んでいます。Webex は今後も確実に進歩し続け、あらゆるレベルのデータ保護を実現します。 詳細については、Cisco Webex 販売担当者にお問い合わせください | 販売担当者へのお問い合わせ