AWS Tech Talk Web DayでEU一般データ保護規則 (GDPR)のWebinarに参加してみた

ベルリンののび太です。

最近欧州では"beast from the east" (直訳すると「東方からの魔物」というなんとも大げさな名前の) シベリアからの寒波が押し寄せて、連日気温の低い日々が続いております。南欧のイタリアでさえ、首都ローマのコロッセオ周辺が積雪で一面真っ白な様子です。

寒い日は家に籠って、AWSのWebinarに参加するのも良いかなということで、AWS Tech Talk Web DayのEU一般データ保護規則 (GDPR) のWebinar "GDPR and its Implications for your AWS Workloads by Rackspace" に参加してきましたので、内容を掻い摘んでご紹介したいと思います。EU一般データ保護規則 (GDPR) も実は施行日が2018/05/25と3ヶ月も切って来ました!GDPRに関しては以前もAWSのGDPRに対する対策Amazon Macies等を使った対策など複数の記事で触れていますが、念のため改めて下記に示したいと思います。

(欧州/EU) 一般データ保護規則 (GDPR)とは... (再)

「(欧州/EU) 一般データ保護規則 」(GDPR: General Data Protection Regulation) と聞くと、日本の皆さまには縁がないことのように聞こえますが、実は企業の所在地には関わらず、EU圏の住民のデータを取り扱う企業は全て対象になります。つまり、日本の企業であってもEU圏の住民 (※国民ではない) の個人情報を扱う場合は、この規則に従う義務が生じます。例えば、何らかのサービスを提供しており、EU圏に在住の方(日本人を含む)がそのサービスを利用したとします。その時点でGDPRに則る義務が生じます。そして、GDPRは2018/05/25から施行され、この規則を破った場合、最大全世界売上の4%相当の賞罰が課せらせます。売り上げの4%というと倒産に追い込まれるレベルですね。GDPRに関する情報はこちらの記事にまとまっております。

AWS Tech Talk Web Day: "GDPR and its Implications for your AWS Workloads by Rackspace"

 

肝心のWebinarですが、実は丸々とYouTubeに上がってますので、ご興味ある方はご自身でご覧下さい。所要時間は質疑応答の様子を含め1時間弱です。

主な内容としては以下の5点が中心となっていました。

 

  1. GDPRの概要とパブリッククラウドのワークロードとの関係性

  2. AWS責任共有モデルの理解

  3. AWSによる優れた設計のセキュリティ項目への考察

  4. GDPRのコンプライアンスの要件を満たすのに役立つAWSプラットフォームツールの概要

  5. 行動規範を通じGDPR準拠のためのクラウド業界現行のイニシアチブの概要

 

その中でも「GDPRのコンプライアンスの要件を満たすのに役立つAWSプラットフォームツールの概要」に関して、当ブログで以前もご紹介してるAmazon MacieとAmazon GuardDutyがピックアップされていました。

GDPRのコンプライアンスの要件を満たすのに役立つAWSプラットフォームツールの概要

Amazon MacieとAmazon GuardDutyに関してAWSの公式ウェブサイトではそれぞれ以下のように紹介されています。

Amazon Macie

 

Amazon Macie は、機械学習によって AWS 内の機密データを自動的に検出、分類、保護するセキュリティサービスです。Amazon Macie では、個人情報 (PII) や知的財産などの機密データが認識されます。また、ダッシュボードやアラートが提供されるため、データのアクセスや移動状況を確認できます。この完全マネージドサービスでは、データアクセスアクティビティの異常が継続的にモニタリングされ、不正アクセスの危険や不注意によるデータ漏洩が検出された場合には詳細なアラートが生成されます。現在 Amazon Macie では、Amazon S3 に保存されたデータを保護できます。その他の AWS のデータストアについては今年の後半にサポートされる予定です。

Amazon GuardDuty

Amazon GuardDuty はマネージド型の脅威検出サービスです。悪意のある操作や不正な動作を継続的に監視し、AWS アカウントとワークロードを保護します。アカウント侵害の可能性を示す異常な API コールや潜在的に不正なデプロイといったアクティビティが監視の対象となります。インスタンスへの侵入の可能性や攻撃者による偵察も、GuardDuty によって検出されます。

今回のWebinarでは基本的に触り程度の紹介でした(ご参考までにWebinarでは、Amazon Macieについての説明が34:17から始まり、Amazon GuardDutyの説明は36:01あたりからです)。当ブログではAmazon MaciesAmazon GuardDutyに関する記事は複数ございますのでお時間の許す際にご参照下さい。

GDPRに関するAWSからの情報発信

今回のWebinarを踏まえ、改めてAWSはGDPRに対してかなり積極的に情報発信をしていると感じました。今回のWebinar以外にも以下のようなAWSの情報源がGDPR対策の参考になるかと思います。

一般データ保護規則 (GDPR) センター

"Enabling Compliance with the General Data Protection Regulation (GDPR) on AWS"

まとめ

AWSを使用しているとGDPR対策が本当に楽そうですね。「一般データ保護規則 (GDPR) センター」の中でAWSが「AWS のサービスは、GDPR が 2018 年 5 月 25 日に施行された時点で、GDPR に準拠します。」と宣言しているあたり、非常に頼もしい限りです。Webinarの後には来月の4月にもGDPRに関するWebinarがあるとの連絡がありましたので、今後もStay Tunedで情報発信していきたいと思います。クラスメソッド・ヨーロッパもAWSを使ったGDPR対策を推し進めておりますので、ご不明な点はお気軽にお問い合わせください。