出典:Design Master / Getty Images
Bugcrowdは、データ主権とデータレジデンシーをめぐる欧州連合(EU)の要件強化や民間セクターの懸念の高まりを受け、同社のペネトレーションテストプラットフォームの機能を拡張しました。
このクラウドソーシング型サイバーセキュリティプラットフォームは、EUで事業を展開する、またはEUと取引を行う組織向けに、新たなデータレジデンシーオプションを提供開始しました。EUはデータの保存・保護の方法や場所について厳格な要件を定めています。
今回の新機能は、Bugcrowdの顧客がEUのデータレジデンシーおよびデータ主権に関する要件を満たせるよう支援することを目的としています。データレジデンシーと主権は管轄権の問題であり、EUのデータは保存・処理される場所に関わらず、EU法および規制の枠組みに従って管理されることが法律で求められています。
BugcrowdのCTO、ブレイデン・ラッセルは、欧州全域の組織でこうした要件が高まっていると述べています。また、Bugcrowdの多くの顧客にとって、脆弱性の調査結果、資産情報、セキュリティプログラムのデータは最も機密性の高いデータセットに属すると指摘しています。
世界中の組織が、報告・悪用される脆弱性の増大し続ける件数に翻弄されています。Bugcrowdはバグバウンティプログラムとペネトレーションテストを提供し、セキュリティ研究者が責任ある形で脆弱性を開示できる環境を整えるとともに、組織が欠陥を特定・対処・軽減できるよう支援しています。
今回の新構成の提供開始により、Bugcrowdは顧客がプラットフォームを活用しながら、自社データの保存場所に対するコントロールと可視性をより高く維持できるよう支援していきます。核心にある問題は、誰がデータを管理し、どの国の規制がデータの取り扱いを決定するかという点です。
「より広い視点で見ると、データレジデンシーがサイバーセキュリティ製品の購買決定における重要な要素になりつつあることが分かります」とラッセルはDark Readingに語っています。「私たちはデータレジデンシーを、データアクセスとガバナンスにおける重要な要素であり、高度に規制された環境で事業を行う顧客との信頼構築を支える不可欠な要件と捉えています。」
データの保存場所という問題
EUを対象としたデータレジデンシーオプションの提供は、データレジデンシーとデータ主権をめぐる広範な新トレンドを反映したものです。この2つの概念はほぼ同義として扱われることが多い一方で、それぞれ異なる意味合いも持っています。
ラッセルは、組織や政府が重要なデジタルインフラと機密データに対するコントロールを強化しようとする動きの中で、データ主権は欧州においてますます重要なテーマとなっていると説明しています。プライバシーと規制コンプライアンスが主要な推進力であることは変わりませんが、議論は現在、業務上の回復力、地政学的リスク、デジタル資産に対する長期的なコントロールといった領域にまで広がっていると付け加えています。
「組織はデータがどこに保存されているか、どの法域が適用されるか、そして急速に変化するグローバル環境においていかに継続性とコントロールを維持できるかを把握したいと考えています」とラッセルは述べています。
データ主権が注目を集める議論となっている一方で、その核心には、データの収集・アクセス・保持に関する各国の法律の違いがあります。OptvのサイバーオペレーションズVP、ベン・ラドクリフは、ほとんどの法律は国境を越えて適用されると述べています。
たとえばEUの一般データ保護規則(GDPR)は、データ処理が行われる場所に関わらずEU市民の個人データに適用され、外国政府による不正なデータアクセスを禁じています。一方、米国の「海外データ利用の合法的明確化法(CLOUD Act)」は、米国政府が要請した場合、データが物理的にどこに存在するかに関わらず、米国企業が管理するデータの提出を義務付けることを認めています。
こうした規定の不一致は、データのホスティング場所をめぐって複雑な法的議論を引き起こす可能性があるとラドクリフは説明しています。
「データ主権とは、データはそれが生成された国の法律に支配されるという原則であり、明確な管轄権の境界線を確立するものです」とラドクリフはDark Readingに語っています。「問題は、主権国家間でどの管轄権が優先するかについて合意に至れない場合に生じます。」
地政学的緊張がデータ主権問題を加速
Bugcrowdは、データ主権と地域別データレジデンシーが今後、民間・公共の両セクターにおいてさらに重要性を増していくと見ています。
「かつては主に政府機関や規制の厳しい業界が抱える課題でしたが、今やエンタープライズ組織全般でも考慮すべき問題になりつつあります」とラッセルは述べています。
ラッセルはその背景として、サイバーリスクの拡大、規制の複雑化、地政学的な不確実性を挙げています。こうした緊張関係が、組織が重要データの保存場所と管理に一層の注意を払うきっかけとなっています。Bugcrowdでは、クラウド、セキュリティ、ソフトウェアの各プラットフォームにおける購買決定にも、この影響が及んでいると明かしています。
「業界は今後、顧客がデータの保存場所と管理方法についてより多くの選択肢を持てるよう、柔軟性の向上へと向かっていくと予想しています」と同氏は述べています。「セキュリティ認証がやがて標準的な要件となったように、地域別のデータレジデンシーと主権の機能も、グローバルに事業を展開する組織にとって基盤となる要件として位置づけられるようになるでしょう。」
ラドクリフも、地政学的緊張がこの分野に大きな影響を与えていると見ています。これまでインフラとサービスをホスティングする企業は、顧客ひいては自社の評判を守るため、法的な対抗措置を講じ、法的枠組みを検証してきました。しかし世界的に地政学的緊張が高まる中、各国政府が優位性を活かすようになり、企業が顧客データを保護する能力が低下する可能性があると同氏は述べています。
たとえば政府は、国家データローカライゼーション法によってコンプライアンスへの準拠を強制することがあり、企業が法的な影響を回避することをより難しくしています。
ラドクリフによれば、中国と米国は、テクノロジー企業および他国政府に圧力をかけてデータ管理権を主張する政府の代表的な例として挙げられます。CLOUD ActおよびFISA(外国情報監視法)第702条は、いずれもローカルのデータ主権に直接的な影響を与えるものだと同氏は付け加えています。
「一部の政府は、経済的・政治的な圧力を通じて企業に対する権限の行使を試みており、それに対抗し続けることを困難にしています」と同氏は述べています。
