ベンダーが合意したクラウド サービスに準拠していることを確認する最も効果的な方法は、クラウド プロバイダーの認定を調べ、その範囲が適切であることを確認することです。認定は、クラウド プロバイダーがクラウド セキュリティ、プライバシー、ガバナンスに関連するさまざまな標準、規制、ベスト プラクティスに準拠していることを独立して証明するものです1。認定は、クラウド プロバイダーが顧客の契約上の義務と期待を満たすために適切な管理とプロセスを実装していることを顧客に保証します2。ただし、すべての認定が同様に関連性や包括性が高いわけではないため、顧客は認定が使用している特定のクラウド サービス、リージョン、およびデータ タイプをカバーしていることを確認する必要があります3。また、評価の範囲、方法論、および結果を理解するために、認定レポートまたは監査証拠を確認する必要もあります4。
その他のオプションは、クラウド プロバイダーの認定資格を調べるほど効果的ではありません。顧客契約内に要件と責任を文書化することは、クラウド サービス契約の条件を確立するための重要なステップですが、ベンダーがそれらを遵守することを保証するものではありません。5 顧客は、ベンダーのパフォーマンスとコンプライアンスを継続的に監視および検証する必要があります。クラウド セキュリティ チームにインタビューすることで、ベンダーのコンプライアンス慣行に関する洞察を得られる可能性がありますが、独立した検証や文書化がなければ十分ではなく、信頼できるものでもありません。クラウド サービス プロバイダーのペン テストにより、ベンダーのセキュリティ体制の脆弱性や弱点が明らかになる場合がありますが、コンプライアンスのすべての側面がカバーされるわけではなく、ベンダーによって承認されているわけでもありません。ペン テストは、クラウド サービスに中断や損害を与えたり、サービス利用規約に違反したりする可能性があるため、注意して同意を得て行う必要があります。
参照：
クラウド コンプライアンス: 知っておくべきこと - Linford & Company LLP1、クラウド コンプライアンスに関するセクション クラウド サービス デューデリジェンス チェックリスト | Trust Center2、Microsoft がクラウド サービス デューデリジェンス チェックリストを作成した理由に関するセクション 政府機関向けのトップ クラウド プロバイダー | ZDNET3、FedRAMP とは何か? に関するセクション
クラウドコンピューティングのセキュリティに関する考慮事項 | Cyber.gov.au4、認証に関するセクションクラウド監査とコンプライアンス：知っておくべきこと - Linford & Company LLP5、クラウドコンプライアンス管理に関するセクションクラウドサービスのデューデリジェンスチェックリスト | Trust Center、チェックリストの使用方法に関するセクションクラウドコンピューティングのセキュリティに関する考慮事項 | Cyber.gov.au、セキュリティガバナンスに関するセクション政府機関向けのトップクラウドプロバイダー | ZDNET、侵入テストに関するセクションAWSでの侵入テスト - Amazon Web Services (AWS)、概要に関するセクション

整合性侵害として。このインシデントの技術的影響は、整合性侵害に分類できます。これは、クラウドセキュリティインシデントがデータの不正な変更や削除からの保護に及ぼす影響を指します。整合性は、機密性と可用性とともに、情報システムの3つのセキュリティ特性の1つです。
質問で説明されているインシデントは、サイバーセキュリティ犯罪者が組織のインターネット接続サーバーの脆弱性を発見し、暗号化されたファイルシステムにアクセスして、一部のファイルをランダムデータで上書きするというものです。これは、データの正確性と信頼性に影響を与えるデータ改ざんまたは破損攻撃の一種です。ファイルシステムが暗号化されていたとしても、攻撃者はデータを復号化したり読み取ったりする必要はなく、上書きするだけで済むため、整合性侵害を防ぐことはできません。整合性侵害は、データ損失、データの不整合、データ復旧コスト、信頼の喪失など、組織に深刻な影響を及ぼす可能性があります。
その他の選択肢は、このインシデントの技術的影響の正しいカテゴリーではありません。可用性侵害としての選択肢Bは誤りです。可用性とは、データとサービスを中断や拒否から保護することを指しますが、このインシデントには当てはまりません。機密性侵害としての選択肢Cは誤りです。機密性とは、不正なアクセスや開示からデータを保護することを指しますが、このインシデントには当てはまりません。制御侵害としての選択肢Dは誤りです。制御とは、システムまたはプロセスの動作または結果を管理または影響を与える能力を指し、情報システムのセキュリティ特性ではないためです。参考：= Top Threats Analysis Methodology - CSA1 Top Threats Analysis Methodology - Cloud Security Alliance2 OWASP Risk Rating Methodology | OWASP Foundation3 OEE Factors: Availability, Performance, and Quality | OEE4 技術開発が仕事に及ぼす影響とその影響

RACIチャートは、プロセス、プロジェクト、または運用における役割と責任を明確にするためのツールです。クラウドコンプライアンスの観点から、これらの責任をRACIチャートに文書化することで、企業内のすべての関係者が法令遵守に関する具体的な義務を認識できるようになります。これにより、組織の各部門が全体的なコンプライアンスにどのように貢献しているかを明確かつ体系的に把握し、より適切な調整と説明責任を促進できます。
参考資料 = この回答は、クラウドのコンプライアンスとガバナンスにおける一般的なベストプラクティスに基づいています。これらのベストプラクティスでは、責任を明確に区分するためにRACIチャートや類似のツールの使用が推奨されています。CCAKや関連リソースの具体的な文書を参照することはできませんが、これらのプラクティスはクラウドセキュリティとコンプライアンスの分野で広く受け入れられています。

クラウド・コントロールズ・マトリックス（CCM）のアーキテクチャ関連性機能を使用すると、SaaS、PaaS、IaaSといった関連するデリバリーモデルに基づいてセキュリティ制御をフィルタリングできます。この機能は、セキュリティ制御を特定のクラウドサービスモデルに適合させ、導入されている特定のクラウドアーキテクチャに対してセキュリティ制御が適用可能かつ効果的であることを保証するため、非常に重要です。
参照 = CCM の配信モデルへの重点は、CSA エンタープライズ アーキテクチャ ワーキング グループによってサポートされており、さまざまなクラウド サービス モデルとの調整を含め、各コントロールの組織的関連性を定義するのに役立ちます1。

組織が Infrastructure as a Service (IaaS) の展開にプログラムによる自動化を採用している場合、ビルド スクリプト内のソース コードを可視化することで、監査担当者は設計と実装の決定について最適な視点を得ることができます。IaaS は、サーバー、ストレージ、ネットワーク、オペレーティング システムなどの仮想化されたコンピューティング リソースをインターネット経由で提供するクラウド サービス モデルです。プログラムによる自動化とは、コードまたはスクリプトを使用して、クラウド インフラストラクチャのプロビジョニング、構成、管理、監視を自動化するプロセスです。ビルド スクリプトは、必要な仕様に従ってクラウド インフラストラクチャを作成または変更するためのコマンドまたは命令を含むファイルです。12 監査担当者は、ビルド スクリプト内のソース コードを使用して、組織がクラウド インフラストラクチャをどのように設計および実装しているかを把握できます。ソース コードからは、次の情報が得られます。3
プロビジョニングおよび展開されるクラウド リソースの種類、サイズ、数 クラウド リソースに適用される構成設定とパラメータ クラウド リソースに適用されるセキュリティ制御とポリシー クラウド リソース間の依存関係と関係 クラウド リソースの機能とパフォーマンスを検証するために使用されるテストおよび検証方法 クラウド リソースの変更とアクティビティを追跡および記録するために使用されるログ記録および監査のメカニズム ビルド スクリプト内のソース コードをレビューすることで、監査人は組織がスケーラビリティ、信頼性、セキュリティ、コンプライアンス、効率性などのクラウド インフラストラクチャの設計と実装に関するベスト プラクティスと標準に従っているかどうかを評価できます。また、監査人は組織のクラウド インフラストラクチャのギャップやリスクを特定し、改善のための推奨事項を提供することもできます。