Cloudflareでは、効果的なサイバーセキュリティ対策を導入することが個人情報のプライバシーを保護するための最良の方法であり、情報が特定の管轄区域内にとどまることを確認するよりも効果的であると考えています。しかし、ヨーロッパ、インド、オーストラリア、日本、その他多くの地域のお客様からは、プライバシープログラムの一環として、規制上の義務を果たすためにデータをローカライズするためのソリューションが必要であるとの声が寄せられています。
そのため、1月28日に迫った「データプライバシーデー」について考えるとき、私たちは、データのローカライズがより良いデータプライバシーの代用になると考える人たちとは意見が一致しませんが、一定の規制に従わなければならないお客様をサポートしたいという興味深い立場にあります。
このため、私たちは2020年にData Localization Suite(DLS)を導入し、データのローカライゼーションにますます焦点を当てたデータ保護の状況をナビゲートできるよう、お客様を支援します。DLSを利用することで、お客様はCloudflareの強力なグローバルネットワークとセキュリティ対策を利用してビジネスを保護しながら、お客様に代わって当社が処理するデータをローカルに保持できます。発売以来、多くのお客様にData Localization Suiteを採用していただいています。このブログでは、DLSをより包括的に、より使いやすくするための最新情報をお伝えしたいと思います。
データ保護規制の混乱した現状
私たちは、お客様から、新しい法律や既存の規制の解釈によって、データの取り扱いが制限されているように見えるという質問をよく受けます。特にグローバルなインターネットビジネスを展開するお客様にとっては、大規模な対策を講じなければ、ある国に拠点を置くお客様が別の国に拠点を置く企業の製品を使用できないという規制を乗り越えなければならず、混乱が生じることになるのです。
これは、インターネットを規制する方法ではないと私たちは考えています。国境を越えたデータ転送については、明日のブログ記事で詳しく説明しますが、このようなデータ転送をよりシームレスにするために、法域を越えた共通のデータ保護の確立を目指す新しい動きが見られることには励まされています。
一方、Data Localization Suiteは、このようなお客様の課題を解決するために用意されています。
Data Localization Suiteの仕組みのまとめ
DLSは、次のようなお客様の3つの悩みを解決するために開発されました。
暗号化キーを管轄地域内に留めるにはどうすればよいでしょうか?
キャッシングやWAFなどのアプリケーションサービスを、自分の管轄地域だけで実行するようにするにはどうすればよいですか?
ログやメタデータが管轄地域外に転送されないようにするにはどうしたらよいですか?
これらの懸念に対応するため、当社のDLSは、暗号化キーコンポーネント、転送中のコンテンツが終了し検査される場所に対処するコンポーネント、およびメタデータをお客様の管轄地域内に保持するコンポーネントを備えています。
1. 暗号化キーCloudflareは以前から、Keyless SSLおよびGeo Key Managerを提供しており、プライベートSSL/TLSキー素材が決してEUの外に出ないことを保証しています。Geo Key Managerをご利用のお客様は、お客様が指定した地域のデータセンターのみに暗号化キーを保管するよう選択することができます。Keyless SSLでは、Cloudflareがプライベートキーの素材を所有することは一切ありません。Geo Key Managerでは、キーが暗号アクセス制御で保護され、指定された地域でのみ使用することができます。
2. リージョナルサービス:リージョナルサービスでは、Cloudflareはお客様が選択した地域内のHTTPSトラフィックのコンテンツのみを復号化および検査できることを保証します。リージョナルサービスを有効にすると、どのデータセンターのトラフィックが最初に当社のグローバルネットワークに到達するかにかかわらず、最初のデータセンターで復号化するのではなく、TCPストリームを暗号化した形式で転送します。そして、お客様が指定した地域内のデータセンターに到着した後、復号化し、アプリケーション層のセキュリティ対策を適用して、悪意のあるトラフィックがお客様のWebサイトに到達することを防止しています。
3. Customer Metadata Boundary:このオプションを有効にすると、Cloudflareがお客様に代わって処理するエンドユーザーのトラフィックログ(IPアドレスを含む)は、お客様が選択した地域から出ることはありません(現在、EUと米国のみで利用可能です)。
Data Localization Suiteを新地域に拡大
当初はヨーロッパとアメリカを念頭に置いてData Localization Suiteをリリースしましたが、多くのお客様がアジア太平洋地域固有のバージョンにも関心を持っていることにすぐに気づきました。昨年の9月には、日本、オーストラリア、インドにおけるリージョナルサービスのサポートを追加しています。
そして2022年12月、私たちはGeo Key Managerが15の地域でアクセスできるようになったことを発表しました。お客様はキー素材の保管場所をきめ細かく管理するために、当社がサポートする地域を、許可リストと拒否リストの両方で指定できます。
Geo Key Manager v2の構築方法については、技術的な詳細情報もご覧ください。
データローカライゼーションをより身近に
リージョナルサービスとCustomer Metadata Boundaryは、お客様を守るための重要な機能ですが、これまで使いにくいものでした。どちらもCloudflareのチームによる手作業が必要で、公開APIもわかりにくい(あるいは公開されていない)ものでした。
今日、私たちはその問題を解決します。このたび、ユーザビリティに関する2つの大きな改善点を発表できることを、嬉しく思っています。
リージョナルサービスのお客様には、リージョナルサービスを有効にするための専用のUIとAPIが用意され、DNSタブから直接アクセスできるようになりました。これで、ホスト名単位で異なる地域を設定できるようになります。
Metadata Boundaryを使用したいお客様は、当社のセルフサービスAPIを使用して有効化することができます。
Data Localization Suiteをより使いやすくし、トラフィックのどの部分をどのようにローカライズするか、お客様がより正確に制御できるようになることを嬉しく思います。
今後の展開は?
Data Localization Suiteは、本日より企業のお客様にもご利用いただけるようになりました。ご興味のある方はアカウント担当者までチャットでご連絡ください。設定方法については、こちらの開発者向けドキュメントから詳細をご覧ください。
Data Localization Suiteは、今年も多くのことを計画しています。リージョナルサービスとMetadata Boundaryについては、今後もさらに多くの地域をサポートしていく予定です。また、Zero Trustの全製品においても、データローカライゼーションを完全にサポートする予定です。今後もさらに、ブログにご注目ください。