グローバル・ネットワーク・シェル・ゲーム国境を越えた規制の混乱からの生き残り

5月15日

エグゼクティブ・サマリー

国際的なネットワーク・インフラを運営するのは、それぞれの国が異なるデッキから配るポーカーをするようなものだ。ルールは？規制当局は見えないインクでルールを書き、見る人によって色を変える。企業が国境を越えようとするとき、ある国の法律に従えば別の国の要件に抵触するかもしれない、規制の地雷原につまずくことになる。コンプライアンス要件は、エンジニアにネットワーク設計の全面的な再考を迫り、機器の選択肢を制限し、データロケーションを制限し、システム通信プロトコルを一から作り直させる。

このガイドでは、ネットワーク・アーキテクトとデータセンターのプロが、この矛盾の迷路を通って説明します。このガイドでは、ネットワーク・アーキテクトやデータセンター・プロフェッショナルを対象に、この矛盾の迷路を解説します。というのも、「電気を点け続けながら、最も多くの規制フレームワークを両立させた」という賞は、誰も授与していないからだ。

1.はじめに規制複雑性マトリックス

現代のネットワーク・インフラは、礼儀正しく国境内にとどまることはなく、想像しうるあらゆる規制の池に触手を伸ばすデジタル・タコのように、管轄区域をまたいで広がっている。それぞれの触手は異なるルールに遭遇し、カフェイン中毒のシステム・アーキテクトでさえ困惑するようなコンプライアンス・パズルを生み出している。

考えてみてほしい。シンガポールからドイツへの1つのデータフローが、適切な取り扱いについてそれぞれの考えを持つ12もの管轄区域を横断するかもしれないのだ。ネットワーク・アーキテクトはもはやシステムを構築するだけではなく、外交特権や豪華な大使館パーティーの恩恵を受けずに国際条約をナビゲートする外交交渉官なのだ。

世界的な規制の状況は、首尾一貫した枠組みというよりは、互いに顔を合わせたことのない委員会が縫い合わせたパッチワークのキルトに似ている：

電気通信規制の枠組み（どの国も周波数割り当てに対する自国のアプローチが客観的に最良であると信じている）
データ保護法とローカライゼーション法（データにはパスポートと永住権が必要なため）
ネットワーク機器の輸入規制と関税（「ルーター」と「ネットワークスイッチング機器」の違いで数千ドルのコストがかかる可能性がある）
電磁波認証基準（どの国旗が頭上を飛んでいるかによって、物理学が異なる働きをするためらしい）
暗号化技術の制限（暗号鍵を前菜と一緒に銀の皿に載せて渡すことを望む国もある）
国家安全保障規定（「信頼できるベンダー」の定義は、スマートフォンの機種よりも早く変わる）
重要インフラ保護要件（NASAの3重冗長性がカジュアルに見えるような冗長性の義務付け）

戦略的アプローチなしにこの複雑さに立ち向かうのは、オーブン用ミトンをつけたまま独立宣言を唱えながらルービックキューブを解くようなものだ。それを解決しよう。

2.地域規制の枠組み技術的実施要件

2.1 欧州連合の規制環境

EUは、マスターシェフが正確なレシピを作るように規制に取り組んでいる。EUの枠組みは、グローバルな規制の世界では珍しいものである。しかし、調和を単純さと勘違いしてはならない。

2.1.1 ネットワークと情報システム（NIS2）指令

NIS2（指令(EU) 2022/2555）は、サイバーセキュリティ要件に関するEUの大作であり、続編のように、より大きく、より大胆で、より多くのことを要求している。重要インフラ事業者は、次のことを実施しなければならない：

ベルリンの壁が庭のフェンスに見えるほどのOTとIT環境間のネットワークセグメンテーション
フォートノックスの警備員が緊張するほど厳格な認証プロトコルを備えた特権アクセス管理システム
点滅することなく、スリープすることなく、おそらくプロトコルの選択を判断する継続的なネットワーク監視システム。
専門の開発チームが必要なほど特殊なパラメータを持つインシデント対応手順

私の言葉を鵜呑みにしないでほしい。指令書には、耐え難いほど詳細にすべてが記されているのだ。

2.1.2 一般データ保護規則（GDPR）

GDPRとは、クッキーのバナーを何千枚も並べ、「データ保護責任者」を憧れの職種にした規制である。ネットワーク・インフラにとって、GDPRの遵守は必須である：

データ・フロー・マッピングの精度は非常に高く、インフラ全体にわたる1ビットの流れを追跡することができる。
個人情報保護活動家が "コンプライアンス違反 "と言うよりも早く、個人データの送信を発見できるネットワーク・トラフィック分析
分子レベルでデータ最小化の原則を組み込んで設計されたネットワーク・アーキテクチャ
量子コンピュータが数世紀かけても解読できないような暗号化規格（最低AES-256）。
法務チームがモーニングコーヒーを飲む前に問題を予測する、データ保護影響評価を実施するための自律的システム

欧州ネットワーク・情報セキュリティ機関が作成した技術ガイドラインは、その手のことに興味がある人なら、驚くほど魅力的な読み物となっている²。

2.1.3 EUサイバーセキュリティ法とコモンクライテリア

EUサイバーセキュリティ法は、ISO規格が気軽な提案に見えるような認証の枠組みを確立している。実施には以下が必要である：

IoTデバイスのETSI EN 303 645準拠 - スマート電球にも厳格なセキュリティ審査が必要です。
ハードウェア・コンポーネントのEUCC認証との整合性は、プロムの夜にヘリコプターを操縦する親と同じくらい寛容である。
コンプライアンス・チームを常に忙しくさせるほど頻繁に変更されるENISAの技術ガイドラインの統合
EUが承認した暗号プリミティブの採用。

もしあなたが技術志向の不眠症なら、ENISAの認証フレームワークはあなたの睡眠問題を解決するか、午前3時にたくさんのことを考えさせてくれるだろう。

2.2 アジア太平洋地域の枠組み

EUは少なくとも規制アプローチを調整しようとしているが、アジア太平洋地域は規制の混乱に見舞われている。各国はデジタル主権に関してそれぞれの道を歩み、矛盾した要件の混乱を生み出している。

2.2.1 中国のMLPS2.0：ステロイド・セキュリティへようこそ

中国はマルチレベル・プロテクション・スキームを弄ばない。バージョン2.0は、あなたがセキュリティ認証について知っていると思っていたことをすべて覆します。必要なもの

中国の研究所で厳格な基準で検査されたギアは、EUの認証が幼稚園で配られる金星のように見える。
中国固有の暗号アルゴリズム（SM2、SM3、SM4）の実装。グレート・ファイアウォールを越える際、AESとRSAは正しく計算されないため。
政府の検査にすぐに対応できるネットワーク・アーキテクチャ-インフラ全体が常に "ビジター・レディ "であるように設計されていると考えてください。
サプライチェーン検証の義務化により、すべての部品の起源を系図的に正確に追跡する。
匿名ブラウジングを古き良き時代に懐かしむような、サーバーサイドの実名登録システム。

マゾヒストには、TC260の規格ポータルサイトに詳細が掲載されている。中国語が読めるか、機械翻訳で専門用語のルーレットを回すのが好きな人向けだ。

2.2.2 複雑なインドの規制

インドでは、旧態依然とした通信規則と野心的なデジタル主権への夢を詰め込むことで、台所の流し台のようなアプローチを取っている。その結果は？規制の枠組みは混乱し、絶えず変化している：

昔ながらの盗聴器を紐でつないだ2つのコップのようにするような傍受能力を構築する必要がある。
インドの国境内に重要な個人データを保持するネットワーク・アーキテクチャ-これらのビットとバイトのための休暇は許されない
標準化試験および品質認証（STQC）により認証された国産暗号ソリューション-暗号ナショナリズムはもはや存在しない。
ネットワークのセグメンテーションは、ネットワークアーキテクトを生涯雇用し続けられるほど頻繁に変更される重要情報インフラの分類に沿ったものである。

電気通信省は、コンプライアンス・ポータルを維持し、すべての質問に答え、訪問するたびに新たな質問をいくつも投げかけてきます。

2.2.3 シンガポールのサイバーセキュリティ法と重要情報インフラ（CII）保護

シンガポールがサイバーセキュリティに取り組むのは、都市計画に取り組むのと同じように、細部への細心の注意と戦略的な先見性をもってである：

テクニカル・リスク・アセスメントとリスク処理計画は、セキュリティ・インシデントを事前に予測するのに十分な徹底的なものである。
組織は、セキュリティ・バイ・デザインの原則をネットワーク・アーキテクチャの各層に織り込まなければならない。
包括的かつ継続的に進化するサイバーセキュリティー庁のフレームワークの実施。
島全体から不審なパケットを発見できるネットワーク監視機能

CSAのサイバーセキュリティ規範は、規制文書としては驚くほど読みやすいガイダンスを提供している。

2.3 北米の規制の混乱

ヨーロッパではひとつのレシピ本（ローカルなバリエーションもある）をもとに料理するのに対し、北米の規制空間は、近所のポットラックに、他の人が何を作っているのか確認せずに、みんなが料理を持ち寄ったような感じだ。7種類のポテトサラダ、気に入ってもらえるといいのだが！

2.3.1 米国規制のパラドックス

アメリカの規定は国民性を完璧に捉えている。非常に詳細であると同時に、もどかしいほど曖昧なのだ：

NIST SP 800-53 Rev.5の管理策を実施してみるとよい。この管理策には、セキュリティ要件が網羅的に正確に明記されている一方で、その意味について際限なく議論できる十分な余地が残されている。
NISTサイバーセキュリティ・フレームワークに準拠したネットワーク・アーキテクチャ。
電磁波放射に関するFCC Part15準拠。ネットワーク・インフラが地域の無線局と干渉することを誰も望まないからです。
FIPS 140-3準拠の暗号モジュールは、通常の暗号化を子供のデコーダーリングのように見せる。
NIST ガイドラインに従った SDN セキュリティコントロールの実装でありながら、実際の運用に十分適応できる。

NISTのSpecial Publication 800-53は魅力的な読み物である。

2.3.2 対米外国投資委員会（CFIUS）の要件

CFIUSは単に海外からの投資を審査するだけではなく、国際機関のネットワーク設計を一変させる：

グローバルに統合されたインフラを突然分離したように感じさせるネットワークアーキテクチャの分離要件
スパイ小説のプロットのような国家安全保障協定の技術的履行
最も偏執的なセキュリティアナリストでさえも感心させる機能を備えたネットワーク監視要件
ゼロ・トラスト」を哲学から規制の義務へと変える外資系ネットワークのアクセス制御メカニズム

財務省のガイドラインは、まるでスパイスリラーを読み過ぎた人が書いたかのようだ。

3.国境を越えたネットワーク構築における技術的課題

3.1 BGPルーティングと自律システムのコンプライアンス

ボーダー・ゲートウェイ・プロトコルの実装は、管轄区域をまたいで行われるため、猫の群れと同じようなものである：

地域インターネットレジストリ（RIR）のコンプライアンス：ARIN、RIPE NCC、APNIC、LACNIC、AFRINICでASN割り当てポリシーが異なるため、要件がつぎはぎだらけになる。各RIRの技術文書は、わずかに異なるバージョンのインターネットを開発した並行世界のように読める。
ルート・オリジネーション・オーソライゼーション（ROA）：管轄地域固有の暗号化要件を備えたRPKIを実装することで、単純なルーティング告知が外交交渉のように感じられるようになる。
BGPSEC実装のバリエーション：BGPSECとRPKIが管轄区域によって異なるため、標準化されたプロトコルであるべきものが、著しく高い賭け金を伴う選択式の冒険小説になってしまう。

MANRS (Mutually Agreed Norms for Routing Security)の人たちは、包括的な技術的実装ガイドを作成した。

3.2 暗号コンプライアンスの課題

暗号技術-「暗号化バックドア」と言うよりも早く、数学が政治的になるところ。ネットワーク・セキュリティの実装は、暗号技術者が泣くようなハードルに直面している：

アルゴリズムの制限：ロシアはGOST R 34.10-2012を求め、中国はSM2/SM3/SM4を要求し、アメリカはNISTが承認したアルゴリズムを主張している。異なる政府は、数学が国境内で異なる働きをすると考えている。
鍵長の義務：EUは最低でも2048ビットのRSAを要求しているが、米国連邦政府の特定のアプリケーションは3072ビットを要求している。
鍵の預託要件：管轄区域によっては、おせっかいな隣人に暗号鍵（家のスペアキーなど）を引き渡すよう求めるところもある。
ハードウェア・セキュリティ・モジュール認証FIPS 140-3、コモンクライテリア、OSCCA...認証規格のアルファベットスープは、準拠した暗号を実装することを無限大の石を集めるようなものにしている。

ECRYPT-CSAドキュメンテーションは、暗号の専門家を長い間部屋に閉じ込めておくとどうなるか、つまり、キャリアの選択に疑問を抱かせるようなコンプライアンス要件の迷路のようなものだ。

3.3 国境を越えたデータの悪夢

国家間で合法的にデータを移動させるには、非常に複雑な技術的解決策が必要であり、独自の研究助成金が必要である：

データ分類エンジン：トラフィックをその場で分類できるシステムが必要だ。かつて、耳の折れたページのある本を返して怒鳴られた司書のように、細部までこだわることができる。
データ分類に基づく動的なトラフィックルーティング：コンテンツ分類に基づいてトラフィックをリルートする SDN 実装はネットワーク内にデータボーダー制御のチェックポイントを作る。
ネットワーク境界点における仮名化：国境を越えたネットワークの分岐点におけるその場でのデータ変換は、ID保護の証人保護プログラムを嫉妬させるだろう。
トラフィックフローのセグメンテーション：規制要件に基づいてトラフィック・ストリームを分離するネットワーク・アーキテクチャにより、単純なデータ・ルーティングが複雑なソート作業に変わる。

技術的な瑣事を深く掘り下げるのが好きな人（そうでない人もいるだろうが）にとって、ISO/IEC 27701:2019実施ガイドは、熟練したネットワーク・アーキテクトでさえキャリアの選択に疑問を抱かせるに十分な詳細を提供している¹²。

4.ネットワークハードウェアの輸出入規制

4.1 HSコード分類の課題

ネットワーク機器の分類は、国際貿易と不条理劇が出会う場所である：

8517.62:8517.62：音声、画像、またはデータの受信、変換、送信、再生のための機械-スマートフォンからデータセンター・ルーターまでを含む広範なカテゴリー。
8517.70:8517.70：送受信装置の部品-分解された装置はその分類に値するからである。
8544.42：コネクタ付き光ファイバーケーブル-しかし、税関職員が適切な書類のないコネクタを発見した場合は天の助け。
8517.69:その他の伝送装置-国際貿易の「雑多な」引き出しで、珍しい機器が不確かな関税の運命に直面する。

適切な分類には、エンジニアリングの精度と税関規制の難解な知識を組み合わせた技術的分析が必要です。これを誤ると、せっかくの最新鋭のネットワーク機器が税関で長い間放置され、時代遅れになってしまうかもしれません。

世界税関機構のHS命名法に関する文書は、主人公が税関分類の専門家で、悪役があいまいな商品説明というスリラーのようだ。

4.2 輸入ライセンス要件

多くの司法管轄区は、ネットワーク機器の輸入に対して、ウラン濃縮装置と同じような熱意をもって接している：

EUの無線設備指令（RED）認証は、適切な文書なしに機器が電波を放射することを禁じているからです。
日本でのVCCI認証-高校物理の試験が指の絵のように見える電磁両立性検証。
中国の国家無線規制委員会（SRRC）の認可は、機器メーカーに中世のギルド認証のような、よりシンプルな規制時代を懐かしませることがある。
インドにおけるワイヤレス・プランニング・アンド・コーディネーション（WPC）の承認。"プランニング "と "コーディネーション "は、"広範な文書化 "と "忍耐強いテスト "の婉曲表現である。

これらの認証を取得するには、回路図、ブロック図、PCBレイアウト、BOMリスト、電磁適合性試験報告書など、詳細な文書化が必要です。

4.3 技術コンプライアンス文書要件

輸入プロセスでは、中世の書記が泣くような文書が要求される：

安全試験報告書：IEC 62368-1に準拠した文書で、適切な認証がなければすべての機器が自然発火する可能性があるものとして扱われる。
EMCテストレポート：CISPR 32/EN 55032のような規格に準拠したテスト。あなたのスイッチが誰かのヴィンテージ・ラジオに干渉することを天は禁じます。
無線試験報告書：無線コンポーネント（EN 300 328、EN 301 893）については、詳細な文書により、機器が発する可能性のあるすべての電波の正確な軌跡を知ることができます。
RoHS対応：ネットワーク・エンジニアが日常的にカドミウムのレースを楽しんでいるかのように、お客様の機器に有害物質が含まれていないことを確認するテスト・レポート。
エネルギー効率に関する文書：アイドル時に暗号通貨を密かに採掘していないことを機器メーカーが証明しなければならないのか疑問に思わせる消費電力測定基準。

国際電気標準会議（International Electrotechnical Commission）が発行する規格は、技術的で、包括的で、絵の具の乾きをスローモーションで見るように魅力的である。

5.電気通信ライセンス要件

5.1 ネットワーク・オペレーター・ライセンス技術要件

電気通信ライセンスは、宇宙打ち上げの規制が簡単に見えるような技術的要件を課している：

ネットワークの冗長性要件：冗長性レベル（N+1、2N、2N+1）の技術仕様で、災害映画のようなシナリオを想定しています。
サービス品質パラメータ：パケットロス、ジッター、レイテンシーに関する具体的な技術指標で、最もこだわりの強いネットワーク・エンジニアでさえも神経を尖らせる。
合法的な傍受機能：ETSI TS 101 331の仕様では、ネットワークに監視機能を組み込むことが義務付けられている。
緊急サービスのサポート：緊急サービスのトラフィックをルーティングするための技術的要件。
番号ポータビリティ・インフラ：番号ポータビリティ・データベースを導入するための技術的要件で、電話キャリアの乗り換えが中世の歯科治療よりも少しは楽になる。

ITU-T勧告データベースには、技術部門全体が定年まで忙しく働けるだけの技術仕様が含まれている。

5.2 スペクトラム・ライセンスの技術的意味合い

ワイヤレス・ネットワークの展開では、量子物理学が直感的に思えるほど複雑なスペクトラム管理要件に直面する：

バンド固有の技術要件：電力制限、帯域外エミッションマスク、特定の変調要件は、管轄区域、周波数、時には月の満ち欠けによって異なる。
ダイナミック・スペクトラム・アクセスの要件：コグニティブ無線技術を導入することで、スペクトラムの利用可能性について機器を超能力的に認識させる必要がある。
国境地域の調整：電波が地図を読み取り、国際的な境界を尊重することを前提とした、国境地域における特別な技術要件。
スペクトラム共有技術：利用可能な周波数」という概念をリアルタイム・オークション・システムに変える、データベース主導の周波数共有技術の実装。

ITU無線規則の大要は興味深い読み物である。

6.データ保護要件とネットワーク・アーキテクチャ

6.1 データのローカライゼーション技術実装

データローカライゼーション法は、ネットワークアーキテクチャを純粋な技術的運動から地政学的チェスマッチへと変貌させた：

ジオフェンシングの実装：データ処理を特定の地理的境界に制限する技術的なコントロールで、GPS開発者を不安にさせるような精度が要求される。
データの常駐管理：明確な許可なく国境を越えることのない、地に足のついたティーンエイジャーのようなデータの滞留を保証するストレージ割り当てシステム。
共有サービス・アーキテクチャの修正：技術的には複数の場所に同時に存在することに相当し、データを厳密にローカルに保ちながらグローバルな共有サービスを維持する。
コンテンツ・デリバリー・ネットワークのアーキテクチャCDNのノード構成は、「グローバル配信」と「ローカルストレージ」を矛盾した概念ではなく、互換性のある概念のように思わせる。

ISO/IEC 27018:2019ガイドラインは、法律の学位を持つエンジニアが書いたような、あるいは工学の学位を持つ弁護士が書いたような内容だ。いずれにせよ、痛いほど正確だ。

6.2 国境を越えたデータ転送サーカス

国境を越えて合法的にデータを入手するのは、係員に直視されながら映画館にスナックを密輸入するようなものだ：

標準的な契約条項：密な法的合意を実際の技術的制御に変える必要がある。弁護士は、ルーターのコンフィグに契約書の段落が含まれることを期待している-"if packet.contains(personalData) then apply.legalClause(27b)"
拘束力のある企業規則のサポート：最も熱心な個人情報保護責任者であっても、そのキャリアの選択に疑問を抱くような技術的手段を通じて、BCRをサポートするネットワーク・アーキテクチャ。
妥当性判断のサポート：技術的な実装は、政治家がどうしても考えを変えざるを得ない場合のための不測の事態への対策を維持しながら、データフローの妥当性決定を活用する。
仮名化のテクニックアイデンティティ保護プログラムの効率で識別データを変換する、ネットワーク境界におけるGDPR準拠の仮名化。

欧州データ保護委員会は、法律の専門用語を実用的な技術要件に奇跡的に変換するガイドラインを作成した。

7.重要インフラ保護要件

7.1 物理インフラ・セキュリティの義務

重要インフラ規制は、物理的セキュリティを "グッドプラクティス "から "法的に義務付けられたパラノイア "へと昇華させる：

ファシリティ・ハードニング仕様：これは、データセンターが自然災害から組織的攻撃まであらゆるものに耐える必要があることを想定した物理的構造に関する基準です。
環境制御の冗長性：N+1または2Nの冗長性要件は、災害映画のようなシナリオでも冷却システムが機能し続けることを示唆しています。
電磁パルス（EMP）保護：太陽フレアからスパイスリラーでしか見たことのないようなシナリオまで、様々な事象に備えたEMPシールドの技術基準。
物理的アクセス制御システム：フォートノックスのセキュリティが優等生システムに見えるような、バイオメトリクス認証とマントラップ設計の仕様。

TIA-942-Bデータセンター規格書は、包括的であると同時に、インフレ理論を持つ規制の宇宙のように、常に拡大し続けています。

7.2 ネットワーク回復力の要件

重要インフラの指定は、「高可用性」をマーケティング用語から法的義務に変える：

パス・ダイバーシティの実装：規制当局は、不運がプライマリ・パスのすべてのケーブルを同時に切断することを想定した技術的要件を義務付けているため、徹底的な物理パスの多様性を維持することを余儀なくされる。
自律システムの多様性：単一のバックボーン・プロバイダでは十分な信頼性が得られないため、複数のASNを通じて接続性を維持するための要件。
プロトコルレベルの回復力：さまざまなプロトコルレイヤーにレジリエンス機能を実装し、NASAのエンジニアもうなずくような冗長性を実現する。
復旧時間目標（RTO）の遵守：RTO要件を満たす技術的実装は、ダウンタイムのコストがマイクロ秒あたり金以上になると想定されるほど積極的である。

システムが故障する可能性のあるあらゆる方法を経験し、徹底するために新しい方法をいくつか考案した人々が、NISTのサイバーレジリエンスに関する出版物を執筆したようだ。

8.矛盾する規制への対応

8.1 ネットワークのセグメンテーション：分割と征服

異なる国の規制が袋の中の猫のように争い始めたら、ネットワーク・セグメンテーションが最良の友となる：

規制ベースのマイクロセグメンテーション：従来のセキュリティ境界ではなく、規制ドメインに基づいて実装することで、インフラストラクチャ内に各規制の遊び場を提供します。
ソフトウェア定義の境界：SDPアーキテクチャは、従来のファイアウォールが「立ち入り禁止」の標識のように洗練されたものに見えるような、規制に準拠したネットワークセグメントを作成します。
ゼロ・トラスト・ネットワーク・アクセス（ZTNA）：ZTNAの原則は、接続レベルで規制遵守を強制し、すべてのアクセス要求を偏執狂的な税関捜査官のような疑いの目で扱う。
コンプライアンスのためのインテント・ベース・ネットワーキング：IBNは、法律用語やRFC仕様を理解する規制AIの効率で、規制要件をネットワークポリシーに変換します。

NISTのZero Trust Architectureガイダンスは、暗黙の信頼によって何度も火傷を負ったセキュリティ専門家によって書かれたように読める²¹。

8.2 マルチクラウドのコンプライアンス・アーキテクチャ

マルチクラウドの導入には、規制当局のコンサルタントが歓喜の涙を流すほど洗練されたコンプライアンス・アプローチが必要だ：

クラウドプロバイダーの規制マッピング：クラウドプロバイダー間のコンプライアンスマトリックスを技術的に実装し、アートと呼べるほど複雑なスプレッドシートを作成。
ソブリン・クラウドの統合ソブリン・クラウド・インスタンスをグローバル・インフラストラクチャと統合するための技術的アプローチ。クラウド・コンピューティングは、法律が対立する国家間の外交関係を維持することに相当する。
一貫したセキュリティ・ポリシーの実施：クロス・クラウドのセキュリティ・ポリシー実施メカニズムは、各プロバイダーが独自の方法ですべてを行う世界で一貫性を生み出す。
コンプライアンスを意識したサービス・メッシュ：サービス・メッシュ・アーキテクチャは、すべてのサービス接続に小さなコンプライアンス・オフィサーが組み込まれているようなものだ。

クラウド・セキュリティ・アライアンスのクラウド・コントロール・マトリクスは、コンプライアンスをほぼ達成可能と思わせる詳細なフレームワークを提供している。

9.技術文書とコンプライアンス監査の準備

9.1 コンプライアンス文書作成の自動化

技術的なコンプライアンス文書を維持することは、必要悪から自動化を必要とする芸術へと進化した：

Infrastructure as Code (IaC) コンプライアンス・ドキュメンテーション：IaCテンプレートからコンプライアンス・ドキュメンテーションを生成 - 自身を文書化するインフラほど「監査対応」を示すものはないからです。
APIベースのコンプライアンス・レポーティング：リアルタイムのコンプライアンス・ステータス・レポートのためのAPIの導入により、手作業によるコンプライアンス・チェックをファックスと同じくらい時代遅れのものにする。
ネットワーク構成のコンプライアンス検証機械式時計職人が嫉妬するほどの精度で、規制要件に対するネットワーク構成を自動検証します。
継続的なコンプライアンス監視：コンプライアンスを嫉妬深いパートナーのように扱い、コミットメントから外れていないかを常にチェックする、コンフィギュレーション・ドリフトの常時監視を導入する。

NISTの『Automation Support for Security Control Assessments』は、コンプライアンス監査の準備に手作業で週末を費やしすぎた人が書いた、自動化へのラブレターのようだ。

9.2 技術監査の準備

規制当局の監査に備えるには、常識的なものから少々偏執的なものまで、さまざまな技術的対策が必要だ：

設定の暗号的証明：コンフィギュレーションの状態を証明する暗号化メカニズムの実装。基本的には、設定を改ざんしていないことを数学的に証明する。
不変の監査ログ：これは、ブロックチェーンまたは類似の技術を使用して、不変の監査証跡を技術的に実装するもので、最も強固なインサイダーでさえ改ざんできないログを作成する。
ポイント・イン・タイム・リカバリ機能：特定の時点におけるネットワーク状態を再現する技術的能力で、インフラストラクチャのタイムマシンのようなもの。
自動証拠収集システム：コンプライアンス証拠を効率的に収集、関連付け、提示するシステムを導入することで、最も要求の厳しい監査員も笑顔にします。

ISACAのIT監査フレームワークは、すべてを文書化したと思っても、また100ページもの要件が見つかるという、贈り物のようなものだ²⁴。

10.唯一の前進コンプライアンスを建築に組み込む

私たちの多くは、規制遵守を「もっと立ちなさい」という健康アプリのように扱っている。それが苦痛になるまで無視する。ネットワークを構築しておいて、後からコンプライアンスに対応させようと躍起になるのは、高層ビルを設計するときに、建設が終わるまで配管のことを考えないようなものだ。改修費用は天文学的数字になる。必要なのは

ネットワーク管理プラットフォームと統合された規制インテリジェンス・システムは、高価な改修プロジェクトになる前にコンプライアンス要件を予測する。
QoSパラメータを扱うのと同じ精度で規制要件を扱う、コンプライアンスを意識したルーティングおよびトラフィック管理システム。
レギュラトリーゾーンマッピングは、ネットワークアーキテクチャの基本的な構成要素であり、IPアドレス体系と同様に設計の基本である。
ビジネスモデルを転換する新興企業のような機敏さで、変化する規制に適応するダイナミックなコンプライアンス管理。

規制要件をネットワーク・アーキテクチャのDNAに組み込むことで、企業は技術的負債を劇的に減らし、運用上のオーバーヘッドを最小限に抑え、刻々と変化するグローバルな規制の波に何度も溺れることなく、波に乗ることができる適応力のあるインフラを構築することができる。

結局のところ、コンプライアンスが避けられない世界において、勝者となるのは、コンプライアンスを回避する（不可能）者でも、しぶしぶコンプライアンスに対応する（費用がかかる）者でもなく、規制の枠組みを障害物としてではなく、壮大なインフラパズルの設計パラメータとして扱い、一からコンプライアンスを設計する者なのである。

備考

欧州連合、「欧州議会および理事会指令（EU）2022/2555」、EUR-Lex、2022年12月、 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022L2555.
欧州ネットワーク・情報セキュリティ機関（ENISA）、「ネットワーク・セキュリティ技術ガイドライン」、リスク管理目録、2023年、 https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/risk-management-inventory/rm-ra-methods.
欧州ネットワーク・情報セキュリティ機関（ENISA）、「ENISA 認証フレームワーク」、標準認証、2023 年、 https://www.enisa.europa.eu/topics/standards/certification.
TC260、「標準ポータル」、サイバーセキュリティ標準ポータル、2023 年、 http://www.tc260.org.cn/.
電気通信省、「コンプライアンス・ポータル」、キャリアサービス、2023年、 https://dot.gov.in/carrier-services.
Cyber Security Agency of Singapore, "Cyber Security Code of Practice," Legislation, 2023、 https://www.csa.gov.sg/legislation/codes-of-practice.
米国国立標準技術研究所『NIST Special Publication 800-53 Revision 5』Computer Security Resource Center, 2023、 https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final.
米国財務省、「CFIUS 監視・執行ガイドライン」、Policy Issues、2023 年、 https://home.treasury.gov/policy-issues/international/the-committee-on-foreign-investment-in-the-united-states-cfius.
RIPE NCC, "RIPE Database Documentation", IP Management, 2023、 https://www.ripe.net/manage-ips-and-asns/db.
Internet Society, "Mutually Agreed Norms for Routing Security (MANRS) Technical Implementation Guide", MANRS, 2023、 https://www.manrs.org/netops/guide/.
ECRYPT-CSA、「暗号推奨事項」、暗号標準、2023 年、 https://www.ecrypt.eu.org/csa/.
国際標準化機構、「ISO/IEC 27701:2019」、規格、2019 年、 https://www.iso.org/standard/71670.html.
世界税関機構、「調和システム命名法 2022 年版」、命名法、2022 年、 http://www.wcoomd.org/en/topics/nomenclature/overview/what-is-the-harmonized-system.aspx.
国際電気標準会議、「IEC 62368-1:2018」、規格、2018 年、 https://www.iec.ch/.
国際電気通信連合、「ITU-T 勧告データベース」、勧告、2023 年、 https://www.itu.int/ITU-T/recommendations/index.aspx.
国際電気通信連合、「無線規則」、出版物、2023 年、 https://www.itu.int/pub/R-REG-RR.
国際標準化機構、「ISO/IEC 27018:2019」、規格、2019 年、 https://www.iso.org/standard/76559.html.
European Data Protection Board, "Guidelines 2/2020," Documents, 2020、 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22020-articles-46-2-and-3-regulation-2016679_en.
Telecommunications Industry Association, "ANSI/TIA-942-B Telecommunications Infrastructure Standard for Data Centers," Standards, 2022、 https://tiaonline.org/.
米国国立標準技術研究所、「NIST SP 800-160 第2巻：サイバーに強いシステムの開発」、コンピュータセキュリティリソースセンター、2023年、 https://csrc.nist.gov/publications/detail/sp/800-160/vol-2/final.
米国国立標準技術研究所、「NIST SP 800-207: Zero Trust Architecture」、Computer Security Resource Center、2023 年、 https://csrc.nist.gov/publications/detail/sp/800-207/final.
Cloud Security Alliance, "Cloud Controls Matrix v4.0," Research, 2023、 https://cloudsecurityalliance.org/research/cloud-controls-matrix/.
米国国立標準技術研究所「NIST IR 8011：セキュリティ管理評価の自動化支援」、コンピュータセキュリティリソースセンター、2023 年、 https://csrc.nist.gov/publications/detail/nistir/8011/final.
ISACA、「IT Audit Framework」、リソース、2023 年、 https://www.isaca.org/resources/it-audit.

ブレイク・クロスリー