本ブログは米国で2019年02月21日に公開されたUnit 42ブログ「Achieve Business Harmony and Compliance Through Automated Policy Enforcement - Palo Alto Networks Blog」の日本語翻訳です。

最近､コンプライアンスについて調査していたところ､Veritas 社からの「Truth in Cloud」調査に次のような統計があることが分かりました。

「組織の76%が『データ プライバシーやコンプライアンス規制については､利用中のクラウド サービス プロバイダ側で万事うまく対応してくれているはず』と考えている」

これを見てあまりに驚いてしまい､こうして筆をとっています。というのも､責任共有モデルでは、クラウドサービスの顧客(つまり､皆さん)は､クラウド内の自分のワークロードとデータのセキュリティ、プライバシー、およびコンプライアンスを確保する責任を担っているからです。

この投稿では、コンプライアンスに焦点を絞ります。

「コンプライアンス フレームワーク」と呼ばれるものは両手で数えられる以上に存在しています｡業界によっては、それらのひとつ以上に準じることが義務付けられています。以下の例はそのごく一部です。

• ISO 27001: 国際標準
• SOC 2: 米国、とくに、金融サービスとSaaSプロバイダーで一般的
• FedRAMP: 政府機関、NIST 800-53
• PCI: クレジット カード支払処理
• HIPAA: 医療における患者データ
• GDPR: 個人データ

まずは大前提として、自社のビジネスに適用されるフレームワークを十分に理解しておかねばなりません。そのうえで、組織内での役割と責任に取り組みはじめましょう。

クラウド セキュリティとコンプライアンスはチーム スポーツ

2018年10月にまさにこのトピックについてウェビナーを開催しましたが、コンプライアンス確保に関しては、一部の主要な担当者と彼らの責任について繰り返し伝えることが重要だと思っています。

誰もが役割を担っている

私はこの担当者の方々をよく3つのグループに大別します。

• マネジメント(経営層のCレベルなど) グループ: 組織がコンプライアンス違反をした場合に、法的な責任を負う人々です。企業ブランド保護の見地だけからでなく、これらの人々は文字通り、懲役を含む影響を防ぐ盾となります。
• コンプライアンス(社内監査者およびガバナンス チームなど) グループ: 事業運営側とガバナンス当局者とをつなぐ人々です。彼らは、コンプライアンス プログラムが最新であることと､それらが定期的にテストされていることを確実にする義務があります。
• InfoSecおよび開発者(SecOpsおよびDevOpsなど) グループ: コンプライアンス遵守のために、監査チームが必要とする実作業を実行することになる人々です。

これについてはさらに掘り下げることができます。これら主要な担当者の役割と優先度、および組織のクラウドの成熟レベルに基づく相違について見ていきましょう。

表1: クラウドの成熟レベル

チーム間で静かに高まる緊張

いよいよその日が来ました｡手強いコンプライアンス監査当日です。この日のSecOpsとDevOpsはただでさえIRでてんてこまいなのに、その作業を脇において､べつの仕事の山に取りかからねばなりません。つまり､コンプライアンス チームがセキュリティ監査で確実に監査に合格するように支援するという大仕事です。セキュリティ監査は一般に､かなりの時間とリソースを必要とし、コンプライアンス以外の優先すべき作業に大幅な遅れを生じさせかねない手動プロセスにながちです｡ここに大きな問題があります。

幸い、自動化を取り入れればこうしたチーム間の緊張状態は緩和され、より大きな利益である継続的コンプライアンス実現のために､両チームを団結させられることはできるでしょう。

セキュリティ・バイ・デザイン: ポリシー適用を自動化する

RightScale 2018 Cloud Security Reportによると、組織の42%がガバナンスのためにポリシーの自動化に重点を置いています。これは良い知らせです。さらに嬉しいニュースは、自動化をベースにした適切な戦略、ツール、ガバナンスがあれば､クラウドでもコンプライアンス要件を満たせることです。

ポリシー適用の自動化は非常に有益です。こうした自動化は、複数のクラウドとより大規模な組織全体において、ポリシーを確実に可視化するのに役立ちます。また、重要なポリシーと標準がつねに維持されているという確信をもってイノベーションを推進するのにも役立ちます。戦略を立てて遂行する際に、留意すべきポイントがいくつかあります。

1. "シフト レフト(Shift Left)"アプローチをとる。ポリシー作成者をかならず各ステップごと、各プロジェクトをデプロイするごとに関与させます。「インシデントは起こるもの」ということを忘れないでください。事前にこうしたインシデントについてもプロジェクト実現スケジュールの一部として考慮しておきます。
2. クラウド中心のアプローチをとる。クラウドは社内のデータセンターではないことを思い出してください。自動化されたポリシー適用を含め、セキュリティとコンプライアンスのそれぞれに個別に取り組む必要があります。
3. プロトタイプはそのままプロダクションになると心得る。クラウドでは、単なる「検証」のつもりが検証のままで終わらないケースが多々あります。「実験」のつもりでクラウドにデータをアップロードしたところが、大規模な漏えいに繋がってしまう場合があるのです。

要件が増加し、規模が拡大するにつれ、コンプライアンスの維持はより困難なものになってきます。パロアルトネットワークスのRedLockセキュリティ、コンプライアンス サービスは、潜在するコンプライアンス違反についてすべてのクラウド リソースを継続的に監視し、カスタマイズ可能なコンプライアンス レポートをワンクリックで提供します。クリックスルー制御は、構成や開発要件がつねに変化しても、問題をすばやく解決します。

詳細については、オンデマンド ウェビナー「12 AWS Best Practices to Get You #CloudFit」をご覧ください。