• JP
  • magnifying glass search icon to open search field
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
Palo Alto Networks logo
  • 製品
  • ソリューション
  • サービス
  • 業種
  • パートナー
  • パロアルトネットワークスをお勧めする理由
  • 会社案内
  • その他
  • JP
    Language
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
  • スタート ガイド

ポリシー適用の自動化によるビジネスの調和とコンプライアンスの実現

3 19, 2019 at 11:00 午前

本ブログは米国で2019年02月21日に公開されたUnit 42ブログ「Achieve Business Harmony and Compliance Through Automated Policy Enforcement - Palo Alto Networks Blog」の日本語翻訳です。

最近、コンプライアンスについて調査していたところ、Veritas 社からの「Truth in Cloud」調査に次のような統計があることが分かりました。

「組織の76%が『データ プライバシーやコンプライアンス規制については、利用中のクラウド サービス プロバイダ側で万事うまく対応してくれているはず』と考えている」

これを見てあまりに驚いてしまい、こうして筆をとっています。というのも、責任共有モデルでは、クラウドサービスの顧客(つまり、皆さん)は、クラウド内の自分のワークロードとデータのセキュリティ、プライバシー、およびコンプライアンスを確保する責任を担っているからです。

 

 

この投稿では、コンプライアンスに焦点を絞ります。

「コンプライアンス フレームワーク」と呼ばれるものは両手で数えられる以上に存在しています。業界によっては、それらのひとつ以上に準じることが義務付けられています。以下の例はそのごく一部です。

  • ISO 27001: 国際標準
  • SOC 2: 米国、とくに、金融サービスとSaaSプロバイダーで一般的
  • FedRAMP: 政府機関、NIST 800-53
  • PCI: クレジット カード支払処理
  • HIPAA: 医療における患者データ
  • GDPR: 個人データ

まずは大前提として、自社のビジネスに適用されるフレームワークを十分に理解しておかねばなりません。そのうえで、組織内での役割と責任に取り組みはじめましょう。

クラウド セキュリティとコンプライアンスはチーム スポーツ

2018年10月にまさにこのトピックについてウェビナーを開催しましたが、コンプライアンス確保に関しては、一部の主要な担当者と彼らの責任について繰り返し伝えることが重要だと思っています。

 

誰もが役割を担っている

 

私はこの担当者の方々をよく3つのグループに大別します。

  • マネジメント(経営層のCレベルなど) グループ: 組織がコンプライアンス違反をした場合に、法的な責任を負う人々です。企業ブランド保護の見地だけからでなく、これらの人々は文字通り、懲役を含む影響を防ぐ盾となります。
  • コンプライアンス(社内監査者およびガバナンス チームなど) グループ: 事業運営側とガバナンス当局者とをつなぐ人々です。彼らは、コンプライアンス プログラムが最新であることと、それらが定期的にテストされていることを確実にする義務があります。
  • InfoSecおよび開発者(SecOpsおよびDevOpsなど) グループ: コンプライアンス遵守のために、監査チームが必要とする実作業を実行することになる人々です。

これについてはさらに掘り下げることができます。これら主要な担当者の役割と優先度、および組織のクラウドの成熟レベルに基づく相違について見ていきましょう。

 

  導入検討段階 デプロイ段階 スケール段階
SecOps ポリシーを適応させる
ツールを探す
完全な可視化のためにセキュリティ モニタリングおよび評価を自動化する ポリシーの適用を自動化する
DevOps セキュリティファースト アプローチを採用する
クラウドサービスプロバイダから提供してもらえる内容を調査する
ベスト プラクティスに確実に従うためのプロセスを開発する デプロイ「前」に構成を検証するためのワークフローを自動化する
コンプライアンス デプロイ計画とデプロイ計画による影響について調査し、クラウドサービスプロバイダから引き継がれるコンプライアンスの内容を理解する

 

 

コンプライアンス内のギャップを特定するために定期的な計測を行う 月、週、または日ごとにコンプライアンス スコアカードを付ける

表1: クラウドの成熟レベル

 

チーム間で静かに高まる緊張

いよいよその日が来ました。手強いコンプライアンス監査当日です。この日のSecOpsとDevOpsはただでさえIRでてんてこまいなのに、その作業を脇において、べつの仕事の山に取りかからねばなりません。つまり、コンプライアンス チームがセキュリティ監査で確実に監査に合格するように支援するという大仕事です。セキュリティ監査は一般に、かなりの時間とリソースを必要とし、コンプライアンス以外の優先すべき作業に大幅な遅れを生じさせかねない手動プロセスにながちです。ここに大きな問題があります。

幸い、自動化を取り入れればこうしたチーム間の緊張状態は緩和され、より大きな利益である継続的コンプライアンス実現のために、両チームを団結させられることはできるでしょう。

セキュリティ・バイ・デザイン: ポリシー適用を自動化する

RightScale 2018 Cloud Security Reportによると、組織の42%がガバナンスのためにポリシーの自動化に重点を置いています。これは良い知らせです。さらに嬉しいニュースは、自動化をベースにした適切な戦略、ツール、ガバナンスがあれば、クラウドでもコンプライアンス要件を満たせることです。

ポリシー適用の自動化は非常に有益です。こうした自動化は、複数のクラウドとより大規模な組織全体において、ポリシーを確実に可視化するのに役立ちます。また、重要なポリシーと標準がつねに維持されているという確信をもってイノベーションを推進するのにも役立ちます。戦略を立てて遂行する際に、留意すべきポイントがいくつかあります。

  1. "シフト レフト(Shift Left)"アプローチをとる。ポリシー作成者をかならず各ステップごと、各プロジェクトをデプロイするごとに関与させます。「インシデントは起こるもの」ということを忘れないでください。事前にこうしたインシデントについてもプロジェクト実現スケジュールの一部として考慮しておきます。
  2. クラウド中心のアプローチをとる。クラウドは社内のデータセンターではないことを思い出してください。自動化されたポリシー適用を含め、セキュリティとコンプライアンスのそれぞれに個別に取り組む必要があります。
  3. プロトタイプはそのままプロダクションになると心得る。クラウドでは、単なる「検証」のつもりが検証のままで終わらないケースが多々あります。「実験」のつもりでクラウドにデータをアップロードしたところが、大規模な漏えいに繋がってしまう場合があるのです。

要件が増加し、規模が拡大するにつれ、コンプライアンスの維持はより困難なものになってきます。パロアルトネットワークスのRedLockセキュリティ、コンプライアンス サービスは、潜在するコンプライアンス違反についてすべてのクラウド リソースを継続的に監視し、カスタマイズ可能なコンプライアンス レポートをワンクリックで提供します。クリックスルー制御は、構成や開発要件がつねに変化しても、問題をすばやく解決します。

詳細については、オンデマンド ウェビナー「12 AWS Best Practices to Get You #CloudFit」をご覧ください。

 

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

データシート

PA-400シリーズ

パロアルトネットワークスの機械学習を活用したNGFW「PA-400 Series (PA-460、PA-450、PA-440)」なら、分散した大企業の支社、小売店、中規模企業にも次世代ファイアウォール機能を導入できます。
August 3, 2022

最新ニュース、イベント情報、脅威アラートを配信

このフォームを送信すると、お客様は弊社の利用規約とプライバシー ポリシーに同意したものとみなされます。

black youtube icon black twitter icon black facebook icon black linkedin icon
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)

人気のあるリソース

  • 会社概要
  • イベント センター
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • 投資家の皆様へ
  • ブログ
  • Japan Live Community
  • Tech Docs
  • キャリア
  • お問い合わせ
  • サイトマップ

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約
  • トラスト センター
  • ドキュメント
  • 一般事業主行動計画

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告

Copyright © 2023 Palo Alto Networks. All rights reserved