試してみませんか?
クラウドコンプライアンスの解説
クラウド環境のコンプライアンスを維持する要件およびベストプラクティス
0 分で読めます
現在、クラウドはほとんどの開発チームのプロジェクトの基盤となっています。実際、Snyk の「クラウドネイティブアプリケーションセキュリティの現状」レポートによると、本番ワークロードの 78% 以上が、クラウドネイティブアプリケーション導入の主要メカニズムであるコンテナ、またはサーバーレスアプリケーションのいずれかで導入されていることがわかっています。さらに、回答者の 50% 以上のワークロードは、何らかの形で IaC (Infrastructure as Code) を使用して導入されています。
クラウドコンピューティングの普及に伴い、より多くのコンプライアンス要件に対応することが求められています。クラウドプロビジョニングによる開発プラクティスは、導入のすばやさ、管理の容易さ、コストの削減につながる一方で、クラウドセキュリティに関する独自の課題も生み出します。クラウドサービスにより、オンプレミスの環境に比べて、脅威が複雑化し、すばやく変化する状況が生じています。この懸念に加え、クラウドでコンプライアンスに関する規制が強化されているため、優れたクラウドセキュリティ態勢の実現がこれまで以上に重要度を増しています。
クラウドコンプライアンスとは
クラウドコンプライアンスとは、企業がクラウド利用に関する規制基準に沿って行動することをいいます。各企業が満たすべきクラウドコンプライアンスの要件は、業種、顧客層、所在地などによってさまざまに異なります。これらの基準には、地域、国内、および国際法に加えて、業界のガイドラインが含まれる場合があります。
CIS Benchmarks、18 CIS Critical Security Controls、および CSA Cloud Controls Matrix (CCM) など、業界で高く評価されているいくつかのソースは、優れたクラウドコンプライアンスとはどのようなものかについての洞察を提供しています。クラウドセキュリティのベストプラクティスには以下が含まれます。
ソフトウェア資産のインベントリーを作成することで環境を可視化できる
「共有責任」の原則を適用する (セキュリティの確保をクラウドプロバイダーだけに依存しません)
クラウドプロバイダーとの明確な SLA (サービスレベル契約) を締結し、プロバイダーデータをどのように扱うかを理解する
暗号化とデータ処理基準により強力にデータを保護する
RBAC (ロールベースアクセスコントロール)、MFA (多要素認証) など、アカウントセキュリティ対策を実施する
クラウドコンプライアンスが重要となる理由
多くの企業にとって、クラウドコンプライアンスの主な推進力となっているのは、罰金や罰則を避けたいというシンプルな動機です。ただし、クラウドコンプライアンスを優先する理由は他にも数多くあります。法規制を遵守することにより、セキュリティ態勢が強化され、サイバー攻撃のリスク低減につながります。さらに、企業顧客との取引を成立させる場合、多くの企業は、クラウドベースの運用を含むビジネス全体が準拠していることを証明する必要があります。
一般的な法令
クラウドコンプライアンスに関しては、注意すべき法令が数多く存在します。ここでは、その中でも特に重要なものを簡単に説明します。
顧客の個人を特定できる情報 (PII) を保護すること。また、業種や地域によっては、医療保険の相互運用性と説明責任に関する法律 (HIPAA) や 一般データ保護規則 (GDPR) の準拠が求められることもあります。
CIS ベンチマーク、CIS コントロール、および CSA クラウドコントロールマトリックス (CCM) が推奨するセキュアな設定を維持すること。
第三者と契約を締結する際、セキュリティに関する条項を遵守すること。たとえば、クレジットカード会社との取引において、PCI DSS (Payment Card Industry Data Security Standard) の規定に従うことが挙げられます。
ISO 27001 などの情報セキュリティ基準を維持すること。
外部監査または内部監査で明らかになった指摘事項、特に SOC2 監査報告書への準拠の不備があれば是正します。
クラウドのコンプライアンス基準とは
前述のように、クラウドデータを管理するにあたり、企業が選択できるさまざまな基準があります。主な基準には以下のものがあります。
SOC 2
SOC (System and Organization Controls) 2 報告フレームワークは、企業が消費者データを保護するための措置を講じていることを証明するものです。コンプライアンスに関して、SOC 2 は組織が取得できる正式な認証の中で最も重要なものの一つとなっています。以下の 5 つの分野の評価を重視しています。
セキュリティ: 情報およびシステムが可用性、処理の完全性、機密性、プライバシーを損なう可能性のあるものから保護されていること。
可用性: サービスレベル契約 (SLA) など、システムが適切に利用できることが契約で指示されていること。
処理の完全性: システム処理が正常に行われ、適切な目的を、完全かつ円滑、また承認されている方法で達成できること。
機密性: 機密として指定された情報が保護されること。
プライバシー: 個人情報の収集、利用、保管、開示、廃棄は、事業者のプライバシーポリシーおよびその他の外部基準に合致する方法で行います。
詳しくは、こちらからクラウドにおける SOC 2 コンプライアンスについてご覧ください。
PCI DSS
PCI DSS は、データの盗難、漏洩、詐欺などの脅威からクレジットカードとデビットカードの取引のセキュリティを確保することに焦点を当てています。PCI DSS は任意のコンプライアンスフレームワークと考えられていますが、クレジットカードやデビットカードを処理する企業は、この基準に準拠することで、機密性の高い決済データを保護し、顧客の信頼を高めることができます。
HIPAA
1996 年の医療保険の相互運用性と説明責任に関する法律 (HIPAA) は、保護された医療情報 (PHI) を患者の同意や認識なく開示しないことを義務付けています。これらの基準は、いかなる理由であれ、個人の医療または健康関連情報に接する企業に適用され、米国保健福祉省により義務付けられています。
さまざまなコンプライアンス基準については、クラウドのコンプライアンス基準とフレームワークに関する記事で詳しく説明していますので、ご確認ください。
異なるプラットフォームでのクラウドコンプライアンス
ほとんどのパブリッククラウドプロバイダー (AWS、Microsoft Azure など) では、強固なセキュリティ対策を講じる一方で、「共有責任」という考え方に依拠しています。クラウドガバナンスの責任共有モデルは、クラウドを利用した業務を可能な限り安全に行うために、クラウドプロバイダーと顧客の双方が独自のデューデリジェンスを行うというものです。大手クラウドプロバイダーのコンプライアンス対応は以下のとおりです。
AWS のクラウドコンプライアンス
AWS 側の「責任共有」モデルには、「AWSクラウドで提供されるすべてのサービスを実行するインフラの保護が含まれています。このインフラは、AWS クラウドサービスを実行するハードウェア、ソフトウェア、ネットワーク、設備で構成されています」。
さらに、AWS で提供されているツールを使うことでクラウドセキュリティプログラムをすぐに開始できます。たとえば、AWS Well-Architected ツールにより、アーキテクトがオペレーショナルエクセレンス、信頼性、持続可能性などの SOC 2 の原則に密接に一致するインフラを構築できるようになっています。こちらから責任共有モデルの詳細について、ご覧いただけます。
GCP のクラウドコンプライアンス
Google Cloud Platform (GCP) も、数多くのコンプライアンス基準に対応しています。また、日常的に第三者による管理体制の検証を受け、製品の正式な認証を取得しています。さらに、顧客が自社の報告やコンプライアンスに取り組む際に活用できるよう、さまざまなリソースやドキュメントを提供しています。
クラウド情報漏洩対策ツールは、GCP コンプライアンスリソースの一例です。企業が機密データを発見、分類し、保護するためのデータ検出サービスです。
Microsoft Azure のクラウドコンプライアンス
Microsoft によると、「Azure は幅 (提供サービスの総数)、深さ (評価範囲の顧客向けサービスの数) の両面で、業界最大のコンプライアンスポートフォリオを維持しています」。
同社の Web サイトには、対応しているコンプライアンス要件の包括的なリストおよびユーザーの Azure マシンに追加可能なサービスのオプションが掲載されています。その一つに Update Management Center というアップデートとコンプライアンスを大規模に一元管理できるサービスがあります。
Kubernetes のコンプライアンス
Kubernetes はコンプライアンスにつながるベストプラクティスに従うようユーザーに強く推奨していますが、クラウドレベルのセキュリティの多くは、顧客とクラウドプロバイダーに委ねられています。インフラのセキュリティ対策としては、コントロールプレーン、ノード、Cloud Provider API、etcd(Kubernetesのデータストア)に対するアクセス制御の実装に関するアドバイスを提供しています。
クラウドコンプライアンスのベストプラクティス
使用しているクラウドプラットフォームにかかわらず、クラウドでの強力なコンプライアンスや一般的なセキュリティ態勢の強化に向けて、チームが取ることのできる次のステップがいくつかあります。
クラウドの設定をよく理解する
コンプライアンスをプロセスに分解する
コンプライアンスプロセスを繰り返す
コンプライアンス、セキュリティ、データでポリシーと Policy as Code を活用する
クラウドプロバイダーのコンプライアンスを確認する
1.クラウドの設定をよく理解する
まず、エンジニアリングチームが使用しているクラウド環境とリソースを定義します。プライベート環境とパブリック環境の両方で、複数のクラウドプロバイダーを使用していますか?また、どのデータがクラウドに保存され、組織全体で誰がそのデータにアクセスできるかを把握しておくことも重要です。
2.コンプライアンスをプロセスに分解する
コンプライアンスを短期のプロジェクトとして実施するのではなく、日常業務にどのように組み込むことができるかを検討します。具体的には、組織独自のクラウドシステムを念頭に、どのような統制やコンプライアンス基準を適用すべきかを調べます。ここでは、自社のビジネスに導入できるクラウドセキュリティプロセスの簡略化した例を示しています。
現状の把握
ギャップの特定
ギャップの改善
実証してモニタリング
3.コンプライアンスプロセスを繰り返す
コンプライアンスは、「1 回設定すれば終わり」というものではありません。常に新しい形式のデータがシステムに流れ込み、組織全体で新しい環境が立ち上がっています。そのため、コンプライアンスは、定期的なリズムとルーティンの実践に基づいた習慣として定着させる必要があります。
4.コンプライアンス、セキュリティ、データでポリシーと Policy as Code を活用する
コンプライアンスを日常的な活動にする最善策の1つは、PaC (Policy as Code) または CSPM (Cloud Security Posture Management) を導入することです。このような自動化により、コンプライアンスの維持に必要な時間と労力を削減できます。PaC は、コンプライアンス基準をコード化することで、ユーザーによるコンプライアンス違反行為を防止します。CSPM は、企業がハイブリッド、マルチクラウド、またはコンテナ環境を含むクラウドインフラ全体のセキュリティとコンプライアンスのリスクを自動的に検出して軽減する上で役立ちます。クラウドコンプライアンスツールについては、本連載の次回の記事で詳しくご紹介します。
5.クラウドプロバイダーのコンプライアンスを確認する
ほとんどの大手プロバイダー (AWS、GCP、Azure) では、主要な基準に準拠していますが、SLA を確認してプロバイダーの範囲がどこまでで、自社の範囲がどこから始まるかを把握する必要があります。結論として、思い込みは禁物です。ベースが自社またはプロバイダーでカバーされていることを確認してください。
Snyk がクラウドコンプライアンスに役立つといえる理由
Snyk Cloud は統一された Policy as Code エンジンを使用し、すべてのチームがクラウド上で安全に開発、デプロイ、運用できるようにしています。私たちは、大手クラウドプロバイダーとクラウド SDLC 全体でセキュリティガードレールを提供しています。これには、デプロイ前の IaC に同じポリシーを提供することも含まれますが、これによりクラウド環境が安全でコンプライアンスに対応していることが保証されます。
さらに、Snyk は以下を提供することで、企業のコンプライアンス目標の達成を支援しています。
包括的な脆弱性スキャン。IDE、リポジトリ、開発者ワークフローとシームレスに統合されています。
OS ライセンスコンプライアンス管理。開発者が SDLC の早い段階で OS ライセンスをテストできるようにし、PR のライセンススキャンを自動化したり、依存関係のパスを追跡したりできます。
リアルタイムレポート。監査機関や見込み客に脆弱性スキャンや修正の証拠を提出できます。
無料で利用できるセキュリティトレーニング。開発チームがセキュリティ教育のジャーニーを主導できます。
最後に、Snyk ではセキュリティエンジニアや GRC チーム向けにパッケージ化されたリアルタイムおよび履歴レポーティングを活用して、規制関連および社内セキュリティポリシーの遵守状況を継続的に評価できます。また、開発者セキュリティプラットフォームを提供することで、組織内のアプリケーションセキュリティとクラウドセキュリティのプラクティスのギャップを埋められるように支援しています。
クラス最高の包括的クラウドセキュリティコンプライアンスを導入直後からすぐに利用できます。デモをご希望の方は、今すぐご連絡ください。
開発者のために設計された IaC セキュリティ
Snyk を導入すると、統一された Policy as Code エンジンにより SDLC からクラウドでのランタイムまで IaC が保護されるため、すべてのチームが安全に開発、デプロイ、運用できます。
クラウドコンプライアンスについてのよくある質問
クラウドにはどのコンプライアンス基準が適用されますか。
SOC 2、HIPAA、GDPR、PCI (または PCI DSS)、NIST 800-53、ISO 27001 など、多数のコンプライアンス基準がクラウドに適用されます。これらのコンプライアンス要件は、組織全体のセキュリティ態勢に焦点を当てており、それにはクラウド環境も含まれています。
クラウドプロバイダーは、基準を守るために何らかの対策を講じていますが、「共有責任」ポリシーの原則も掲げています。つまり、クラウドサービス内での運用のセキュリティの確保については、ユーザーにも責任があるという考え方です。
クラウドセキュリティ基準とは
クラウドセキュリティ基準は、企業によって異なる場合があり、さまざまなビジネス要因に影響を受けます。業界で尊重されている CIS ベンチマーク、CIS コントロール、および CSA クラウドコントロールマトリックスなどの基準は、組織が従うべき一般的な推奨ガイドラインを提供しています。その中には、アクセス制御管理、完全な可視性とインベントリ管理のプラクティス、データ保護、およびインフラ管理に焦点を当てた原則がいくつかあります。
AWS で SOC 2 を導入するには
AWS は SOC2 規制を遵守しており、それを証明するドキュメントを提供しています。また、AWS のユーザー企業も対策を講じる必要があるという「責任共有」の考え方に依拠しています。SOC 2 タイプ II のレポートを受け取るために、適切なポリシーを設定し、クラウドセキュリティコントロールを確立し、SOC 2 監査を依頼することは、AWS ユーザーの責任です。
Azure で HIPAA に準拠するには
Azure は、HIPAA が求めるデータのセキュリティを確保するため、企業が従うべきクラウドセキュリティのフレームワークや基準について、いくつかの推奨事項を提示しています。たとえば、NIST Cyber Security Framework や Cloud Security Alliance Cloud Controls Matrix などが挙げられます。さらに、Microsoft は、企業が HIPAA 要件に対応できるように、BAA を締結することがあります。
シリーズの次の記事
Cloud Compliance Tools Guide
When choosing a cloud compliance tool, consider capabilities such as policy as code and historical reporting to help maintain and verify your compliance.
続きを読む