パブリック クラウドを使用する場合は、次のセキュリティとコンプライアンスの側面を考慮してください...

著者 |アマン・カンドラ

翻訳者 |ブガッティ

企画 |ウー・ムー

独自のサーバーを構築するには、多額の先行投資と継続的なメンテナンスが必要です。そのため、今日ではほとんどのテクノロジー企業がコンピューティングのニーズを満たすために Infrastructure as a Service (IaaS) を使用しています。 Amazon Web Services (AWS)、Google Cloud、Microsoft Azure などのクラウド プロバイダーは、企業向けの新しいマシンのプロビジョニングや最新の状態の維持などのインフラストラクチャ タスクを処理し、企業のチームがアプリケーションの価値ある新機能の構築に集中できるようにします。

クラウドベースの企業では、多くの場合、自社のソフトウェアがセキュリティのベストプラクティスに従って構築されていることを確認する必要があります。コンプライアンス標準と認証は、企業のセキュリティ体制を実証し、顧客との信頼関係を構築する効果的な方法です。

この記事では、アプリケーションのコンプライアンスとセキュリティの観点からパブリック クラウド プロバイダーを使用する利点と、考慮すべき事項に焦点を当てます。

1. クラウドプロバイダーはセキュリティとコンプライアンスの手間を軽減します

企業がクラウド プロバイダーを使用すると、すべてのハードウェアと機能がすでに整っているため、仮想マシンの起動やパフォーマンスの監視などのタスクがはるかに簡単になります。同様に、大手クラウド プロバイダーのほとんどが PCI DSS や SOC 2 などの多くの一般的なセキュリティ認証を取得および維持するためにリソースを投資しているため、企業はクラウド プロバイダーがセキュリティ要件を満たしていることを信頼できます。

さらに、クラウド プロバイダーの国際的な評判は、セキュリティに関する過去の実績によって決まります。

全体的な信頼度に加えて、クラウド プロバイダーを使用すると、コンプライアンス指向の機能がすべて備わっているため、企業は SOC 2 や ISO/IEC 27001 などのセキュリティ認証を取得し、維持しやすくなります。以下に、クラウド プロバイダーが提供する機能のいくつかの例を示します。

2. コンプライアンスを実現するための組み込み機能

クラウド プロバイダーは、ユーザーが業界のベスト プラクティスや規制に準拠できるようにするための多くの組み込み機能を提供します。 AWS S3 を例にすると、企業はサービスに保存されているオブジェクト (ファイルとフォルダ) に対して特別な保持ポリシーを作成できます。オブジェクトの削除とオブジェクトの有効期限に関する制限を適用するように構成できます。これにより、顧客データやビジネスデータを長期間保持しないことを要求する金融などの分野でコンプライアンス基準を満たすことが容易になります。

クラウド プロバイダーが企業の業務を簡素化するもう 1 つの領域は、オペレーティング システムとソフトウェア パッケージを自動的に更新するメンテナンスです。 AWS Lambda を例にとると、企業のコードは軽量の分離された環境で実行されます。 AWS は基盤となるホストの保守に全責任を負うため、企業の技術運用チームの心配事が 1 つ減ります。

3. コンプライアンス監視ツールとの統合

Vanta や Drata などのコンプライアンス ツールは、いくつかの主要なクラウド プロバイダーと統合されており、企業はコンプライアンス基準が満たされているかどうかを自動的に監視できます。これらのツールはクラウド プロバイダー API に直接プラグインされるため、関連データを自動的に抽出し、構成ミスがあった場合にアラートを送信できます。

4. 組み込みの監査ログとイベント追跡

クラウド プロバイダーはすでに監査ログを収集し、会社のアカウントでイベントを追跡しているため、一部の認定監査チェックは容易になります。たとえば、Google Cloud Storage は、さまざまな詳細レベルの複数のログ記録オプションを直接提供します。クラウド サービスでログ収集メカニズムを作成するのは簡単です。したがって、ログを監査人と共有する必要があるときはいつでも、企業はコンプライアンスの証拠として結果を抽出できます。

5. ユーザー管理ときめ細かな権限設定

会社のクラウド プロバイダー アカウントへの特権アクセスを許可するユーザーを慎重に選択することは、セキュリティ侵害の可能性を大幅に減らすのに役立ちます。このため、多くの企業は最小権限の原則に従っています。クラウド プロバイダーは、この原則を満たすために、権限が制限されたユーザー アカウントを作成するためのさまざまなオプションを提供しています。

たとえば、Azure の ID およびアクセス管理サービスである Azure AD を使用すると、個々のクラウド サービス レベルで、さらにはそのサービス内の個々のプロジェクト レベルでも、ユーザー権限を構成できます。

いくつかの大手クラウド プロバイダーは、API のみのユーザーを作成したり、資格情報を作成せずに会社のインフラストラクチャ内の仮想マシンに特定のユーザー ロールを引き受けさせたりすることもできます。

これまで、セキュリティとコンプライアンスの観点から見たクラウド プロバイダーの利点について説明してきました。ただし、注意すべき重要な点がいくつかあり、それらは次のセクションで詳しく説明します。

6. クラウドプロバイダーは企業のコンプライアンス問題を解決するだけではない

クラウド プロバイダーは、企業がコンプライアンスを達成しやすくするためのさまざまな機能を実装しています。ただし、コンプライアンス要件を満たすために何を使用する必要があるかを決定するのは、企業と個々の開発チーム次第です。コンプライアンスを達成し維持するプロセスには、有資格者のアドバイスの取得、必要な管理策の実施、長期的な監視措置の実施が含まれる必要があります。クラウド プロバイダーの機能により、ユーザーがこれらの手順を完了する手間が軽減されます。

SOC2 などのセキュリティ認証を取得する場合、クラウド サービスの顧客にとって近道はないことに注意してください。企業は、社内であれクラウド プロバイダーを通じてであれ、実際に安全な慣行を採用しているという証拠を提供する必要があります。企業は、IaaS プロバイダーのセキュリティ認定を確認し、裏付けとなる文書を要求し、それを監査人に提供する必要があります。各監査要件は、クラウド プロバイダーまたは会社から直接提供される証拠を通じて満たされる必要があります。魚は網をすり抜けることはできない。

7. コンプライアンスコスト

コンプライアンスと安全性の認証を取得する際に考慮すべきもう 1 つの要素はコストです。ほとんどの企業は、クラウド内のコンプライアンス関連サービスがいかに高価であるかを認識していません。 AWS GuardDuty は、イベントログを収集して保存する人気のサービスで、料金はイベント数に基づいて決まります。毎日何百万ものイベントが GuardDuty に送信されると、総コストがすぐに増加する可能性があります。

さらにコストを複雑にしているのは、従量課金制のコンプライアンス サービスでは使用パターンや将来のコストを見積もることが困難な場合が多いことです。 GuardDuty を例にすると、企業が毎日生成されるイベントの数を把握していれば、将来のコストも簡単に把握できます。しかし、インシデントの量を予測することは難しく、技術チームが複雑な SaaS アプリケーションのインシデントの合理的な見積もりを出すには数週間かかることもあります。

コストに上限がない可能性があることを考慮すると、パブリック クラウドのコンプライアンスはコスト最適化の取り組みになります。賢明な企業は、時間をかけて予測コストを計算し、さまざまなセキュリティ リスクの発生可能性と影響を見積もります。たとえば、金融サービス会社でデータ侵害が発生すると、そのビジネスに壊滅的な影響を与える可能性があるため、そのような企業はコンプライアンスコストの上昇を喜んで受け入れる可能性があります。ただし、セキュリティ リスクが低い企業の場合、高いコンプライアンス コストは正当化されない可能性があります。

ほとんどのクラウド プロバイダーは、コンプライアンスを達成するための複数の方法を提供していることに留意してください。たとえば、GuardDuty が企業のユースケースには高価すぎる場合、特定のコンプライアンス チェックを満たす他の方法があります。たとえば、企業はアクティブなイベント監視を実装するのではなく、すべてのシステムのスクリプト化されたチェックを毎週実行することを選択する場合があります。企業は、使用頻度の低いサービスに対して監視を有効にすることもできますが（そのため、それほど多くの費用はかかりません）、アプリケーションのトランザクション量が多い部分については他のオプションを検討する必要があります。

8. 従うべきベストプラクティス

ここでは、クラウド セキュリティに関するベスト プラクティスに従うためのヒントをいくつか紹介します。

（１）承認ワークフロー

承認ワークフローは、プロジェクト タスクを監視し、期限内に完了し、ビジネス要件と製品要件を満たし、エラーがないことを確認するための正式なプロセスです。明確な基礎プロセスと関連する監査ログを備えた標準化された承認ワークフローにより、コンプライアンス チェックへの適合が容易になります。サーバーレス コンピューティングなどのクラウド テクノロジーを使用して承認ワークフローを実装する便利な方法は数多くあります。

（２）サードパーティのサービスを確認する

企業は、クラウド プロバイダーの使用に加えて、サードパーティのソフトウェア ツールを使用することもできます。企業のコンプライアンス監視プロセスには、使用するサードパーティ サービスのセキュリティ制御とコンプライアンス標準の検証が含まれる必要があります。コンプライアンス認証を取得することで、クライアントにとってこの部分の作業がいかに容易になるかを確認したいですか?

（３）自動化

コンプライアンスは手動で追跡できますが、特に何千もの顧客を抱える SaaS アプリケーションの場合、そうすることは持続可能ではありません。コンプライアンスを監視し、会社のインフラストラクチャの一部がコンプライアンスに準拠しなくなった場合にアラートを作成するには、ソフトウェア ツールと自動化を使用することをお勧めします。これにより、プロセスがより高速かつ堅牢になります。認証にとって最も重要なのは、監査が容易になることです。

オリジナルリンク: https://dzone.com/articles/security-and-compliance-considerations-for-the-pub-1​