クラウド コンピューティングのコンプライアンスを監視する方法

コンプライアンス要件を満たさない場合、企業は協会グループから追放されたり、規制当局から多額の罰金を科せられたり、最悪の場合、法廷で訴追されたりする可能性があります。コンプライアンス監視は、オンプレミスでもクラウドでも、重要な実践です。

コンプライアンス監視は、データベースからネットワークまで、またアプリケーションの更新からインシデント対応までのタスクをすべてカバーします。クラウド コンピューティングのコンプライアンス監視戦略を構築するには、まずビジネスに影響を与える規制や標準を理解する必要があります。次に、特定のコンプライアンス要件と使用するクラウド プラットフォームに基づいて、監視プラクティスとツールを実装します。

コンプライアンス要件を理解する

各業界には独自の規制があり、認証や認定を発行する機関があり、政府機関は適用される規制や基準を施行します。こうした状況を追跡するために、企業の法務部門は適用可能なコンプライアンス基準のリストを用意しておく必要があります。企業によってはコンプライアンス担当者などの役職を設けたり、内部監査グループを設けたりする場合もあります。

一般的なコンプライアンス標準または規制には、GDPR、サーベンス・オクスリー法、HIPAA、PCI DSS などがあります。

各コンプライアンス標準には、従わなければならない一連の手順と、適用すべき保護対策が関連付けられています。クラウド コンプライアンス監視は、これらの手順と保護に関するデータを収集して整理することです。

主な監視タスク

クラウドでのコンプライアンス監視には、次のような複数のタスクを実行する必要があります。

• アプリケーションアクセス監視
• データベースの保護と監視
• アプリケーション変更管理
• インシデント管理とエスカレーション
• ネットワーク監視とセキュリティ
• ログの監視と管理

一般的な戦略は、クラウド コンピューティングとネットワーク監視ツールによって収集されたデータを使用して、これらすべての領域のコンプライアンス ステータスの集中ビューを作成することです。このアプローチは、現在のクラウド コンピューティングおよびネットワーク監視の実践に適合します。

クラウド コンプライアンス監視戦略を開始するには、上記のタスクを分割する必要があります。その一部は設計上の考慮事項です。ここで、アプリケーションは、開発者が構築した方法に基づいてコンプライアンス標準を満たします。その他は主に実行時の考慮事項であり、コンプライアンスを確認するために動作中にアプリケーションを監視する必要があることを意味します。企業がクラウド アプリケーションに適用する特定のツールと手順は、コンプライアンス要件がこれらのカテゴリにどのようにマッピングされるかによって異なります。

開発パイプラインに設計時のコンプライアンス標準を適用し、ログ記録とバージョン監視を通じて検証します。前者では、クラウド コンピューティング ソフトウェアの起動、実行、レビュー、テスト、および展開に対する体系的なアプローチが必要です。チームは、適用可能な各標準の要件を実装および文書化するためのツールを特定する必要があります。アプリケーションの設計および開発中に、開発者はコードにイベントまたはログ トリガーを挿入して、コンプライアンス イベントを監視ツールで表示できるようにする必要があります。

Veracode や Checkmarx などのソフトウェア セキュリティおよびパイプライン管理ツールは、設計時のコンプライアンス要件の強化に役立ちます。 Momentum QMS、Synopsys の Black Duck、Gensuite など、ソフトウェアとデータ慣行を監査するためのツールも役立つ追加機能です。これらは特定のクラウド プラットフォームに固有のものではありません。 Active Directory、LDAP、アプリケーション アクセス制御、ゼロ トラスト ツールなど、ユーザー アカウントがクラウド アプリケーションやリソースにアクセスする方法を制御するコンプライアンス管理ツールも役立つ場合があります。

クラウド チームは、IT ログおよびイベント管理ツールとプラクティスを使用して、設計時にコンプライアンスを確認できます。たとえば、ログ分析では、記録されたバックアップへの不正アクセスによるコンプライアンス違反を検出できます。目標は、アプリケーション設計中に確立されたプラクティスを検証し、実装が成功することを確認して、漏れやエラーを特定することです。ログの集約、管理、監視ツールには、Dynatrace、SumoLogic、SolarWinds などの製品が含まれます。

クラウドコンプライアンス監視ツール

IT 管理および監視ツールが不足している中小企業は、監視とコンプライアンス ポリシー分析を組み合わせたツールを検討する必要があります。これらのツールは使いやすさの点で大きな利点があります。ただし、特定の標準とクラウド プラットフォームのみをサポートする場合があります。

コンプライアンス要件が GDPR や HIPAA などの一般的な標準に限定されている場合は、クラウドでホストされるアプリケーションからデータを収集し、標準的で具体的な方法で検出結果を報告できる監視ツールを簡単に見つけることができます。 AWS 向けに設計された Dash ComplyOps など、一部のツールはクラウド コンピューティング プロバイダーに固有のものです。 Kion (旧称 cloudtamer.io) などの他のツールは、広範なコンプライアンス監視およびマッピング機能、およびクラウド管理機能を提供できます。 Kion は、特定のコンプライアンス標準だけでなく、企業がポリシーを通じてコン​​プライアンス標準に関連付けることができる一般的な監視もサポートします。

要件に適合するクラウド コンプライアンス監視ツールが見つからない場合は、複数のクラウド監視ツールを同時に使用して適切な情報を収集します。セキュリティ監視は、多くの場合、コンプライアンス監視の構成要素となります。 SolarWinds や NetApp などの IT ベンダーの一般的なツールを使用すると、多くの場合、このタスクを実行できます。クラウド プロバイダーのログ ツールや集中ログ ツールは、多くの場合、セキュリティ コンプライアンスを超えたコンプライアンス データを提供します。クラウド ベンダーの例としては、集中ログ サービス内の Amazon Cloud Watch ログや、Azure Monitor の分析および管理機能セットなどがあります。このような場合、企業は収集したデータを収集して解釈するために手動のプロセスが必要になる場合があります。

企業が 1 つのクラウド コンピューティング プロバイダーのみのクラウド コンピューティング サービスを使用する場合、コンプライアンス データを収集して分析する手順は非常に簡単です。マルチクラウドや一部のハイブリッド クラウドの展開では、企業は各クラウド展開を個別に監視し、オフライン分析ツールを使用してデータを相関させる必要がある場合があります。

クラウド コンピューティングのメリットは時間の経過とともに変化しますが、すべてのプロセスと選択基準を文書化することで、ツールと方法論を選択できます。