クラウドコンプライアンス監視の実施方法

コンプライアンス要件を満たさない場合、業界団体からの除名、多額の罰金、最悪の場合には訴追される可能性があります。オンプレミスでもクラウドでも、コンプライアンス監視は非常に重要です。

コンプライアンス監視は、データベースからネットワークまですべてを対象とし、アプリケーションの更新からインシデント対応まで、さまざまなタスクをカバーします。クラウド コンプライアンス監視戦略を構築するには、まず、ビジネスに影響を与える規制や標準を理解する必要があります。次に、特定のコンプライアンス要件と使用するクラウド プラットフォームに基づいて、監視プラクティスとツールを展開します。

コンプライアンス要件を理解する

どの業界にも規制要件があり、認証機関や認定機関もあり、政府機関も規制や基準を発行しています。これらの要件に対処するために、企業の法務部門はコンプライアンス基準のリストを用意する必要があります。企業によってはコンプライアンス担当者がいて、内部監査グループも設置されている場合があります。

一般的なコンプライアンス標準または規制には、GDPR、サーベンス・オクスリー法、HIPAA、PCI DSS などがあります。

各コンプライアンス標準には、企業が従わなければならない一連の手順と、適用する必要がある保護対策が関連付けられています。クラウド コンプライアンス監視には、これらの手順と安全対策に関するデータの収集と照合が含まれます。

主な監視タスク

クラウドでのコンプライアンス監視には、次のような複数のタスクが含まれます。

• アプリケーションアクセス監視
• データベースの保護と監視
• アプリケーション変更管理
• インシデント管理とエスカレーション
• ネットワーク監視とセキュリティ
• ログの監視と管理

一般的な戦略は、クラウドおよびネットワーク監視ツールによって収集されたデータを活用して、これらすべてのドメインのコンプライアンス ステータスを一元的に表示するビューを作成することです。このアプローチは、現在のクラウドおよびネットワーク監視の実践に適合します。

クラウド コンプライアンス監視戦略を開始するときは、上記のタスクを分割します。これらのいくつかは、設計時に考慮する必要がある要素です。この場合、アプリケーションがコンプライアンス標準を満たしているかどうかは、開発者がアプリケーションを構築する方法によって決まります。その他は実行時の考慮事項であり、コンプライアンスを確認するために動作中にアプリケーションを監視する必要があることを意味します。企業がクラウド アプリケーションに導入する特定のツールと手順は、コンプライアンス要件がこれらのカテゴリにどのようにマッピングされるかによって異なります。

企業は、開発パイプラインに設計時のコンプライアンス標準を適用し、ログ記録とバージョン監視を通じてそれを検証する必要があります。前者では、クラウド ソフトウェアの起動、実行、レビュー、テスト、展開に対する体系的なアプローチが必要です。チームは、適用可能な各標準要件を実装および文書化するためのツールを特定する必要があります。アプリケーションの設計および開発中に、開発者はコードにイベントまたはログ トリガーを挿入して、コンプライアンス イベントを監視ツールで表示できるようにする必要があります。

Veracode や Checkmarx などのソフトウェア セキュリティとパイプライン管理を対象とするツールは、設計時のコンプライアンス要件の適用に役立ちます。 Momentum QMS、Synopsys の Black Duck、Gensuite など、ソフトウェアとデータ慣行を監査するためのツールも便利な追加機能です。これらはクラウド プラットフォーム固有のものではありません。さらに、Active Directory、LDAP、アプリケーション アクセス制御、ゼロ トラスト ツールなど、ユーザー アカウントがクラウド アプリケーションやリソースにアクセスする方法を制御するコンプライアンス管理ツールも役立つ場合があります。

クラウド チームは、IT ログおよびイベント管理ツールとプラクティスを使用して、設計時にコンプライアンスを確認できます。たとえば、ログ分析では、不完全なバックアップ レコードや、不正アクセスによる潜在的なコンプライアンス違反を検出できます。ここでの目標は、アプリケーションの設計中に確立されたプラクティスを検証し、その実装が成功していることを確認し、不足しているプラ​​クティスや誤ったプラクティスを特定することです。ログの集約、管理、監視ツールには、Dynatrace、Sumo Logic、SolarWinds などの製品が含まれます。

クラウドコンプライアンス監視ツール

IT 管理および監視ツールが不足している中小企業は、監視とコンプライアンス ポリシー分析を組み合わせたツールを検討する必要があります。これらには使いやすさの大きな利点があります。ただし、特定の標準とクラウド プラットフォームのみをサポートする場合があります。

企業のコンプライアンス要件が GDPR や HIPAA などの一般的な標準に限定されている場合、クラウドでホストされるアプリケーションからデータを収集し、標準的で具体的な方法で結果を報告する監視ツールを見つけるのは簡単です。 AWS 向けに設計された Dash ComplyOps など、一部のツールはクラウド プロバイダーに固有のものです。 Kion (旧称 cloudtamer.io) などの他のツールは、広範なコンプライアンス監視およびマッピング機能、およびクラウド管理機能を提供します。 Kion は、一般的な監視だけでなく、特定のコンプライアンス標準もサポートしており、企業はポリシーを通じてコン​​プライアンス標準を関連付けることができます。

要件を満たすクラウド コンプライアンス監視ツールが見つからない場合は、複数のクラウド監視ツールを同時に使用して適切な情報を収集できます。セキュリティ監視は、多くの場合、コンプライアンス監視の構成要素となります。 SolarWinds や NetApp などの IT ベンダーの一般的なツールを使用すると、多くの場合、このタスクを実行できます。クラウド プロバイダーのログ ツールや集中ログ ツールは、多くの場合、セキュリティ コンプライアンスを超えたコンプライアンス データを提供します。クラウドベンダーの例としては、Amazon の集中ログサービスにある Amazon CloudWatch ログや、Azure Monitor の分析および管理機能など​​が挙げられます。このような場合、企業は収集したデータを収集して解釈するために手動のプロセスが必要になる場合があります。

組織が単一のクラウド プロバイダーを使用している場合、コンプライアンス データを収集して分析する手順は非常に簡単です。マルチクラウドや一部のハイブリッド クラウドの展開では、企業は各クラウド展開を個別に監視し、オフライン分析ツールを使用してデータを相関させる必要がある場合があります。

クラウドの可能性は時間とともに変化します。ツールと方法を選択するために使用したすべてのプロセスと選択基準を文書化してください。