クラウドコンプライアンス監視の実施方法

クラウドコンプライアンス監視の実施方法

コンプライアンス要件を満たさない場合、業界団体からの除名、多額の罰金、最悪の場合には訴追される可能性があります。オンプレミスでもクラウドでも、コンプライアンス監視は非常に重要です。

コンプライアンス監視は、データベースからネットワークまですべてを対象とし、アプリケーションの更新からインシデント対応まで、さまざまなタスクをカバーします。クラウド コンプライアンス監視戦略を構築するには、まず、ビジネスに影響を与える規制や標準を理解する必要があります。次に、特定のコンプライアンス要件と使用するクラウド プラットフォームに基づいて、監視プラクティスとツールを展開します。

コンプライアンス要件を理解する

どの業界にも規制要件があり、認証機関や認定機関もあり、政府機関も規制や基準を発行しています。これらの要件に対処するために、企業の法務部門はコンプライアンス基準のリストを用意する必要があります。企業によってはコンプライアンス担当者がいて、内部監査グループも設置されている場合があります。

一般的なコンプライアンス標準または規制には、GDPR、サーベンス・オクスリー法、HIPAA、PCI DSS などがあります。

各コンプライアンス標準には、企業が従わなければならない一連の手順と、適用する必要がある保護対策が関連付けられています。クラウド コンプライアンス監視には、これらの手順と安全対策に関するデータの収集と照合が含まれます。

主な監視タスク

クラウドでのコンプライアンス監視には、次のような複数のタスクが含まれます。

  • アプリケーションアクセス監視
  • データベースの保護と監視
  • アプリケーション変更管理
  • インシデント管理とエスカレーション
  • ネットワーク監視とセキュリティ
  • ログの監視と管理

一般的な戦略は、クラウドおよびネットワーク監視ツールによって収集されたデータを活用して、これらすべてのドメインのコンプライアンス ステータスを一元的に表示するビューを作成することです。このアプローチは、現在のクラウドおよびネットワーク監視の実践に適合します。

クラウド コンプライアンス監視戦略を開始するときは、上記のタスクを分割します。これらのいくつかは、設計時に考慮する必要がある要素です。この場合、アプリケーションがコンプライアンス標準を満たしているかどうかは、開発者がアプリケーションを構築する方法によって決まります。その他は実行時の考慮事項であり、コンプライアンスを確認するために動作中にアプリケーションを監視する必要があることを意味します。企業がクラウド アプリケーションに導入する特定のツールと手順は、コンプライアンス要件がこれらのカテゴリにどのようにマッピングされるかによって異なります。

企業は、開発パイプラインに設計時のコンプライアンス標準を適用し、ログ記録とバージョン監視を通じてそれを検証する必要があります。前者では、クラウド ソフトウェアの起動、実行、レビュー、テスト、展開に対する体系的なアプローチが必要です。チームは、適用可能な各標準要件を実装および文書化するためのツールを特定する必要があります。アプリケーションの設計および開発中に、開発者はコードにイベントまたはログ トリガーを挿入して、コンプライアンス イベントを監視ツールで表示できるようにする必要があります。

Veracode や Checkmarx などのソフトウェア セキュリティとパイプライン管理を対象とするツールは、設計時のコンプライアンス要件の適用に役立ちます。 Momentum QMS、Synopsys の Black Duck、Gensuite など、ソフトウェアとデータ慣行を監査するためのツールも便利な追加機能です。これらはクラウド プラットフォーム固有のものではありません。さらに、Active Directory、LDAP、アプリケーション アクセス制御、ゼロ トラスト ツールなど、ユーザー アカウントがクラウド アプリケーションやリソースにアクセスする方法を制御するコンプライアンス管理ツールも役立つ場合があります。

クラウド チームは、IT ログおよびイベント管理ツールとプラクティスを使用して、設計時にコンプライアンスを確認できます。たとえば、ログ分析では、不完全なバックアップ レコードや、不正アクセスによる潜在的なコンプライアンス違反を検出できます。ここでの目標は、アプリケーションの設計中に確立されたプラクティスを検証し、その実装が成功していることを確認し、不足しているプラ​​クティスや誤ったプラクティスを特定することです。ログの集約、管理、監視ツールには、Dynatrace、Sumo Logic、SolarWinds などの製品が含まれます。

クラウドコンプライアンス監視ツール

IT 管理および監視ツールが不足している中小企業は、監視とコンプライアンス ポリシー分析を組み合わせたツールを検討する必要があります。これらには使いやすさの大きな利点があります。ただし、特定の標準とクラウド プラットフォームのみをサポートする場合があります。

企業のコンプライアンス要件が GDPR や HIPAA などの一般的な標準に限定されている場合、クラウドでホストされるアプリケーションからデータを収集し、標準的で具体的な方法で結果を報告する監視ツールを見つけるのは簡単です。 AWS 向けに設計された Dash ComplyOps など、一部のツールはクラウド プロバイダーに固有のものです。 Kion (旧称 cloudtamer.io) などの他のツールは、広範なコンプライアンス監視およびマッピング機能、およびクラウド管理機能を提供します。 Kion は、一般的な監視だけでなく、特定のコンプライアンス標準もサポートしており、企業はポリシーを通じてコン​​プライアンス標準を関連付けることができます。

要件を満たすクラウド コンプライアンス監視ツールが見つからない場合は、複数のクラウド監視ツールを同時に使用して適切な情報を収集できます。セキュリティ監視は、多くの場合、コンプライアンス監視の構成要素となります。 SolarWinds や NetApp などの IT ベンダーの一般的なツールを使用すると、多くの場合、このタスクを実行できます。クラウド プロバイダーのログ ツールや集中ログ ツールは、多くの場合、セキュリティ コンプライアンスを超えたコンプライアンス データを提供します。クラウドベンダーの例としては、Amazon の集中ログサービスにある Amazon CloudWatch ログや、Azure Monitor の分析および管理機能など​​が挙げられます。このような場合、企業は収集したデータを収集して解釈するために手動のプロセスが必要になる場合があります。

組織が単一のクラウド プロバイダーを使用している場合、コンプライアンス データを収集して分析する手順は非常に簡単です。マルチクラウドや一部のハイブリッド クラウドの展開では、企業は各クラウド展開を個別に監視し、オフライン分析ツールを使用してデータを相関させる必要がある場合があります。

クラウドの可能性は時間とともに変化します。ツールと方法を選択するために使用したすべてのプロセスと選択基準を文書化してください。

<<:  これをクラウドと呼ぶのか?

>>:  Tencent Cloud は、わずか 7 日間でデータ ウェアハウスを構築できる新しいアジャイル データ ウェアハウス製品をリリースしました。

推薦する

「新しいインフラ」はクラウドサービス市場にとって「最後の一押し」

2020年に新型コロナウイルス感染症の流行が始まって以来、全国各地で「新たなインフラ」を求める声が聞...

digitalocean: VPSリソースの無料ダブルアップグレード、無料$100

digitalocean からの最新ニュース: 通常の VPS の価格は変更されていませんが、メモリ...

アメリカの眼鏡電子商取引会社ワービー・パーカーは年間1億ドルの収益を上げている

アメリカのアイウェア電子商取引ウェブサイトであるワービー・パーカーは、2010年後半に設立され、エン...

UCloud CEO 冀新華氏が上海市第15回人民代表大会の代表に選出

12月27日、上海市人民代表大会常務委員会は第15回上海市人民代表大会の代表者名簿を発表した。 UC...

違いは何でしょうか? なぜRenrenは中国のFacebookになっていないのでしょうか?

陳一州が以前「一戦三戦」と叫んだことを覚えていますか? 今の戦いはどうなっているのでしょうか。最近、...

クラウド アプリケーション移行の問題を回避する 4 つの解決策

企業が重要なビジネス アプリケーションをクラウドで実行することに決めたら、別のベンダーに切り替えるこ...

friendhosting: 8 つのデータセンターの VPS が 45% オフ、カスタム ISO、無制限のトラフィック

ブルガリアのマーチャントfriendhostingのブラックフライデープロモーションが始まりました。...

SEO最適化に適した仮想ホストの選び方

ウェブサイトの SEO 最適化では、ウェブサイトのスペースとドメイン名が重要な役割を果たすため、ウェ...

ページレベルのSEOに関する3つのヒントを共有

今日はページレベルのSEOのコツを3つ紹介します。ページの読み込み速度やサイトの構造などは、直接実践...

2018年上海Chinajoyゲーム&アニメーションカンファレンス前の完全ガイド!

「新技術、新エンターテインメント、新価値」をテーマにした第16回ChinaJoy 2018が、8月3...

SEO トラフィック サイトはどのようにして検索エンジンを通じてトラフィックを取得するのでしょうか?

月収10万元の起業の夢を実現するミニプログラム起業支援プラントラフィックサイトは多くのSEO専門家が...

この激動の時代において、ビデオ業界の運命を決めるのは、お金か、コンテンツか、それともモデルか?

有名なトークショー司会者の高小松氏がトークショー「小碩」で優酷から愛奇芸に「移籍」した際、彼はすぐに...

この不安定な労働環境において SEO 担当者は何をすべきでしょうか?

2012年のSEO環境について言えば、誰もがそれを一言で簡潔にまとめると思います。それは「混沌」です...

SEO 担当者が知っておくべきウェブサイト最適化に関する 100 の質問と回答 (パート 3)

SEOに取り組む過程で、誰もが何らかの問題に遭遇します。誰もがこれらの一般的なSEOの問題をより明確...