クラウドコンプライアンス監視の実施方法

クラウドコンプライアンス監視の実施方法

コンプライアンス要件を満たさない場合、業界団体からの除名、多額の罰金、最悪の場合には訴追される可能性があります。オンプレミスでもクラウドでも、コンプライアンス監視は非常に重要です。

コンプライアンス監視は、データベースからネットワークまですべてを対象とし、アプリケーションの更新からインシデント対応まで、さまざまなタスクをカバーします。クラウド コンプライアンス監視戦略を構築するには、まず、ビジネスに影響を与える規制や標準を理解する必要があります。次に、特定のコンプライアンス要件と使用するクラウド プラットフォームに基づいて、監視プラクティスとツールを展開します。

コンプライアンス要件を理解する

どの業界にも規制要件があり、認証機関や認定機関もあり、政府機関も規制や基準を発行しています。これらの要件に対処するために、企業の法務部門はコンプライアンス基準のリストを用意する必要があります。企業によってはコンプライアンス担当者がいて、内部監査グループも設置されている場合があります。

一般的なコンプライアンス標準または規制には、GDPR、サーベンス・オクスリー法、HIPAA、PCI DSS などがあります。

各コンプライアンス標準には、企業が従わなければならない一連の手順と、適用する必要がある保護対策が関連付けられています。クラウド コンプライアンス監視には、これらの手順と安全対策に関するデータの収集と照合が含まれます。

主な監視タスク

クラウドでのコンプライアンス監視には、次のような複数のタスクが含まれます。

  • アプリケーションアクセス監視
  • データベースの保護と監視
  • アプリケーション変更管理
  • インシデント管理とエスカレーション
  • ネットワーク監視とセキュリティ
  • ログの監視と管理

一般的な戦略は、クラウドおよびネットワーク監視ツールによって収集されたデータを活用して、これらすべてのドメインのコンプライアンス ステータスを一元的に表示するビューを作成することです。このアプローチは、現在のクラウドおよびネットワーク監視の実践に適合します。

クラウド コンプライアンス監視戦略を開始するときは、上記のタスクを分割します。これらのいくつかは、設計時に考慮する必要がある要素です。この場合、アプリケーションがコンプライアンス標準を満たしているかどうかは、開発者がアプリケーションを構築する方法によって決まります。その他は実行時の考慮事項であり、コンプライアンスを確認するために動作中にアプリケーションを監視する必要があることを意味します。企業がクラウド アプリケーションに導入する特定のツールと手順は、コンプライアンス要件がこれらのカテゴリにどのようにマッピングされるかによって異なります。

企業は、開発パイプラインに設計時のコンプライアンス標準を適用し、ログ記録とバージョン監視を通じてそれを検証する必要があります。前者では、クラウド ソフトウェアの起動、実行、レビュー、テスト、展開に対する体系的なアプローチが必要です。チームは、適用可能な各標準要件を実装および文書化するためのツールを特定する必要があります。アプリケーションの設計および開発中に、開発者はコードにイベントまたはログ トリガーを挿入して、コンプライアンス イベントを監視ツールで表示できるようにする必要があります。

Veracode や Checkmarx などのソフトウェア セキュリティとパイプライン管理を対象とするツールは、設計時のコンプライアンス要件の適用に役立ちます。 Momentum QMS、Synopsys の Black Duck、Gensuite など、ソフトウェアとデータ慣行を監査するためのツールも便利な追加機能です。これらはクラウド プラットフォーム固有のものではありません。さらに、Active Directory、LDAP、アプリケーション アクセス制御、ゼロ トラスト ツールなど、ユーザー アカウントがクラウド アプリケーションやリソースにアクセスする方法を制御するコンプライアンス管理ツールも役立つ場合があります。

クラウド チームは、IT ログおよびイベント管理ツールとプラクティスを使用して、設計時にコンプライアンスを確認できます。たとえば、ログ分析では、不完全なバックアップ レコードや、不正アクセスによる潜在的なコンプライアンス違反を検出できます。ここでの目標は、アプリケーションの設計中に確立されたプラクティスを検証し、その実装が成功していることを確認し、不足しているプラ​​クティスや誤ったプラクティスを特定することです。ログの集約、管理、監視ツールには、Dynatrace、Sumo Logic、SolarWinds などの製品が含まれます。

クラウドコンプライアンス監視ツール

IT 管理および監視ツールが不足している中小企業は、監視とコンプライアンス ポリシー分析を組み合わせたツールを検討する必要があります。これらには使いやすさの大きな利点があります。ただし、特定の標準とクラウド プラットフォームのみをサポートする場合があります。

企業のコンプライアンス要件が GDPR や HIPAA などの一般的な標準に限定されている場合、クラウドでホストされるアプリケーションからデータを収集し、標準的で具体的な方法で結果を報告する監視ツールを見つけるのは簡単です。 AWS 向けに設計された Dash ComplyOps など、一部のツールはクラウド プロバイダーに固有のものです。 Kion (旧称 cloudtamer.io) などの他のツールは、広範なコンプライアンス監視およびマッピング機能、およびクラウド管理機能を提供します。 Kion は、一般的な監視だけでなく、特定のコンプライアンス標準もサポートしており、企業はポリシーを通じてコン​​プライアンス標準を関連付けることができます。

要件を満たすクラウド コンプライアンス監視ツールが見つからない場合は、複数のクラウド監視ツールを同時に使用して適切な情報を収集できます。セキュリティ監視は、多くの場合、コンプライアンス監視の構成要素となります。 SolarWinds や NetApp などの IT ベンダーの一般的なツールを使用すると、多くの場合、このタスクを実行できます。クラウド プロバイダーのログ ツールや集中ログ ツールは、多くの場合、セキュリティ コンプライアンスを超えたコンプライアンス データを提供します。クラウドベンダーの例としては、Amazon の集中ログサービスにある Amazon CloudWatch ログや、Azure Monitor の分析および管理機能など​​が挙げられます。このような場合、企業は収集したデータを収集して解釈するために手動のプロセスが必要になる場合があります。

組織が単一のクラウド プロバイダーを使用している場合、コンプライアンス データを収集して分析する手順は非常に簡単です。マルチクラウドや一部のハイブリッド クラウドの展開では、企業は各クラウド展開を個別に監視し、オフライン分析ツールを使用してデータを相関させる必要がある場合があります。

クラウドの可能性は時間とともに変化します。ツールと方法を選択するために使用したすべてのプロセスと選択基準を文書化してください。

<<:  これをクラウドと呼ぶのか?

>>:  Tencent Cloud は、わずか 7 日間でデータ ウェアハウスを構築できる新しいアジャイル データ ウェアハウス製品をリリースしました。

推薦する

国家著作権局: 360 総合検索は百度コンテンツをクロールするために許可を得る必要がある

百度と奇虎360の間の検索紛争を受けて、国家著作権局は最近、360 Searchが百度のコンテンツを...

Vipshop は栄光にもかかわらず、どのような困難に直面しているのでしょうか?

最近の電子商取引のニュースに注目しているかどうかは分かりませんが、ジャック・マー氏がCainiao ...

出会い系サイトの何が問題なのですか? 発展の余地は大きいが、完璧ではない

編集者注: この記事はかなり長いです。コメントする前にじっくり読んでいただくことをお勧めします。積極...

エンタープライズレベルのコンテナクラウドプラットフォームの実装と実践

IT 業界の発展と変化に伴い、IT アプリケーションの基盤となるサポートも、メインフレーム、ミニコン...

Xiong Zhanghao PC版のSEOを最適化する方法!

月収10万元の起業の夢を実現するミニプログラム起業支援プラン百度の新検索が徐々に「ステーション」から...

非主流の共同購入ウェブサイトの人生:自力で生計を立て始める

共同購入ナビゲーションサイト「Tuan800」が発表した最新データによると、3月の共同購入サイト「美...

Baidu Liveに希望はあるのでしょうか?

最近、百度はライブ放送事業を積極的に推進しており、まず「エネルギー集結計画」を打ち出し、100億のト...

マーケティング活動には深い思考と計画が必要です!

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています「ワールド...

昨今のSEO運用におけるよくある問題点と対策(特に初心者向け)

この記事は、SEO初心者が将来のSEOで問題を回避するために読むのに最適です。一緒にSEOを改善し、...

タオバオの発展軌道についての私の理解についての気軽な話

アリババの上場は数え切れないほどの憶測を呼び、その評価額は2000億ドルに達し、多くの人々を羨ましが...

外部リンクをどこに投稿すればよいか分からず、まだ不安ですか?

SEO に携わる人なら誰でも、コンテンツが王様であり、外部リンクが女王であることを知っています。これ...

SEOにはプロダクト思考を活用する

最近友人とチャットしていたとき、私たちは二人とも、SEO 業界には、固定された規範や基準が欠如してい...

Du HuguがCSSの構造とルールを教えます

基本的な構文規則 セレクター 任意の HTML 要素を CSS1 セレクターにすることができます。セ...

Jumei IPOの嘘:モバイルデータの49%は誇張されているが、競争力は偽り

Jumei IPOの嘘:モバイルデータの49%が誇張されていたファイナンシャルウィークリー研修記者 ...

地域装飾ネットワークは、セグメント化された運営の道を歩むことで、小さな市場と大きな利益を達成することもできます。

ローカルデコレーションネットワークは、全国セグメンテーションからローカルセグメンテーション、不動産セ...