コンプライアンスのモダナイズ: リスクとコンプライアンスの管理のコード化

※この投稿は米国時間 2021 年 11 月 13 日に、Google Cloud blog に投稿されたものの抄訳です。

一般に報告されているほぼすべてのクラウドにおける侵害は、基盤となるクラウド インフラストラクチャを不正使用した攻撃ではなく、構成ミスから引き起こされています。構成ミスがセキュリティ リスクの原因であり続けているのは、ほとんどのセキュリティおよびコンプライアンス対策が後から講じられるためです。各種チームが関与するのは CI/CD プロセスの後半になってからなので、構成ミスがビルドプロセス中ではなくランタイム時に特定されるのです。ランタイム セキュリティに頼ることで、開発者とセキュリティ担当者の間に摩擦も生じます。その理由は、ランタイム ツールは本質的に CI/CD プロセスの最後にデプロイされるものであるため、多くの場合、本番環境への移行への最終関門あるいはそれを阻害するものとみなされるからです。

開発プロセスの早期段階で構成ミスとコンプライアンス違反のリスクを回避し、これらに対処するために、セキュリティ責任者はセキュリティのコード化を導入して、DevOps のスピードとアジリティの獲得、リスクの削減、クラウドでのより安全な価値創出を実現するようになっています。

「あらゆる環境での制御の導入と適切な運用を精密にモデル化してから、継続的にモニタリングできることが不可欠です。ソフトウェア定義による環境（つまり、クラウドネイティブのワークロード）では、これが可能なだけではありません。さらに重要な点は、他の環境よりもそれを簡単に達成でき、続ければ続けるほど、継続的なモニタリングが容易になることです。」 -Google Cloud 最高情報セキュリティ責任者 Phil Venables 

セキュリティの構成ミスを回避し、クラウドのコンプライアンスを自動化するというニーズと機会を特定した Google のサイバーセキュリティ対応チームから、リスクとコンプライアンスの管理のコード化（RCaC）ソリューションのリリースをお知らせします。 

RCaC ソリューション スタックは、以下の Google Cloud プロダクト、ブループリント、パートナーとの統合、ワークショップ、サービスを組み合わせてコンプライアンスおよびセキュリティの制御を自動化し、簡素化と価値創出までの時間の短縮を実現します。

• Assured Workloads、Security Command Center（SCC）、Risk Manager などの既存のプロダクト。Assured Workloads により、Google のブループリントの一部でも表現されている安全な構成と制御を、API を介してクラウド アーキテクチャでコードとして定義できます。SCC を使用すると、セキュリティの構成ミスとコンプライアンス違反を継続的にモニタリングできます。  Risk Manager はサイバー保険を利用するためのツールを備えており、これによって Google Cloud 環境でリスクに対処できます。

• ブループリントの中核的なセット - セキュリティ基盤、Anthos セキュリティ ブループリント、ワークロード固有のブループリント（PCI DSS on GKE など）、インフラストラクチャとポリシーを体系化する FedRAMP 対応の 3 層ワークロードなど。ブループリントを使用すると、クラウド環境を安全かつ規制に準拠した方法で迅速に構成できます。

• ブループリント環境からの逸脱を検出するための SCC によるパートナーとの統合（Sysdig およびその他）。これらの統合によって対応範囲が Google Cloud のネイティブ制御を超えて拡張され、マルチクラウド コンプライアンスの改善とリスクの削減を実現できます。

• 一般的なコンプライアンス フレームワーク（NIST 800-53、PCI DSS、ISO 27001 など）にマッピングされたポリシー ライブラリ セットと、コードとして表現可能な予防制御および検出制御。これらのポリシーは、前述のフレームワークから体系化できる制御がどれであるかを伝えます。

• 迅速なセキュリティ組織変革と DevSecOps 変革のためのホワイトペーパーとワークショップ。

• 組織でのソリューションの試験運用を可能にするプロフェッショナル サービスとパートナー主導のアクセラレータ プログラム。

リスクとコンプライアンスの管理のコード化の運用

RCaC ソリューションによって、お客様は IaC（Infrastructure as Code）および PaC（Policy as Code）を介してブループリントの形で自動化を導入できます。これにより、予防制御の基盤が構築されます。さらに、IaC および PaC テンプレートがビルドで使用される前にそのセキュリティおよびコンプライアンス違反を評価することで、お客様はセキュリティおよびコンプライアンス対策を「シフトレフト」できます。

成熟度が次のレベルに進むと、検出のコード化が可能になります。これは、（セキュリティとコンプライアンスの）逸脱をモニタリングし、コンプライアンス違反のインフラストラクチャが特定された場合に対策を講じるというものです。これにより、構成ミスの回避に役立つ継続的なモニタリング ループが実現します。クラウドネイティブのツールにより、このモデルを広範囲で運用できます。

リスクとコンプライアンスの管理のコード化がもたらす 3 つの主要なメリット

RCaC により Google が目指すのは、セキュリティおよびコンプライアンスの要件をコードとして表現してシフトレフトを実施するために必要なコンポーネントをお客様に提供し、以下を実現することです。

• 構成ミスのリスクと影響の削減

• 自動化とコードに基づいた継続的なコンプライアンスおよびセキュリティ モニタリング環境

• 開発者とセキュリティ チームおよびコンプライアンス チームの間の摩擦が少ない文化への転換の推進

Google は RCaC によって、GRC 担当者がインフラストラクチャのモダナイズの際に経験する監査の負担と疲労を軽減すると同時に、そのコンプライアンスの要件に対応し続けることを目指しています。

リスクとコンプライアンスの管理のコード化（RCaC）アプローチの導入

RCaC を導入する場合、ほぼすべての組織でポリシー、アーキテクチャ、文化の大幅な変化が必要になります。コンプライアンスに関するマインドセットを、事後対応または簡単な確認作業から事前対応へと変化させる必要があります。Google のソリューションは、組織におけるこの転換を支援します。

この理由から、多くの組織が RCaC フレームワークを使用して、機密性と重要度に応じてワークロードを分類し、ワークロードのリスクとデプロイのタイプに基づいて特定の予防制御を適用しています。この体系化を実現すると、Security Command Center 内のツールを利用して、逸脱やコンプライアンス違反を継続的にモニタリングできるようになります。最終的に、お客様はカスタムの逸脱修正機能を構築するか、保険会社による Google の Risk Protection Program を使用して、セキュリティ リスクを削減し、Google Cloud のお客様専用に設計されたサイバー保険ポリシーも利用できるようになります。

「ブループリントを使用して簡単にコンプライアンス標準に準拠できれば、お客様にとって大きなメリットです。適切な構成と制御のコード化を自動化することで、リスクを削減し、クラウドの成功を促進できます。Google Cloud のお客様は、Sysdig Secure などのツールを使用して簡単に逸脱をモニタリングし、長期間にわたって安全性とコンプライアンスを維持していることを確認できます。その一方で、ランタイムの可視性も獲得できるのです」と、Sysdig の研究開発部門担当 VP の Omer Azaria 氏は語っています。

さらに RCaC はアーキテクチャの将来像となり、さまざまな自動化のユースケースに必要とされる主要な意思決定の概要を示します。このアプローチは、自己修復機能を備えたクラウド ネイティブ インフラストラクチャと自動クラウド セキュリティへの道も切り拓きます。  

このソリューションについて詳しくは、こちらのウェブサイトをご覧ください。さらに広範なコンテキストについては、Google のサイバーセキュリティ対応チームによるホワイトペーパー『Assuring Compliance in the Cloud』を参照し、Google Cloud Security Podcast「Making Compliance Cloud-native」（エピソード 14）もお聴きください。このソリューションの導入をご希望の場合は、Google Cloud セールスに概要をお問い合わせください。

- クラウド カスタマー エンジニアリング部門セキュリティ＆コンプライアンス スペシャリスト Zeal Somani