Audit Manager でクラウド コンプライアンス監査をシフトレフトする
Pratik Bhangale
Product Manager, Google Cloud
Elise Bailey
Cloud Program Manager, Google Cloud
※この投稿は米国時間 2024 年 11 月 16 日に、Google Cloud blog に投稿されたものの抄訳です。
クラウド コンプライアンスは、組織にとって規制遵守面および技術面で大きな課題となり得えます。このような課題の例として、多くの場合、お客様とクラウド プロバイダとの間のコンプライアンス責任と説明責任の明確化が挙げられます。
Google Cloud は、お客様のクラウド エンジニアリング チーム、コンプライアンス チーム、監査チームが直面するこういった課題を理解しており、各チームが課題に対処しやすくなるよう支援したいと考えています。そこで、コンプライアンス監査プロセスのデジタル化と合理化を支援する Audit Manager サービスの一般提供を開始しました。
Google Cloud の全階層におけるコンプライアンス
手作業による証拠収集に依存した従来のコンプライアンス手法は、非効率的で誤りが発生しやすく、大量のリソースを消費します。Gartner® の監査アンケートによると、「2024 年における主要優先事項についてのアンケートに回答した最高監査責任者(CAE)の 75% が、急速に変化するサイバーセキュリティ環境に対応するための監査の能力を最優先事項に挙げており、これが最も多く挙げられた優先事項となっています。」
Audit Manager の紹介
Audit Manager は、以下を提供することにより、組織のコンプライアンス対策を促進できます。
-
共有責任の明確な概要: クラウド プロバイダとお客様の間のコンプライアンス義務を明確化し、お客様のワークロードに見合った実行可能な推奨事項を提示する共有責任のマトリックス。
-
自動コンプライアンス評価: 業界標準の技術管理要件と比較したシンプルかつ自動的な方法でのお客様のワークロード評価。Audit Manager はすでに、NIST 800-53、ISO、SOC、CSA-CCM など、一般に普及している業界および規制フレームワークに対応しています。対応しているフレームワークの全一覧はこちらをご覧ください。
-
監査に対応するエビデンス: コンプライアンスの要求と包括的なガバナンス活動を支援する、包括的で検証可能なエビデンス レポートの自動生成。Audit Manager では、フレームワーク レベルでのコンプライアンス実施の概要を速やかに確認でき、管理機能レベルのレポートを使用して詳細を調査することもできます。
-
実行可能な改善ガイダンス: 特定された各コンプライアンス ギャップに迅速に対処するための分析情報。
Audit Manager を使用したコンプライアンス監査の流れ
クラウド コンプライアンス監査プロセスでは、責任の明確化、リスクの特定と軽減、裏付けデータの収集、最終レポートの作成が行われます。このプロセスでは、それぞれ固有のタスクを担うガバナンス、リスク、コンプライアンスのアナリスト、コンプライアンス マネージャー、開発者、監査人が協力する必要があります。Audit Manager は、関係するすべてのロールにとってこのプロセスを合理化することで、各ロールの作業の簡素化と効率化を支援します。
Audit Manager を使用して、コンプライアンス監査プロセスをシフトレフトする。
お客様事例: Deutsche Börse Group
国際的な証券取引所であり、革新的な市場インフラストラクチャを提供する Deutsche Börse Group は、2022 年に Google Cloud との戦略的パートナーシップを開始しました。同社のクラウド変革の取り組みは順調に進んでいますが、それに伴い、同社の環境におけるコンプライアンスの確保と文書化という課題も生じています。
Deutsche Börse Group で Google Cloud のクラウド ガバナンス責任者を務める Florian Rodeit 氏は、ラスベガスの Google Cloud Next 2024 のセッションで Audit Manager の話を初めて聞きました。
「Audit Manager プロダクトを導入することで、一定レベルの自動化と監査管理が可能となりますが、これには多くの可能性が秘められています。Deutsche Börse Group では、プレビューにアクセスし、機能を詳細に確認して、共同ソリューションを構築できることを嬉しく思いました」と同氏は語っています。
Audit Manager のヨーロッパでのプレビュー版リリースを受け、Deutsche Börse Group と Google Cloud は、Audit Manager によるクラウド管理の自動化を模索する共同プロジェクトを立ち上げました。Deutsche Börse Group は、組織全体のクラウド管理要件に対応するための包括的なコントロール カタログをすでに作成していました。同社は、Audit Manager の入力を作成するために、Cloud Security Alliance の Cloud Controls Matrix を自社で記述したルール フレームワークと照らし合わせて分析し、クラウド固有の管理機能の所有権と実装ガイドラインを定めました。
現在、Deutsche Börse Group は、Audit Manager を使用して、承認されたリージョン以外で設定されたリソースなど、管理フレームワークから逸脱して構成されたリソースの有無を確認できるようになりました。これにより、コンプライアンスを維持した Google Cloud のリソース使用の特定要件に対応する、自動化された、監査可能な証拠が提供されます。
この共同プロジェクトを主導するのは、Deutsche Börse Group のクラウド ガバナンス担当バイス プレジデントを務める Benjamin Möller 氏です。「今後、Audit Manager によって技術的管理機能の多くを自動化できるようになり、当社がコンプライアンスを徹底し、コンプライアンス違反を迅速に特定および是正して、監査証拠を手作業で集める負担を最小限に抑えることができるようになると期待しています。当社は、今後もこの共同事業を進展させることを楽しみにしています」と同氏は述べています。
次のステップ
Audit Manager を使用するには、Google Cloud コンソールから直接ツールにアクセスします。Google Cloud コンソールの [コンプライアンス] タブに移動し、[Audit Manager] を選択します。Audit Manager の使用に関する包括的なガイドについては、詳細なプロダクト ドキュメントをご覧ください。Audit Manager のユーザー エクスペリエンス向上のため、本サービスに関するご意見をお寄せください。
ー Google Cloud、プロダクト マネージャー Pratik Bhangale
ー Google Cloud、クラウド プログラム マネージャー Elise Bailey
