Aikido
無料で始める
CC不要
学ぶ
/
コンプライアンスフレームワークハブ
/
第1章第2章第3章

開発者向け監査準備

3分で読めます240

監査。その言葉だけで開発者を震え上がらせることがあります。終わりのない会議、数ヶ月前に書かれたコードに関する細かい質問、そして不明瞭なドキュメントの要求といった光景が目に浮かびます。しかし、それほど悪いものばかりではありません。

監査の準備は、監査人をなだめることだけではありません。これまで行ってきたセキュリティとコンプライアンスの作業が実際に効果的であることを証明することです。開発者にとっては、監査人がワークフローでどのような証拠を求めるかを知り、スプリントを妨げることなくそれを提示する方法を理解することが重要です。

開発ワークフローにおける証拠のあり方

監査官は通常、生のソースコードを読みたがりません(特定のコード監査でない限り)。彼らが求めているのは、プロセスコントロールが機能しているという証拠です。標準的な開発ワークフローでは、証拠は次のようになります。

  • バージョン管理履歴:
    • チケット/課題にリンクされたコミット: 変更が計画され、追跡されたことを示します(変更管理統制に関連)。
    • プルリクエスト(PR)記録: コードレビュー、必要な承認、マージ前の自動チェック(SAST、SCA、テスト)の合格を示す証拠。これは、セキュアなSDLCプラクティス(NIST SSDF、PCI DSS要件6、ISO 27001 A.14)を実証するための貴重な情報です。
    • ブランチ戦略のドキュメント: コード変更を管理するための統制されたプロセスを示します。
  • CI/CDパイプラインログ:
    • 実行履歴: ビルド/デプロイがいつ行われたかを示すタイムスタンプです。
    • スキャン結果: 特定のビルドにおけるSAST、SCA、IaCのスキャン結果を示すログまたはアーティファクト(脆弱性管理の証拠)。
    • テスト結果: 自動化された単体テスト、結合テスト、セキュリティテストからのレポート。
    • デプロイ承認: デプロイのために手動または自動のゲートが通過したことを示すログ。
  • 課題トラッカー記録 (Jiraなど):
    • 脆弱性チケット:スキャンまたはテストからのセキュリティ発見事項の特定、割り当て、修正、および検証を追跡します。機能する脆弱性管理プロセス(PCI DSS要件6/11、ISO 27001 A.12.6、NIST SSDF RV)を示します。
    • 変更要求チケット: 計画された変更、承認、および関連するコードコミット/PRへのリンクを文書化します。
  • ツールの構成と出力:
    • スキャナー設定: SAST/SCA/DASTツールがどのように設定され、どのルールがアクティブであるかを示します。
    • IaCスキャンレポート: インフラストラクチャコードに設定ミスがないかチェックされたことの証明。
    • シークレットスキャンレポート: コードがハードコードされた認証情報についてスキャンされた証拠。
  • ドキュメント:
    • セキュアコーディング標準: 開発者が従うべきガイドライン。
    • 脅威モデル: 設計フェーズ中に作成されたドキュメント。
    • トレーニング記録: 開発者がセキュリティ意識向上トレーニングまたはセキュアコーディングトレーニングを完了した証拠(多くの場合、人事またはコンプライアンスチームによって管理されますが、関連性があります)。
    • ランブック/手順: インシデント対応、または開発者が参加する特定のセキュリティプロセスのためのドキュメントです。

監査官は、コントロールが単なる理論ではなく、一貫して適用されていることを示す、有形であり、できればタイムスタンプ付きの証拠を求めます。

ドキュメントと追跡の自動化

手動での証拠収集は手間がかかり、エラーが発生しやすいです。可能な限り自動化してください:

  • 既存のツールを活用: 既存の開発ツールはすでに多くの証拠を生成しています。それらが正しく構成されていることを確認してください:
    • Gitプラットフォーム(GitHub、GitLab、Bitbucket): PR要件(レビュー、ステータスチェック)を強制します。コミットメッセージを課題トラッカーにリンクさせます。
    • CI/CDプラットフォーム(Jenkins、GitLab CI、GitHub Actions): 詳細なロギングが有効になっていることを確認してください。スキャンレポートとテスト結果をアーティファクトとして保存するようにパイプラインを設定してください。自動化された品質およびセキュリティゲートを統合してください。
    • 課題トラッカー (Jira): ワークフローを使用して脆弱性の修正状況を追跡します。課題をコミット/PRにリンクします。
    • セキュリティスキャナー: ツールを設定し、結果を標準形式(SARIF、JSON)で出力するようにします。これにより、容易に取り込みまたは保存が可能になります。
  • ログの一元化: CI/CD、スキャナー、および(利用可能な場合は)ソース管理からのログを、検索と保持を容易にするために中央システム(SIEM、ログ管理プラットフォーム)に送信します。
  • コンプライアンス自動化プラットフォーム: Vanta、Drata、Secureframeなどのツールは、APIを介して多くの開発ツール(クラウドプロバイダー、Gitリポジトリ、チケットシステム、スキャナー)と統合し、証拠を自動的に取得し、コンプライアンス管理にマッピングし、ステータスを追跡できます。これにより、手動での収集が大幅に削減されます。
  • Infrastructure as Code (IaC) & Policy as Code (PaC): インフラストラクチャとポリシーをコードとしてバージョン管理に保存することで、変更と承認された構成の固有の監査証跡が提供されます。PaCツールは強制決定をログに記録できます。

目標は、証拠の生成を開発プロセスの自然な成果とし、監査前の慌ただしい個別作業にしないことです。

内部模擬監査

外部監査人が脆弱性を見つけるのを待つべきではありません。開発プロセスに特化した内部モック監査を実施することで、後々の多くの問題を回避できます。

  • 範囲を定める: 今後の監査に関連する特定の領域(例:変更管理プロセス、CI/CDにおける脆弱性管理、重要なアプリケーションのセキュアコーディングプラクティス)に焦点を当てます。
  • 開発者を巻き込む: 開発者に通常のワークフロー(PR提出、デプロイ、脆弱性修正)を説明してもらい、特定のコントロール要件をどのように満たしているかを説明してもらいます。
  • 証拠の要求: 開発者に、外部監査人が要求する実際の証拠(PRリンク、パイプラインログ、スキャンレポート、Jiraチケット)を提出するよう依頼します。それらを簡単に見つけることができますか?完全ですか?
  • 監査人の質問をシミュレート: フレームワーク要件に基づいて監査人が提起する可能性のある難しい質問を投げかけます(例については前のセクションを参照)。
  • ギャップの特定: プロセスが遵守されていない、ドキュメントが不足している、証拠が見つけにくい、またはコントロールが期待どおりに機能していない箇所を記録します。
  • 真剣に取り組む: 発見事項を文書化し、アクションアイテムを作成し(実際の監査と同様に)、担当者を割り当て、是正措置を追跡します。

模擬監査は、開発者が監査人の着眼点を理解し、プレッシャーの高い外部監査にプロセスや証拠収集の弱点を明らかにし、チームの準備状況に対する自信を築くのに役立ちます。

一般的な監査指摘事項への対処

監査官は、開発ワークフローに関連する同様の問題をしばしば指摘します。次のような指摘に対処する準備をしてください。

  • 一貫性のない変更管理: 必須の承認なしにマージされたPR、標準プロセス外でデプロイされた変更、またはチケットとコード変更間のリンクの欠如が証拠として示されています。
    • 修正策:ブランチ保護ルールを強化し、CI/CDゲートを強制し、Gitと課題トラッカー間の自動化/統合を改善し、プロセス規律を強化します。
  • 非効率な脆弱性管理: スキャンにより、重大な脆弱性が要求されるSLA内で修正されていないこと、検出事項が追跡されている証拠がないこと、またはスキャンが継続的に実行されていないことが示されます。
    • 修正: スキャンをより早期かつ確実に統合し、検出結果のチケット作成を自動化し、明確なSLAとエスカレーションパスを確立し、ダッシュボードを使用して修正の進捗状況を追跡します。
  • 証拠の欠如/不十分: 監査期間のログ、スキャンレポート、または承認記録を容易に生成できないこと。
    • 修正: 自動化された証拠収集と一元化を改善し(3.4.2参照)、適切なログ保持が設定されていることを確認します。
  • セキュアコーディングトレーニング/意識の欠如: SASTツールや監査人によって指摘される一般的な間違いを犯している開発者。これは、セキュアコーディングプラクティスに対する認識の欠如を示しています。
    • 修正: 対象を絞った実践的なセキュアコーディングトレーニングを実施し(3.3参照)、セキュアコーディングチェックリストを提供し、コードレビューを通じて強化します。
  • 脆弱なアクセス制御: 開発者が本番環境や機密性の高い環境で過剰な権限を持つこと、共有アカウントが使用されていること。
    • 修正: RBACを厳格に実装し、最小権限を徹底し、定期的なアクセスレビューを実施し、共有アカウントを排除します。
  • シークレットの露出: コードレビュー中またはスキャン中にハードコードされた認証情報を発見すること。
    • 修正策:シークレットスキャンを早期に(プリコミットで)実装し、承認されたシークレット管理ツールの使用を強制し、開発者に適切な取り扱いについてトレーニングします。

重要なのは、監査結果を失敗としてではなく、改善の機会として捉えることです。是正措置を実施し、ドキュメントを更新し、必要に応じて追加トレーニングを提供し、次回の監査サイクル(内部または外部)で修正が検証されるようにしてください。

ジャンプ先:
テキストリンク

適切なセキュリティ対策。
25,000以上の組織から信頼されています。

無料で始める
CC不要
デモを予約する
共有:

www.aikido.dev/learn/software-security-tools/監査準備

目次

第1章:コンプライアンスフレームワークの理解

コンプライアンスフレームワークとは何か、なぜ重要なのか?
コンプライアンスフレームワークがDevSecOpsワークフローに与える影響
フレームワーク間の共通要素

第2章:主要なコンプライアンスフレームワークの解説

SOC 2コンプライアンス
ISO 27001
ISO 27017 / 27018
NIST SP 800-53
NIST SSDF (SP 800-218)
OWASP ASVS
GDPR
NIS2指令
DORA
EUサイバーレジリエンス法(CRA)
CMMC
PCI DSS
FedRAMP
HIPAA / HITECH
エッセンシャルエイト
シンガポール CCoP (CII向け)
日本のサイバーセキュリティ法および関連法規(APPI)

第3章:開発におけるコンプライアンスの実装

組織に適したフレームワークの選択
準拠したDevSecOpsパイプラインの構築
コンプライアンスに向けた開発チームのトレーニング
開発者向け監査準備
コンプライアンスの長期的な維持
終わり

関連ブログ記事

すべて表示
すべて表示
2026年1月5日
コンプライアンス

エンジニアリングチームとセキュリティチームがDORAの技術要件をどのように満たすことができるか

2025年12月3日
コンプライアンス

英国のサイバーセキュリティ・レジリエンス法案に準拠する方法:現代のエンジニアリングチームのための実践ガイド

2025年10月13日
コンプライアンス

Aikido + Secureframe:コンプライアンスデータを常に最新の状態に保つ