どのフレームワーク（SOC 2、ISO 27001、PCI DSSなど）にも一癖ありますが、多くの場合、共通のDNAを持っています。データを保護し、リスクを管理し、システムの安全性と可用性を確保する。つまり、異なる規格間で繰り返し現れるテーマやコントロールを目にすることになる。

これらの共通要素を理解することは、大きな収穫である。つまり、各フレームワークを完全に別物として扱うのではなく、複数のコンプライアンス要件を一度に満たすための基礎的なセキュリティ対策を構築できるということです。

共有セキュリティ・コントロール（RBAC、ログ、暗号化など）

具体的なフレームワークが何であれ、このようなコントロールに対処することが予想される：

• アクセスコントロール：
  
  • 最小特権：ユーザーとシステムは、仕事をするために必要な最小限の権限だけを持つべきである。すべての人にroot権限を与えない！
  • 役割ベースのアクセス制御（RBAC）：権限をロールにグループ化し、アクセスを体系的に管理する。
  • 認証：強力なパスワード、多要素認証（MFA）、セキュアなクレデンシャル管理は、ほとんどの場合必要である。
• データ保護：
  
  • 暗号化：機密データを静止時（データベース、ストレージ内）と転送時（TLSを使用したネットワーク上）の両方で暗号化する。
  • データの最小化：目的上厳密に必要なデータのみを収集し、保持すること。
  • 安全な廃棄：不要になったデータを適切に削除または匿名化すること。
• ロギングとモニタリング：
  
  • 監査証跡：重要なイベント（ログイン、設定変更、データアクセス）をログに記録し、誰がいつ何をしたかを追跡する。
  • 監視：不審な動きや障害がないか、ログやシステムを積極的に監視すること。
  • アラートの設定重要なセキュリティイベントに対するアラートの設定
• 脆弱性管理：
  
  • 定期的なスキャン：SAST、DAST、SCA、CSPMなどのツールを使用して、コード、依存関係、インフラストラクチャの脆弱性を特定する。
  • パッチ適用：特定された脆弱性を速やかに修正するプロセスを持つこと。
• チェンジ・マネジメント：
  
  • 文書化されたプロセス：テストや承認を含む、本番システムに変更を加えるための正式なプロセスを持つこと。
• インシデントレスポンス
  
  • 計画：セキュリティインシデント（侵害、停止）への対応方法を文書化した計画を持つこと。
• リスク評価：
  
  • 識別：潜在的なセキュリティリスクと脆弱性を定期的に特定する。
  • 緩和：特定されたリスクに対処するための管理策を実施すること。

これらはすべてを網羅しているわけではないが、頻繁に遭遇する核となる構成要素を表している。

監査人が質問すること

監査人が求めているのは、単に派手なツールではなく、統制が実際に意図したとおりに、長期にわたって一貫して機能していることの証明なのです。次のような質問を期待してください：

• "アクセスの許可と取り消しのプロセスを示してください。"(アクセス・コントロール）
• "権限のある担当者だけが顧客の機密データにアクセスできることを証明できるか？"(RBAC、最小特権)
• 「過去 90 日間の重要システムへのアクセス試行を示すログを提供すること。ログ
• 「機密データがデータベース内で暗号化されていることを保証するには？(安静時の暗号化）
• 「脆弱性スキャンのプロセスを教えてください。スキャン頻度は？最新の結果を見せてください。(脆弱性管理）
• 「パッチ適用方針は？重要な脆弱性をどれくらいのスピードで修正していますか？"(パッチ適用)
• "直近の大規模な本番展開の変更要求と承認を見せてください"(変更管理)
• 「定期的にバックアップを取っていますか？リストアが成功したことを証明できますか？(可用性、災害復旧)
• 「セキュアなコーディングの実践を開発者に保証するには？(SAST、トレーニング)
• 「インシデント対応計画はどこに文書化されていますか？最後にテストされたのはいつですか？(インシデント対応）

彼らが見たいのは、ポリシー、手順、そしてあなたがそれに従っていることを証明する証拠（ログ、レポート、コンフィギュレーション）です。

共通の監査証拠要件

監査人の要求を開発者の現実に反映させるということは、具体的な証拠を提供するということである。一般的な証拠には次のようなものがある：

• 設定のスクリーンショット/エクスポート：ファイアウォールルール、RBAC設定、暗号化設定を表示します。
• ログファイル：監査ログ、アクセスログ、システムイベントログ（多くの場合、90日以上保持する必要がある）。
• スキャンレポート：SAST、DAST、SCA、CSPM ツールによる結果で、発見された脆弱性と修正された脆弱性を示す。
• ポリシー文書：アクセス制御、データの取り扱い、インシデント対応などに関するポリシー文書。
• 変更管理チケット：変更要求、承認、デプロイの詳細を示すJiraなどのシステムからの記録。
• トレーニングの記録：開発者がセキュリティ意識向上トレーニングまたはセキュアコーディングトレーニングを修了したことの証明。
• ペネトレーションテストレポート：第三者によるセキュリティ評価の結果。
• 会議の議事録リスクアセスメントのレビューまたはインシデント対応報告会の記録。

重要なのは、この証拠をすぐに入手できるようにしておくことと、監査期間中（通常6～12ヶ月）にわたって一貫性を実証しておくことである。

監査の準備文書化と証拠収集

監査役がノックするまで待つのはパニックのもとだ。準備が重要だ：

1. すべてを文書化する：セキュリティ方針と手順を明確に文書化する。文書化されていなければ、監査人にとっては存在しないことになる。
2. 証拠収集の自動化： これは極めて重要だ。ツール（CI/CD、スキャナー、クラウドプラットフォーム、ロギングシステム）を設定して、必要な証拠を自動的に生成し、保存する。スクリーンショットを6ヶ月間手動で収集するのは地獄だ。
   
   • CI/CDパイプラインは、ビルドステップ、スキャン結果、デプロイメントの承認を記録する必要がある。
   • セキュリティツールは、タイムスタンプ付きのレポートを生成すべきである。
   • 集中ログシステム（SplunkやDatadogなど）は、必要な期間ログを保持する必要がある。
3. 証拠の一元化：文書と自動化された証拠を予測可能な場所 (Confluence 専用スペース、共有ドライブ、コンプライアンス自動化プラットフォームなど) に保管する。
4. 内部模擬監査の実施：収集した証拠を使って、一般的な監査員の要求事項を通り抜ける練習をする。これにより、本番の監査の前にギャップを明らかにすることができる。
5. 所有権を割り当てる：特定のチームまたは個人に、特定の統制を維持し、関連する証拠を収集する責任を負わせる。

観察可能性のためにコードをインスツルメンテーションするようなものだが、コンプライアンスのためだと考えてほしい。

統一された実施戦略

多くの管理は重複しているので、総合的に取り組むこと。SOC 2のためだけにロギングを設定し、ISO 27001のために再度ロギングを設定するのではなく、両方の要件を満たす堅牢なロギングシステムを導入する。

• コントロールのマッピング：準拠が必要なフレームワークに共通するコントロールを特定する。
• 一度だけ実装する：複数の要件を満たす基本的なセキュリティ機能（強固なRBAC、集中ロギング、CI/CDでの自動スキャンなど）を構築する。
• 柔軟なツールを使用する：さまざまなフレームワークの要件に適応し、包括的なレポートを提供できるツールを選択する。Aikido 様々なスキャナーを統合し、証拠の統合を支援する）。
• 基本に集中する：強力なセキュリティ衛生管理（パッチ適用、安全な設定、最小権限）は、多くのコンプライアンス目標を達成する上で大いに役立つ。

クロスフレームワーク自動化の機会

自動化はコンプライアンスにおける最良の友である。フレームワーク全体で自動化が適している分野には、次のようなものがある：

• 脆弱性スキャン：CI/CDパイプラインにおけるSAST、DAST、SCA、IaCスキャン。
• 秘密の検出：レポとCIでの自動スキャン。
• クラウド構成監視（CSPM）：クラウド環境をセキュリティ・ベンチマークに照らして継続的にチェックする。
• ログの集約と分析：ツールを使用して、セキュリティイベントのログを収集し、分析する。
• 証拠生成：監査に適した形式でレポートを自動的に出力するためのツールの設定。
• ポリシーの実施（Policy-as-Code）：OPA のようなツールを使用して、構成基準を自動的に実施すること。

これらの一般的な作業を自動化することで、手作業を減らし、一貫性を確保し、証拠収集の苦痛を大幅に軽減することができる。

TL;DR：フレームワークは、アクセス制御、ロギング、脆弱性管理などの中核となるセキュリティ原則を共有している。監査人は、これらのコントロールが機能していることを証明する必要があり、文書化されたプロセスと自動化された証拠収集が必要となる。複数のコンプライアンス要件に取り組むには、共通のコントロールを実装するための統一された自動化されたアプローチが最も効率的である。