Aikido
無料で始める
CC不要
学ぶ
/
コンプライアンス・フレームワーク・ハブ
/
第1章第2章第3章

コンプライアンスに準拠したDevSecOpsパイプラインの構築

5220

では、実際にDevSecOpsとCI/CDのワープスピードの中に、どのようにしてコンプライアンスを織り込んでいけばいいのだろうか?パイプラインはあなたの味方だ。セキュリティとコンプライアンスのチェックを自動化されたワークフローに直接組み込むことで、コンプライアンスを定期的な苦痛ではなく、継続的なプロセスにすることができる。監査前に土壇場で慌てる必要はもうない。

このセクションでは、CI/CDパイプラインをコンプライアンスエンジンに変える方法について説明する。

コンプライアンス・コントロールを SDLC にマッピングする

まず最初に、コンプライアンス管理は単なるランダムなルールではありません。それらは、ソフトウェア開発ライフサイクル(SDLC)全体を通して、あなたがすでに行っている(はずの)活動に直接マッピングされます。コツは、そのつながりを明確にし、検証を適切な段階に統合することです。

  • 計画/設計段階:
    • コンプライアンスの必要性リスクアセスメント、セキュリティ要件定義(ISO 27001 A.14.1、NIST 800-53 SA ファミリー、HIPAA リスク分析)。
    • DevSecOps の実践:脅威モデリング、機能的な要件と並行してセキュリティユーザストーリー/要件を定義する。
  • コードフェーズ:
    • コンプライアンスの必要性セキュアコーディング標準、脆弱性防止(PCI DSS Req 6.5、HIPAA Security Rule、NIST SSDF PW.4)。
    • DevSecOps の実践:IDE セキュリティプラグイン、リンター、基本的なチェック(例えば、秘密のスキャン)を伴うコミット前フックの使用。セキュアコーディングに関する開発者のトレーニング。
  • 建設段階:
    • コンプライアンスの必要性脆弱性管理、依存性チェック(PCI DSS Req 6、ISO 27001 A.12.6、NIST SSDF PW.7/SR.3)。
    • DevSecOpsの実践:SASTスキャンとSCAスキャンをビルドプロセスに統合する。クリティカルな発見でビルドを失敗させる。
  • テスト段階:
    • コンプライアンスの必要性セキュリティテスト、要件に対する検証(PCI DSS Req 11、NIST SSDF PW.7)。
    • DevSecOps の実践:ステージング環境に対する DAST スキャンの実行、セキュリティ経路を網羅する自動化された統合テスト、潜在的には IAST。
  • デプロイ段階:
    • コンプライアンスの必要性変更管理、セキュアなコンフィグレーション(PCI DSS Req 2、Req 6.4、ISO 27001 A.12.1、NIST 800-53 CMファミリー)。
    • DevSecOpsの実践:Infrastructure as Code (IaC)スキャン、Policy as Codeチェック、テスト/スキャン結果に基づく自動デプロイ承認、セキュアな設定の適用を確実にする。
  • 運営/監視段階:
    • コンプライアンスの必要性ロギング、監視、インシデント検知、継続的脆弱性評価(PCI DSS Req 10、Req 11、HIPAA Security Rule、ISO 27001 A.12.4、NIST 800-53 AU/SIファミリー)。
    • DevSecOpsの実践:集中ロギング(SIEM)、インフラ監視、コンテナ・セキュリティ監視、クラウド・セキュリティ・ポスチャ管理(CSPM)、自動アラート。

このようにコントロールをマッピングすることで、コンプライアンス・ステップを個別に追加するのではなく、コンプライアンスをワークフローに自然に統合することができる。

チェックの自動化シークレット、SAST、IaC、ロギング

CI/CDパイプラインは、コンプライアンスチェックを自動化するのに最適な場所です。手作業によるチェックは時間がかかり、エラーが発生しやすく、スケールしません。自動化すれば、スピード、一貫性、監査証跡が得られます。自動化すべき主なチェック

  • 秘密のスキャン:ツール(Aikido、GitGuardian、TruffleHogなど)を統合して、誤ってコミットされたAPIキー、パスワード、証明書をコード・リポジトリやCIログからスキャンする。これを早い段階で、理想的にはプレコミット時かプッシュ時に実行する。秘密が見つかった場合は、ビルドを失敗させる
  • 静的アプリケーション・セキュリティ・テスト(SAST):ソースコードを実行する前に、潜在的な脆弱性をスキャンする。SASTツール(Aikido (Semgrepを使用)、SonarQube、Checkmarxなど)をビルド段階に統合する。ルールを注意深く構成して、ノイズを最小化し(コードスタイルだけでなく、セキュリティに焦点を当てる)、コンプライアンスニーズに関連する重大性の高い発見事項(例えば、PCI DSSのSQLインジェクションチェック)については、ビルドを失敗させる可能性がある。
  • ソフトウェア構成分析(SCA):依存関係(npm、Maven、PyPIパッケージなど)をスキャンして、既知の脆弱性(CVE)やライセンスコンプライアンスの問題を調べます。ビルド段階で依存関係をインストールした後に、ツール(Aikido (OSVを使用)、Snyk、Dependency-Checkなど)を統合する。修正のない重要/高レベルの脆弱性が見つかった場合、または許可されていないライセンスが使用された場合、ビルドを失敗させる。NIST SSDF、PCI DSS、ISO 27001に不可欠です。
  • Infrastructure as Code(IaC)のスキャン:Terraform、CloudFormation、Ansibleなどを使用している場合、インフラストラクチャをプロビジョニングする前に、設定ファイルにセキュリティの誤設定がないかスキャンする。Aikido (Checkovを使用)、tfsec、checkovのようなツールをパイプラインで実行することで、過度に寛容なファイアウォールルールや暗号化されていないストレージのような問題をキャッチし、SOC 2、HIPAA、PCI DSSの構成要件を満たすことができる。
  • 動的アプリケーション・セキュリティ・テスト(DAST):外部からの攻撃をシミュレートすることによって、実行中のアプリケーション(通常はステージング環境)の脆弱性をスキャンします。OWASP ZAP や商用の DAST スキャナのようなツールは、ステージング環境へのデプロイ後に起動することができます。発見された脆弱性は、多くの場合、手作業によるトリアージが必要です。
  • コンテナ・スキャン:コンテナイメージをレジストリにプッシュしたりデプロイする前に、OSや依存関係の脆弱性をスキャンします。ツールはCI/CDやレジストリと統合。
  • ログの構成チェック: コードをスキャンするわけではないが、アプリケーションとインフラストラクチャが中央システムにログを送信するように設定されていることを確認するためのチェックを自動化し、PCI DSS、SOC 2、HIPAAなどで要求される監査証跡が有効であることを検証することができる。

開発者がすでに使っているツールの中で、問題点を迅速に知らせることだ。

ポリシー・アズ・コードの実践

Policy-as-Code(PaC)は、自動化をさらに一歩進めます。単にスキャンするのではなく、セキュリティとコンプライアンスのルールをコードとして定義し、エンジンを使って、多くの場合、CI/CDパイプラインの中で、それらを自動的に実施する。

  • それは何か:宣言型言語(Open Policy Agent - OPAのRegoやHashiCorpツールのSentinelなど)でポリシーを記述します。これらのポリシーは、望ましい状態や許可されない構成を定義します。
  • どのように機能するかポリシーエンジン(OPAのようなもの)は、リソースのコンフィギュレーション(Terraformプラン、Kubernetesマニフェスト、APIリクエストなど)を定義されたポリシーに照らして評価する。合否判定を返す。
  • どこにフィットするか
    • CI/CD:terraform applyやkubectl applyの前にIaCの設定をチェックする。Kubernetesデプロイメントに必要なラベル、リソース制限があるか、または許可されていないイメージを使用していないことを確認する。変更がコンプライアンスルールを満たしていることを検証する(特定のポートがオープンされていないなど)。
    • インフラ:クラウドリソースに一貫したタグ付けを強制し、特定のインスタンスタイプの作成を制限し、ファイアウォールルールの変更を検証する。
    • アプリケーションの認可:OPAはマイクロサービスの集中型認可エンジンとして機能する。
  • コンプライアンスのメリット
    • 自動化:ルールを自動的かつ一貫して実施します。
    • 監査可能性:ポリシーはバージョン管理されたコードであり、ルール自体の明確な監査証跡を提供する。決定はログに記録される。
    • 一貫性:異なる環境やツール間で同じルールを適用する。
    • シフト・レフト:配備前のパイプラインの早い段階でポリシー違反をキャッチする。

例(OPA/Rego for IaC):あるポリシーが Terraform プランをチェックして、すべての S3 バケットが暗号化されていることを確認し、SOC 2 または HIPAA コントロールを満たすかもしれない。プランに暗号化されていないバケットが含まれている場合、OPAは失敗を返し、パイプラインを停止する可能性がある。

PaCは、コンプライアンスを手作業によるレビューではなく、自動化されたガードレールにする。

CI/CDにおける証拠収集

監査は証拠がすべてです。あなたのCI/CDパイプラインは、監査人が必要とする証拠を自動的に収集するための金鉱となり、手作業によるスクリーンショットやログ収集の膨大な時間を節約することができます。

  • 何を集めるか:
    • スキャン結果:SAST、SCA、DAST、IaCスキャナーからの出力で、いつ、何がスキャンされ、どのような所見が得られたかを示す。
    • ビルドとデプロイのログ:実行されたパイプラインステージ、成功/失敗、タイムスタンプ、生成された成果物、デプロイメントターゲットを示す詳細なログ。
    • 承認記録:必要な承認の証拠(Git履歴からのPR承認、Jiraチケットの遷移、手動パイプラインステージの承認など)。
    • テスト結果:単体テスト、統合テスト、セキュリティテストのアウトプット。
    • 構成スナップショット:適用されたインフラストラクチャまたはアプリケーション構成の記録(IaC状態ファイル、構成管理ツールなど)。
    • ポリシー実施ログ:PaCツールによるポリシーチェックの合否を示す記録。
  • 自動化の方法
    • ツールの構成:セキュリティスキャナーとテストツールを構成して、結果を標準形式(JSON、SARIF、XML)で特定の場所に出力する。
    • パイプライン成果物:各ビルド/デプロイメントに関連付けられたパイプライン成果物として、主要なレポートとログを保存します。
    • 集中型ロギング:すべてのパイプライン実行ログ、スキャンサマリ、デプロイメントイベントを、適切なタグ付けとともに中央ログシステム(SIEM、ELK、Datadogなど)に転送します。
    • コンプライアンス・プラットフォーム:CI/CDツール、コードリポジトリ、クラウドプロバイダーとAPI経由で統合するコンプライアンス自動化プラットフォーム(Vanta、Drataなど)を使用し、特定のコンプライアンスコントロールに対するエビデンスを自動的に引き出し、関連付ける。
    • バージョン管理:IaC、PaC、パイプライン定義をGitに保存し、固有の変更追跡と監査証跡を作成。

証拠収集は、個別の手作業ではなく、自動化されたワークフローの副産物として行う。ログとレポートが安全に保存され、必要な監査期間(多くの場合12カ月以上)保持されるようにする。

インシデントレスポンスと修復ワークフロー

DevSecOpsは予防だけでなく、迅速なレスポンスとリカバリも重要であり、これはコンプライアンス要件(PCI DSS Req 10/11、ISO 27001 A.16、NIST 800-53 IRファミリー、NIS2/DORAレポートなど)に直接合致する。

  • 自動検出と警告:
    • 監視ツール(SIEM、APM、CSPM)をパイプライン出力と本番システムに統合して構成し、異常、セキュリティイベント、コンプライアンス違反をリアルタイムで検出する。
    • チャットトップ(Slack、Teams)、ページング(PagerDuty)、発券システム(Jira)を介して、適切なチーム(Dev、Ops、Security)にルーティングされる自動化されたアラートを設定します。
  • より迅速なトリアージ:
    • 豊富なコンテキスト(影響を受けるシステム、潜在的な影響、関連するログ/ダッシュボードへのリンク)を持つアラートを提供し、初期評価を迅速化する。
    • パイプラインツールから得られたセキュリティ上の知見を、開発者のワークフローに直接統合する(例えば、重大度の高い脆弱性については自動的に Jira チケットを作成する)。
  • 自動応答アクション(注意して使用してください):
    • ヘルスチェックやデプロイ後のテストが失敗した場合、CI/CDパイプラインに自動ロールバックを実装する。
    • 特定の信頼性の高いアラートをトリガーとした基本的な封じ込めアクション(侵害されたコンテナの隔離、ファイアウォールでの悪意のあるIPのブロックなど)を自動化できる可能性がある。意図しない結果を避けるため、慎重な計画が必要。
  • 合理化された修復:
    • CI/CDパイプラインを使用して、開発およびテスト後にパッチや修正を迅速にデプロイする。
    • IaCを活用することで、インフラストラクチャの変更を迅速に元に戻したり、ハードニング構成を適用したりすることができます。
  • 事故後のレビューの統合:
    • パイプラインのログ、モニタリングデータ、事故発生時のタイムラインを使用して、事後分析を促進する。
    • 学んだ教訓を、パイプラインチェック、モニタリングルール、開発手法の改善にフィードバックする(ループを閉じる)。

インシデント管理を自動化されたパイプラインとモニタリングに統合することで、検出から修復までのサイクルを短縮し、被害を最小限に抑え、コンプライアンス報告のためのより良い証拠を提供します。

ジャンプする
テキストリンク


25k以上の組織から信頼されている。

無料で始める
CC不要
デモを予約する
シェアする

www.aikido.dev/learn/software-security-tools/compliant-pipelines

目次

第1章 コンプライアンスの枠組みを理解する

コンプライアンス・フレームワークとは何か?
コンプライアンスフレームワークがDevSecOpsワークフローに与える影響
フレームワークに共通する要素

第2章 主要なコンプライアンス・フレームワークの解説

SOC 2 コンプライアンス
ISO 27001
ISO 27017 / 27018
NIST SP 800-53
NIST SSDF (SP 800-218)
OWASP ASVS
GDPR
NIS2指令
DORA
EUサイバーレジリエンス法(CRA)
コンピュータ媒介言語
PCI DSS
FedRAMP
HIPAA / HITECH
エッセンシャル・エイト
シンガポールCCoP(CII向け)
サイバーセキュリティ法関連(APPI)

第3章 開発におけるコンプライアンスの導入

組織に適したフレームワークの選択
コンプライアンスに準拠したDevSecOpsパイプラインの構築
開発チームのコンプライアンス研修
開発者のための監査準備
長期的なコンプライアンスの維持
終わり

関連ブログ記事

すべて見る
すべて見る
2024年6月4日
-
コンプライアンス

SOC 2認証:私たちが学んだ5つのこと

監査中にSOC 2について学んだこと。ISO 27001とSOC 2の比較、タイプ2が理にかなっている理由、米国の顧客にとってSOC 2認証がいかに不可欠であるか。

2024年1月16日
-
コンプライアンス

NIS2:誰が影響を受けるのか?

NIS2は誰に適用されるのか?誰に影響するのか?必要不可欠で重要なセクターと企業規模の基準値は?AikidoアプリにはNIS2レポート機能があります。

2023年12月5日
-
コンプライアンス

ISO 27001認証:私たちが学んだ8つのこと

ISO 27001:2022準拠プロセスを開始する前に知っておきたかったこと。ISO27001認証取得を目指すSaaS企業へのヒントをご紹介します。