Aikido
無料で始める
CC不要
学ぶ
/
コンプライアンス・フレームワーク・ハブ
/
第1章第2章第3章

コンプライアンスに準拠したDevSecOpsパイプラインの構築

5220

では、実際にDevSecOpsとCI/CDのワープスピードの中に、どのようにしてコンプライアンスを織り込んでいけばいいのだろうか?パイプラインはあなたの味方だ。セキュリティとコンプライアンスのチェックを自動化されたワークフローに直接組み込むことで、コンプライアンスを定期的な苦痛ではなく、継続的なプロセスにすることができる。監査前に土壇場で慌てる必要はもうない。

このセクションでは、CI/CDパイプラインをコンプライアンスエンジンに変える方法について説明する。

コンプライアンス・コントロールを SDLC にマッピングする

まず最初に、コンプライアンス管理は単なるランダムなルールではありません。それらは、ソフトウェア開発ライフサイクル(SDLC)全体を通して、あなたがすでに行っている(はずの)活動に直接マッピングされます。コツは、そのつながりを明確にし、検証を適切な段階に統合することです。

  • 計画/設計段階:
    • コンプライアンスの必要性リスクアセスメント、セキュリティ要件定義(ISO 27001 A.14.1、NIST 800-53 SA ファミリー、HIPAA リスク分析)。
    • DevSecOps の実践:脅威モデリング、機能的な要件と並行してセキュリティユーザストーリー/要件を定義する。
  • コードフェーズ:
    • コンプライアンスの必要性セキュアコーディング標準、脆弱性防止(PCI DSS Req 6.5、HIPAA Security Rule、NIST SSDF PW.4)。
    • DevSecOps の実践:IDE セキュリティプラグイン、リンター、基本的なチェック(例えば、秘密のスキャン)を伴うコミット前フックの使用。セキュアコーディングに関する開発者のトレーニング。
  • 建設段階:
    • コンプライアンスの必要性脆弱性管理、依存性チェック(PCI DSS Req 6、ISO 27001 A.12.6、NIST SSDF PW.7/SR.3)。
    • DevSecOpsの実践:SASTスキャンとSCAスキャンをビルドプロセスに統合する。クリティカルな発見でビルドを失敗させる。
  • テスト段階:
    • コンプライアンスの必要性セキュリティテスト、要件に対する検証(PCI DSS Req 11、NIST SSDF PW.7)。
    • DevSecOps の実践:ステージング環境に対する DAST スキャンの実行、セキュリティ経路を網羅する自動化された統合テスト、潜在的には IAST。
  • デプロイ段階:
    • コンプライアンスの必要性変更管理、セキュアなコンフィグレーション(PCI DSS Req 2、Req 6.4、ISO 27001 A.12.1、NIST 800-53 CMファミリー)。
    • DevSecOpsの実践:Infrastructure as Code (IaC)スキャン、Policy as Codeチェック、テスト/スキャン結果に基づく自動デプロイ承認、セキュアな設定の適用を確実にする。
  • 運営/監視段階:
    • コンプライアンスの必要性ロギング、監視、インシデント検知、継続的脆弱性評価(PCI DSS Req 10、Req 11、HIPAA Security Rule、ISO 27001 A.12.4、NIST 800-53 AU/SIファミリー)。
    • DevSecOpsの実践:集中ロギング(SIEM)、インフラ監視、コンテナ・セキュリティ監視、クラウド・セキュリティ・ポスチャ管理(CSPM)、自動アラート。

このようにコントロールをマッピングすることで、コンプライアンス・ステップを個別に追加するのではなく、コンプライアンスをワークフローに自然に統合することができる。

チェックの自動化シークレット、SAST、IaC、ロギング

CI/CDパイプラインは、コンプライアンスチェックを自動化するのに最適な場所です。手作業によるチェックは時間がかかり、エラーが発生しやすく、スケールしません。自動化すれば、スピード、一貫性、監査証跡が得られます。自動化すべき主なチェック

  • シークレットスキャン: Aikido、GitGuardian、TruffleHogなどのツールを統合し、コードリポジトリやCIログをスキャンして、誤ってコミットされたAPIキー、パスワード、証明書を検出します。これを早期に実行し、理想的にはコミット前またはプッシュ時に実施します。シークレットが検出された場合はビルドを失敗させます
  • 静的アプリケーションセキュリティテスト(SAST):ソースコードが実行される前に潜在的な脆弱性をスキャンします。 SASTツール(例:Aikido Semgrep使用)、SonarQube、Checkmarx)をビルド段階に統合する。ノイズを最小化するためルールを慎重に設定(コードスタイルだけでなくセキュリティに焦点を当てる)し、コンプライアンス要件に関連する重大な発見(例:PCI DSS向けのSQLインジェクションチェック)でビルドを強制的に失敗させる可能性がある。
  • ソフトウェア構成分析(SCA):既知の脆弱性(CVE)およびライセンスコンプライアンス問題について、依存関係(npm、Maven、PyPIパッケージなど)をスキャンします。 ビルド段階における依存関係インストール後にツール(Aikido OSV使用)、Snyk、Dependency-Checkなど)を統合。修正されていない重大/高リスクの脆弱性が検出された場合、または許可されていないライセンスが使用された場合、ビルドを失敗させる。NIST SSDF、PCI DSS、ISO 27001に必須。
  • インフラストラクチャ・アズ・コード(IaC)スキャン:Terraform、CloudFormation、Ansibleなどを使用する場合、インフラストラクチャのプロビジョニング前に設定ファイルをスキャンし、セキュリティ上の誤設定を検出します。Aikido Checkovを使用)、tfsec、checkovなどのツールをパイプラインで実行することで、過度に許可されたファイアウォールルールや暗号化されていないストレージなどの問題を捕捉し、SOC 2、HIPAA、PCI DSSの設定要件への準拠を支援します。
  • 動的アプリケーション・セキュリティ・テスト(DAST):外部からの攻撃をシミュレートすることによって、実行中のアプリケーション(通常はステージング環境)の脆弱性をスキャンします。OWASP ZAP や商用の DAST スキャナのようなツールは、ステージング環境へのデプロイ後に起動することができます。発見された脆弱性は、多くの場合、手作業によるトリアージが必要です。
  • コンテナ・スキャン:コンテナイメージをレジストリにプッシュしたりデプロイする前に、OSや依存関係の脆弱性をスキャンします。ツールはCI/CDやレジストリと統合。
  • ログの構成チェック: コードをスキャンするわけではないが、アプリケーションとインフラストラクチャが中央システムにログを送信するように設定されていることを確認するためのチェックを自動化し、PCI DSS、SOC 2、HIPAAなどで要求される監査証跡が有効であることを検証することができる。

開発者がすでに使っているツールの中で、問題点を迅速に知らせることだ。

ポリシー・アズ・コードの実践

Policy-as-Code(PaC)は、自動化をさらに一歩進めます。単にスキャンするのではなく、セキュリティとコンプライアンスのルールをコードとして定義し、エンジンを使って、多くの場合、CI/CDパイプラインの中で、それらを自動的に実施する。

  • それは何か:宣言型言語(Open Policy Agent - OPAのRegoやHashiCorpツールのSentinelなど)でポリシーを記述します。これらのポリシーは、望ましい状態や許可されない構成を定義します。
  • どのように機能するかポリシーエンジン(OPAのようなもの)は、リソースのコンフィギュレーション(Terraformプラン、Kubernetesマニフェスト、APIリクエストなど)を定義されたポリシーに照らして評価する。合否判定を返す。
  • どこにフィットするか
    • CI/CD:terraform applyやkubectl applyの前にIaCの設定をチェックする。Kubernetesデプロイメントに必要なラベル、リソース制限があるか、または許可されていないイメージを使用していないことを確認する。変更がコンプライアンスルールを満たしていることを検証する(特定のポートがオープンされていないなど)。
    • インフラ:クラウドリソースに一貫したタグ付けを強制し、特定のインスタンスタイプの作成を制限し、ファイアウォールルールの変更を検証する。
    • アプリケーションの認可:OPAはマイクロサービスの集中型認可エンジンとして機能する。
  • コンプライアンスのメリット
    • 自動化:ルールを自動的かつ一貫して実施します。
    • 監査可能性:ポリシーはバージョン管理されたコードであり、ルール自体の明確な監査証跡を提供する。決定はログに記録される。
    • 一貫性:異なる環境やツール間で同じルールを適用する。
    • シフト・レフト:配備前のパイプラインの早い段階でポリシー違反をキャッチする。

例(OPA/Rego for IaC):あるポリシーが Terraform プランをチェックして、すべての S3 バケットが暗号化されていることを確認し、SOC 2 または HIPAA コントロールを満たすかもしれない。プランに暗号化されていないバケットが含まれている場合、OPAは失敗を返し、パイプラインを停止する可能性がある。

PaCは、コンプライアンスを手作業によるレビューではなく、自動化されたガードレールにする。

CI/CDにおける証拠収集

監査は証拠がすべてです。あなたのCI/CDパイプラインは、監査人が必要とする証拠を自動的に収集するための金鉱となり、手作業によるスクリーンショットやログ収集の膨大な時間を節約することができます。

  • 何を集めるか:
    • スキャン結果:SAST、SCA、DAST、IaCスキャナーからの出力で、いつ、何がスキャンされ、どのような所見が得られたかを示す。
    • ビルドとデプロイのログ:実行されたパイプラインステージ、成功/失敗、タイムスタンプ、生成された成果物、デプロイメントターゲットを示す詳細なログ。
    • 承認記録:必要な承認の証拠(Git履歴からのPR承認、Jiraチケットの遷移、手動パイプラインステージの承認など)。
    • テスト結果:単体テスト、統合テスト、セキュリティテストのアウトプット。
    • 構成スナップショット:適用されたインフラストラクチャまたはアプリケーション構成の記録(IaC状態ファイル、構成管理ツールなど)。
    • ポリシー実施ログ:PaCツールによるポリシーチェックの合否を示す記録。
  • 自動化の方法
    • ツールの構成:セキュリティスキャナーとテストツールを構成して、結果を標準形式(JSON、SARIF、XML)で特定の場所に出力する。
    • パイプライン成果物:各ビルド/デプロイメントに関連付けられたパイプライン成果物として、主要なレポートとログを保存します。
    • 集中型ロギング:すべてのパイプライン実行ログ、スキャンサマリ、デプロイメントイベントを、適切なタグ付けとともに中央ログシステム(SIEM、ELK、Datadogなど)に転送します。
    • コンプライアンス・プラットフォーム:CI/CDツール、コードリポジトリ、クラウドプロバイダーとAPI経由で統合するコンプライアンス自動化プラットフォーム(Vanta、Drataなど)を使用し、特定のコンプライアンスコントロールに対するエビデンスを自動的に引き出し、関連付ける。
    • バージョン管理:IaC、PaC、パイプライン定義をGitに保存し、固有の変更追跡と監査証跡を作成。

証拠収集は、個別の手作業ではなく、自動化されたワークフローの副産物として行う。ログとレポートが安全に保存され、必要な監査期間(多くの場合12カ月以上)保持されるようにする。

インシデントレスポンスと修復ワークフロー

DevSecOpsは予防だけでなく、迅速なレスポンスとリカバリも重要であり、これはコンプライアンス要件(PCI DSS Req 10/11、ISO 27001 A.16、NIST 800-53 IRファミリー、NIS2/DORAレポートなど)に直接合致する。

  • 自動検出と警告:
    • 監視ツール(SIEM、APM、CSPM)をパイプライン出力と本番システムに統合して構成し、異常、セキュリティイベント、コンプライアンス違反をリアルタイムで検出する。
    • チャットトップ(Slack、Teams)、ページング(PagerDuty)、発券システム(Jira)を介して、適切なチーム(Dev、Ops、Security)にルーティングされる自動化されたアラートを設定します。
  • より迅速なトリアージ:
    • 豊富なコンテキスト(影響を受けるシステム、潜在的な影響、関連するログ/ダッシュボードへのリンク)を持つアラートを提供し、初期評価を迅速化する。
    • パイプラインツールから得られたセキュリティ上の知見を、開発者のワークフローに直接統合する(例えば、重大度の高い脆弱性については自動的に Jira チケットを作成する)。
  • 自動応答アクション(注意して使用してください):
    • ヘルスチェックやデプロイ後のテストが失敗した場合、CI/CDパイプラインに自動ロールバックを実装する。
    • 特定の信頼性の高いアラートをトリガーとした基本的な封じ込めアクション(侵害されたコンテナの隔離、ファイアウォールでの悪意のあるIPのブロックなど)を自動化できる可能性がある。意図しない結果を避けるため、慎重な計画が必要。
  • 合理化された修復:
    • CI/CDパイプラインを使用して、開発およびテスト後にパッチや修正を迅速にデプロイする。
    • IaCを活用することで、インフラストラクチャの変更を迅速に元に戻したり、ハードニング構成を適用したりすることができます。
  • 事故後のレビューの統合:
    • パイプラインのログ、モニタリングデータ、事故発生時のタイムラインを使用して、事後分析を促進する。
    • 学んだ教訓を、パイプラインチェック、モニタリングルール、開発手法の改善にフィードバックする(ループを閉じる)。

インシデント管理を自動化されたパイプラインとモニタリングに統合することで、検出から修復までのサイクルを短縮し、被害を最小限に抑え、コンプライアンス報告のためのより良い証拠を提供します。

ジャンプする
テキストリンク


25k以上の組織から信頼されている。

無料で始める
CC不要
デモを予約する
シェアする

www.aikido.dev/learn/software-security-tools/compliant-pipelines

目次

第1章 コンプライアンスの枠組みを理解する

コンプライアンス・フレームワークとは何か?
コンプライアンスフレームワークがDevSecOpsワークフローに与える影響
フレームワークに共通する要素

第2章 主要なコンプライアンス・フレームワークの解説

SOC 2 コンプライアンス
ISO 27001
ISO 27017 / 27018
NIST SP 800-53
NIST SSDF (SP 800-218)
OWASP ASVS
GDPR
NIS2指令
DORA
EUサイバーレジリエンス法(CRA)
コンピュータ媒介言語
PCI DSS
FedRAMP
HIPAA / HITECH
エッセンシャル・エイト
シンガポールCCoP(CII向け)
サイバーセキュリティ法関連(APPI)

第3章 開発におけるコンプライアンスの導入

組織に適したフレームワークの選択
コンプライアンスに準拠したDevSecOpsパイプラインの構築
開発チームのコンプライアンス研修
開発者のための監査準備
長期的なコンプライアンスの維持
終わり

関連ブログ記事

すべて見る
すべて見る
2026年1月5日
-
コンプライアンス

エンジニアリングチームとセキュリティチームがDORAの技術要件を満たす方法

DORAの技術要件を理解する(エンジニアリングチームおよびセキュリティチーム向け)。これには、耐障害性テスト、リスク管理、監査対応可能な証拠が含まれる。

2025年12月3日
-
コンプライアンス

英国サイバーセキュリティ・レジリエンス法案への準拠方法:現代のエンジニアリングチームのための実践ガイド

英国サイバーセキュリティ・レジリエンス法案の要件を満たす方法を学びましょう。セキュア・バイ・デザインの実践からSBOMの透明性、サプライチェーンのセキュリティ、継続的なコンプライアンスまでを網羅します。

2025年10月13日
-
コンプライアンス

Aikido :コンプライアンスデータを常に最新の状態に保つ

リアルタイムの脆弱性データでSOC 2およびISO 27001準拠を正確に維持。Aikido SecureframeとAikido 、監査を最新の状態に保ちながら開発を継続します。