Aikido
無料で始める
CC不要
学ぶ
/
コンプライアンス・フレームワーク・ハブ
/
第1章第2章第3章

長期的なコンプライアンスの維持

4読了時間250

コンプライアンスに準拠し、監査に合格することは一つのことだ。日々コンプライアンスを維持しながら、コードを出荷し続けることが真の課題なのだ。コンプライアンスは1回きりのプロジェクトで終わるものではなく、継続的なプロセスです。システムは変化し、脅威は進化し、規制は更新され、警戒を怠れば、入念に作り上げたコンプライアンス態勢は、錨を下ろしたコンテナよりも早く漂流する可能性がある。

コンプライアンスを維持するということは、業務のリズムに組み込むということである。そのためには、継続的なモニタリング、積極的な後退の防止、フレームワークの更新への対応、取り組みが功を奏しているかどうかの実測などが必要となる。ここでは、コンプライアンスを官僚的な汚泥に変えることなく定着させる方法について説明しよう。

継続的モニタリングと検証

年次監査では、その時点でのスナップショットしか得られません。継続的なモニタリングにより、コンプライアンス態勢がリアルタイムで可視化されるため、監査で指摘されたり、最悪の場合、違反となる前に問題を発見することができます。

  • 自動化されたコントロールチェック: ツールを活用して、セキュリティ設定と管理を継続的にチェックする。
    • クラウド・セキュリティ・ポスチャ管理(CSPM): Aikido、Wiz、Orcaのようなツールは、クラウド環境(AWS、Azure、GCP)をコンプライアンス・ベンチマーク(SOC 2、PCI DSS、CIS Benchmarks)に照らして継続的にスキャンし、設定ミスにフラグを立てる。
    • 脆弱性スキャン:SAST、SCA、DAST、インフラストラクチャスキャナを、四半期ごとのASVスキャンや年1回の監査だけでなく、定期的(毎日/毎週/配備時)に実行し続ける。結果を脆弱性管理プロセスに反映させる。
    • ポリシー・アズ・コード(PaC):OPAまたは同様のツールを使用して、インフラストラクチャとアプリケーションの構成を定義されたポリシーに照らして継続的に検証する。
  • ログの監視と分析: SIEMまたはログ管理プラットフォームが鍵となります。ログを監視する
    • コントロールの失敗:重要なバックアップの失敗、無効化されたセキュリティツール、ポリシー違反に対するアラート。
    • 不審な活動:侵害の兆候、不正アクセスの試み、異常なデータアクセスパターン。
    • コンプライアンス・イベント:ユーザーアクセスレビュー、ポリシー承認、重要な変更を追跡します。
  • 証拠収集の自動化:証拠(ログ、スキャンレポート、構成データ)を一元化されたシステムまたはコンプライアンスプラットフォームに継続的に取り込みます。これにより、継続的なコンプライアンスの実証が、定期的な手作業による収集よりもはるかに容易になります。
  • 定期的な社内レビュー 自動化だけに頼らない。定期的なレビューを予定する:
    • アクセス権:四半期または半年に一度、ユーザーアクセス、特に特権アクセスについてレビューを行う。
    • ファイアウォールルール:ルールが必要かつ有効であることを確認するための定期的なレビュー。
    • 方針と手続き:正確で適切であることを確認するため、毎年見直しを行う。

継続的なモニタリングは、コンプライアンスを後手後手の対応からプロアクティブな規律へと変える。

コンプライアンス・ドリフトの回避

コンフィギュレーションのドリフト、ポリシーのドリフト、プロセスのドリフト、これらはコンプライアンスの静かな殺し屋です。現在、システムはコンプライアンスに準拠していますが、文書化されていない変更、急ぎの修正、新しいデプロイメント、または単純な怠慢によって、徐々にコンプライアンスから外れていく可能性があります。ドリフト対策

  • Infrastructure as Code (IaC) & GitOps:インフラ(サーバー、ネットワーク、データベース、クラウドリソース)をコードとして定義します(Terraform、CloudFormation)。それをGitに保存し、プルリクエストと自動パイプラインで変更を管理します。これにより、バージョン管理、ピアレビュー、インフラ変更の監査証跡が提供され、手作業による設定のドリフトが大幅に削減されます。
  • 構成管理ツール:ツール(Ansible、Chef、Puppet、SaltStack)を使って、サーバーやアプリケーションに望ましい状態の設定を強制し、逸脱を自動的に修正する。
  • 不変のインフラストラクチャ:稼働中のサーバーにパッチを適用する代わりに、アップデートのたびに、パッチを適用したまったく新しいイメージやコンテナをビルドしてデプロイする。これにより、一貫性のある、既知の良好な状態が保証されます。
  • ポリシー・アズ・コード(PaC):前述のように、構成とセキュリティのポリシーを自動的に適用し、コンプライアンスに反する変更が展開されるのを防ぎます。
  • 厳格な変更管理:たとえ「小さな」変更であっても、文書化された変更管理プロセスを厳格に実施する。変更が要求され、承認され、テストされ、文書化され、理想的にはIaCやコードコミットにリンクされていることを確認する。
  • 定期的な監査とモニタリング:継続的なモニタリング(CSPM、脆弱性スキャン)は、ドリフトを迅速に検出するのに役立つ。定期的な内部監査(少人数で集中的なものであっても)により、プロセスのドリフトを発見することができる。
  • 手動変更の廃止:本番環境での手動による設定変更は最小限にする。緊急の手動変更が必要な場合は、それを文書化し、設定を(IaC/設定管理によって管理される)望ましい状態に早急に戻すための強力なプロセスを持つ。

ドリフトを防ぐには、規律を守り、一貫性を強制するために自動化を活用する必要がある。

新しいフレームワーク・バージョンへのアップデート

コンプライアンス・フレームワークは固定的なものではない。PCI DSSは3.2.1から4.0に移行し、ISO 27001は2013年から2022年に更新され、NIST標準は改訂される。コンプライアンスを維持するということは、遅れを取らないということです。

  • 公式ソースを監視する:標準機関(PCI SSC、ISO、NIST)または規制機関(HIPAAについてはHHS、GDPR/NIS2/DORA/CRAについてはEUの機関)からのアップデートに注意する。メーリングリストに登録するか、関連するニュースソースをフォローする。
  • 変化を理解する: 新バージョンがリリースされても慌てないこと。新しい基準/ガイダンスを入手し、ギャップ分析を行う:
    • まったく新しい要件とは?
    • どのような既存の要件が大幅に変更されたのか?
    • どのような要件が削除または統合されましたか?
    • 移行スケジュールはどのようになっていますか(PCI DSS 4.0の2025年への移行など)。
  • 既存のコントロールのマッピング:現在のコントロールが新しい要件にどのように対応しているかを確認する。既存のコントロールの修正が必要な箇所や、新たなコントロールを導入する必要がある箇所を特定する。
  • 文書を更新する:新バージョンの要件や用語を反映するために、方針、手順、SSP、その他の文書を改訂する。
  • 変更を実行する:新しい/更新された要件を満たすために必要な技術的またはプロセス的な変更を計画し、実行する。これには、新しいツール、構成、またはトレーニングが含まれる。
  • チームを訓練する:業務に影響を与える重要な変更について、関連チームを教育する。
  • 審査員/審査員とのコミュニケーション:QSA、C3PAO、ISO審査員、または3PAOと移行計画およびスケジュールについて話し合い、次回の審査サイクルに向けた整合性を確保する。

フレームワークの更新は、緊急ではなく、計画的なプロジェクトとして扱う。早期にギャップ分析を開始し、移行期限が来る前に必要な作業範囲を把握する。

コンプライアンスKPIとリスク指標の追跡

コンプライアンス・プログラムが実際に効果的なのか、それとも単なる高価な劇場なのかを知るにはどうすればいいのでしょうか?測定する必要がある。主要業績評価指標(KPI)と主要リスク評価指標(KRI)を追跡することで、可視性を確保し、その努力を正当化することができます。

コンプライアンスKPI(プログラムの健全性の測定):

  • 監査結果:監査ごとの重大/軽微な不適合の件数。経時的傾向(減少するはず)。
  • 是正時間:監査指摘事項または特定されたコンプライアンス・ギャップを是正するための平均時間(MTTR)。
  • 方針遵守率:内部チェックで遵守が確認されたシステム/プロセスの割合。
  • 研修修了率:必須コンプライアンス/セキュリティ研修を期限内に修了した要員の割合。
  • 証拠収集までの時間:模擬監査または実際の監査において、特定のコントロールの証拠を収集するのにかかる時間(自動化により短縮されるはず)。
  • コンプライアンスコスト:特定のフレームワークのコンプライアンス維持に関連する総コスト(ツール、人員、監査)。

リスク指標(コンプライアンスに関するセキュリティ成果の測定):

  • 脆弱性パッチの適用状況:定義されたSLA(例:PCI DSSのタイムライン、社内ポリシー)内にパッチが適用された重要/高レベルの脆弱性の割合。
  • インシデントの平均検出時間(MTTD):セキュリティインシデント(潜在的な侵害など、コンプライアンスに関連するもの)をどの程度迅速に検出できるか。
  • インシデントの平均対応時間(MTTR):インシデントの発生から鎮圧までの時間
  • コンプライアンス関連インシデントの数:コンプライアンス違反にも該当するセキュリティインシデントを追跡する(HIPAA の PHI 漏洩、CMMC の CUI 暴露など)。
  • アクセスレビュー完了率:必要なアクセス審査が期限内に完了した割合。
  • MFA 導入率:MFAによって保護されている関連するユーザーアカウント/アクセスポイントの割合。
  • 構成ドリフト率:監視ツールによって検出された、安全なベースラインから逸脱しているシステムの数/割合。

特定のコンプライアンス義務とリスクに関連するメトリクスを選択します。ダッシュボードを使用して傾向を可視化する。これらの KPI/KRI を定期的に経営陣に報告することで、プログラムの有効性を実証し、改善が必要な領域を特定し、コンプライアンスとセキュリティへの継続的な投資を正当化する。

ジャンプする
テキストリンク


25k以上の組織から信頼されている。

無料で始める
CC不要
デモを予約する
シェアする

www.aikido.dev/learn/software-security-tools/maintaining-compliance

目次

第1章 コンプライアンスの枠組みを理解する

コンプライアンス・フレームワークとは何か?
コンプライアンスフレームワークがDevSecOpsワークフローに与える影響
フレームワークに共通する要素

第2章 主要なコンプライアンス・フレームワークの解説

SOC 2 コンプライアンス
ISO 27001
ISO 27017 / 27018
NIST SP 800-53
NIST SSDF (SP 800-218)
OWASP ASVS
GDPR
NIS2指令
DORA
EUサイバーレジリエンス法(CRA)
コンピュータ媒介言語
PCI DSS
FedRAMP
HIPAA / HITECH
エッセンシャル・エイト
シンガポールCCoP(CII向け)
サイバーセキュリティ法関連(APPI)

第3章 開発におけるコンプライアンスの導入

組織に適したフレームワークの選択
コンプライアンスに準拠したDevSecOpsパイプラインの構築
開発チームのコンプライアンス研修
開発者のための監査準備
長期的なコンプライアンスの維持
終わり

関連ブログ記事

すべて見る
すべて見る
2024年6月4日
-
コンプライアンス

SOC 2認証:私たちが学んだ5つのこと

監査中にSOC 2について学んだこと。ISO 27001とSOC 2の比較、タイプ2が理にかなっている理由、米国の顧客にとってSOC 2認証がいかに不可欠であるか。

2024年1月16日
-
コンプライアンス

NIS2:誰が影響を受けるのか?

NIS2は誰に適用されるのか?誰に影響するのか?必要不可欠で重要なセクターと企業規模の基準値は?AikidoアプリにはNIS2レポート機能があります。

2023年12月5日
-
コンプライアンス

ISO 27001認証:私たちが学んだ8つのこと

ISO 27001:2022準拠プロセスを開始する前に知っておきたかったこと。ISO27001認証取得を目指すSaaS企業へのヒントをご紹介します。