The Doppler Quarterly (日本語) 夏 2016 | Page 67
CTP では、この CSA の Cloud Controls Matrix を AWS、Azure、および Google
の反復可能なアーキテクチャーに対応付けました。セキュリティとガバナンスのギャップ
アセスメントでは、CSA のマトリックスのような既知の標準に基づいて制御の目標を確
認し、一般に認められているベストプラクティスに照らして制御とテクノロジーのギャッ
プをドキュメントで示します。
その結果として生まれたのが、CSA のマトリックスに対応付けられた規範的なセキュリ
ティおよびガバナンスプラットフォームを含む MVC です。これを使用すれば大幅に時
間が節約され、セキュリティリファレンスアーキテクチャーを基礎から構築するのでは
なく、ベースラインを受け入れてわずかな変更を加えるだけで、組織固有のニーズに対
応できます。
新たな制御機能とツール
大部分の組織は最初、クラウドプログラムをデータセンターであるかのように考えます
が、すぐに既存の制御の目標と新たなクラウドモデルを対応付ける方法がわかってい
ないことに気付きます。しかしここで既存のツールセットをクラウドに適用しても意味は
ありません。データセンター向けのツールは、パブリッククラウドプラットフォームを念
頭に置いた設計にはなっておらず、私たちの経験では、新しいツールとプロセスを導入
してこうした問題を解決する必要があります。
また、
新しいツールを活用することにはもう1つ大きなメリットがあり、
データセンターツー
ルと比較して、はるかにコストが少なくて済みます。
#8 - Continuous Complianceのための計画を立てる
企業は、
多くの制御機能を使用して IT 環境を管理しています。大部分のリソースはハー
ドウェアベースのため、こうした機能は変更管理サービスや運用サービスの形を取って
いますが、ソフトウェアをベースとする新しいクラウドモデルは、その性質から野放しの
状態になっています。ここで、パーミッションベースの購買プロセス ( 新しいハードウェ
アの署名済みの発注書を取得するプロセス ) から、承認を得ることなく新しいサービス
を購入できるオープンなクレジットカードアカウントに移行することを想像してみてくだ
さい。
新しい消費ベースのモデルでは、新たなレベルのガバナンスが必要とされるため、標準
的な変更管理と制御のアプローチを使用してもうまくはいきません。従来の変更管理で
はプロセスが長期化し、避けようとしていた状況に逆戻りすることになります。
ここで 必 要となるの が、Continuous Compliance で す。 この文 脈 においては、
Continuous Compliance とは、常に環境を監視してクラウドにおけるサービスの使用
状況と使用量を制御するソフトウェアを指し、制御は、特定のガバナンスおよびコンプ
ライアンス要件をチェックする「ソフトウェアシグネチャー」を使用して行われます。
たとえば、AWS 社は、サーバー (EC2) と接続ストレージ (EBS) で基本的なサーバー
/ ストレージ構成を提供していますが、サーバーを削除してから、特に AWS 社にスト
レージの削除を依頼しなければ、ストレージは孤立したままとなります。このようにして
孤立化したブロックストレージは、次第に企業にとってのリスクとなり、適切に管理しな
ければ、不明なストレージボリュームによってコストが増加し、機密データが漏洩して
しまう可能性があります。そしておわかりの通り、コンプライアンスチームはストレージ
ディスクが野放しになっている状況を良しとしません。
2016年夏号 | THE DOPPLER | 65