クラウドネイティブを学ぼう!

コンテナおよびクラウドにおける ISO 27001 準拠の理解

SHARE:

すべての組織が従うべきセキュリティ管理のベストプラクティスを定めた世界共通の基準があれば素晴らしいと思いませんか?

実は、そのような基準が存在します。それが ISO 27001 です。これは、IT システムの設計および管理において組織が従うべき 100 以上のセキュリティ管理措置を含む、国際的なコンプライアンスフレームワークです。

この記事では、ISO 27001 準拠の意味を説明し、コンテナベースの環境を含む、最新のクラウドネイティブ環境への適用方法についてご説明します。

ISO 27001 とは?

ISO 27001 は、国際的な情報セキュリティ規格です。国際標準化機構(ISO)および国際電気標準会議(IEC)によって定義されています。(IEC が関与しているため、この規格は ISO 27001 ではなく ISO/IEC 270001 と呼ばれることもあります。ただし、実際にはこれらの用語は同じ意味です。)

この規格は2005年に初めて発行され、2013年に大幅な改訂が行われました。その後、小規模な改訂がいくつか行われています。

ISO 27001 の要件とは?

ISO および IEC は、ISO 27001 準拠の内容を定義する複数の文書を公開しています。これらの文書は、正式な ISO 27001 出版物およびさまざまな補足文書を含む ISO 情報ライブラリでご覧いただけます。

ただし、ISO 27001 準拠の要約は、14 種類のセキュリティ制御に基づいています。

  1. 情報セキュリティポリシー:組織は、所有または管理するすべてのシステムおよび資産に適用されるセキュリティポリシーを定義する必要があります。
  2. 情報セキュリティの組織化:組織は、情報セキュリティポリシーを強制するための特定のフレームワークを実施する必要があります。
  3. 人的資源のセキュリティ:組織は、従業員だけでなく、ベンダーやパートナーなどの外部関係者に対するセキュリティポリシーを定義する必要があります。
  4. 資産管理:組織は、所有する資産を体系的に管理し、各資産に対して適切なセキュリティコントロールを実施する必要があります。
  5. アクセス制御:組織は、従業員が業務を行うために必要な最小限のアクセスに制限する必要があります。
  6. 暗号化:組織は、機密データを保護するために、暗号化などの暗号化技術を使用すべきです。
  7. 物理的および環境的セキュリティ:組織は、資産の物理的セキュリティを確保しなければなりません。
  8. 運用セキュリティ:このファミリーには、セキュリティ運用を実施する際に組織が従うべき、さまざまな運用ポリシーおよび手順が含まれます。
  9. 通信の秘密:組織は、ネットワーク通信のセキュリティを確保しなければなりません。
  10. システムの取得、開発、および保守:セキュリティは、資産ライフサイクル管理に統合されるべきです。
  11. サプライヤーとの関係:組織は、サプライヤーおよびサプライチェーンに対して、合理的なセキュリティ管理を要求しなければなりません。
  12. 情報セキュリティインシデント管理:組織は、セキュリティインシデントに対応し、報告するための効果的な手順を実施しなければなりません。
  13. 事業継続管理の情報セキュリティ面:組織は、セキュリティインシデント発生時に事業継続を維持するための手順を確立しなければなりません。
  14. コンプライアンス:組織は、自社が遵守すべき規制要件を特定し、それらの法律を遵守するための措置を講じる必要があります。

このリストをご覧になるとお分かりのように、これらの制御ファミリーのいくつかは、クラウドやコンテナ環境などの IT リソースの管理方法に特に重点を置いています。IT チームや開発者にとって、ISO 27001 で最も重要な制御は、上記のリストの 1、2、6、8 です。

ただし、すべてのコントロールは、ITセキュリティがビジネス全体にどのように適用されるかを決定するため、技術的な関係者は、人事セキュリティなどが主な担当範囲でなくても、ISO 27001の要件全般に精通しておく必要があります。

ISO 27001 の遵守が必要な対象者は?

ISO 27001 は非政府組織によって定義された国際規格であるため、規制遵守の枠組みではありません。どの組織も法的にこの規格に準拠する義務はなく、ISO 27001 規格に準拠しなかった場合、罰則は課されません。

しかし、多くの企業は、IT セキュリティを管理する際に従うべきベストプラクティスを定義するために、ISO 27001 フレームワークを採用しています。そうすることで、主に 2 つの目標を達成することができます。

  • セキュリティへの取り組みを証明する:ISO 27001 への準拠を実証することで、企業はパートナーや顧客に対して、効果的な情報セキュリティ管理を実施していることを証明することができます。
  • 準拠リスクの発見:ISO 27001準拠監査は、規制枠組み下で罰金対象となる準拠違反を引き起こす可能性のあるセキュリティリスクや脆弱性を組織が発見するのに役立ちます。自発的なISO 27001監査で脆弱性が特定された場合、企業はGDPRやHIPAAのような規制準拠法に基づく罰金や制裁措置が発生する前に、それらに対処するための措置を講じることができます。

クラウドにおける ISO 27001 コントロールの実施

ほとんどのコンプライアンスフレームワークと同様に、ISO 27001 のコントロールは、企業がクラウド環境を保護するために実装しなければならない特定のツール、プロセス、または慣行を厳密に定義していません。その代わりに、セキュリティコントロールの解釈方法とクラウドへの適用方法は、組織に委ねられています。そのため、クラウドにおける ISO 27001 へのコンプライアンスには多くのアプローチがあり、すべての企業が同じ慣行を採用するわけではありません。

ただし、ISO 27001のクラウド準拠において考慮すべき一般的なベストプラクティスも存在します。

準拠したクラウドベンダーを選ぶ

まず第一に、パブリッククラウドベンダー(または複数のベンダー)が、自社のインフラストラクチャにおいて ISO 27001 準拠の認証を取得していることを確認してください。

これは難しいことではありません。一般的に、主要なパブリッククラウドはすべて ISO 27001 に準拠していますが、いくつかの注意点があります。たとえば、AWS では、現在 特定のクラウドリージョン のみが ISO 27001 準拠の認証を取得しています。また、クラウドプロバイダーの監査報告書(Azure が こちら で提供しているものなど)を確認して、ISO 27001 準拠の程度を評価することもできます。

クラウド監査およびコンプライアンスツールを使う

もちろん、ISO 27001 準拠のクラウドを選択しても、顧客が ISO 27001 に完全に準拠することが保証されるわけではありません。クラウドプロバイダーは、責任共有モデルに基づいて、自社のインフラストラクチャまたは管理しているその他のリソースの準拠のみを保証することができます。顧客がクラウドに導入するアプリケーションまたはデータにおける ISO 27001 の準拠責任は、顧客にあります。

監査およびコンプライアンスツールは、顧客が導入したワークロードが ISO 27001 に準拠していることを確認するのに役立ちます。これらのツールは、クラウド環境および関連する構成を自動的にスキャンし、それらが事前に定義されたコンプライアンス基準を満たしているかどうかを評価します。クラウドベンダーは、Azure Blueprint など、このようなツールをいくつか提供しています。ただし、複数のパブリッククラウドを使用している企業や、ハイブリッドクラウド環境を持つ企業にとっては、外部の監査ツールの方が有用である場合があります。

Cloud IAM を使用する

クラウドアイデンティティおよびアクセス管理(IAM)フレームワークは、ISO 27001 が要求するアクセス制御を実装するための、クラウド環境における主要なツールです。IAM ポリシーの作成に加え、組織は IAM 構成を監査して、アクセス制御のリスクにつながる見落としがないかを確認する必要があります。

データの暗号化

デフォルトでデータ暗号化を有効にするのも、ISO 27001 で定義されている暗号化制御を実装するためのもう 1 つの標準的な手法です。クラウドにおけるデータ暗号化へのアプローチは、クラウドサービスの種類によって異なりますが、その基本的な目標は、特別な理由がない限り、データは常に暗号化されるようにすることです。たとえば、AWS S3 などのオブジェクトストレージサービスを使用する場合は、ストレージバケットのデフォルトのサーバー側データ暗号化を設定してください。

ネットワーク分離

仮想プライベートクラウドおよびその他の仮想化ネットワーク抽象化は、クラウド内のワークロードを分離するのに役立ちます。これにより、アクセス制御を強化し、ISO 27001 ネットワークセキュリティ制御の一部を実装するための別の手段を提供します。

コンテナの ISO 27001 準拠

ISO 27001 は、コンテナのセキュリティ確保に関する具体的な規定も定めていませんが、コンテナベースの環境には、いくつかの一般的なベストプラクティスが適用されます。

イメージスキャン

コンテナイメージをスキャンすることで、ISO 27001 の運用セキュリティ制御、特にマルウェアの検出に関する制御を満たすことができます。

監査ログ

Kubernetes 監査ログは、ISO 27001 運用セキュリティ基準の条件に基づく脆弱性やリスクを検出するためのもう 1 つの手段です。

アクセス制御

クラウド IAM ツールを使用してクラウドサービスのアクセスを管理することに加え、Kubernetes RBACセキュリティコンテキストなどのコンテナ固有の制御を使用して、コンテナ環境内できめ細かなアクセス制御を実施することを検討してください。

結論

ISO 27001 の遵守は法律で義務付けられているものではありませんが、ISO 27001 への準拠は、パートナーや顧客に対して効果的なセキュリティ管理を実証し、コンプライアンスリスクを未然に防ぐためのベストプラクティスです。ISO 27001 には、クラウドおよびコンテナ環境に関する具体的なセキュリティガイドラインは記載されていませんが、最新のクラウドネイティブのコンテキストで ISO 27001 の管理を効果的に実装するためのツールやプラクティスが数多くあります。