この記事では、クラウド ガバナンス ポリシーへのコンプライアンスを適用する方法について説明します。 クラウド ガバナンスの適用とは、クラウドの使用をクラウド ガバナンス ポリシーに合わせて調整するために使用する制御と手順を指します。 クラウド ガバナンス チームは、クラウド リスクを評価し、それらのリスクを管理するためのクラウド ガバナンス ポリシーを作成します。 クラウド ガバナンス ポリシーに確実に準拠するには、クラウド ガバナンス チームが強制責任を委任する必要があります。 各チームまたは個人が責任の範囲内でクラウド ガバナンス ポリシーを適用できるようにする必要があります。 クラウド ガバナンス チームがすべてを実行することはできません。 自動化された強制制御を優先しますが、自動化できない場合は、コンプライアンスを手動で適用します。
クラウド ガバナンス ポリシーを適用するためのアプローチを定義する
クラウド ガバナンス ポリシーへのコンプライアンスを適用するための体系的な戦略を確立します。 目標は、自動化されたツールと手動監視を使用して、コンプライアンスを効率的に適用することです。 強制アプローチを定義するには、次の推奨事項に従います。
ガバナンス責任を委任する。 個人とチームが責任の範囲内でガバナンスを実施できるようにする。 たとえば、プラットフォーム チームはワークロードが継承するポリシーを適用し、ワークロード チームはワークロードのガバナンスを適用する必要があります。 クラウド ガバナンス チームは、強制制御を適用する責任を負うべきではありません。
継承モデルを採用します。 特定のワークロードがプラットフォームからガバナンス ポリシーを継承する階層型ガバナンス モデルを適用します。 このモデルは、クラウド サービスの購入要件など、組織の基準が適切な環境に適用されるようにするのに役立ちます。 Azure ランディング ゾーンとそのリソース組織の設計領域の設計原則に従って、適切な継承モデルを確立します。
適用の詳細について説明します。 ガバナンス ポリシーを適用する場所と方法について説明します。 目標は、生産性を向上させるコンプライアンスを適用するコスト効率の高い方法を見つけることです。 話し合いがなければ、特定のチームの進捗状況を妨げているリスクがあります。 リスクを効果的に管理しながら、ビジネス目標をサポートするバランスを見つけることが重要です。
モニター優先の姿勢を持つ。 最初に理解していない限り、アクションをブロックしないでください。 優先順位の低いリスクの場合は、まず、クラウド ガバナンス ポリシーのコンプライアンスを監視します。 リスクを理解したら、より制限の厳しい適用制御に移行できます。 モニター優先のアプローチでは、ガバナンスのニーズについて話し合い、クラウド ガバナンス ポリシーと強制制御をそれらのニーズに再調整する機会を得られます。
ブロックリストを優先します。 許可リストよりもブロックリストを優先します。 ブロックリストを使用すると、特定のサービスがデプロイできなくなります。 使用できるサービスの長い一覧よりも、使用すべきではないサービスの一覧を小さくすることをお勧めします。 長いブロックリストを回避するために、既定ではブロックリストに新しいサービスを追加しないでください。
タグ付けと名前付け方法を定義します。 クラウド リソースの名前付けとタグ付けに関する体系的なガイドラインを確立します。 クラウド環境全体でリソースの分類、コスト管理、セキュリティ、コンプライアンスのための構造化されたフレームワークを提供します。 開発チームなどのチームが、独自のニーズに合わせて他のタグを追加できるようにします。
クラウド ガバナンス ポリシーを自動的に適用する
クラウド管理およびガバナンス ツールを使用して、ガバナンス ポリシーへのコンプライアンスを自動化します。 これらのツールは、ガードレールの設定、構成の監視、コンプライアンスの確保に役立ちます。 自動適用を設定するには、次の推奨事項に従います。
まず、少数の自動ポリシー セットから始めます。 少数の重要なクラウド ガバナンス ポリシーのセットでコンプライアンスを自動化します。 運用の中断を回避するために自動化を実装してテストします。 準備ができたら、自動適用コントロールの一覧を展開します。
クラウド ガバナンス ツールを使用する。 クラウド環境で使用できるツールを使用して、コンプライアンスを適用します。 Azure の主要なガバナンス ツールは Azure Policy です。 Microsoft Defender for Cloud (セキュリティ)、Microsoft Purview (データ)、Microsoft Entra ID ガバナンス (ID)、Azure Monitor (操作)、管理グループ (リソース管理)、コードとしてのインフラストラクチャ (IaC) (リソース管理)、および各 Azure サービス内の構成を使用して Azure Policy を補完します。
適切なスコープでガバナンス ポリシーを適用します。 管理グループなどの上位レベルでポリシーが設定されている継承システムを使用します。 上位レベルのポリシーは、サブスクリプションやリソース グループなどの下位レベルに自動的に適用されます。 ポリシーは、クラウド環境内に変更がある場合でも適用され、管理オーバーヘッドが削減されます。
ポリシー適用ポイントを使用します。 クラウド環境内で、ガバナンス ルールを自動的に適用するポリシー適用ポイントを設定します。 デプロイ前チェック、ランタイム監視、自動修復アクションを検討してください。
ポリシーをコードとして使用します。 IaC ツールを使用して、 コードを通じてガバナンス ポリシーを適用します。 コードとしてのポリシーは、ガバナンス制御の自動化を強化し、さまざまな環境間の一貫性を確保します。 Enterprise Azure Policy as Code (EPAC) を使用して、推奨される Azure ランディング ゾーン ポリシーに合わせたポリシーを管理することを検討してください。
必要に応じてカスタム ソリューションを開発します。 カスタム ガバナンス アクションの場合は、カスタム スクリプトまたはアプリケーションの開発を検討してください。 Azure サービス API を使用して、データを収集したり、リソースを直接管理したりします。
Azure ファシリテーション: クラウド ガバナンス ポリシーを自動的に適用する
次のガイダンスは、Azure のクラウド ガバナンス ポリシーへのコンプライアンスを自動化するための適切なツールを見つけるのに役立ちます。 クラウド ガバナンスの主要なカテゴリのサンプルの開始点を提供します。
規制コンプライアンス ガバナンスを自動化する
規制コンプライアンス ポリシーを適用します。 HITRUST/HIPAA、ISO 27001、CMMC、FedRamp、PCI DSSv4 などのコンプライアンス標準に合わせた 組み込みの規制コンプライアンス ポリシー を使用します。
カスタム制限を自動化します。 Azure を操作するための独自のルールを定義するカスタム ポリシーを作成します。
セキュリティ ガバナンスを自動化する
セキュリティ ポリシーを適用します。 組み込みのセキュリティ ポリシーと自動化されたセキュリティ コンプライアンスを使用して、一般的なセキュリティ標準に準拠します。 NIST 800 SP シリーズ、Center for Internet Security ベンチマーク、および Microsoft クラウド セキュリティ ベンチマークの組み込みポリシーがあります。 組み込みのポリシーを使用して、特定の Azure サービスの セキュリティ構成を自動化 します。 Azure を操作するための独自のルールを定義するカスタム ポリシーを作成します。
ID ガバナンスを適用します。 Microsoft Entra 多要素認証 (MFA) とセルフサービス パスワード リセットを有効にします。 脆弱なパスワードを排除します。 アクセス要求ワークフロー、アクセス レビュー、ID ライフサイクル管理など、 ID ガバナンスの他の側面を自動化します。 Just-In-Time アクセスを有効 にして、重要なリソースへのアクセスを制限します。 条件付きアクセス ポリシーを使用して、クラウド サービスへのユーザー ID とデバイス ID のアクセスを許可またはブロックします。
アクセス制御を適用します。 Azure ロールベースのアクセス制御 (RBAC) と属性ベースのアクセス制御 (ABAC) を使用して、特定のリソースへのアクセスを管理します。 ユーザーとグループに対するアクセス許可を付与および拒否します。 適切な スコープ (管理グループ、サブスクリプション、リソース グループ、またはリソース) でアクセス許可を適用して、必要なアクセス許可のみを提供し、管理オーバーヘッドを制限します。
コスト ガバナンスを自動化する
デプロイの制限を自動化します。 コスト のかかるリソースの使用を防ぐために、特定のクラウド リソースを禁止します。
カスタム制限を自動化します。 Azure を操作するための独自のルールを定義するカスタム ポリシーを作成します。
コストの割り当てを自動化します。 タグ付け要件を適用して、環境 (開発、テスト、運用)、部門、またはプロジェクト間で コストをグループ化して割り当てます 。 タグを使用して、コスト最適化作業の一部であるリソースを識別して追跡します。
運用ガバナンスを自動化する
冗長性を自動化します。 組み込みの Azure ポリシーを使用して、ゾーン冗長インスタンスや geo 冗長インスタンスなど、指定されたレベルのインフラストラクチャ冗長性を要求します。
バックアップ ポリシーを適用します。 バックアップ ポリシーを使用して、バックアップの頻度、保有期間、およびストレージの場所を管理します。 バックアップ ポリシーを、データ ガバナンス、規制コンプライアンス要件、目標復旧時間 (RTO)、目標復旧時点 (RPO) に合わせます。 Azure SQL Database などの個々の Azure サービスのバックアップ設定を使用して、必要な設定を構成します。
目標のサービス レベル目標を達成します。 対象のサービス レベル目標を満たしていない特定のサービスおよびサービス レベル (SKU) のデプロイを制限します。 たとえば、Azure Policy で
Not allowed resource types
ポリシー定義を使用します。
データ ガバナンスを自動化する
データ ガバナンスを自動化する。 カタログ化、マッピング、安全な共有、ポリシーの適用などの データ ガバナンス タスクを自動化します。
データ ライフサイクル管理を自動化します。 データが効率的かつ準拠して格納されるように、 ストレージポリシーとストレージのライフサイクル管理 を実装します。
データセキュリティを自動化する。 データの分離、暗号化、冗長性などのデータ 保護戦略を確認して適用します。
リソース管理のガバナンスを自動化する
リソース管理階層を作成します。 管理グループを使用してサブスクリプションを整理し、ポリシー、アクセス、支出を効率的に管理できるようにします。 Azure ランディング ゾーン リソース組織 のベスト プラクティスに従います。
タグ付け戦略を適用する。 管理容易性、コスト追跡、コンプライアンスを向上させるために、すべての Azure リソースに一貫してタグを付けます。 タグ付け戦略を定義 し、 タグ ガバナンスを管理します。
デプロイできるリソースを制限します。 リソースの種類を禁止 して、不要なリスクを追加するサービスのデプロイを制限します。
デプロイを特定のリージョンに制限します。 規制要件に準拠し、コストを管理し、待機時間を短縮するためにリソースをデプロイする場所を制御します。 たとえば、Azure Policy で
Allowed locations
ポリシー定義を使用します。 また、デプロイ パイプラインに リージョンの制限を適用 します。コードとしてのインフラストラクチャ (IaC) を使用します。 Bicep、Terraform、または Azure Resource Manager テンプレート (ARM テンプレート) を使用してインフラストラクチャのデプロイを自動化します。 IaC 構成をソース管理システム (GitHub または Azure Repos) に格納して、変更を追跡し、共同作業します。 Azure ランディング ゾーン アクセラレータを使用して、プラットフォームとアプリケーション リソースのデプロイを管理し、時間の経過に伴う構成のずれを回避します。
ハイブリッド環境とマルチクラウド環境を管理する。 ハイブリッドリソースとマルチクラウド リソースを管理する。 管理とポリシーの適用の一貫性を維持します。
AI ガバナンスを自動化する
検索拡張生成 (RAG) パターンを使用します。 RAG は、言語モデルが応答を生成するために使用する接地データを制御する情報取得システムを追加します。 たとえば、 独自のデータ機能で Azure OpenAI サービスを 使用したり、 Azure AI Search で RAG を設定して生成 AI をコンテンツに制限したりできます。
AI 開発ツールを使用する。 AI を使用するアプリケーションを開発するときに AI オーケストレーションを容易にし、標準化するセマンティック カーネルなどの AI ツールを使用します。
出力生成を管理する。 不正使用や有害なコンテンツの生成を防ぐのに役立ちます。 AI コンテンツ のフィルター処理と AI 不正使用の監視を使用します。
データ損失防止を構成します。 Azure AI サービスのデータ損失防止を構成します。 AI サービス リソースのアクセスが許可されている送信 URL の一覧を構成します。
システム メッセージを使用します。 システム メッセージを使用して、AI システムの動作をガイドし、出力を調整します。
AI セキュリティ ベースラインを適用します。 Azure AI セキュリティ ベースラインを使用して、AI システムのセキュリティを管理します。
クラウド ガバナンス ポリシーを手動で適用する
ツールの制限やコストによって、自動化された適用が現実的でない場合があります。 適用を自動化できない場合は、クラウド ガバナンス ポリシーを手動で適用します。 クラウド ガバナンスを手動で適用するには、次の推奨事項に従います。
チェックリストを使用します。 ガバナンス チェックリストを使用して、チームがクラウド ガバナンス ポリシーに簡単に従えるようにします。 詳細については、 コンプライアンス チェックリストの例を参照してください。
定期的なトレーニングを提供します。 関連するすべてのチーム メンバーに対して頻繁なトレーニング セッションを実施し、ガバナンス ポリシーを確実に認識できるようにします。
定期的なレビューをスケジュールします。 ガバナンス ポリシーへの準拠を確保するために、クラウド リソースとプロセスの定期的なレビューと監査のスケジュールを実装します。 これらのレビューは、確立されたポリシーからの逸脱を特定し、是正措置を取る上で重要です。
手動で監視します。 ガバナンス ポリシーに準拠するためにクラウド環境を監視する専用の担当者を割り当てます。 リソースの使用を追跡し、アクセス制御を管理し、ポリシーに合わせてデータ保護対策を実施することを検討してください。 たとえば、クラウド コストを管理するための 包括的なコスト管理アプローチ を定義します。
ポリシーの適用を確認する
コンプライアンスの適用メカニズムを定期的に確認して更新します。 目標は、クラウド ガバナンス ポリシーの適用を、開発者、アーキテクト、ワークロード、プラットフォーム、ビジネス要件など、現在のニーズに合わせて維持することです。 ポリシーの適用を確認するには、次の推奨事項に従います。
利害関係者と連携します。 実施メカニズムの有効性について関係者と話し合う。 クラウド ガバナンスの適用がビジネス目標とコンプライアンス要件と一致していることを確認します。
Monitor の要件。 新しい要件または更新された要件に合わせて適用メカニズムを更新または削除します。 適用メカニズムの更新を必要とする規制と標準の変更を追跡します。 たとえば、Azure ランディング ゾーンで推奨されるポリシーは、時間の経過と同時に変化する可能性があります。 これらのポリシーの変更を 検出 するか、最新の Azure ランディング ゾーンカスタム ポリシーに 更新 するか、必要に応じて組み込みのポリシーに 移行 する必要があります。
クラウド ガバナンスコンプライアンスチェックリストの例
コンプライアンス チェックリストは、チームがそれらに適用されるガバナンス ポリシーを理解するのに役立ちます。 コンプライアンス チェックリストの例では、 クラウド ガバナンス ポリシーの例 のポリシー ステートメントを使用し、クロスリファレンス用のクラウド ガバナンス ポリシー ID が含まれています。
カテゴリ | コンプライアンス要件 |
---|---|
規制に対するコンプライアンス | ☐ Microsoft Purview を使用して機密データ (RC01) を監視する必要があります。 ☐ 毎日の機密データ コンプライアンス レポートは、Microsoft Purview (RC02) から生成する必要があります。 |
安全 | ☐ すべてのユーザーに対して MFA を有効にする必要があります (SC01)。 ☐ アクセス レビューは、ID ガバナンス (SC02) で毎月行う必要があります。 ☐ 指定した GitHub 組織を使用して、すべてのアプリケーションとインフラストラクチャ コード (SC03) をホストします。 ☐ パブリック ソースのライブラリを使用するチームは、検疫パターン (SC04) を採用する必要があります。 |
オペレーション | ☐ 運用ワークロードには、リージョン間でアクティブ/パッシブ アーキテクチャが必要です (OP01)。 ☐ すべてのミッション クリティカルなワークロードは、リージョンをまたがるアクティブ/アクティブ アーキテクチャ (OP02) を実装する必要があります。 |
費用 | ☐ ワークロード チームは、リソース グループ レベル (CM01) で予算アラートを設定する必要があります。 ☐ Azure Advisor のコストに関する推奨事項を確認する必要があります (CM02)。 |
データ | ☐ 転送中と保存中の暗号化は、すべての機密データに適用する必要があります。 (DG01) ☐ すべての機密データ (DG02) に対してデータ ライフサイクル ポリシーを有効にする必要があります。 |
リソース管理 | ☐ リソース (RM01) をデプロイするには、Bicep を使用する必要があります。 ☐ Azure Policy (RM02) を使用して、すべてのクラウド リソースにタグを適用する必要があります。 |
人工知能 (AI) | ☐ AI コンテンツ フィルタリング構成は、中以上 (AI01) に設定する必要があります。 ☐ 顧客向けの AI システムは、毎月レッド チーミングが実施される必要があります (AI02)。 |