コンプライアンス フレームワーク: コンプライアンスの自動化
La コンプライアンス この文脈では、DevSecOps は官僚的な活動ではなく、 自動化して継続的に検証できる一連の技術的制御。 GDPR、SOC2、ISO27001、PCI-DSS などのフレームワークは、ユーザーが必要とするセキュリティ要件を定義します。 コードとして実装できる DevSecOps コントロールに直接変換します。
アプローチ コードとしてのコンプライアンス コンプライアンス要件をポリシーに変える 自動かつ継続的な証拠収集と検証可能な監査証跡。これにより労力が軽減されます 監査の場合、監査間の時間的ギャップを排除し、実証可能なコンプライアンスを提供します。 リアルタイムで。
何を学ぶか
- GDPR、SOC2、ISO27001 要件を DevSecOps コントロールにマッピング
- Compliance-as-Code: 証拠収集を自動化する
- 監査ログと証拠収集
- コンプライアンス自動化ツール (Vanta、Drata、CloudCompli)
- 継続的なコンプライアンス監視
- 監査の準備
コンプライアンスを DevSecOps コントロールにマッピングする
各コンプライアンス フレームワークは、i を通じて満たせる要件を定義します。 このシリーズで検討した DevSecOps コントロール:
DevSecOps とコンプライアンス フレームワークのマッピング
| DevSecOps コントロール | SOC2 | ISO27001 | PCI-DSS |
|---|---|---|---|
| ラスト/ラスト | CC7.1、CC8.1 | A.14.2.1 | 6.5、6.6 |
| SCA | CC7.1 | A.14.2.1 | 6.2 |
| 機密管理 | CC6.1 | A.10.1.1 | 3.4、8.2 |
| アクセス制御 | CC6.1、CC6.2 | A.9.1~A.9.4 | 7.1、7.2 |
| 監査ログ | CC7.2 | A.12.4 | 10.1~10.7 |
| インシデント対応 | CC7.3-CC7.5 | A.16 | 12.10 |
| コンテナのセキュリティ | CC7.1 | A.14.2.5 | 6.3、6.5 |
| 暗号化 | CC6.1 | A.10.1 | 3.4、4.1 |
SOC2: トラストサービス基準
SOC2 (サービス組織管理タイプ2)およびコンプライアンス基準プラス SaaS 企業には必須です。これは、セキュリティ、可用性、信頼性の 5 つのトラスト サービス基準に基づいています。 処理の完全性、機密性、プライバシー。
DevSecOps の場合、最も関連性の高い基準は次のとおりです。 セキュリティ (共通基準)、それ システムを不正アクセスから保護するための制御が必要です。
- CC6 - 論理アクセス: RBAC、MFA、最小権限、定期的なアクセスレビュー
- CC7 - システム操作: モニタリング、脆弱性管理、インシデント対応
- CC8 - 変更管理: コードレビュー、承認ワークフロー、テスト
ISO27001:情報セキュリティマネジメント
ISO27001 安全管理の国際規格 情報。 93のコントロールを備えたISMS(情報セキュリティマネジメントシステム)を定義 付録 A に記載されており、その多くは DevSecOps の実践に直接対応しています。
コードとしてのコンプライアンス: 実装
コードとしてのコンプライアンスの概念は、次の 3 つのレベルで実装されます。
1. 自動ポリシー適用
コンプライアンス ポリシーはコード (OPA/Rego、Kyverno) として実装され、強制されます。 パイプラインとインフラストラクチャで自動的に実行されます。
2. 証拠収集の継続
コンプライアンスの証拠は、各実行および展開パイプラインから自動的に収集されます そして安全運転。これにより、手動による事前監査収集が不要になります。
# .github/workflows/compliance-evidence.yml
name: Compliance Evidence Collection
on:
push:
branches: [main]
jobs:
collect-evidence:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: SAST Evidence (CC7.1)
run: |
semgrep scan --config auto --sarif > evidence/sast-results.sarif
echo "SAST scan completed at $(date -u)" >> evidence/audit-log.txt
- name: SCA Evidence (CC7.1)
run: |
npm audit --json > evidence/sca-results.json
echo "SCA scan completed at $(date -u)" >> evidence/audit-log.txt
- name: Container Scan Evidence (CC7.1)
run: |
trivy image --format json myapp:latest > evidence/container-scan.json
echo "Container scan completed at $(date -u)" >> evidence/audit-log.txt
- name: SBOM Generation (Supply Chain)
run: |
syft myapp:latest -o cyclonedx-json > evidence/sbom.json
echo "SBOM generated at $(date -u)" >> evidence/audit-log.txt
- name: Store Evidence
uses: actions/upload-artifact@v4
with:
name: compliance-evidence-${{ github.sha }}
path: evidence/
retention-days: 365
3. 監査証跡は不変です
コンプライアンス関連のアクションはすべて、不変の監査証跡に記録されます。 誰が、いつ、何をし、どのような結果になったかが含まれます。
# Struttura audit log
audit_entry:
timestamp: "2026-01-15T10:30:00Z"
actor: "github-actions[bot]"
action: "security-scan"
resource: "myapp:v1.5.0"
result: "PASS"
details:
sast_findings: 0
sca_critical: 0
container_vulnerabilities: 2
container_vulnerabilities_severity: "LOW"
evidence_ref: "artifact/compliance-evidence-abc123"
pipeline_run: "https://github.com/org/repo/actions/runs/12345"
コンプライアンス自動化のためのツール
コンプライアンス自動化プラットフォーム
| 楽器 | サポートされているフレームワーク | DevSecOpsの統合 |
|---|---|---|
| 自慢です | SOC2、ISO27001、HIPAA、PCI | GitHub、AWS、GCP、Azure、Snyk |
| ドラタ | SOC2、ISO27001、GDPR、PCI | GitHub、GitLab、クラウドプロバイダー |
| レース編み | SOC2、PCI、CIS ベンチマーク | クラウドネイティブ、コンテナ、IaC |
| シェフ・インスペック | CIS、STIG、カスタム | オープンソース、インフラストラクチャのテスト |
継続的なコンプライアンス監視
コンプライアンスは時間厳守のイベント (年次監査) ではなく、継続的なプロセスです。の 継続的なコンプライアンス監視 すべてのコントロールを常に確認する が適切に配置されており、逸脱が発生した場合に警告します。
- リアルタイムダッシュボード: 各コントロールのコンプライアンスステータスがリアルタイムで更新されます
- 逸脱に関するアラート: チェックが失敗した場合は即時通知
- 傾向分析: 改善すべき領域を特定するための長期的なコンプライアンス傾向の分析
- 証拠リポジトリ: 自動的に収集されたすべての証拠の一元的なアーカイブ
監査の準備
監査前チェックリスト
- すべての自動制御がアクティブで機能していることを確認します。
- 過去 12 か月間の証拠が完全でアクセス可能であることを確認する
- コードとしてのポリシーが最新であり、強制モードであることを検証する
- 監査証跡が完全で不変であることを確認する
- 例外と補償制御の文書を準備する
- 社内チームと監査の予行演習を実行する
コンプライアンスのベストプラクティス
- まずは自動化: コンプライアンスチェックの 90% 以上を自動化
- 証拠収集は続く: 各パイプライン実行時に証拠を収集します
- 唯一の真実の情報源: すべての証拠の一元化プラットフォーム
- 明示的なマッピング: コントロールとコンプライアンス要件の間のマッピングを文書化します。
- 定期的なレビュー: 管理とポリシーの四半期レビュー
- チームトレーニング: フレームワークのアップデートに関する継続的なトレーニング
結論
自動化されたコンプライアンスは、適切な DevSecOps 実装の自然な結果です。 セキュリティ管理がパイプラインと証拠収集に統合されると、 自動的に行われるため、監査の準備は検証作業ではなく検証作業になります。 必死に資料を集めました。
次の記事では、 欧州の規制 詳細: GDPR 開発者向け、NIS2 指令と新しいサイバー レジリエンス法、実装に焦点を当てたもの 要件テクニック。