検索
日本語
日本語

言語を選択してください

ログイン アカウント
ログイン / 登録 アカウント
Web サイト

テクノロジーガイド

継続的 IT セキュリティの実現に Red Hat を選ぶ理由

IT セキュリティとサイバーセキュリティは統合され、継続的に実行される必要があります。しかし、具体的にはどうすればいいのでしょうか?いくつかのアイデアをご紹介しますが、それらを個別のステップ、あるいは直線的なステップとして捉えないでください。これらのアイデアは噛み合わさった一連の歯車のようなものであると考えてください。1 つの歯車が回転すると、他の歯車も回転します。つまり、セキュリティ計画の各部分が同期しながら機能するのです。

Security guide diagram

設計

セキュリティは設計から始まる

セキュリティを定義して IT ライフサイクルに実装するために、チーム全体でコラボレーション・プロセスと説明責任プロセスを使用するワークフローを設計します。高度に接続された環境を利用するテクノロジー (クラウドなど) を使用している場合は、一部の制御機能がサードパーティ・ベンダー側にある可能性を理解しておいてください。

チームで話し合われるべき質問:現在の環境にはどのようなセキュリティ制御とプロセスが必要か?ベンダーとはどのように連携していくか?セキュリティ上の重要な意思決定を、チーム間でどのように伝達するか?

Design phase of security

開始する:

  • セキュリティの制御と要件を定義する
  • セキュリティプロセスを共同開発する
  • 常に最新のセキュリティ基準をチームと共有する
  • 明確なコミュニケーション手段を確立して、何らかの問題が発生した場合にセキュリティ・ソリューションを可能な限り同時に IT ライフサイクル全体に実装できるようにする
  • 信頼するベンダーを選び、ベンダーの責任範囲を明確にする

ビルド

自動化にセキュリティを組み込む

DevOps は自動化を使用して、アプリケーションのライフサイクルの各段階で連続的なフィードバック・ループを実行します。この手法は「セキュリティを組み込む」という点において、DevOps ビジネス以外でも取り入れられています。セキュリティチェックとプロセスの自動化には、利点がいくつかあります。自動化により、重複が回避され、人的ミスが低減します。意思決定のための一元化されたダッシュボードを利用できます。脅威を検出して対応するプロセスを迅速化できます。また、自動化を使用してセキュリティゲートをビルドすることもできます。これにより、セキュリティチェックに合格しなかった場合に、自動的にデプロイメントを防ぐことができます。

それでも、アラームの誤報や内部的な脅威は発生するものです。自動化は、チームの特定のニーズに対してうまく機能するように管理される必要があります。インフラストラクチャ、アプリケーション、およびプロセスにセキュリティを組み込む際には、不正な変更やアクセスを防ぐための制御が実装されているかどうかを確認してください。可能な限り、暗号化を使用してください。

Build phase of security

開始する:

  • セキュリティテストを自動化して、ビルドプロセスとデプロイメント・プロセスに統合する
  • セキュリティゲートを使用して適切なアクション (デプロイの実行または阻止) をトリガーする
  • 暗号化のアルゴリズムとインタフェースを使用する
  • ロギングとモニタリングの機能を備えたインフラストラクチャを選択する

実行

セキュリティが強化されたプラットフォームで実行する

手動プロセスに依存する従来のセキュリティモデルは、クラウドなどの新しい分散テクノロジーのセキュリティニーズに対応できません。新しいテクノロジーとそれらをサポートするツールおよびプロセスは、自動化に大きく依存します。使用するクラウドが物理、仮想、プライベート、パブリックのいずれであっても、すべての環境に共通して、インフラストラクチャに組み込まれているプラットフォームが保護されいることと、セキュリティ強化されていることを確認してください。

Run phase of security

開始する:

  • セキュリティテストを自動化して、ビルドプロセスとデプロイメント・プロセスに統合する
  • インフラストラクチャ・プラットフォームは、アーキテクチャ間で統合され使用できること、さらに一貫性があり、さまざまなプロセスに対応できることが必要

管理

構成、ユーザー、およびアクセスを管理する

セキュリティ構成の変更、監査、修復を自動化するための管理ツールを忘れずに準備しましょう。特定のセキュリティニーズに応じて早期にロールを割り当てることで、回復力のあるセキュリティ環境を維持することができます。権限は実際の業務でそれを必要とする担当者にのみ割り当てるようにしてください。権限の割り当ては従業員の入社時に行うことが多いですが、その後もユーザーデータの定期的な更新や退職時の更新を忘れてはいけません。

考慮事項:インシデントを分析し緩和するためのツールは用意されているか?ワークロード全体でセキュリティポリシーと規制準拠のポリシーを自動的に適用、監査、修復するために、どのように自動化を活用するか?

Manage phase of security

開始する:

  • アセットカタログを最新の状態に維持し、アクセスと使用状況を監視する
  • すべてのインフラストラクチャ (物理、仮想、プライベートおよびパブリッククラウド) を網羅する、継続的な予防的セキュリティのための管理ソリューションをデプロイする
  • IT ライフサイクルのあらゆる部分を追跡できるダッシュボードを使用して、ユーザーとアクセスを積極的に管理する
  • 必要なセキュリティ制御を備えたセキュリティ・プロファイルを定義する
  • これらのセキュリティ・プロファイルへの準拠を自動化する
  • インフラストラクチャとセキュリティの両方をコード化する (これにより、共有と検証が可能な再現性のあるインフラストラクチャを構築でき、コンプライアンス監査が容易になる)

適応

状況の変化に適応する

セキュリティをとりまく状況は急速に変化します。ガバナンス要件と監査要件には並行して変化が生じるため、定期的な改訂計画を立てましょう。セキュリティの警告とアドバイスをどこで確認すればよいのかを把握し、その情報を使用して適切に適応させる必要があります。最善のセキュリティ計画を立てていても、一定期間が経過すれば、新たな攻撃経路が明らかとなります。セキュリティ脅威への迅速な対応をデプロイする作業は、ビジネスを守るための最も重要な取り組みの 1 つです。パッチ、修正、復元に関するガイダンスを提供してくれるパートナーは、ビジネスを軌道に戻すために欠かせません。

Adapt phase of security

開始する:

  • 分析と自動化を使用して適応させる (状況の変化に応じて改訂、更新、修正する)
  • ロールと責任の変更に応じて、アクセス設定を更新する
  • ガバナンスと監査の要件の変化に対応する
  • 状況の変化に合わせてポリシーとガバナンスを改訂、更新する

Red Hat がお手伝いします

ガイダンスがさらに必要な場合や、このプロセスを円滑に遂行するためのツールが必要な場合に備えて、企業を強化するために Red Hat が提供しているリソースの一部をご紹介します。

セキュリティリソース

開発者

Red Hat 開発者プログラム

Red Hat 開発者プログラムによるセキュアプログラミングの詳細をご確認ください。

トレーニング

Red Hat Security: Linux in Physical, Virtual, and Cloud (RH415)

Red Hat のセキュリティ技術で、セキュリティリスクを管理し、コンプライアンス要件に準拠しましょう。

サポート

テクニカル・アカウント・マネジメント

リスクアセスメントとサポータビリティ (保守性) チェックを提供するテクニカル・アドバイザーと手を組みましょう。

セキュリティに対する Red Hat のアプローチについての詳細を確認する