テクノロジーガイド

継続的な IT セキュリティのガイド

IT セキュリティとサイバーセキュリティは継続的で、統合されている必要があります。しかし、具体的にはどうすればいいのでしょうか?これからいくつかのアイデアをご紹介しますが、それらは個別のステップ、あるいは直線的なステップとは考えないでください。これらのアイデアは、相互接続された一連のギアのようなものであると考えてください。1 回転すると、他のギアも同様に回転します。つまり、セキュリティ計画の各部分は同期しながら動作するのです。

Security guide diagram

設計

セキュリティは設計から始まる

チーム全体でコラボレーション・プロセスと説明責任プロセスを使用して、セキュリティを定義し、IT ライフサイクルに実装するワークフローを設計します。強く接続された環境を利用するテクノロジー (クラウドなど) を使用している場合は、コントロールの一部がサードパーティ・ベンダー側にある可能性があることを理解してください。

チームと議論するための質問:現在の環境にはどのようなセキュリティ制御とプロセスが必要ですか?ベンダーとはどのように連携しますか?セキュリティ上の重要な意思決定を、チーム間でどのように伝達しますか?

Design phase of security

今すぐ始める

  • セキュリティの制御と要件を定義する
  • セキュリティプロセスを共同開発する
  • セキュリティ基準の最新情報を常にチームに共有する
  • 何らかの問題が発生した場合に、IT ライフサイクル全体に可能な限り同時にセキュリティ・ソリューションを実装できるように、明確な伝達手段を用意する
  • 信頼するベンダーを選び、ベンダーの責任範囲を明確にする

ビルド

自動化を使用してセキュリティをビルドする

DevOps は自動化を使用して、アプリケーションのライフサイクルの各段階で連続的なフィードバック・ループを実行します。DevOps ビジネスに該当しない場合でも、「セキュリティのビルド」ではこのプラクティスを取り入れます。セキュリティチェックとプロセスの自動化には、いくつかの利点があります。自動化により、重複を防ぐことができ、人的ミスを低減でき、意思決定のために一元化されたダッシュボードを提供でき、脅威を検出して対応するプロセスを迅速化することができます。また、自動化を使用してセキュリティゲートをビルドすることもできます。これにより、セキュリティチェックが失敗しても、自動的にデプロイメントを防ぐことができます。

それでも、不正アラームや内部的な脅威は発生するものです。自動化は、チームの特定のニーズに適した状態で機能するように管理する必要があります。インフラストラクチャ、アプリケーション、およびプロセスにセキュリティを組み込む際には、不正な変更やアクセスを防ぐためのコントロールがあるかどうかを確認してください。可能な限り、暗号化を使用してください。

Build phase of security

今すぐ始める

  • セキュリティテストを自動化して、ビルドプロセスとデプロイメント・プロセスに統合する
  • セキュリティゲートを使用して、デプロイするかどうかに関わらず、適切なアクションをトリガーする
  • 暗号化のアルゴリズムとインタフェースを使用する
  • ロギングとモニタリングの機能を備えたインフラストラクチャを選択する

実行

セキュリティが強化されたプラットフォームで実行する

手動プロセスに依存する従来のセキュリティモデルは、クラウドなどの新しい分散テクノロジーのセキュリティニーズとは互換性がありません。新しいテクノロジーとそれらをサポートするツールおよびプロセスは、自動化に大きく依存します。使用するクラウドが物理、仮想、プライベート、パブリックのいずれであっても、インフラストラクチャに組み込まれているプラットフォームが、保護されており、セキュリティが強化されており、すべての環境に共通していることを確認してください。

Run phase of security

今すぐ始める

  • セキュリティテストを自動化して、ビルドプロセスとデプロイメント・プロセスに統合する
  • インフラストラクチャ・プラットフォームは、アーキテクチャ間で統合され、使用可能であり、一貫性があり、さまざまなプロセスに対応できる必要がある

管理

構成、ユーザー、およびアクセスを管理する

セキュリティ構成の変更、監査、および修復の自動化を管理する管理ツールを用意することを忘れないでください。特定のセキュリティニーズに応じて早期にロールを割り当てることで、回復力のあるセキュリティ環境を維持することができます。権限は、実際の業務に必要な担当者にのみ割り当てるようにしてください。権限の割り当ては、従業員の入社時に行う可能性がありますが、ユーザーデータを定期的に更新し、退職時にも更新を忘れないでください。

常に考慮すべき事項があります。インシデントを分析し緩和するためのツールは用意されていますか?自動化を使用して、セキュリティポリシーと規制へのコンプライアンスのポリシーをワークロード全体に自動的に適用、監査、修復するにはどうすればよいですか?

Manage phase of security

今すぐ始める

  • アセットカタログを最新の状態に維持し、アクセスと使用状況を監視する
  • すべてのインフラストラクチャ (物理、仮想、プライベートおよびパブリッククラウド) を網羅する、継続的な予防的セキュリティのための管理ソリューションをデプロイする
  • IT ライフサイクルのあらゆる部分を追跡できるダッシュボードを使用して、ユーザーとアクセスを積極的に管理する
  • 必要なセキュリティ制御を使用してセキュリティ・プロファイルを定義する
  • これらのセキュリティ・プロファイルへのコンプライアンスを自動化する
  • インフラストラクチャとセキュリティの両方をコードとして保有する (これにより、インフラストラクチャを繰り返し可能、共有可能、かつ検証可能にすることができ、コンプライアンス監査が容易になる)

適応

状況の変化に適応する

セキュリティの状況は急速に変化します。ガバナンス要件と監査要件は並行して変化が生じるため、定期的に改訂するための計画を立てます。セキュリティの警告とアドバイスをどこで確認すればよいのかを把握し、その情報を使用して適切に適応させる必要があります。最善のセキュリティ計画を立てていても、一定期間が経過すれば、新たな攻撃経路が明らかとなります。セキュリティの脅威への迅速な対応をデプロイする作業は、ビジネスを守るための最も重要な取り組みの 1 つです。パッチ、修正、復元に導いてくれるパートナーは、ビジネスを軌道に戻すために欠かせません。

Adapt phase of security

今すぐ始める

  • 分析と自動化を使用して適応させる (状況の変化に応じて改訂、更新、修正する)
  • ロールと責任の変更に応じて、アクセス設定を更新する
  • ガバナンスと監査の要件の変化に対応する
  • 状況の変化に合わせてポリシーとガバナンスを改訂、更新する

セキュリティリソース

開発者

Red Hat 開発者プログラム

Red Hat 開発者プログラムによる安全なプログラミングの詳細をご覧ください。

トレーニング

Red Hat Security: Linux in Physical, Virtual, and Cloud (RH415)

Red Hat のセキュリティ技術で、セキュリティリスクを管理し、コンプライアンス要件に準拠します。

サポート

テクニカル・アカウント・マネジメント (TAM)

リスクアセスメントとサポート可能性チェックを提供するテクニカル・アドバイザーをパートナーにすることができます。

セキュリティに対する Red Hat のアプローチについての詳細を確認する