規制への準拠が拡大すると、仮想環境において、PCI DSS、HIPAA、SOX （GLBA） などのセキュリティおよびコンプライアンス標準を満たす領域が広がります。適切なツールを使用すると、単に vSphere 上のコンプライアンスを実現および実証できるだけでなく、多くの場合物理環境と比べて容易に行うことが可能です。

仮想プラットフォームでの管理制御機能の評価

これを行うには、まず安全な基盤を構築します。セキュリティ上の脅威は増大し、進化しているため、柔軟で調整可能なセキュリティ環境が必要です。セキュリティ標準では、コンプライアンスの実現および実証に必要な制御を提供するための、エンタープライズ クラスの管理機能が必要になります。次に、コンプライアンスに対応するために、仮想コンピューティング プラットフォームに必要な管理機能について説明します。

認証および承認機能

セキュリティ管理の第一歩となるのは、認証と承認です。外部との通信を行うすべての仮想化プラットフォームには、認証制御と、柔軟な承認フレームワークによる詳細なアクセス権を設定する機能が必要です。アクセス権の範囲を特定のオブジェクトやインフラストラクチャの一部に制限し、「最小の権限を付与する」 という原則から外れることなく、適切なユーザーに適切なアクセス権を付与できるようにすべきです。また、仮想マシンの管理権限は、ホストの管理権限と区別する必要があります。これにより、アプリケーション所有者の権限範囲を限定できます。この 「業務の分離 （SoD）」 によって、システム管理者によるデータの盗用、データ所有者が行う悪意のあるシステム変更や不注意によるシステム変更など、「内部関係者」 による不正使用の可能性を制限できます。

構成パラメータとログ パラメータへの統合アクセスの確保

プラットフォームの構成を簡素化するには、標準フォーマットまたは理解しやすいフォーマットのパラメータを、いくつかの分かりやすい場所に格納する必要があります。適切な権限を持つユーザーのみが、これらの構成パラメータにアクセスし、変更できるようにします。また、確認、分析、および制御されたログを保存するため、仮想化プラットフォームのコンポーネントおよび関連する管理ツールの詳細なイベント ログへ中央からアクセスできる必要があります。

柔軟かつ適切に定義された、単一の API

仮想化プラットフォームには、トポロジーを含むインベントリをキャプチャおよび表示するための、適切に定義されたオープンな API が必要です。API は、さまざまな機能を制御し、前述のアクティビティ ログなどの監査データを安全に抽出できる必要があります。さらに、適切に設計されたシステムでは、複数のパラレル API セットをそれぞれ異なる目的に使用することはありません。たとえば、内部コンポーネント用の API と、外部との連携用の API が異なることはありません。1 つの API を 「唯一の正しい情報源 （single source of truth）」 として使用すれば、すべての相互処理を、信頼性の高い一貫した方法で制御および監視できます。このような性質の単一の API により、規制に準拠するための要件を容易に満たすことができます。

コンプライアンスの実現と実証

多くの規制機関では、幅広い範囲の予防的コントロール、発見的コントロール、およびその他のコントロールを対象にしています。たとえば、PCI DSS では、次のテクノロジーが対象であると表明しています。

• ファイアウォール
• アンチウイルス テクノロジーおよびその他のアンチマルウェア テクノロジー
• ネットワーク侵入の検出と予防
• ファイルの整合性確認
• ログ管理
• 脆弱性の管理
• Web アプリケーション ファイアウォール

ほかの多くのテクノロジーおよびセキュリティ プロセスも、標準の要件として含まれています。たとえば、セキュリティ ポリシーの作成、リスク評価プロセス、セキュリティ認識プログラム、侵入テストなどが対象となります。コンプライアンスの目的が異なっても、特定の基本的条件が常に適用されます。コントロールは次の 3 つのカテゴリに分類されます。

このフレームワークを使用して、ローカルのセキュリティ ポリシーや手順のほか、法律、業界の要件、「ベスト プラクティス」 のフレームワークに準拠した仮想マシン環境を実現する戦略を作成できます。

ホーム > テクノロジー > テクノロジーとアーキテクチャ > セキュリティ > コンプライアンス センター