監視とは、クラウド環境がガバナンス ポリシーにどの程度準拠しているかを継続的に測定し、それらのポリシーに準拠しなくなったときに検出することです。 効果的な監視を使用すると、ガバナンス作業の影響を検証し、リスク レベルを可視化し、必要に応じて修復プロセスを迅速にトリガーできます。 このステージでは、適切なテレメトリ、アラート、およびレビュー プロセスを構成して、ガバナンスの調整を維持します。
クラウド ガバナンスを設定して維持するプロセスを示す図。この図は、クラウド ガバナンス チームの構築、クラウド リスクの評価、クラウド ガバナンス ポリシーの文書化、クラウド ガバナンス ポリシーの適用、クラウド コンプライアンスの監視という 5 つの一連の手順を示しています。1 回実行する最初の手順。クラウド ガバナンスを設定し、継続的に維持するために 1 回実行する最後の 4 つの手順。
クラウド ガバナンスを適用したら、コンプライアンスの初期ベースライン評価を実行します。 どのポリシーが満たされているか、どこにギャップがあるかを確認します。 その後、時間の経過と同時にこれらのメトリックを追跡します。 最終的な目標は、監視が問題を示すポリシーと適用を繰り返し改善することで、コンプライアンス違反をゼロに減らすか、ほぼ実用的にすることです。
1. クラウド ガバナンスの監視を構成する
監視ソリューションを実装して、クラウド ガバナンス ポリシーへのコンプライアンスを追跡します。 目標は、コンプライアンスの適用を担当するチームを可視化し、コンプライアンス違反を迅速に修復できるようにすることです。 ガバナンス監視を構成するには、次の推奨事項に従います。
監視ツールを使用します。 リアルタイム監視機能を提供するコンプライアンス監視ツールを選択します。 特定のガバナンス ポリシーへの準拠を監視できることを確認します。 ガバナンスの監視に必要なメトリックとログを収集します。 Azureランディングゾーンの管理設計領域で、可視性と監視に関する推奨事項を確認します。
必要に応じて手動で監視します。 自動監視メカニズムを使用できない場合は、コンプライアンスを手動で確認します。
ドキュメント監視ソリューション。 コンプライアンス データを収集する場所を把握できるように、各クラウド ガバナンス ポリシーを監視する方法を追跡します。 クラウド ガバナンス ポリシーで、Azure PolicyやMicrosoft Purviewなどの監視ツールを一覧表示します。 手動によるアプローチがある場合は、監査の頻度を一覧表示します。
ガバナンスの監視を一元化します。 クラウド ガバナンス コンプライアンスの状態を 1 か所で表示できるソリューションを使用または構築します。 たとえば、Azure ガバナンス ブックは、多くのAzureガバナンス監視サービスを一元化します。
コンプライアンス ベースラインを確立します。 クラウド 環境がクラウド ガバナンス ポリシーにどの程度準拠しているかを評価します。 そのベースラインを基準としてください。 時間の経過に伴うベースラインに対する進行状況を追跡します。
ガバナンス監視へのアクセスを提供します。 ガバナンスを担当するチームが適用制御の有効性を評価できるように、ガバナンス監視結果への適切なレベルのアクセスを構成します。
監査モニタリングの有効性。 コンプライアンス レポートとリソースを手動で確認して、監視の有効性を検証します。 たとえば、 タグが NA などの望ましくない値ではなく、適切な値を受け取っていることを確認します。
Azureファシリテーション: クラウド ガバナンス監視の構成
次のガイダンスは、Azureでクラウド ガバナンス監視を構成するのに役立ちます。 クラウド ガバナンスの主要なカテゴリのサンプルの開始点を提供します。 これらのシグナルは、Azure ガバナンス ブックで集計することを検討してください。 クラウド ガバナンス監視を構成するには、サブスクリプションから監視データを収集するアクセス許可を持つAzure ID が必要です。
規制コンプライアンス ガバナンスの監視を構成する
コンプライアンス ダッシュボードを使用します。割り当てたポリシーに関するポリシー コンプライアンス データを取得します。
コンプライアンスを決定します。 コンプライアンス データを使用して、 コンプライアンス違反の原因を特定します。
セキュリティ ガバナンスの監視を構成する
セキュリティ ガバナンスの監視を使用します。セキュリティに関する推奨事項を確認 し、セキュリティ スコアを使用して時間の経過と共にセキュリティ ガバナンスを監視 します。 この機能は、一般的なセキュリティ フレームワークに対する 規制コンプライアンス を監視するためのダッシュボードを提供します。
ID ガバナンス監視を構成します。監査ログ、サインイン ログ、プロビジョニング ログを収集するように ID 監視を構成します。 また、 ID のセキュリティ スコアを確認し、 ID ガバナンス ダッシュボードを 使用して、テナント全体の ID の 1 つのビューを取得します。
コスト管理ガバナンスの監視を構成する
クラウド コストを分析する。 Azureでコスト分析を実施して、クラウド コストを完全に可視化します。
予算を作成します。クラウドへの目的の投資に合わせて予算を作成します。
コスト データを収集します。 コスト最適化の推奨事項とコスト最適化ブックを使用して、アイドル 状態のリソースの検出などのコスト管理作業をガイドします。 コストの異常と予期しない変化を特定します。
運用ガバナンスの監視を構成する
クラウド運用に関するポリシーを監視します。 Azure Policyを使用して、運用に適用されるガバナンス ポリシーへの準拠を追跡します。
ログとメトリックを監視します。 可用性とパフォーマンスを追跡するには、クラウド環境全体のログとメトリックを分析します。
Monitor リソースの最適化.Azure Advisorを使用してAzureリソースの信頼性、セキュリティ、オペレーショナル エクセレンス、パフォーマンス、コストを監視します。 新しい Advisor の推奨事項のアラートを設定します。
Monitor resource health.Azure サービスの正常性を監視し、サービスに影響を与えるイベント、計画メンテナンス、および可用性に影響する可能性があるその他の変更を監視します。
データ ガバナンスの監視を構成する
データ ガバナンスを監視します。データのコンプライアンス、管理、使用状況を監視します。
ダッシュボードを使用します。 ダッシュボードを使用して、任意のデータ プレーン ポリシーへの準拠を監視します。
リソース管理ガバナンスの監視を構成する
- リソース管理に関するポリシーを監視します。 タグ適用ポリシーなど、リソースのデプロイに適用されるクラウド ガバナンス ポリシーに対するコンプライアンスを監視します。
AI ガバナンスの監視を構成する
AI システムの出力を監視します。 Azureは、AIシステムの不正使用監視とコンテンツフィルタリングに使用します。
AIシステムに対してレッドチーミングを実施します。 レッドチーム言語モデルを定期的に使用して、有害な出力を発見する。 手動テストと自動ツールの両方を使用して、リスク ベースラインを確認します。
2. クラウド ガバナンス アラートを構成する
ガバナンス ポリシーからの逸脱を示す特定のコンプライアンス メトリックまたはイベントに基づいてアラートを構成します。 クラウド ガバナンス アラートを構成するには、次の推奨事項に従います。
クラウドネイティブのアラート メカニズムを使用します。 コンプライアンスの問題に対してリアルタイムの監視とアラートを提供するクラウドネイティブ ツールを優先します。
非準拠を定義します。 コンプライアンス違反の明確なしきい値とベースラインを定義します。 データがこれらのしきい値を超えた場合、または非準拠を示す可能性のある予期しない変更が発生したときにアラートを設定します。
アラートを適切にルーティングします。 クラウド ガバナンス ポリシーへのコンプライアンスの適用を担当する適切なチームまたは個人にアラートを送信します。
非準拠情報をアラートに含めます。 コンプライアンス非対応イベントに関する詳細情報を含むようにアラートを構成します。 ポリシー違反、影響を受けるリソース、推奨される修復を含めるのが理想的です。
Azureファシリテーション: クラウド ガバナンス アラートの構成
次のガイダンスは、Azureでクラウド ガバナンス アラートの構成を開始するのに役立ちます。 クラウド ガバナンスの主要なカテゴリのサンプルの開始点を提供します。
規制コンプライアンス ガバナンスアラート。 Azureアクティビティ ログを使用して、Azure全体に準拠していない場合にアラートを<>生成します。
セキュリティ ガバナンスアラート。 セキュリティ アラートとコンプライアンス違反アラートを構成します。
コスト ガバナンス アラート。 潜在的なコスト超過と支出の異常をチームに通知するアラートを設定します。 コスト アラートとコストの異常アラートを構成します。 予約使用率アラートを設定して、予約と節約プランの使用状況を完全な使用量に維持するか、または完全に近づけてください。
運用ガバナンスアラート。特定のログとメトリックに対してアラートを構成します。 信頼性とパフォーマンスに合わせて、新しい推奨事項のアラートを設定します。 サービス正常性アラートを構成して、現在および今後のサービス正常性の問題の通知を受け取ります。 リソースの正常性アラートを構成して、Azure リソースの現在および過去の正常性状態の通知を受け取ります。
データ ガバナンス アラート。データ ガバナンス違反を 報告するようにデータ ガバナンス アラートを構成します。
リソース管理ガバナンスアラート。 非準拠リソースがデプロイされたときのアラートを構成します。 たとえば、デプロイ パイプラインでビルド警告を使用したり、コンプライアンス違反の状態を監視したりします。
AI ガバナンス アラート。 AI システムに有害な入力と出力がある場合にアラートを構成します。 たとえば、Azure OpenAI からの、悪用の行動を知らせる電子メールを監視します。
3. 修復計画を作成する
コンプライアンス非対応イベントに対処するための対象となるアクション プランを作成します。 コンプライアンス違反を検出したら、修復計画を実行して偏差を修正し、リスクと影響を最小限に抑えます。 簡単にアクセスできるように、修復の詳細をクラウド ガバナンス ポリシーに追加します。 次の推奨事項に従います。
修復タイムラインについて説明します。 リスクの優先順位に応じて、修復のタイムラインをネゴシエートします。 コンプライアンスを担当するチームは、タイムリーにコンプライアンスを修復する必要があります。
リスクの高い違反を迅速に修復します。 リスクの高いコンプライアンス違反アラート (公開されたデータ エンドポイントなど) の場合は、それらのコンプライアンス違反の問題をエスカレートして修正する計画があります。 この危険度の高い違反が繰り返されないように、ポリシー適用メカニズムを更新します。 Azureを使用してコンプライアンス状態の変更に対応、ポリシーに準拠していないリソース、およびセキュリティに関する推奨事項を修復します。
リスクの低い違反をフォローアップします。 リスクの低いポリシーには監査優先のアプローチを使用して、ブロックリストに含まれるサービスのデプロイなど、クラウド ガバナンス ポリシーに違反したチームと話し合うことができます。 使用できる新しい機能、より優れたサービス レベル (SKU)、または特定のリージョンの価格が向上している可能性があります。 クラウド ガバナンス チームは、チームのニーズについて話し合い、会話に従ってポリシーと適用メカニズムを調整する必要があります。
可能な限り修復を自動化します。 関連するチームに通知するだけでなく、必要に応じて定義済みの修復プロセスを開始する自動化されたワークフローを設定します。 このソリューションは主に、自動化では防止できない、リスクの高い既知のソリューションを対象としています。
ガバナンス ポリシーと適用メカニズムを更新します。 コンプライアンス非対応イベントから得られた分析情報に基づいて、ガバナンス ポリシーと適用メカニズムを更新します。 更新には、ポリシー定義の厳格化、監視機能の強化、検出と応答時間の向上のためのアラートのしきい値の調整が含まれる場合があります。
4. クラウド ガバナンスを定期的に監査する
自動監視を使用した場合でも、定期的な手動レビューと監査を実施して、コンプライアンス監視プロセスを検証し、自動化ツールが正しく機能していることを確認します。 クラウド ガバナンスを監査するには、次の推奨事項に従います。
内部監査を実施する。 定期的な内部監査を実施して、ガバナンス ポリシーのコンプライアンスを評価します。
外部監査を実施する。 必要に応じて外部監査者と連携し、法的および規制上の要件への準拠を検証します。 お客様のガバナンス ポリシーが、お客様の地域の該当する法律および規制に準拠していることを確認するには、法律の専門家に相談してください。
次のステップ
クラウド ガバナンスは、継続的な注意を必要とする継続的なプロセスです。 リスクの評価、ガバナンス ポリシーの文書化、ポリシーの適用、および適用の有効性の監視というガバナンス プロセスを一貫して繰り返します。 また、クラウド ガバナンス チームは、新しいクラウド リスクを特定するたびに、クラウド ガバナンス プロセスを通じて作業する必要があります。