クラウド ガバナンスを監視する

この記事ではクラウド ガバナンスを監視する方法について説明します。 クラウド ガバナンスを実施した後、クラウド環境がクラウド ガバナンス ポリシーにどの程度適合 (準拠) しているかを測定する必要があります。 まず、最初のコンプライアンス測定を行って、クラウドのセットアップをガバナンス ポリシーに合わせるために改善が必要な領域を特定します。 経時的にコンプライアンスを追跡して、クラウド ガバナンスが効果的な場所、効果的でない場所を確認します。 目標は、ガバナンスを監視し、コンプライアンス違反の問題をなくすことです。

クラウド ガバナンスの監視を構成する

監視ソリューションを実装して、クラウド ガバナンス ポリシーへのコンプライアンスを追跡します。 目標は、コンプライアンスの実施を担当するチームを可視化し、コンプライアンス違反を迅速に修復できるようにすることです。 ガバナンス監視を構成するには、次の推奨事項に従ってください。

• 監視ツールを使用します。 リアルタイム監視機能を持つ、コンプライアンス監視ツールを選択します。 特定のガバナンス ポリシーへの準拠を監視できることを確認します。 ガバナンスの監視に必要なメトリックとログを収集します。 Azure ランディング ゾーン管理の設計領域で、可視性と監視に関する推奨事項を確認します。

• 必要に応じて手動で監視します。 自動監視メカニズムを使用できない場合はコンプライアンスを手動で確認します。

• 監視ソリューションを文書化します。 コンプライアンス データを収集する場所を把握できるように、各クラウド ガバナンス ポリシーを監視する方法を追跡します。 クラウド ガバナンス ポリシーで、Azure Policy や Microsoft Purview などの監視ツールをリスト化します。 手動によるアプローチがある場合は、監査の頻度をリスト化します。

• ガバナンスの監視を一元化します。 クラウド ガバナンス コンプライアンスの状態を 1 か所で確認できるソリューションを使用または構築します。 たとえば、Azure ガバナンス ワークブックは、多くの Azure ガバナンス監視サービスを一元化します。

• コンプライアンス ベースラインを確立します。 クラウド環境がクラウド ガバナンス ポリシーにどの程度準拠しているかを評価します。 それをベースラインにします。 経時的に、ベースラインに対する進行状況を追跡します。

• ガバナンス監視へのアクセスを準備します。 ガバナンスを担当するチームが実施コントロールの有効性を評価できるように、ガバナンス監視結果への適切なレベルのアクセスを構成します。

• 監視の有効性を監査します。 コンプライアンスを手動で確認して、コンプライアンスを検証します。 たとえば、タグが NA などの望ましくない値ではなく、適切な値を持っていることを確認します。

Azure ファシリテーション: クラウド ガバナンス監視の構成

次のガイダンスは Azure でクラウド ガバナンス監視を構成するのに役立ちます。 クラウド ガバナンスの主要なカテゴリのサンプルの開始点となります。 Azure ガバナンス ワークブックでこれらのシグナルを集計することを検討してください。 クラウド ガバナンス監視を構成するためには、サブスクリプションから監視データを収集するアクセス許可を持つ Azure ID が必要です。

規制コンプライアンス ガバナンスの監視を構成する

• コンプライアンス ダッシュボードを使用する。 割り当てたポリシーのポリシー コンプライアンス データを取得します。

• コンプライアンスを決定します。 コンプライアンス データを使用して、コンプライアンス違反の原因を特定します。

セキュリティ ガバナンスの監視を構成する

• セキュリティ ガバナンス モニタリングを使用する。 セキュリティに関する推奨事項を確認し、セキュリティ スコアを使用してセキュリティ ガバナンスを経時的にモニタリングします。この機能は、一般的なセキュリティ フレームワークに対する規制コンプライアンスをモニタリングするためのダッシュボードを提供します。

• ID ガバナンス モニタリングを構成する。ID モニタリングを構成し、監査、サインイン、プロビジョニングのログを収集します。 また、ID セキュリティ スコアを確認し、ID ガバナンス ダッシュボードを使用して、テナント全体の ID の単一ビューを取得します。

コスト管理ガバナンスの監視を構成する

• クラウド コストを分析します。 Azure でコスト分析を実施して、クラウド コストを完全に可視化します。

• 予算を作成する。 クラウドへの必要な投資に合わせて予算を作成します。

• コスト データを収集します。 コスト最適化の推奨事項とコスト最適化ワークブックを使用して、アイドル状態のリソースの検出などのコスト管理作業をガイドします。 コストの異常と予期しない変化を特定します。

運用ガバナンスの監視を構成する

• クラウド運用に関するポリシーを監視します。 Azure Policy を使用して、運用に適用されるガバナンス ポリシーへのコンプライアンスを追跡します。

• ログとメトリックを監視する。 可用性とパフォーマンスを追跡するには、クラウド環境全体のログとメトリックを分析します。

• リソースの最適化をモニタリングする。Azure Advisor を使用して、信頼性、セキュリティ、オペレーショナル エクセレンス、パフォーマンス、コストについて Azure リソースをモニタリングします。 Advisor の新しい推奨事項に合わせてアラートを作成します。

• リソースの正常性をモニタリングする。Azure サービスの正常性をモニタリングし、サービスに影響を与えるイベント、計画メンテナンス、および可用性に影響を与える可能性のあるその他の変更をモニタリングします。

データ ガバナンスの監視を構成する

• データ ガバナンスをモニタリングする。データのコンプライアンス、管理、使用状況をモニタリングします。

• ダッシュボードを使用します。 ダッシュボードを使用して、データ プレーン ポリシーへの準拠を監視します。

リソース管理ガバナンスの監視を構成する

• リソース管理に関するポリシーを監視します。 タグ実施ポリシーなど、リソースのデプロイに実施されるクラウド ガバナンス ポリシーに対するコンプライアンスを監視します。

AI ガバナンスの監視を構成する

• AI システムの出力を監視します。 Azure を使用して、AI システムの不正使用の監視とコンテンツのフィルター処理を行います。

• AI システムをレッドチームします。 有害な出力を見つけるために、定期的に言語モデルをレッドチームします。 手動テストと自動ツールの両方を使用して、リスク ベースラインを確認します。

クラウド ガバナンス アラートを構成する

ガバナンス ポリシーからの逸脱を示す特定のコンプライアンス メトリックまたはイベントに基づいてアラートを構成します。 クラウド ガバナンス アラートを構成するには、次の推奨事項に従ってください。

• クラウドネイティブのアラート メカニズムを使用します。 コンプライアンスの問題に対してリアルタイムの監視とアラートを行うクラウドネイティブ ツールを優先します。

• コンプライアンス違反を定義します。 コンプライアンス違反の明確なしきい値とベースラインを定義します。 データがこれらのしきい値を超えた場合、またはコンプライアンス違反を示す可能性のある予期しない変更が発生したときにアラートを設定します。

• アラートを適切にルーティングします。 クラウド ガバナンス ポリシーへのコンプライアンスの実施を担当する適切なチームまたは個人にアラートを送信します。

• コンプライアンス違反情報をアラートに含めます。 コンプライアンス違反イベントに関する詳細情報を含むようにアラートを構成します。 ポリシー違反、影響を受けるリソース、推奨される修復を含めるのが理想的です。

Azure ファシリテーション: クラウド ガバナンス アラートの構成

次のガイダンスは Azure でクラウド ガバナンス アラートの構成を開始するのに役立ちます。 クラウド ガバナンスの主要なカテゴリのサンプルの開始点となります。

• 規制コンプライアンス ガバナンス アラート。 Azure アクティビティ ログを使用して、Azure 全体におけるコンプライアンス違反のアラート を生成します。

• セキュリティ ガバナンス アラート。 セキュリティ アラートとコンプライアンス違反アラートを構成します。

• コスト ガバナンス アラート。 潜在的なコスト超過と支出の異常をチームに通知するアラートを設定します。 コスト アラートとコストの異常アラートを構成します。 予約使用率アラートを設定して、予約と節約プランの使用量をフルまたはそれに近い量で維持します。

• 運用ガバナンス アラート。特定のログとメトリックに対するアラートを構成します。 信頼性とパフォーマンスに合わせて、新しい推奨事項のアラートを設定します。 サービス正常性アラートを構成して、現在および今後のサービス正常性の問題の通知を受け取ります。 リソース正常性アラートを構成して、Azure リソースの現在および過去の正常性状態の通知を受け取ります。

• データ ガバナンス アラート。データ ガバナンス アラートを構成してデータ ガバナンス違反を報告します。

• リソース管理ガバナンス アラート。 非準拠リソースがデプロイされたときのアラートを構成します。 たとえば、展開パイプラインでビルド警告を使用したり、コンプライアンス違反の状態を監視したりします。

• AI ガバナンス アラート。 AI システムで有害な入力と出力が発生した場合のアラートを構成します。 たとえば、不正な動作を通知する Azure OpenAI からの電子メールを監視します。

修復計画を策定する

コンプライアンス違反イベントに対処するための目標付きアクション プランを策定します。 コンプライアンス違反を検出したら、修復計画を実行して逸脱を修正し、リスクと影響を最小限に抑えます。 簡単にアクセスできるように、修復の詳細をクラウド ガバナンス ポリシーに追加します。 次の推奨事項に従ってください。

• 修復タイムラインについて説明します。 リスクの優先順位に応じて、修復のためにタイムラインを取り決めます。 コンプライアンスを担当するチームはタイムリーにコンプライアンスを修復する必要があります。

• リスクの高い違反を迅速に修復します。 データ エンドポイントの流出など、リスクの高いコンプライアンス違反アラートの場合は、それらのコンプライアンス違反の問題をエスカレーションして修正する計画を立てます。 このような危険度の高い違反が繰り返されないように、ポリシー実施メカニズムを更新します。 Azure を 使用して、コンプライアンス状態の変更に対応し、ポリシーに準拠していないリソースを修復し、セキュリティに関する推奨事項を修復します。

• リスクの低い違反をフォローアップします。 リスクの低いポリシーに対しては監査優先の姿勢を取り、ブロックリストにサービスをデプロイするなど、クラウド ガバナンス ポリシーに違反したチームと話し合うことも可能です。 新しい機能が利用可能となっていたり、特定のリージョンでは、より優れたサービス レベル (SKU) またはより有利な価格で利用できたりするかも知れません。 クラウド ガバナンス チームは、チームのニーズについて話し合い、その検討に従ってポリシーと実施メカニズムを調整する必要があります。

• 可能な限り修復を自動化します。 関連するチームに通知するだけでなく、必要に応じて定義済みの修復プロセスを開始する自動化されたワークフローを設定します。 このソリューションは主に、自動化では防止できない、リスクの高い既知のソリューションを対象としています。

• ガバナンス ポリシーと実施メカニズムを更新します。 コンプライアンス非対応イベントから得られた分析情報に基づいて、ガバナンス ポリシーと実施メカニズムを更新します。 更新の候補には、ポリシー定義の厳格化、監視機能の強化、検出と応答時間の向上のためのアラートしきい値の調整などがあります。

クラウド ガバナンスを定期的に監査する

自動監視を使用した場合でも、定期的な手動レビューと監査を実施し、コンプライアンス監視プロセスを検証して、自動化ツールが正しく機能していることを確認します。 クラウド ガバナンスを監査するには、次の推奨事項に従ってください。

• 内部監査を実施します。 定期的な内部監査を実施して、ガバナンス ポリシーのコンプライアンスを評価します。

• 外部監査を実施します。 必要に応じて外部監査者と連携し、法的要件と規制上の要件への準拠を検証します。 お客様のガバナンス ポリシーがお客様の地域の該当する法律および規制に準拠していることを確認するには、法律の専門家に相談してください。

次のステップ

クラウド ガバナンスは継続的な注意を必要とする継続的なプロセスです。 リスクの評価、ガバナンス ポリシーの文書化、ポリシーの実施、および実施の有効性の監視というガバナンス プロセスを一貫して繰り返します。 また、クラウド ガバナンス チームは、新しいクラウド リスクを特定するたびにクラウド ガバナンス プロセスを通じて作業する必要があります。

クラウド ガバナンスの概要

クラウド導入フレームワークの概要