Puppet のコンプライアンス自動管理モジュール:Policy-as-Code の実装が進む?

Puppet Adds Modules to Automate Compliance Management

2021/10/01 SecurityBoulevard — 今週に開催されたオンライン・カンファレンス Puppetize Digital 2021 において、Puppet は IT オートメーション・プラットフォームの範囲を拡大し、Compliance Enforcement Modules を追加した。Puppet の CTO である Abby Kearns は、Center for Internet Security (CIS) が定義したベンチマークを用いて、IT チームとセキュリティ・チームが共同で Policy-as-Code を実装することを、よりシンプルにすることが目的だと述べている。

そのための Compliance Enforcement Modules が、Puppet Comply にバンドルされる。したがって Puppet Comply の Puppet Enterprise 内のモジュールで、クラウド/オンプレミスの IT 環境におけるインフラ全体の、コンフィグレーション・コンプライアンス・ポリシーを、IT チームは評価/修正/施行できるようになる。Puppet Comply は、Puppet プラットフォームが自動的に実施するポリシーを、IT チームがより簡単に作成できるようにするための、追加のコンテキストを提供していく。

多くの IT チームは、自身でポリシーを作成するのに必要な、時間や専門知識を持ち合わせていないという。IT 環境の複雑化に伴い、IT チームは IT オートメーション・フレームワークへの依存度を着実に高めている。同社は、すでに多くの IT チームが導入している、Puppet のコア・プラットフォームを使った自動化の、セキュリティの領域への拡大を訴えている。

通常では、サイバーセキュリティ・チームはポリシーを定義するが、その実施は運用チームに任されている。すでに多くの IT チームが採用しているPuppet プラットフォームを、これらのチームが使うことで、ポリシーの自動的な実施が可能になるなら、一般的に摩擦は少なくなる、と Abby Kearns は指摘している。

コンプライアンス管理プロセスの自動化のための各種プラットフォームを、どれほどの組織が採用しているのかは明らかになっていない。選択肢には事欠かないが、ほとんどの企業は、コンプライアンス・プロセスの導入を運用チームに任せている。また、ほとんどのコンプライアンス専門家は、IT 環境でポリシーを実施するために必要な IT スキルを持ち合わせていない。

コンプライアンス・プロセスの自動化により、組織における IT オートメーション・プラットフォームの採用が、どれほど進むのかは、あまり明らかになっていない。しかし、企業が直面している数多くのコンプライアンス問題を考えると、従来からの手作業によるプロセスに欠陥があることは明らかだ。

さらに、世界中で展開されている個人情報保護規制は、すべての組織が何らかの形で、コンプライアンス要件の対象となっていることを意味している。コンプライアンス問題が、規制の厳しい業界だけに影響を与える時代は終わった。そのため、アプリケーションのデプロイメントに際して、コンプライアンス・プロセスを自動化する方法を模索しなければならない企業が、これまで以上に増えている。

多くの企業が管理しようとしている IT の規模を考えると、徹底的にチェックしたスプレッドシート上の要件リストを使い、コンプライアンス担当者が手作業でプロセスを管理するという手法は現実的ではない。もちろん、IT 環境のコントロールをスプレッドシート上のリストと手作業で比較させることは、組織のリソースであるコンプライアンス担当者を、最大限に活用することにはならない。

ポリシーが適用されていることを確認するために、自動化プラットフォームに依存できるなら、数多くのコンプライアンス・ポリシーの問題に対して、効率的な取り組みが可能になる。コンプライアンスにおける課題とは、手動のプロセスでは維持できない規模のプロセスを、時間とコストの問題を解決した上で、簡単に実現する方法を見つけることだ。

Puppet は、コンフィグレーション管理ツールだと思っていましたが、ずいぶんと守備範囲を広げているようですね。以前に、「ディジタル・パンデミックの時代:最優先すべきはランサムウェアに対する洞察だ!」という記事をポストしましたが、そこでは SCM (Security Configuration Monitoring) について解説がありました。よろしければ、合わせて ど〜ぞ。

%d bloggers like this: