IBM Cloud Docs
Security and Compliance Center入門

Security and Compliance Center入門

金融サービスなどの高度に規制された業界では、クラウド環境内で継続的なコンプライアンスを実現することは、お客様とアプリケーションのデータを保護するための重要な第一歩です。 従来、このプロセスは困難で、手動であったため、組織はリスクにさらされていました。 ただし、 IBM Cloud® Security and Compliance Centerを使用すると、日次の自動コンプライアンス検査を開発ライフサイクルに統合して、そのリスクを最小限に抑えることができます。

開始前に

開始する前に、評価するリソースがアカウントにあることを確認してください。 また、結果データを保管するために使用できるバケットが Cloud Object Storage サービス内になければなりません。

評価を実行しても、法規制への適合は保証されません。 評価により、特定のリソースに対する現在の状況のポイント・イン・タイム・ステートメントが提供されます。 結果を検討して解釈し、組織が業界に必要な制御に従っていることを確認するのは、お客様の責任です。

インスタンスの作成

Security and Compliance Centerの使用を開始するには、まずサービスのインスタンスを作成する必要があります。

  1. IBM Cloud カタログ に移動し、 「Security and Compliance Center」を検索します。
  2. 「サービスの詳細」ページで、ロケーションを選択します。 選択された場所は、 Security and Compliance Center がリソースの評価を行う場所です。
  3. 料金プランを選択します。 オプションには、 Standard または Trialがあります。
  4. インスタンスの名前を指定し、リソース・グループを指定し、必要なタグを追加して、リソースを構成します。
  5. ご使用条件を確認し、同意します。
  6. 「作成」 をクリックします。

アクセス権限の割り当て

大規模な組織で作業している場合は、コンプライアンスを管理するチームのメンバーにアクセス権限を割り当てることから始める必要があります。

  1. アクセス・グループを作成 し、コンプライアンス・フォーカルを追加します。
  2. コンソールで、 「管理」>「アクセス (IAM)」>「アクセス・グループ」 に移動し、アクセス権限を割り当てるグループを選択します。 新しいページが開き、グループの詳細が表示されます。
  3. **「アクセス」>「アクセス権限の割り当て」**をクリックします。
  4. サービスを選択し、各オプションで使用可能な役割とアクションを確認して、以下の権限を割り当てます。
表。 最小限必要な許可
サービス 最小限必要な許可
Security and Compliance Center 管理者
Cloud Object Storage リーダー
Event Notifications リーダー
Enterprise 管理者またはカスタム・ロール

エンタープライズ・アカウント内で作業していて、コンプライアンス・フォーカルへの管理者権限を割り当てない場合は、 カスタム・ロールを作成できます。

ストレージの構成

コンプライアンスのためにリソースの評価を開始する前に、サービスが結果データを長期保管のために転送できる Cloud Object Storage バケットを構成する必要があります。 バケット要件について詳しくは、 Security and Compliance Centerを参照してください。

Cloud Object Storage バケットに接続するには、 Security and Compliance Center UI を使用できます。

  1. Security and Compliance Center ナビゲーションで、 **「設定」**をクリックします。
  2. 「ストレージ」 タイルで、 「接続」 をクリックします。
  3. Cloud Object Storage と Security and Compliance Center の間のサービス間ポリシーが構成されていることを確認します。 ポリシーが既に設定されている場合、この画面は表示されず、次のステップにスキップできます。
  4. Cloud Object Storageのインスタンスを選択します。
  5. テーブルから、使用したいバケットを選択します。
  6. **「接続」**をクリックします。

リソースのスキャン

添付とは、特定のプロファイルに照らして評価するために、リソースの特定のグループをターゲットにする方法です。 リソースのスキャンを開始するには、添付ファイルを作成します。

  1. Security and Compliance Center UI で、 「添付ファイル」 ページにナビゲートし、 **「作成」**をクリックします。 アカウント内のすべての添付ファイルのフラット・リストが表示されます。

    あるいは、 「プロファイル」 ページで添付ファイルを作成することもできます。 プロファイルの詳細ページの 「添付ファイル」 タブで、 「作成」 をクリックして、ステップ 2 に進みます。

  2. 添付ファイルの名前と説明を入力します。 チームの他のメンバーが何が評価されているかを簡単に理解できるように、できるだけ説明的に説明してください。 そして、 「次へ (Next)」 をクリックします。

  3. 評価に使用する 「プロファイル」「プロファイル・バージョン」 を選択します。

    事前定義プロファイルが使用可能ですが、必要なコントロールのみを使用するカスタム・プロファイルを作成できます。 つまり、事前定義プロファイル内のすべてのコントロールを使用しない場合は、カスタム・プロファイルを作成します。 マルチクラウド・サポートの場合は、 wp-ruleを含むプロファイル ( Azure Kubernetes Service (AKS)、Amazon Web Service (AWS)、または Amazon Elastic Kubernetes Service (EKS)) を必ず選択してください。

  4. 特定のユース・ケースに合わせてデフォルト・パラメーターを編集することにより、スキャンの基礎となる評価をカスタマイズします。

  5. スコープを定義して、評価するリソースをターゲットにします。 IBM Cloud リソースを使用して作業している場合は、スコープから除外するリソースを指定することもできます。 他の環境のリソースを操作する場合は、 Workload Protection サービスのインスタンスを接続 し、必要な情報を指定して先に進む必要があります。

  6. 次へ をクリックします。

  7. 添付ファイルを評価する頻度を選択します。

    オプションには、毎日、7 日ごと、および 30 日ごとが含まれます。 さらに、必要に応じてスキャンを一時停止できるようになりました。

  8. オプション: 通知を構成します。

    1. 通知を受け取りたい場合は、 「通知する」「オン」 に切り替えます。

    2. デフォルトでは、通知が有効になっている場合、単一のスキャンで 15% 以上のコントロールが失敗するとアラートが出されます。 これは、 「しきい値」 パーセンテージを調整することによって変更できます。

      例えば、100 個のコントロールを持つプロファイルがあり、そのうち 5 個が失敗した場合に通知を受け取るには、しきい値として 5% を選択します。

    3. 通知を受け取る特定のコントロールを選択します。

      特に自分のジョブ・ロールに関連する優先度の高い制御がある場合は、それらが失敗するたびに通知を受け取ることをお勧めします。 個々の通知を受け取ることができるスキャンごとに、最大 15 個のコントロールを識別できます。 これらの通知は、前のステップで識別されたしきい値が満たされたかどうかに関係なく送信されます。

      1. 「コントロールの選択」 をクリックします。
      2. コントロールの横にあるボックスにチェック・マークを付けて、通知を受け取るコントロールを選択します。
      3. **「OK」**をクリックします。

  9. 選択項目を確認してから、 「作成」 をクリックします。

添付ファイルを作成すると、スキャンがスケジュールされます。 スキャンが完了すると、 Security and Compliance Center ダッシュボードに結果が表示されます。

次のステップ

スキャンの完了を待つ間に、 サービスの動作方法 についてさらに学習するか、 独自のルールの作成を試してください。