Sachin Ghorpade posts

Senior Cloud Solution Architect

Azure におけるインフラから SAP アプリケーション レイヤーまでの IRAP Protected コンプライアンス 

By Sachin Ghorpade, Senior Cloud Solution Architect

今回の記事は、Cloud4C の Rohit Kumar Cherukuri、Pankaj Badaya、Vineet Bulbule と共同で執筆しました オーストラリアの政府機関は、オーストラリア通信電子局 (ASD) によって策定されたオーストラリア政府情報セキュリティ モデル (ISM) の目標に準拠した AU-PROTECTED 政府機関データの処理、格納、転送に適した PaaS (サービスとしてのプラットフォーム) 環境のデプロイを提供できるクラウド管理サービス プロバイダーを探しています。 国家財政の改善と維持を担当しているオーストラリア最大の政府機関の 1 つが、機密情報を保護して、転送、格納、取得に関するセキュリティ制御を確保するために重要な Information Security Registered Assessors Program (IRAP) を実装しようとしていました。 Information Security Registered Assessors Program は、高品質の情報通信技術 (ICT) セキュリティ評価サービスを政府に提供するためのオーストラリア通信電子局のイニシアチブです。 オーストラリア通信電子局は、業界およびオーストラリア政府の幅広い情報と関連システムをセキュリティで保護することを目指したセキュリティ サービスを提供するために、適切な資格を備えた情報通信技術の専門家を支援しています。 Cloud4C がこの課題に取り組むことになり、この連邦政府クライアントにクラウド デリバリー プラットフォームを提供することになりました。Cloud4C では、Information Security

今回の記事は、Cloud4C の Rohit Kumar Cherukuri、Pankaj Badaya、Vineet Bulbule と共同で執筆しました

オーストラリアの政府機関は、オーストラリア通信電子局 (ASD) によって策定されたオーストラリア政府情報セキュリティ モデル (ISM) の目標に準拠した AU-PROTECTED 政府機関データの処理、格納、転送に適した PaaS (サービスとしてのプラットフォーム) 環境のデプロイを提供できるクラウド管理サービス プロバイダーを探しています。

国家財政の改善と維持を担当しているオーストラリア最大の政府機関の 1 つが、機密情報を保護して、転送、格納、取得に関するセキュリティ制御を確保するために重要な Information Security Registered Assessors Program (IRAP) を実装しようとしていました。

Information Security Registered Assessors Program は、高品質の情報通信技術 (ICT) セキュリティ評価サービスを政府に提供するためのオーストラリア通信電子局のイニシアチブです。

オーストラリア通信電子局は、業界およびオーストラリア政府の幅広い情報と関連システムをセキュリティで保護することを目指したセキュリティ サービスを提供するために、適切な資格を備えた情報通信技術の専門家を支援しています。

Cloud4C がこの課題に取り組むことになり、この連邦政府クライアントにクラウド デリバリー プラットフォームを提供することになりました。Cloud4C では、Information Security Registered Assessors Program のガイドラインにある厳格なコンプライアンス要件を分析および評価しました。

社内基準に従って、Cloud4C では、評価全体を物理サービス、インフラストラクチャ サービス、マネージド サービスという 3 つのカテゴリに分割しました。Information Security Registered Assessors Program では、これら 3 つの分野で厳格なセキュリティ制御がなされています。

Cloud4C では、この課題を成功裏に遂行するために、パートナーと責任を共有して、実現不能に見えるものの、成功させる価値のある評価を達成していく必要があると考えました。2018 年 4 月、オーストラリア サイバー セキュリティ センター (ACSC) は、Azure と Office 365 が PROTECTED に分類されたとの認定を発表しました。Microsoft は、このレベルの認定を達成した最初で唯一のパブリック クラウド プロバイダーになりました。Cloud4C では、Microsoft とパートナーを組んで Azure に SAP アプリケーションと SAP HANA データベースをデプロイし、Information Security Registered Assessors Program に準拠したインフラストラクチャのすべての利点を活用して、Azure のネイティブや Marketplace のツールおよびテクノロジのシームレスな統合を可能にしました。

Cloud4C では、オーストラリア、オーストラリア中部、オーストラリア中部 2 で適切な Azure データ センターを特定し、物理的なセキュリティと情報通信設備の配置に関する非常に厳格な Information Security Registered Assessors Program の評価を適用しました。

インフラストラクチャとディザスター リカバリーに関して Azure が準拠したことで、Cloud4C ではマネージド サービス プロバイダーとして極めて幸先の良いスタートを切ることができ、もっぱらクラウド サービス プロバイダーを対象にした残りの制御の大多数に注力することができました。

Cloud4C に対する Information Security Registered Assessors Program 評価には、Azure のディザスター リカバリーで対応できる制御を除いて、22 の主要なカテゴリに及ぶ 412 件のハイ リスクと 19 件の最重要セキュリティの側面を満たすことが関係していました。

ソリューションの概要

エンゲージメントの範囲は、分類された情報の処理、格納、取得に関する Information Security Registered Assessors Program の Protected 分類標準を維持しながら、マネージド サービスを使用して Azure 上に SAP 基礎レイヤーまでの SAP ランドスケープを構成して管理することでした。エンゲージメント モデルは PaaS であるため、責任マトリックスは SAP 基礎レイヤーまでであり、アプリケーション マネージド サービスはこのエンゲージメントの範囲外でした。

単一のサービス レベル アグリーメントを持つサービスとしてのプラットフォームと Information Security Registered Assessors Program の Protected 分類

提案されたソリューションには、SAP ERP、SAP BW、SAP CRM、SAP GRC、SAP IDM、SAP Portal、SAP Solution Manager、Web Dispatcher、Cloud Connector などのさまざまな SAP ソリューションに、SAP HANA、SAP MaxDB、以前の Sybase などのデータベースを組み合わせたものが含まれていました。Information Security Registered Assessors Program の Protected に準拠した環境を構築するための物理的なディザスター リカバリー配置として、Azure オーストラリア中部がプライマリ ディザスター リカバリー、オーストラリア中部 2 がセカンダリ ディザスター リカバリー リージョンとして識別されました。提案されたアーキテクチャは、SAP ワークロード用の認定された仮想マシンの Stock Keeping Unit (SKU)、最適化されたストレージおよびディスク構成、十分な保護を伴う適切なネットワーク SKU、高可用性、ディザスター リカバリー、バックアップ、監視を実現するためのメカニズム、ネイティブおよび外部のセキュリティ ツールの適切な組み合わせ、そして最も重要なものとして、サービスの提供に関するプロセスとガイドラインを完全に網羅していました。

以下の Azure サービスが、提案されたアーキテクチャの一部と見なされました。

Information Security Registered Assessors Program のコンプライアンスと評価プロセス

Cloud4C は、Information Security Registered Assessors Program 査定機関の助けを得ながら認定フレームワークの適用を受けました。査定機関は、オーストラリア政府のセキュリティを理解して実装する面と、Azure の保護されたクラウド上で SAP アプリケーションと SAP HANA データベースを Information Security Registered Assessors Program の保護されたセットアップに移植することの技術的な実現可能性を構築する面で Cloud4C を支援しました。

Information Security Registered Assessors Program 査定機関では、システムのセキュリティ制御の実装、妥当性、有効性を評価しました。これは、オーストラリア政府の情報セキュリティ マニュアル (ISM) で指示されている 2 段階のセキュリティ評価を通して実施されました。

Cloud4C では、情報セキュリティ マニュアルでの該当するすべての制御について評価に合格し、Microsoft からのサポートを得てリスクがゼロの環境と重要な情報システムの保護を実現できました。

Microsoft チームは、Azure のネイティブ ツールを使用してコンプライアンスを達成する方法についてベスト プラクティスとなるガイダンスを提供しました。Microsoft のソリューション アーキテクトとエンジニアリング チームは、設計の話し合いに参加し、Azure のネイティブなセキュリティ ツール、サード パーティのセキュリティ ツールとの統合のシナリオ、アーキテクチャにおいて実施可能な最適化について既存の知識を提供しました。

評価の際、Cloud4C および Information Security Registered Assessors Program 査定機関は、以下のアクティビティを実施しました。

プレースホルダー

オートメーションとプロセス改善を確認する手順

プロセス中に実装された学習とそれぞれのソリューション

Information Security Registered Assessors Program に準拠するには、オーストラリア通信電子局によって定義された資格を満たし、評価フェーズに合格する必要があります。Cloud4C により、以下の利点が提供されました。

Microsoft とのパートナーシップは、Cloud4C が新たなマイルストーンに到達し、厳格な規制と地理的なコンプライアンスを満たすために Azure Hyperscale が提供しているすべてのセキュリティ機能を利用するのに役立ちました。

Cloud4C は、Azure ネイティブだけでなく、Azure Marketplace ですぐに利用可能なセキュリティ ソリューションの多くを使用して市場投入までの時間を短縮する面で経験を積んでいます。Cloud4C では、Azure ポートフォリオを最大限に活用して、顧客のインフラストラクチャをセキュリティで保護するとともに、Azure Expert マネージド サービス プロバイダー (MSP) として顧客をサポートする面でセキュアな文化を奨励してきました。Azure セキュリティのポートフォリオが成長してきたため、そのソリューション オファリングを Cloud4C が使用する機会も増えてきました。

Cloud4C と Microsoft では、このパートナーシップをさらに高めて、さまざまな地理や業界層で Marketplace の顧客に他に並ぶもののないクラウド エクスペリエンスを提供することを計画しています。

詳細情報