標準的な企業のガバナンス ガイド:ベスト プラクティスの説明Standard enterprise governance guide: Best practices explained

ガバナンス ガイドは、初期企業ポリシーのセットから始まります。The governance guide starts with a set of initial corporate policies. これらのポリシーは、ベスト プラクティスが反映されたガバナンス MVP を確立するために使用されます。These policies are used to establish a governance MVP that reflects best practices.

この記事では、ガバナンス MVP の作成に必要な高レベルの戦略について説明します。In this article, we discuss the high-level strategies that are required to create a governance MVP. ガバナンス MVP の中核となるのは、デプロイ高速化規範です。The core of the governance MVP is the Deployment Acceleration discipline. このステージで適用されるツールとパターンにより、将来のガバナンスの展開に必要な段階的向上が可能になります。The tools and patterns applied at this stage will enable the incremental improvements needed to expand governance in the future.

ガバナンス MVP (初期のガバナンス基盤)Governance MVP (initial governance foundation)

いくつかのシンプルな原則とクラウド ベースの管理ツールにより、ガバナンスと企業ポリシーの迅速な導入を実現できます。Rapid adoption of governance and corporate policy is achievable, thanks to a few simple principles and cloud-based governance tooling. これらは、あらゆるガバナンス プロセスでのアプローチに対する最初の 3 つの規範です。These are the first three disciplines to approach in any governance process. それぞれの規範について、この記事でさらに説明します。Each discipline will be further described in this article.

開始点を確立するため、この記事では、すべての導入に対する基盤となるガバナンス MVP を作成するために必要なセキュリティ ベースライン、ID ベースライン、デプロイ高速化規範の背後にある高レベルの戦略について説明します。To establish the starting point, this article discusses the high-level strategies behind the Security Baseline, Identity Baseline, and Deployment Acceleration disciplines that are required to create a governance MVP, which will serve as the foundation for all adoption.

増分ガバナンス MVP の例

実装プロセスImplementation process

ガバナンス MVP の実装には、ID、セキュリティ、およびネットワークに対する依存関係があります。The implementation of the governance MVP has dependencies on identity, security, and networking. 依存関係を解決した後、クラウド管理チームは、ガバナンスのいくつかの側面を決定します。Once the dependencies are resolved, the cloud governance team will decide a few aspects of governance. クラウド ガバナンス チームおよびサポート チームによる決定は、適用資産の 1 つのパッケージによって実装されます。The decisions from the cloud governance team and from supporting teams will be implemented through a single package of enforcement assets.

増分ガバナンス MVP の例

この実装は、簡単なチェックリストを使用して記述することもできます。This implementation can also be described using a simple checklist:

  1. 主要な依存関係 (ID、ネットワーク、監視、暗号化) に関する決定を求めます。Solicit decisions regarding core dependencies: identity, networking, monitoring, and encryption.
  2. 企業ポリシー適用時に使用されるパターンを決定します。Determine the pattern to be used during corporate policy enforcement.
  3. リソース整合性、リソース タグ付け、ログ記録とレポートの各規範に対する適切なガバナンス パターンを決定します。Determine the appropriate governance patterns for the resource consistency, resource tagging, and logging and reporting disciplines.
  4. 選択したポリシー適用パターンと一致するガバナンス ツールを実装して、依存の決定とガバナンスの決定を適用します。Implement the governance tools aligned to the chosen policy enforcement pattern to apply the dependent decisions and governance decisions.

依存した決定Dependent decisions

以下の決定は、クラウド ガバナンス チーム以外のチームによって行われます。The following decisions come from teams outside of the cloud governance team. それぞれの実装は、それらの同じチームから提供されます。The implementation of each will come from those same teams. ただし、クラウド管理チームは、それらの実装が一貫して適用されていることを検証するためのソリューションを実装する責任があります。However, the cloud governance team is responsible for implementing a solution to validate that those implementations are consistently applied.

ID ベースラインIdentity Baseline

ID ベースラインは、すべてのガバナンスに対する基本的な開始ポイントです。Identity Baseline is the fundamental starting point for all governance. ガバナンスを適用する前に、ID を確立する必要があります。Before attempting to apply governance, identity must be established. その後、確立された ID 戦略が、ガバナンス ソリューションによって適用されます。The established identity strategy will then be enforced by the governance solutions. このガバナンス ガイドでは、ID 管理チームがディレクトリ同期パターンを実装します。In this governance guide, the Identity Management team implements the Directory Synchronization pattern:

  • RBAC は、ディレクトリ同期を使用するか、会社が Microsoft 365 に移行するときに実装された "同一サインオン" を使用して、Azure Active Directory (Azure AD) によって提供されます。RBAC will be provided by Azure Active Directory (Azure AD), using the directory synchronization or "Same Sign-On" that was implemented during company's migration to Microsoft 365. 実装のガイダンスについては、Azure AD の統合の参照アーキテクチャに関する記事をご覧ください。For implementation guidance, see Reference Architecture for Azure AD Integration.
  • Azure にデプロイされた資産に対する認証とアクセスも、Azure AD テナントによって管理されます。The Azure AD tenant will also govern authentication and access for assets deployed to Azure.

ガバナンス MVP では、ガバナンス チームが、この記事で後述するサブスクリプション ガバナンス ツールを使用して、レプリケートされたテナントの適用を強制します。In the governance MVP, the governance team will enforce application of the replicated tenant through subscription governance tooling, discussed later in this article. 将来のイテレーションでは、ガバナンス チームは Azure AD の豊富なツールも強制して、この機能を拡張できます。In future iterations, the governance team could also enforce rich tooling in Azure AD to extend this capability.

セキュリティ ベースライン:ネットワークSecurity Baseline: Networking

ソフトウェア定義ネットワークは、セキュリティ ベースラインの重要な初期側面です。Software Defined Network is an important initial aspect of the Security Baseline. ガバナンス MVP の確立は、セキュリティ管理チームが早期に決定してネットワークの安全な構成方法を定義することに依存します。Establishing the governance MVP depends on early decisions from the Security Management team to define how networks can be safely configured.

要件がない場合は、IT セキュリティがそれを安全に実施し、クラウド DMZ パターンを要求します。Given the lack of requirements, IT security is playing it safe and requires a Cloud DMZ pattern. つまり、Azure のデプロイ自体のガバナンスは非常に軽量になります。That means governance of the Azure deployments themselves will be very light.

  • Azure サブスクリプションでは、VPN 経由で既存のデータセンターに接続できますが、保護されたリソースへの境界ネットワークの接続に関する、オンプレミスの既存のすべての IT ガバナンス ポリシーに従う必要があります。Azure subscriptions may connect to an existing datacenter via VPN, but must follow all existing on-premises IT governance policies regarding connection of a perimeter network to protected resources. VPN 接続に関する実装ガイダンスについては、「VPN ゲートウェイを使用して Azure に接続されたオンプレミス ネットワーク」を参照してください。For implementation guidance regarding VPN connectivity, see On-premises network connected to Azure using a VPN gateway.
  • サブネット、ファイアウォール、およびルーティングに関する決定は、現在、各アプリケーション/ワークロードのリーダーに委ねられています。Decisions regarding subnet, firewall, and routing are currently being deferred to each application/workload lead.
  • 保護されたデータやミッション クリティカルなワークロードをリリースする前に、追加の分析が必要になります。Additional analysis is required before releasing of any protected data or mission-critical workloads.

このパターンでは、クラウド ネットワークは、Azure と互換性がある既存の VPN 経由でのみ、オンプレミスのリソースに接続できます。In this pattern, cloud networks can only connect to on-premises resources over an existing VPN that is compatible with Azure. その接続経由のトラフィックは、境界ネットワークからのトラフィックのように扱われます。Traffic over that connection will be treated like any traffic coming from a perimeter network. Azure からのトラフィックを安全に処理するため、オンプレミスのエッジ デバイスについて追加の考慮が必要な場合があります。Additional considerations may be required on the on-premises edge device to securely handle traffic from Azure.

クラウド ガバナンス チームは、ネットワークの需要とリスクに後れを取らないようにするため、ネットワーク チームと IT セキュリティ チームのメンバーを定期的な会議に事前に招待しています。The cloud governance team has proactively invited members of the networking and IT security teams to regular meetings, in order to stay ahead of networking demands and risks.

セキュリティ ベースライン:暗号化Security Baseline: Encryption

暗号化は、セキュリティ ベースラインの規範でのもう 1 つの基本的な決定です。Encryption is another fundamental decision within the Security Baseline discipline. 現時点で会社はまだクラウドに保護されるデータを格納していないので、セキュリティ チームは暗号化についてはそれほど積極的でないパターンを決定しました。Because the company currently does not yet store any protected data in the cloud, the Security Team has decided on a less aggressive pattern for encryption. この時点では、暗号化のクラウド ネイティブ パターンは推奨されますが、どのような開発チームでも必要ではありません。At this point, a cloud-native pattern for encryption is suggested but not required of any development team.

  • 現在の企業ポリシーではクラウドにミッション クリティカルなデータまたは保護されたデータを置くことは許可されていないため、暗号化の使用に関するガバナンス要件は設定されていません。No governance requirements have been set regarding the use of encryption, because the current corporate policy does not permit mission-critical or protected data in the cloud.
  • 保護されたデータやミッション クリティカルなワークロードをリリースする前に、追加の分析が必要になります。Additional analysis will be required before releasing any protected data or mission-critical workloads.

ポリシーの適用Policy enforcement

デプロイ高速化に関して最初に決定することは、強制のパターンです。The first decision to make regarding Deployment Acceleration is the pattern for enforcement. この物語では、ガバナンス チームは自動強制パターンを実装することにしました。In this narrative, the governance team decided to implement the Automated Enforcement pattern.

  • セキュリティ チームと ID チームがセキュリティ リスクを監視するには、Azure Security Center を使用できます。Azure Security Center will be made available to the security and identity teams to monitor security risks. どちらのチームも、おそらく Security Center を使用して新しいリスクを識別し、企業ポリシーを改善します。Both teams are also likely to use Security Center to identify new risks and improve corporate policy.
  • 認証の強制を管理するため、すべてのサブスクリプションで RBAC が必要です。RBAC is required in all subscriptions to govern authentication enforcement.
  • Azure Policy が各管理グループに発行されて、すべてのサブスクリプションに適用されます。Azure Policy will be published to each management group and applied to all subscriptions. ただし、強制されるポリシーのレベルは、この初期ガバナンス MVP では非常に制限されます。However, the level of policies being enforced will be very limited in this initial Governance MVP.
  • Azure 管理グループは使用されていますが、比較的単純な階層であることが予想されます。Although Azure management groups are being used, a relatively simple hierarchy is expected.
  • 管理グループ間で RBAC 要件、Resource Manager テンプレート、および Azure Policy を適用することによってサブスクリプションをデプロイおよび更新するには、Azure Blueprints が使用されます。Azure Blueprints will be used to deploy and update subscriptions by applying RBAC requirements, Resource Manager Templates, and Azure Policy across management groups.

依存パターンを適用するApply the dependent patterns

以下の決定は、上記のポリシー適用戦略によって強制されるパターンを表します。The following decisions represent the patterns to be enforced through the policy enforcement strategy above:

ID ベースライン。Identity Baseline. Azure Blueprints では、サブスクリプション レベルで RBAC 要件が設定されて、すべてのサブスクリプションに対して一貫性のある ID が構成されることが保証されます。Azure Blueprints will set RBAC requirements at a subscription level to ensure that consistent identity is configured for all subscriptions.

セキュリティ ベースライン:ネットワーク。Security Baseline: Networking. クラウド ガバナンス チームは、Azure とオンプレミスの VPN デバイスの間の VPN ゲートウェイを確立するために、Resource Manager テンプレートを保持します。The cloud governance team maintains a Resource Manager template for establishing a VPN gateway between Azure and the on-premises VPN device. アプリケーション チームが VPN 接続を必要とするとき、クラウド ガバナンス チームは Azure Blueprints を使用してゲートウェイの Resource Manager テンプレートを適用します。When an application team requires a VPN connection, the cloud governance team will apply the gateway Resource Manager template via Azure Blueprints.

セキュリティ ベースライン:暗号化。Security Baseline: Encryption. この時点では、この領域においてポリシーの強制は必要ありません。At this point, no policy enforcement is required in this area. これは、後のイテレーションの間に見直されます。This will be revisited during later iterations.

ガバナンス定義パターンの適用Application of governance-defined patterns

クラウド ガバナンス チームは、次の決定と実装に対して責任を負います。The cloud governance team is responsible for the following decisions and implementations. 多くは他のチームからの入力を必要としますが、クラウド ガバナンス チームは決定と実装の両方を所有する可能性があります。Many require inputs from other teams, but the cloud governance team is likely to own both the decision and the implementation. 以下のセクションでは、このユース ケースに対して行われる決定の概要と、各決定の詳細について説明します。The following sections outline the decisions made for this use case and details of each decision.

サブスクリプション デザインSubscription design

使用するサブスクリプション デザインを決めると、サブスクリプションを構造化する方法と、Azure 管理グループを使用してこれらのサブスクリプションのアクセス、ポリシー、およびコンプライアンスを効率的に管理する方法が決まります。The decision on what subscription design to use determines how Azure subscriptions get structured and how Azure management groups will be used to efficiently manage access, policies, and compliance of these subscription. ここでは、ガバナンス チームは運用環境と非運用環境のワークロードのサブスクリプションである運用と非運用のサブスクリプション デザイン パターンを確立しました。In this narrative, the governance team has established subscriptions for production and nonproduction workloads production-and-nonproduction subscription design pattern.

  • 現在のフォーカスによっては、部門は必要ない可能性があります。Departments are not likely to be required given the current focus. デプロイは 1 つの課金単位内に制約されることが期待されます。Deployments are expected to be constrained within a single billing unit. 導入のステージでは、課金を一元化するためのエンタープライズ契約さえない可能性があります。At the stage of adoption, there may not even be an Enterprise Agreement to centralize billing. このレベルの導入は、単一の従量課金制 Azure サブスクリプションによって管理されている場合があります。It's likely that this level of adoption is being managed by a single pay-as-you-go Azure subscription.
  • EA ポータルの使用や、エンタープライズ契約の有無に関係なく、サブスクリプション モデルを定義して合意し、単なる課金を超える管理オーバーヘッドを最小限に抑える必要があります。Regardless of the use of the EA portal or the existence of an Enterprise Agreement, a subscription model should still be defined and agreed on to minimize administrative overheard beyond just billing.
  • 前の 2 つのポイントに基づいて、サブスクリプションの設計の一部として一般的な名前付け規則について合意する必要があります。A common naming convention should be agreed on as part of the subscription design, based on the previous two points.

リソースの整合性Resource consistency

リソースの整合性を決めると、サブスクリプション内で確実にAzure リソースをデプロイして構成し、一貫性を持って管理するために必要なツール、プロセス、および労力が決まります。Resource consistency decisions determine the tools, processes, and effort required to ensure Azure resources are deployed, configured, and managed consistently within a subscription. ここでは、基本のリソース整合性パターンとして、デプロイの整合性が選択されています。In this narrative, deployment consistency has been chosen as the primary resource consistency pattern.

  • リソース グループは、ライフサイクル アプローチを使用してアプリケーション用に作成されます。Resource groups are created for applications using the lifecycle approach. 同時に作成、管理、およびインベントリから削除されるものはすべて、1 つのリソース グループに属している必要があります。Everything that is created, maintained, and retired together should reside a single resource group. 詳細については、リソースの整合性の意思決定ガイドを参照してください。For more information, see the resource consistency decision guide.
  • 関連付けられている管理グループのすべてのサブスクリプションに、Azure Policy を適用する必要があります。Azure Policy should be applied to all subscriptions from the associated management group.
  • デプロイ プロセスの一環として、リソース グループ用の Azure リソース整合性テンプレートを、ソース管理に格納する必要があります。As part of the deployment process, Azure resource consistency templates for the resource group should be stored in source control.
  • 上で説明したライフサイクル アプローチに基づき、各リソース グループは、特定のワークロードまたはアプリケーションに関連付けられます。Each resource group is associated with a specific workload or application based on the lifecycle approach described above.
  • Azure 管理グループにより、会社のポリシーが成熟したらガバナンスの設計を更新できます。Azure management groups enable updating governance designs as corporate policy matures.
  • Azure Policy の広範な実装は、チームの時間コミットメントを超える可能性があり、この時点では大きな価値を提供しない場合があります。Extensive implementation of Azure Policy could exceed the team's time commitments and may not provide a great deal of value at this time. シンプルな既定のポリシーを作成し、各管理グループに適用して、少数の現在のクラウド ガバナンス ポリシー ステートメントを強制する必要があります。A simple default policy should be created and applied to each management group to enforce the small number of current cloud governance policy statements. このポリシーでは、特定のガバナンス要件の実装を定義します。This policy will define the implementation of specific governance requirements. その後、これらの実装をデプロイされるすべての資産に適用できます。Those implementations can then be applied across all deployed assets.

重要

リソース グループ内のリソースが同じライフサイクルを共有しなくなったら、別のリソース グループに移動する必要があります。Any time a resource in a resource group no longer shares the same lifecycle, it should be moved to another resource group. たとえば、共通のデータベースやネットワーク コンポーネントなどです。Examples include common databases and networking components. それらは、開発中のアプリケーションにサービスを提供しているかもしれませんが、他の目的にも使われている可能性があるため、他のリソース グループに存在する必要があります。While they may serve the application being developed, they may also serve other purposes and should therefore exist in other resource groups.

リソースのタグ付けResource tagging

リソースのタグ付けを決めると、運用、管理、および会計上の目的をサポートするためのサブスクリプション内でのメタデータの Azure リソースへの適用方法が決まります。Resource tagging decisions determine how metadata is applied to Azure resources within a subscription to support operations, management, and accounting purposes. ここでは、リソースのタグ付けの既定のモデルとして、分類パターンが選択されています。In this narrative, the classification pattern has been chosen as the default model for resource tagging.

  • デプロイされる資産には、以下でタグ付けする必要があります。Deployed assets should be tagged with:
    • データ分類Data classification
    • 重要度Criticality
    • SLASLA
    • 環境Environment
  • これら 4 つの値により、ガバナンス、運用、およびセキュリティに関する決定が促進されます。These four values will drive governance, operations, and security decisions.
  • 大規模な企業内の事業単位やチームにこのガバナンス ガイドが実装される場合は、タグ付けに課金単位のメタデータも含める必要があります。If this governance guide is being implemented for a business unit or team within a larger corporation, tagging should also include metadata for the billing unit.

ログ記録とレポートLogging and reporting

ログ記録とレポートを決めると、ログ データを格納する方法と、IT スタッフに操作の正常性を通知する監視およびレポート ツールを構造化する方法が決まります。Logging and reporting decisions determine how your store log data and how the monitoring and reporting tools that keep IT staff informed on operational health are structured. ここでは、クラウド ネイティブ パターン** のログ記録とレポートが推奨されます。In this narrative, a cloud-native pattern** for logging and reporting is suggested.

ガバナンス プロセスの段階的な改善Incremental improvement of governance processes

ガバナンスが変化するとき、一部のポリシー ステートメントは、自動ツールでは制御できないか、制御してはなりません。As governance changes, some policy statements can't or shouldn't be controlled by automated tooling. その他のポリシーは、IT セキュリティ チームおよびオンプレミスの ID 管理チームが時間をかけて作業します。Other policies will result in effort by the IT security team and the on-premises identity management team over time. 発生する新しいリスクを改善するため、クラウド管理チームは次のプロセスを監視します。To help manage new risks as they arise, the cloud governance team will oversee the following processes.

導入の高速化: クラウド ガバナンス チームは、複数のチームのデプロイ スクリプトを確認してきました。Adoption acceleration: The cloud governance team has been reviewing deployment scripts across multiple teams. デプロイ テンプレートとして機能するスクリプトのセットを維持します。They maintain a set of scripts that serve as deployment templates. クラウド導入チームと DevOps チームはこれらのテンプレートを使用して、より迅速にデプロイを定義します。Those templates are used by the cloud adoption and DevOps teams to define deployments more quickly. これらの各スクリプトには、一連のガバナンス ポリシーを適用するために必要な要件が含まれており、クラウド導入エンジニアの追加作業は必要ありません。Each of those scripts contains the necessary requirements to enforce a set of governance policies with no additional effort from cloud adoption engineers. これらのスクリプトのキュレーターとしてのクラウド ガバナンス チームは、ポリシーの変更をより迅速に実装できます。As the curators of these scripts, the cloud governance team can more quickly implement policy changes. スクリプトのキュレーションの結果として、クラウド ガバナンス チームは導入高速化のソースと見なされます。As a result of script curation, the cloud governance team is seen as a source of adoption acceleration. これにより、厳密に準拠を強制することなく、デプロイの間の整合性が作成されます。This creates consistency among deployments, without strictly forcing adherence.

エンジニアのトレーニング: クラウド ガバナンス チームは、隔月のトレーニング セッションを提供し、エンジニア向けの 2 つのビデオを作成しています。Engineer training: The cloud governance team offers bimonthly training sessions and has created two videos for engineers. これらの資料は、エンジニアがガバナンス カルチャとデプロイ中の作業方法を簡単に学習するのに役立ちます。These materials help engineers quickly learn the governance culture and how things are done during deployments. チームは、エンジニアが新しいポリシーによる導入への影響を理解できるように、運用環境と非運用環境のデプロイの違いを示すトレーニング資産を追加します。The team is adding training assets that show the difference between production and nonproduction deployments, so that engineers will understand how the new policies will affect adoption. これにより、厳密に準拠を強制することなく、デプロイの間の整合性が作成されます。This creates consistency among deployments, without strictly forcing adherence.

デプロイ計画:保護されたデータを含むすべての資産をデプロイする前に、クラウド ガバナンス チームはデプロイ スクリプトを確認してガバナンスの整合を検証します。Deployment planning: Before deploying any asset containing protected data, the cloud governance team will review deployment scripts to validate governance alignment. 以前に承認されたデプロイを使用する既存のチームは、プログラムによるツールを使用して監査されます。Existing teams with previously approved deployments will be audited using programmatic tooling.

月単位の監査とレポート: 毎月、クラウド ガバナンス チームはすべてのクラウド デプロイの監査を実行して、ポリシーへの整合が継続していることを検証します。Monthly audit and reporting: Each month, the cloud governance team runs an audit of all cloud deployments to validate continued alignment to policy. 逸脱が検出されたら、文書化されて、クラウド導入チーム間で共有されます。When deviations are discovered, they're documented and shared with the cloud adoption teams. 適用してもビジネス中断やデータ リークのリスクがないときは、ポリシーが自動的に適用されます。When enforcement doesn't risk a business interruption or data leak, the policies are automatically enforced. 監査の最後に、クラウド ガバナンス チームは、ポリシーへの全体的な準拠を伝えるために、クラウド戦略チームと各クラウド導入チームに対するレポートをまとめます。At the end of the audit, the cloud governance team compiles a report for the cloud strategy team and each cloud adoption team to communicate overall adherence to policy. レポートの保存は、監査と法的な目的のためでもあります。The report is also stored for auditing and legal purposes.

四半期ごとのポリシー レビュー: 四半期ごと、クラウド ガバナンス チームとクラウド戦略チームは、監査結果を確認し、会社のポリシーの変更を提案します。Quarterly policy review: Each quarter, the cloud governance team and the cloud strategy team will review audit results and suggest changes to corporate policy. これらの提案の多くは、使用パターンの継続的な改善と観察の結果です。Many of those suggestions are the result of continuous improvements and the observation of usage patterns. 承認されたポリシーの変更は、その後の監査サイクルの間に、ガバナンス ツールに統合されます。Approved policy changes are integrated into governance tooling during subsequent audit cycles.

代替パターンAlternative patterns

このガバナンス ガイドで選択されたパターンのいずれかがリーダーの要件に適合しない場合は、各パターンの代替パターンを使用できます。If any of the patterns selected in this governance guide don't align with the reader's requirements, alternatives to each pattern are available:

次のステップNext steps

このガイドを実装した後、各クラウド導入チームは健全なガバナンス基盤を利用できます。Once this guide is implemented, each cloud adoption team can go forth with a sound governance foundation. クラウド ガバナンス チームは、企業のポリシーとガバナンス規範の継続的な更新を並列して行います。At the same time, the cloud governance team will work to continuously update the corporate policies and governance disciplines.

2 つのチームは許容範囲インジケーターを使用して、クラウド導入のサポートを継続するために必要な次の一連の向上を識別します。The two teams will use the tolerance indicators to identify the next set of improvements needed to continue supporting cloud adoption. このガイドの架空の会社の場合、次の手順は、保護されたデータのクラウドへの移動をサポートするようにセキュリティ ベースラインを改善することです。For the fictional company in this guide, the next step is improving the security baseline to support moving protected data to the cloud.