ポリシー順守プロセスを確立するEstablish policy adherence processes

クラウド ポリシー ステートメントを確立し、デザイン ガイドの草案を作成したら、ポリシー要件に従ってクラウドをデプロイするための戦略を作成する必要があります。After establishing your cloud policy statements and drafting a design guide, you'll need to create a strategy for ensuring your cloud deployment stays in compliance with your policy requirements. この戦略では、クラウド ガバナンス チームの現行のレビューと通信のプロセスを網羅し、アクションを必要とするポリシー違反に関する基準と、違反を検出し修復アクションをトリガーさせる自動化された監視/コンプライアンス システムの要件を定義するための基準を確立する必要があります。This strategy will need to encompass your cloud governance team's ongoing review and communication processes, establish criteria for when policy violations require action, and defining the requirements for automated monitoring and compliance systems that will detect violations and trigger remediation actions.

ポリシー準拠プロセスがクラウド ガバナンス プランに適合している例については、実践的なガバナンス ガイドの企業ポリシーのセクションをご覧ください。See the corporate policy sections of the actionable governance guides for examples of how policy adherence process fit into a cloud governance plan.

ポリシー準拠プロセスに優先順位を付けるPrioritize policy adherence processes

ポリシー目標に必要なプロセスの開発にはどのくらいの投資が必要になりますか。How much investment in developing processes is required to support your policy goals? コンプライアンスを支援するプロセスを確立するために必要な労力とその労力に付随するコストは、クラウド デプロイのサイズと成熟度によって大きく変わります。Depending on the size and maturity of your cloud deployment, the effort required to establish processes that support compliance, and the costs associated with this effort, can vary widely.

開発リソースとテスト リソースからなる小規模のデプロイであれば、ポリシー要件がシンプルで、必要な専用リソースも少なくなる場合があります。For small deployments consisting of development and test resources, policy requirements may be simple and require few dedicated resources to address. 一方で、セキュリティとパフォーマンスの優先順位が高い、成熟したミッションクリティカルなクラウド デプロイであれば、場合によっては、スタッフからなるチーム、広範囲の内部プロセス、カスタムの監視ツールでポリシー目標を支援する必要があります。On the other hand, a mature mission-critical cloud deployment with high-priority security and performance needs may require a team of staff, extensive internal processes, and custom monitoring tooling to support your policy goals.

ポリシー準拠戦略を定義する最初の手順として、下記のプロセスでポリシー要件をどのようにサポートできるかを評価します。As a first step in defining your policy adherence strategy, evaluate how the processes discussed below can support your policy requirements. これらのプロセスへの投資にはどのくらいの労力がふさわしいか判断し、この情報を利用してニーズに合った現実的な予算計画と要員計画を立てます。Determine how much effort is worth investing in these processes, and then use this information to establish realistic budget and staffing plans to meet these needs.

クラウド ガバナンス チーム プロセスを確立するEstablish cloud governance team processes

ポリシーのコンプライアンスの改善トリガーを定義する前に、チームで利用する全体的なプロセスと、IT スタッフとクラウド ガバナンス チームとの間で情報を共有し、担当者や上司に報告する方法を確立する必要があります。Before defining triggers for policy compliance remediation, you need establish the overall processes that your team will use and how information will be shared and escalated between IT staff and the cloud governance team.

クラウド ガバナンスのチーム メンバーを割り当てるAssign cloud governance team members

クラウド ガバナンス チームは、ポリシーのコンプライアンスに関する継続的なガイダンスを提供し、クラウド資産のデプロイおよび運用時に発生するポリシー関連の問題を処理します。Your cloud governance team will provide ongoing guidance on policy compliance and handle policy-related issues that emerge when deploying and operating your cloud assets. このチームを構築する場合は、定義されたポリシー ステートメントや識別されたリスクによって対処される領域の専門知識を持つスタッフ メンバーを招待します。When building this team, invite staff members that have expertise in areas covered by your defined policy statements and identified risks.

初回のテスト デプロイの場合、これはガバナンスの基礎の確立を担当する少数のシステム管理者に限定できます。For initial test deployments, this can be limited to a few system administrators responsible for establishing the basics of governance. ガバナンス プロセスが成熟したら、クラウド ガイダンス チームのメンバーシップを定期的にレビューして、新しい潜在的なリスクやポリシー要件に適切に対処できることを確認します。As your governance processes mature, review the cloud guidance team's membership regularly to ensure that you can properly address new potential risks and policy requirements. ガバナンスの特定の領域における関連する経験または関心を持つ IT およびビジネス スタッフのメンバーを識別し、それらを必要に応じて永続的または一時的にチームに含めます。Identify members of your IT and business staff with relevant experience or interest in specific areas of governance and include them in your teams on a permanent or temporary basis as needed.

レビューとポリシーのイテレーションReviews and policy iteration

追加のリソースとワークロードがデプロイされたら、クラウド ガバナンス チームは、新しいワークロードまたは資産がポリシー要件に従っていることを確認する必要があります。As additional resources and workloads are deployed, the cloud governance team will need to ensure that new workloads or assets comply with policy requirements. ワークロード開発チームからの新しい要件を評価して、計画的なデプロイが設計ガイドに整合していることを確認し、必要に応じてこれらの要件をサポートするようにポリシーを更新します。Evaluate new requirements from workload development teams to ensure their planned deployments will align with your design guides, and update your policies to support these requirements when appropriate.

新しい潜在的なリスクを評価し、必要に応じてポリシー ステートメントや設計ガイドを更新することを計画します。Plan to evaluate new potential risks and update policy statements and design guides as needed. IT スタッフおよびワークロード チームと協力して、新しい Azure の機能やサービスを継続的に評価します。Work with IT staff and workload teams to evaluate new Azure features and services on an ongoing basis. また、ポリシーが最新の状態であり、かつ遵守されていることを確実にするように、5 つの各ガバナンス規範の定期的なレビュー サイクルもスケジュールします。Also schedule regular review cycles each of the five governance disciplines to ensure policy is current and in compliance.

教育Education

ポリシーのコンプライアンスには、IT スタッフと開発者がそれぞれの担当領域に影響を与えるポリシー要件を理解する必要があります。Policy compliance requires IT staff and developers to understand the policy requirements that affect their areas of responsibility. 意思決定や要件を記録するためのリソースを充て、ポリシー要件を支援するデザイン ガイドに関する知識を関連するすべてのチームに教育する計画を立てます。Plan to devote resources to document decisions and requirements, and educate all relevant teams on the design guides that support your policy requirements.

ポリシーは変更されるので、定期的に文書や研修素材を作り直し、最新の要件やガイダンスがそれに関係する IT スタッフに確実に伝えられるように取り計らいます。As policy changes, regularly update documentation and training materials, and ensure education efforts communicate updated requirements and guidance to relevant IT staff.

クラウドへの移行のさまざまな段階で、パートナーやプロフェッショナル向けトレーニング プログラムを参考にして、技術と手順の両面でチームの教育を強化することをお勧めします。At various stages of your cloud journey, you may find it best to consult with partners and professional training programs to enhance the education of your team, both technically, and procedurally. さらに、正式な認定資格は教育ポートフォリオに追加する価値のあるものであり、検討する必要があると考える方は多数います。Additionally, many find that formal certifications are a valuable addition to your education portfolio and should be considered.

エスカレーション パスを確立するEstablish escalation paths

あるリソースがポリシーには違反した場合、誰に通知しますか。If a resource goes out of compliance, who gets notified? IT スタッフがポリシーのコンプライアンスに関する問題を見つけた場合、誰に連絡しますか。If IT staff detect a policy compliance issue, who do they contact? クラウド ガバナンス チームへのエスカレーション プロセスを明確に定義します。Make sure the escalation process to the cloud governance team is clearly defined. 通信チャネルは常に最新の状態に維持し、スタッフや組織の変更を反映させます。Ensure these communication channels are kept updated to reflect staff and organization changes.

違反のトリガーとアクションViolation triggers and actions

クラウド ガバナンス チームとそのプロセスを定義したら、アクションをトリガーするコンプライアンス違反として見なされるものとそのアクションの内容を明示的に定義する必要があります。After defining your cloud governance team and its processes, you need to explicitly define what qualifies as compliance violations that will triggers actions, and what those actions should be.

トリガーを定義するDefine triggers

ポリシー ステートメントごとに、ポリシー違反になる行為を判断する要件を確認します。For each of your policy statements, review requirements to determine what constitutes a policy violation. ポリシー定義プロセスの一部として既に確立している情報を利用してトリガーを生成します。Generate your triggers using the information you've already established as part of the policy definition process.

  • リスク許容度: リスク許容度分析の一部として確立したメトリックとリスク インジケーターに基づいて、違反トリガーを作成します。Risk tolerance: Create violation triggers based on the metrics and risk indicators you established as part of your risk tolerance analysis.
  • 定義されたポリシー要件: ポリシー ステートメントでは、コンプライアンス トリガーの基礎として使用する必要のあるサービス レベル アグリーメント (SLA)、ビジネス継続性とディザスター リカバリー (BCDR)、またはパフォーマンス要件を提供できます。Defined policy requirements: Policy statements may provide service-level agreement (SLA), business continuity and disaster recovery (BCDR), or performance requirements that should be used as the basis for compliance triggers.

アクションを定義するDefine actions

違反トリガーにはそれぞれ、それに対応するアクションを与えます。Each violation trigger should have a corresponding action. 違反が発生したら、トリガーされたアクションによって担当の IT スタッフまたはクラウド ガバナンス チーム メンバーに常に通知されるようにします。Triggered actions should always notify an appropriate IT staff or cloud governance team member when a violation occurs. この通知により、検出された違反の種類と重大度に応じて、コンプライアンスに関する問題の手動のレビューが行われるか、または定義済みの修復プロセスが開始される場合があります。This notification can lead to a manual review of the compliance issue or kickoff a predefined remediation process depending on the type and severity of the detected violation.

違反のトリガーとアクションの例:Some examples of violation triggers and actions:

ガバナンス規範Governance discipline サンプル トリガーSample trigger サンプル アクションSample action
Cost ManagementCost Management 月間のクラウド支出が予想より 20% 以上多い。Monthly cloud spending is more than 20% higher than expected. リソース利用状況のレビューを開始する請求部署のリーダーに通知する。Notify the billing unit leader who will begin a review of resource usage.
セキュリティ ベースラインSecurity Baseline 不審なユーザー アクティビティを検出する。Detect suspicious user activity. IT セキュリティ チームに通知し、疑わしいユーザー アカウントを無効にする。Notify the IT security team and disable the suspect user account.
リソースの整合性Resource Consistency ワークロードの CPU 使用率が 90% を超えている。CPU utilization for a workload is greater than 90%. IT 運用チームに通知し、追加のリソースをスケールアウトして負荷を処理する。Notify the IT operations team and scale out additional resources to handle the load.

監視とコンプライアンスの自動化Automation of monitoring and compliance

コンプライアンス違反のトリガーとアクションを定義したら、監視とポリシーのコンプライアンスの戦略を自動化する目的で、クラウド プラットフォームのログ記録ツール、報告ツール、その他の機能を最も効果的に利用する方法を計画できます。After you've defined your compliance violation triggers and actions, you can start planning how best to use the logging and reporting tools and other features of the cloud platform to help automate your monitoring and policy compliance strategy.

ご利用のデプロイに最適な監視パターンを選択するためのヘルプについては、「ログとレポートの意思決定ガイド」を参照してください。For help choosing the best monitoring pattern for your deployment, see the logging and reporting decision guide.

次のステップNext steps

クラウドでの規制コンプライアンスの詳細を確認します。Learn more about regulatory compliance in the cloud.