ポリシー・アズ・コード
ポリシー・アズ・コード とは何ですか?
ポリシー・アズ・コードセキュリティ・コンプライアンス・ガバナンスのルールを機械可読なコードとして定義し、バージョン管理・テスト・レビュー・自動適用できるようにする実践。
ポリシー・アズ・コード(Policy as Code、PaC)は、許容される構成・誰が何をできるか・データを置ける地域などの組織ポリシーをソースコードとして Git に保管し、CI でテストし、プルリクエストでレビューし、自動エンジンで強制適用する考え方です。代表的な実装には、Rego を用いる OPA、Kubernetes 向けの Kyverno、Terraform 向けの HashiCorp Sentinel、AWS Config Rules、Azure Policy などがあります。PaC は PDF や Wiki に潜む曖昧さを排除し、特権コンテナの拒否は明確に失敗するテストとなり、コンプライアンスレポートも同じルールから生成できます。多数のチームとクラウドにまたがるガバナンスをスケールさせ、DevSecOps パイプラインと統合し、監査可能な証跡を提供します。
● 例
- 01
本番環境で readinessProbe のない Kubernetes Pod を拒否する OPA Rego ルール。
- 02
暗号化されていない S3 バケットを作成する Terraform プランをブロックする Sentinel ポリシー。
● よくある質問
ポリシー・アズ・コード とは何ですか?
セキュリティ・コンプライアンス・ガバナンスのルールを機械可読なコードとして定義し、バージョン管理・テスト・レビュー・自動適用できるようにする実践。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。
ポリシー・アズ・コード とはどういう意味ですか?
セキュリティ・コンプライアンス・ガバナンスのルールを機械可読なコードとして定義し、バージョン管理・テスト・レビュー・自動適用できるようにする実践。
ポリシー・アズ・コード はどのように機能しますか?
ポリシー・アズ・コード(Policy as Code、PaC)は、許容される構成・誰が何をできるか・データを置ける地域などの組織ポリシーをソースコードとして Git に保管し、CI でテストし、プルリクエストでレビューし、自動エンジンで強制適用する考え方です。代表的な実装には、Rego を用いる OPA、Kubernetes 向けの Kyverno、Terraform 向けの HashiCorp Sentinel、AWS Config Rules、Azure Policy などがあります。PaC は PDF や Wiki に潜む曖昧さを排除し、特権コンテナの拒否は明確に失敗するテストとなり、コンプライアンスレポートも同じルールから生成できます。多数のチームとクラウドにまたがるガバナンスをスケールさせ、DevSecOps パイプラインと統合し、監査可能な証跡を提供します。
ポリシー・アズ・コード からどのように防御しますか?
ポリシー・アズ・コード に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ポリシー・アズ・コード の別名は何ですか?
一般的な別名: PaC。
● 関連用語
- cloud-security№ 756
OPA(Open Policy Agent)
CNCF Graduated の汎用ポリシーエンジン。Rego 言語を用いて、アプリや Kubernetes アドミッションから認可判定を分離する。
- cloud-security№ 991
セキュリティ・アズ・コード
セキュリティ制御・テスト・インフラをソースコードとして表現し、バージョン管理・レビュー・自動化のうえアプリと一緒に継続的に配送する実践。
- compliance№ 204
コンプライアンス
法令・規制・契約上の義務、および社内のセキュリティ要件を、文書化された統制・証跡・継続的評価によって満たす取り組み。
- cloud-security№ 600
Kubernetes セキュリティ
Kubernetes クラスター(API サーバー、コントロールプレーン、ノード、ワークロード、ネットワーク)を構成ミス・侵害・横移動から守ること。
- cloud-security№ 1014
サービスメッシュのセキュリティ
クラウドネイティブ環境におけるサービス間通信を保護するためにサービスメッシュが提供する、ID・暗号化・認可機能の集合。
- network-security№ 1262
ゼロトラストネットワーク
ユーザー・デバイス・サービスをデフォルトで信頼せず、すべての接続をアイデンティティに基づき継続的に検証するネットワーク設計。