RKSを知る! 連載第19回目 :マネージドKubernetesサービス比較調査 –コンプライアンス適用状況編

テクノロジー

はじめに

「RKSを知る!」の連載第19回目の記事としまして、各マネージドkubernetesサービスにて対応しているコンプライアンスプログラムについて適用状況を調査し、内容について解説したいと思います。

本連載についてはリンクページを用意していますため、概要や連載記事は下記URLからご確認ください。
RKSを知る! 概要&連載リンク集

コンプライアンスとは

本投稿にてコンプライアンスと定めているのは、AWSで言うところのコンプライアンスプログラム、Azureで言うところのコンプライアンス認定資格を指している、第三者機関によって定められた標準規約を指しています。

具体的に例を挙げると国際標準化機構 (ISO)が定めた情報セキュリティ規約であるISO 27001や、クレジットカードの機密情報セキュリティ管理規約であるPCI DSSなどを、本投稿にてコンプライアンスとして説明しています。

今回も他のマネージドKuberneteサービスとしてはEKSとAKSを抜粋し、RKSとの内容を比較し、どのような特徴があるかを確認してみたいと思います。

RKSのコンプライアンス適用状況

RKSのコンプライアンス適用状況は他のマネージドKuberneteサービスと大きく異なり、データセンターに適用されているコンプライアンスが大きく異なります。

例えばドイツ-フランクフルトロケーションのデータセンターであるCity CloudではISO 9001、ISO 14001、ISO 27001、ISO 27010とISOの認定ポリシーに準拠していることを明記していますが、アメリカ-ニューヨークロケーションのデータセンターであるINAPでは、ISOの認定はなく、HIPAAやSOC 2 Type IIの認定ポリシーの準拠を明記しています。

以下に2021年5月現在使用できるデータセンターとセキュリティポリシーの一覧表を記載します。

上記表を見ていただければ分かる通り、データセンターによって準拠しているコンプライアンスは大きく異なっており、使用する対象ロケーションにてセキュリティ要件を準拠しているか否か、要件定義時に確認する必要があります。

EKSのコンプライアンス適用状況

EKSのコンプライアンスは各サービスに細かく設定されており、AWSにて準拠しているコンプライアンスがあったとしても、使用するサービスが対象コンプライアンスに適用しているか、確認する必要があります。

準拠しているコンプライアンスも多く、ISOやSOCといった基本的なもの以外にもアメリカ政府セキュリティ基準であるFIPSや日本のパブリッククラウドサービスのセキュリティを評価する政府プログラムであるISMAPなど、非常に細かい粒度まで準拠しています。

AWSにてどのようなコンプライアンスが準拠されているかは以下のURLから確認してみてください。

コンプライアンスプログラム | AWS
AWS では、世界中の企業が利用できる多くの保証プログラムを用意しています。AWS クラウドインフラストラクチャで利用できるプログラムの完全なリストを確認するには、こちらをクリックしてください。

AKSのコンプライアンス適用状況

AKSのコンプライアンスも各サービスに細かく設定されており、使用するサービスによって準拠しているコンプライアンスが異なります。

また、Azure Policy サービスを使用してクラスターに組み込みのセキュリティ ポリシーを適用することができます。

AKSにてどのようなコンプライアンスが準拠されているのかは以下のURLからダウンロードできる「Microsoft Azure Compliance Offerings」を確認してみてください。

Microsoft Azure Compliance Offerings
All Azure compliance offerings with a scope statement indicating which Azure customer-facing services are in scope for the assessment

調査結果の比較

RKSと他のマネージドKuberneteサービスのコンプライアンス適用状況を比較した結果、以下が分かりました。

  • EKSとAKSのコンプライアンス適用状況に大きな差異は見られないが、RKSの適用状況は他のマネージドKuberneteサービスよりも格段に少ない。
  • EKSとAKSはサービスごとに設定されるコンプライアンスが異なる場合があるが、RKSは使用するデータセンターによって適用状況が大きく異なる。

調査結果より、要件としてコンプライアンスプログラムの準拠を大きく求められない場合はRKSの使用を想定できるが、例えば金融や公的機関向けのサービスはコンプライアンスプログラムの準拠を大きく求められるため、RKSの使用を選定するには難しいのではないかと思います。

あとがき

今回は連載第19回目としまして、各マネージドkubernetesサービスのコンプライアンスプログラムの適用状況について調査し、比較・解説をしました!
EKS、AKSではそこまで大きな差はなかったのですが、RKSはデータセンターに依存する形となるため、コンプライアンスの適用状況としては非常に少ないことが分かりました、

次回更新もRKSと他のマネージドKubernetesサービスとの比較から、RKSのユニークな点に迫りたいと思います!


ここまでお読みいただき、ありがとうございました!