ISO/IEC 27001は、国際標準化機構(ISO)と国際電気標準会議(IEC)が発行した情報セキュリティマネジメントシステム(ISMS)の国際規格です。現行バージョンはISO/IEC 27001:2022です。
RediaccはISMS内の技術的統制レイヤーの一コンポーネントです。以下の表は、Rediaccの機能を関連するAnnex A統制ドメインにマッピングしています。
Annex A 統制マッピング
| 統制ドメイン | 統制 | Rediaccの機能 |
|---|---|---|
| A.8、資産管理 | A.8.1 資産のインベントリ | 各リポジトリは固有のGUIDを持つ個別の識別可能な資産です。rdc machine query <machine> --repositoriesがすべてのリポジトリをサイズ、マウント状態、コンテナ数とともに一覧表示します。 |
| A.8、資産管理 | A.8.24 暗号の使用 | すべてのリポジトリでLUKS2 AES-256必須暗号化。キー管理:認証情報はオペレーターのローカル設定にのみ保存、サーバーには保存されません。 |
| A.9、アクセス制御 | A.9.2 ユーザーアクセス管理 | SSH鍵認証。IPバインド、チームスコープ、チーム削除時の自動失効付きAPIトークン。二要素認証(TOTP)。 |
| A.10、暗号 | A.10.1 暗号統制 | 設定可能なキーパラメータを持つLUKS2。リポジトリごとの暗号化認証情報。すべてのリモート転送はSSH経由。設定ストアはゼロ知識暗号化を実装:HKDF鍵導出によるAES-256-GCM、X25519メンバー鍵交換、即時失効のための時間制限付きSDKキー。 |
| A.12、運用セキュリティ | A.12.3 バックアップ | rdc repo backup push/pullによる複数宛先(SSH、S3、B2、Azure、GDrive)への暗号化オフサイトストレージ。CoWスナップショットによるポイントインタイムリカバリ。rdc repo validateがバックアップの健全性とリポジトリの完全性を検証。 |
| A.12、運用セキュリティ | A.12.4 ログと監視 | 40以上のアカウントレベルイベントタイプ(認証、APIトークン、設定、ライセンス)。rdc machine queryによるマシン健全性監視。コンテナステータスとリソース監視。 |
| A.13、通信セキュリティ | A.13.1 ネットワークセキュリティ管理 | リポジトリごとのDocker daemon分離。iptablesルールがクロスリポジトリトラフィックをブロック。リポジトリごとのループバックIPサブネット(/26)。外部アクセス用TLS終端付きリバースプロキシ。 |
| A.14、システム開発 | A.14.2 開発におけるセキュリティ | Forkベースの開発環境が本番データを公開することなく本番同等性を提供。Rediaccfileライフサイクルフックがクローン環境での自動データサニタイゼーションを可能に。 |
資産管理
Rediaccのリポジトリモデルは資産インベントリ要件を自然にサポートします:
- すべてのリポジトリに作成時に一意のGUIDが割り当てられます
- リポジトリはマシンごとに列挙可能です(
rdc machine query --repositories) - 各リポジトリの暗号化状態、マウント状態、コンテナ数、ディスク使用量が可視化されます
- Fork関係がクローン環境の系譜を追跡します
変更管理
fork-test-promoteワークフローはISO 27001の変更管理要件に準拠します:
- フォーク:本番環境の分離コピーを作成
- テスト:フォークで変更を適用し検証
- 昇格:
rdc repo takeoverでフォークを本番に入れ替え - 監査:すべての操作がタイムスタンプと実行者識別情報とともに記録
継続的改善
- 監査ログのエクスポートが定期的なセキュリティレビューをサポート
- マシン健全性チェック(
rdc machine query --system)が運用監視をサポート rdc repo validateが各操作後のバックアップ健全性を検証