Google Cloud アーキテクチャ フレームワークのこのドキュメントでは、アセット管理のベスト プラクティスについて説明します。
アセット管理は、ビジネス要件分析の重要な構成要素です。所有するアセットと、そのすべてに関して、アセットの価値、アセットに関連する重要なパスやプロセスを十分に把握する必要があります。アセットを保護するセキュリティ管理などを設計する際は、事前に正確なアセット インベントリを用意しておく必要があります。
セキュリティ インシデントを管理し、組織の規制要件を満たすには、履歴データを分析する方法を含め、正確で最新のアセット インベントリが必要です。リスク エクスポージャーが時間とともにどのように変化するかを含め、アセットを追跡できる必要があります。
Google Cloud への移行は、クラウド環境に合わせてアセット管理プロセスを変更する必要があることを意味します。たとえば、クラウドに移行する利点の 1 つは、迅速にスケールする組織の能力を向上させることです。ただし、迅速にスケールできると、従業員が適切に管理および保護できないクラウド リソースを作成して、シャドー IT の問題を引き起こす可能性があります。したがって、アセット管理プロセスは、従業員が仕事をするのに十分な柔軟性を確保しつつ、適切なセキュリティ管理を提供しなければなりません。
クラウド アセット管理ツールを使用する
Google Cloud のアセット管理ツールは、Google の環境と特にお客様のユースケースに合わせて調整されています。
そうしたツールの一つである Cloud Asset Inventory では、リソースの現在の状態に関するリアルタイム情報と 5 週間の履歴の両方を確認できます。このサービスを使用すると、さまざまな Google Cloud リソースとポリシーについてインベントリの組織全体のスナップショットを取得できます。自動化ツールでは、そのスナップショットをモニタリングやポリシーの適用に使用できます。また、コンプライアンス監査の目的でスナップショットをアーカイブすることも可能です。アセットの変更を分析する場合は、アセット インベントリでメタデータの履歴をエクスポートできます。
Cloud Asset Inventory の詳細については、アセットの変更に対応するカスタム ソリューションと検出制御をご覧ください。
アセット管理を自動化する
自動化により、指定したセキュリティ要件に基づいてアセットを迅速に作成および管理できます。アセットのライフサイクルの点では、次の方法で自動化できます。
- Terraform などの自動化ツールを使用してクラウド インフラストラクチャをデプロイする。Google Cloud には、エンタープライズ基盤のブループリントが用意されています。これは、セキュリティのベスト プラクティスに沿ったインフラストラクチャ リソースを設定する際に役立ちます。また、Cloud Asset Inventory では、アセットの変更とポリシーのコンプライアンス通知を構成します。
- Cloud Run や Artifact Registry などの自動化ツールを使用してアプリケーションをデプロイする。
コンプライアンス ポリシーからの逸脱をモニタリングする
ポリシーからの逸脱は、アセットのライフサイクルのすべてのフェーズで発生する可能性があります。たとえば、アセットが適切なセキュリティ管理なしで作成されることや、特権がエスカレーションされることがあります。同様に、適切な終了手順を行わずに、アセットが破棄されることがあります。
こうしたシナリオを回避するため、アセットがコンプライアンスから逸脱していないかどうかをモニタリングすることをおすすめします。モニタリングする一連のアセットは、リスク評価の結果とビジネス要件によって異なります。アセットのモニタリングの詳細については、アセットの変更のモニタリングをご覧ください。
既存のアセット管理モニタリング システムと統合する
SIEM システムなどのモニタリング システムをすでに使用している場合は、Google Cloud アセットをそのシステムと統合します。統合することにより、組織では、すべてのリソースを環境に関係なく 1 つの包括的なビューで確認できます。詳細については、Google Cloud セキュリティ データを SIEM システムにエクスポートすると、Cloud Logging データのエクスポート シナリオ: Splunk をご覧ください。
データ分析を使用してモニタリングを強化する
インベントリは、BigQuery テーブルや Cloud Storage バケットにエクスポートしてさらに分析することが可能です。
次のステップ
次のリソースでアセットを管理する方法を確認してください。
- ID とアクセスを管理する(このシリーズの次のドキュメント)
- Google Cloud ランディング ゾーンのリソース階層を決定する