Google Cloud アーキテクチャ フレームワークのセキュリティ ピラーにあるこの原則は、クラウド デプロイの規制、コンプライアンス、プライバシーの要件を特定して満たすのに役立ちます。これらの要件は、Google Cloudのワークロードに使用するセキュリティ制御について、多くの意思決定に影響します。
原則の概要
規制、コンプライアンス、プライバシーのニーズを満たすことは、すべてのビジネスにとって避けられない課題です。クラウドの規制要件は、次のような複数の要因によって異なります。
- 組織の物理的な場所に適用される法律および規制
- ユーザーのお客様の物理的な場所に適用される法律と規制
- 業界の規制要件
プライバシー規制では、ユーザーデータの取得、処理、保存、管理の方法が定義されています。ユーザーから受け取ったデータなど、データはお客様に帰属します。そのため、Cookie の管理、セッション管理、ユーザー権限の取得など、プライバシー管理の多くはお客様の責任となります。
この原則を実装するための推奨事項は、次のセクションに分類されています。
組織のリスクに対処するための推奨事項
このセクションでは、組織のリスクを特定して対処するための推奨事項について説明します。
組織におけるリスクを特定する
この推奨事項は、次の重点分野(クラウド ガバナンス、リスク、コンプライアンス)に関連しています。
Google Cloudにリソースを作成してデプロイする前に、リスク評価を完了します。この評価では、内部セキュリティ要件と外部規制要件を満たすために必要なセキュリティ機能を決定する必要があります。
リスク評価では、組織固有のリスクのカタログが提供され、セキュリティ上の脅威を検出して対処する組織の能力が示されます。デプロイ直後、およびビジネスニーズ、規制要件、組織に対する脅威に変更がある場合はいつでも、リスク分析を行う必要があります。
安全性を重視した設計を実装する原則で説明したように、クラウド環境のセキュリティ リスクはオンプレミス環境のリスクとは異なります。この違いは、クラウドの責任共有モデルによるものです。このモデルは、サービス(IaaS、PaaS、SaaS)と使用状況によって異なります。Cloud Controls Matrix(CCM)などのクラウド固有のリスク評価フレームワークを使用します。OWASP アプリケーション脅威モデリングなどの脅威モデリングを使用して、脆弱性を特定して対処します。リスク評価に関する専門家のサポートについては、Google アカウント担当者にお問い合わせいただくか、 Google Cloudのパートナー ディレクトリをご覧ください。
リスクをカタログ化したら、どのようにリスクに対処するか(リスクを受け入れる、回避する、移転する、軽減する)を決定する必要があります。実装できる緩和策については、次のセクションのリスクの軽減をご覧ください。
リスクを軽減する
この推奨事項は、次の重点分野(クラウド ガバナンス、リスク、コンプライアンス)に関連しています。
新しいパブリック クラウド サービスを導入する際は、技術的なコントロール、契約による保護、サードパーティの検証または証明を使用してリスクを軽減できます。
技術的なコントロール。環境の保護に使用する機能とテクノロジーのことです。これには、ファイアウォールやロギングなどのクラウド セキュリティ コントロールが組み込まれています。技術的なコントロールには、セキュリティ戦略を強化またはサポートするサードパーティ ツールの使用も含まれます。技術的なコントロールには次の 2 つのカテゴリがあります。
- Google Cloudのセキュリティ管理を実装すると、環境に適用されるリスクを軽減できます。たとえば、Cloud VPN と Cloud Interconnect を使用して、オンプレミス ネットワークとクラウド ネットワーク間の接続を保護できます。
- Google では、堅牢な内部管理と監査を実施して、インサイダーによるアクセスからお客様のデータを保護しています。Google の監査ログにより、 Google CloudのGoogle 管理者アクセスのログがニア リアルタイムで提供されます。
契約による保護とは、Google Cloud サービスに関して Google が行う法律上のコミットメントのことです。Google は、コンプライアンス ポートフォリオの維持と拡大に取り組んでいます。Cloud のデータ処理に関する追加条項(CDPA)には、データの処理とセキュリティに関する Google の取り組みが記載されています。CDPA には、Google サポート エンジニアによるお客様の環境へのアクセスを制限するアクセス制御の概要と、厳格なロギングと承認プロセスについても説明されています。 Google Cloudの契約管理について、法的および規制の専門家に相談して、要件を満たしていることを確認することをおすすめします。詳しくは、テクニカル アカウント担当者にお問い合わせください。
第三者による検証または証明。クラウド プロバイダがコンプライアンス要件を満たしていることをサードパーティ ベンダーに監査してもらうことです。たとえば、ISO/IEC 27017 ガイドラインに関する Google Cloud 構成証明については、ISO/IEC 27017 - コンプライアンスをご覧ください。現在の認定資格と証明書については、コンプライアンス リソース センターをご覧ください。 Google Cloud
規制要件とコンプライアンス要件に対処するための推奨事項
一般的なコンプライアンスの取り組みには、評価、ギャップの修復、継続的なモニタリングの 3 つのステージがあります。このセクションでは、これらの各ステージで使用できる推奨事項について説明します。
コンプライアンスのニーズを評価する
この推奨事項は、次の重点分野(クラウド ガバナンス、リスク、コンプライアンス)に関連しています。
コンプライアンス評価は、すべての規制義務と、それが企業でどのように実装されているかを徹底的に確認することから始まります。サービスの評価に役立つよう、コンプライアンス リソース センターを使用します。 Google Cloud このサイトでは、次の情報について説明します。
- さまざまな規制に対応するサービス サポート
- Google Cloud 認定資格と証明書
Google のコンプライアンス ライフサイクルと要件の遵守について理解を深めるには、営業担当者までお問い合わせのうえ、Google コンプライアンス スペシャリストのサポートを依頼してください。または、Google Cloud アカウント マネージャーに連絡してコンプライアンス ワークショップをリクエストすることもできます。
ワークロードのセキュリティとコンプライアンスの管理に使用できるツールとリソースの詳細については、クラウドでのコンプライアンスの確保をご覧ください。 Google Cloud
コンプライアンス要件の実装を自動化する
この推奨事項は、次の重点分野(クラウド ガバナンス、リスク、コンプライアンス)に関連しています。
変化し続ける規制を遵守し続けるために、コンプライアンス要件の実装方法を自動化できるかどうかを判断します。 Google Cloud が提供するコンプライアンス重視の機能と、特定のコンプライアンス レジームの推奨構成を使用するブループリントの両方を使用できます。
Assured Workloads は、 Google Cloud 内のコントロールに基づいて構築されており、コンプライアンス義務の遵守に役立ちます。Assured Workloads では次のことができます。
- コンプライアンス レジームを選択する。選択したレジームのベースライン担当者のアクセス制御が自動的に設定されます。
- 組織のポリシーを使用してデータのロケーションを設定し、保存データとリソースがそのリージョンにのみ保持されるようにする。
- セキュリティとコンプライアンスの要件に最適な鍵管理オプション(鍵のローテーション期間など)を選択する。
- FedRAMP Moderate などの特定の規制要件を満たすように、Google サポート担当者のアクセス条件を選択します。たとえば、Google サポート担当者が適切なバックグラウンド チェックを完了しているかどうかを選択できます。
- Google が所有し、FIPS-140-2 に準拠し、FedRAMP Moderate コンプライアンスをサポートする鍵を使用します。 Google-owned and Google-managed encryption key 制御レイヤの追加と職掌分散のため、顧客管理の暗号鍵(CMEK)を使用します。鍵の詳細については、保存データと転送データを暗号化するをご覧ください。
Assured Workloads に加えて、コンプライアンス レジームに関連する Google Cloudブループリントを使用できます。これらのブループリントを変更して、セキュリティ ポリシーをインフラストラクチャのデプロイに組み込むことができます。
コンプライアンス要件をサポートする環境を構築できるように、Google のブループリントとソリューション ガイドには、推奨構成が含まれており、Terraform モジュールが提供されています。次の表に、セキュリティとコンプライアンス要件への対応を説明するブループリントを示します。
| 要件 | ブループリントとソリューション ガイド |
|---|---|
| FedRAMP | |
| HIPAA |
コンプライアンスをモニタリングする
この推奨事項は、次の重点分野に関連しています。
- クラウドのガバナンス、リスク、コンプライアンス
- ロギング、モニタリング、監査
ほとんどの規制では、アクセス関連のアクティビティを含む特定のアクティビティをモニタリングする必要があります。モニタリングのために、次の項目を使用できます。
- アクセスの透明性: Google Cloud 管理者がコンテンツにアクセスしたときに、ほぼリアルタイムでログを表示します。
- ファイアウォール ルールロギング: 作成したルールに従って VPC ネットワーク内の TCP 接続と UDP 接続を記録します。これらのログは、ネットワーク アクセスを監査する場合や、ネットワークが承認されていない方法で使用されていることを早期に警告する場合に活用できます。
- VPC フローログ: VM インスタンスによって送受信されたネットワーク トラフィック フローを記録します。
- Security Command Center Premium: さまざまな標準への準拠をモニタリングします。
- OSSEC(または別のオープンソース ツール): 環境に対する管理者権限がある個人のアクティビティをログに記録します。
- Key Access Justifications: 鍵アクセス リクエストの理由を表示します。
- Security Command Center の通知: コンプライアンス違反の問題が発生したときにアラートを受け取ります。たとえば、ユーザーが 2 段階認証プロセスを無効にしたときや、サービス アカウントに過剰な権限が付与されたときにアラートを受け取ります。特定の通知に対して自動修復を設定することもできます。
データ主権を管理するための推奨事項
この推奨事項は、次の重点分野(クラウド ガバナンス、リスク、コンプライアンス)に関連しています。
データ主権は、Google がユーザーのデータにアクセスできないようにするメカニズムを提供します。アクセスを承認するのは、ユーザーによる同意が必要なプロバイダの動作に限られます。たとえば、次の方法でデータ主権を管理できます。
- 暗号鍵をクラウド外で保存および管理します。
- 詳細なアクセス理由に基づいて、これらの鍵へのアクセス権を付与します。
- Confidential Computing を使用して使用中のデータを保護します。
運用主権を管理する
この推奨事項は、次の重点分野(クラウド ガバナンス、リスク、コンプライアンス)に関連しています。
運用主権は、Google の従業員がユーザーのワークロードを侵害できないことを保証します。たとえば、次の方法で運用主権を管理できます。
- 特定のプロバイダ リージョンに、新しいリソースのデプロイ先を制限します。
- 市民権や地理的位置など、事前定義された属性に基づいて Google の従業員によるアクセスを制限します。
ソフトウェア主権を管理する
この推奨事項は、次の重点分野(クラウドのガバナンス、リスク、コンプライアンス)に関連しています。
ソフトウェア主権は、ワークロードの可用性を制御し、任意の場所で実行できることを保証します。また、単一のクラウド プロバイダに依存したり、ロックインされたりすることなく、この制御を行うことができます。ソフトウェア主権には、ワークロードのデプロイ先や外部接続の許可レベルを即座に変更する必要が生じるイベントに対処できることが含まれています。
たとえば、ソフトウェア主権を管理できるように、 Google Cloudはハイブリッド デプロイとマルチクラウド デプロイをサポートしています。また、GKE Enterprise では、クラウド環境とオンプレミス環境の両方でアプリケーションを管理およびデプロイできます。データ主権の理由でオンプレミス デプロイを選択する場合は、Google Distributed Cloud がハードウェアとソフトウェアを組み合わせてデータセンターに導入します。 Google Cloud
プライバシー要件に対応するための推奨事項
Google Cloud には、次に挙げるようなプライバシーを改善する管理の仕組みが含まれています。
- デフォルトでの全データの暗号化(保存時、転送中、処理中)。
- インサイダー アクセスに対する保護対策。
- 多数のプライバシー規制への対応。
次の推奨事項は、実装できる追加のコントロールに関するものです。詳しくは、プライバシー リソース センターをご覧ください。
データ所在地を制御する
この推奨事項は、次の重点分野(クラウド ガバナンス、リスク、コンプライアンス)に関連しています。
データ所在地は、データが保存される場所を表します。データ所在地の要件は、システム設計の目標、業界の規制に関する懸念、国内法、税務上の影響、さらには文化によって異なります。
データ所在地の制御を開始する手順は次のとおりです。
- データのタイプと場所を把握する。
- データに存在するリスクと適用される法規制を特定します。
- データの保存場所や保存先を管理する。
データ所在地の要件を遵守するため、 Google Cloud ではデータの保存場所、アクセス方法、処理方法を制御できます。リソース ロケーション ポリシーを使用して、リソースを作成する場所と、リージョン間でデータをレプリケートする場所を制限できます。リソースのロケーション プロパティを使用して、サービスのデプロイ先とメンテナンスを行うユーザーを特定できます。詳細については、リソース ロケーションのサポート対象サービスをご覧ください。
機密データを分類する
この推奨事項は、次の重点分野(データ セキュリティ)に関連しています。
どのデータが機密であるかを定義し、その機密データを適切に保護する必要があります。機密データには、クレジット カード番号、住所、電話番号、その他の個人情報(PII)などが含まれる場合があります。Sensitive Data Protectionを使用すると、適切な分類を設定できます。その後は、 Google Cloudにデータを保存する前に、タグ付けおよびトークン化ができるようになります。さらに、Dataplex には、メタデータを保存、管理、アクセスするためのプラットフォームを提供するカタログ サービスがあります。データの分類と匿名化の詳細と例については、Sensitive Data Protection を使用した PII の匿名化と再識別をご覧ください。
機密データへのアクセスを禁止する
この推奨事項は、次の重点分野に関連しています。
- データ セキュリティ
- ID とアクセスの管理
VPC Service Controls を使用して、機密データを独自のサービス境界に配置します。VPC Service Controls を使用すると、Google マネージド サービスから不正なデータ転送やコピー(データの引き出し)が行われるリスクを軽減できます。VPC Service Controls を使用すると、Google マネージド サービスのリソースにセキュリティ境界を構成し、境界をまたがるデータの移動を制御できます。データの Google Identity and Access Management(IAM)アクセス制御を設定します。機密データへのアクセスを必要とするすべてのユーザーに対して多要素認証(MFA)を構成します。