Google Cloud Well-Architected Framework のセキュリティの柱におけるこの原則は、クラウド デプロイの規制、コンプライアンス、プライバシーの要件を特定して満たすうえで役立ちます。これらの要件は、Google Cloudのワークロードに使用する必要があるセキュリティ制御について行う必要のある意思決定に影響します。
原則の概要
規制、コンプライアンス、プライバシーのニーズを満たすことは、すべての企業にとって避けられない課題です。クラウドの規制要件は、次のような複数の要因によって異なります。
- 組織の物理的な場所に適用される法律および規制
- ユーザーのお客様の物理的な場所に適用される法律と規制
- 業界の規制要件
プライバシー規制を使うと、ユーザーデータの取得、処理、保存、管理の方法をそれぞれ定義できます。ユーザーから受け取ったデータを含め、データはお客様に帰属します。そのため、Cookie の管理、セッション管理、ユーザー権限の取得など、プライバシー管理の多くはお客様の責任となります。
この原則を実装するための推奨事項は、次のセクションにグループ化されています。
組織のリスクに対処するための推奨事項
このセクションでは、組織のリスクを特定して対処するのに役立つ推奨事項について説明します。
組織におけるリスクを特定する
この推奨事項は、クラウドのガバナンス、リスク、コンプライアンスという重点分野に関連しています。
Google Cloudでリソースを作成してデプロイする前に、リスク評価を実施します。この評価では、内部セキュリティ要件と外部規制要件を満たすために必要なセキュリティ機能を特定する必要があります。
リスク評価は、組織固有のリスクのカタログを提供し、組織がセキュリティ上の脅威の検出と対処にどのように役立つかを示します。リスク分析は、デプロイ直後と、ビジネスニーズ、規制要件、組織に対する脅威に変更があった場合は必ず実施する必要があります。
設計によるセキュリティの実装の原則で説明したように、クラウド環境におけるセキュリティ リスクはオンプレミス リスクとは異なります。この違いは、クラウドの責任共有モデルによるものです。このモデルは、サービス(IaaS、PaaS、SaaS)と使用状況によって異なります。Cloud Controls Matrix(CCM)などのクラウド固有のリスク評価フレームワークを使用します。OWASP アプリケーション脅威モデリングなどの脅威モデリングを使用して、脆弱性を特定して対処します。リスク評価に関する専門的なサポートについては、Google アカウント担当者にお問い合わせいただくか、 Google Cloudのパートナー ディレクトリをご覧ください。
リスクをカタログ化したら、どのようにリスクに対処するか(リスクを受け入れる、回避する、移転する、軽減する)を決定する必要があります。実装できる緩和策については、次のセクションでリスクの軽減について説明します。
リスクを軽減する
この推奨事項は、クラウドのガバナンス、リスク、コンプライアンスという重点分野に関連しています。
新しいパブリック クラウド サービスを導入する際のリスクを軽減するには、技術的なコントロール、契約による保護、サードパーティの検証または証明を使用します。
技術的なコントロール。環境の保護に使用する機能とテクノロジーのことです。これには、ファイアウォールやロギングなどのクラウド セキュリティ コントロールが組み込まれています。技術的なコントロールには、セキュリティ戦略を強化またはサポートするサードパーティ ツールの使用も含まれます。技術的なコントロールには次の 2 つのカテゴリがあります。
- Google Cloudのセキュリティ管理を実装して、環境に適用されるリスクを軽減できます。たとえば、Cloud VPN と Cloud Interconnect を使用して、オンプレミス ネットワークとクラウド ネットワーク間の接続を保護できます。
- Google では、堅牢な内部管理と監査を実施して、インサイダーによるアクセスからお客様のデータを保護しています。Google の監査ログにより、 Google Cloudでは、Google 管理者アクセスのログがニア リアルタイムで提供されます。
契約による保護とは、Google Cloud サービスに関して Google が行う法律上のコミットメントのことです。Google は、コンプライアンス ポートフォリオの維持と拡大に取り組んでいます。お客様のデータの処理とセキュリティに関する Google の取り組みについては、Cloud のデータ処理に関する追加条項(CDPA)をご覧ください。CDPA には、Google サポート エンジニアによるお客様の環境へのアクセスを制限するアクセス制御の概要と、厳格なロギングと承認プロセスについても説明しています。 Google Cloudの契約管理について、法的および規制の専門家に相談して、要件を満たしていることを確認することをおすすめします。詳しくは、テクニカル アカウント担当者にお問い合わせください。
第三者による検証または証明。クラウド プロバイダがコンプライアンス要件を満たしていることをサードパーティ ベンダーに監査してもらうことです。たとえば、ISO/IEC 27017 ガイドラインに関する Google Cloud 証明書については、ISO/IEC 27017 - コンプライアンスをご覧ください。現在の Google Cloud の認定資格と証明書については、コンプライアンス リソース センターをご覧ください。
規制要件とコンプライアンス要件に対応するための推奨事項
一般的なコンプライアンスの取り組みには、評価、ギャップの修復、継続的なモニタリングの 3 つのステージがあります。このセクションでは、これらの各ステージで使用できる推奨事項について説明します。
コンプライアンスのニーズを評価する
この推奨事項は、クラウドのガバナンス、リスク、コンプライアンスという重点分野に関連しています。
コンプライアンス評価は、すべての規制義務と、それが企業でどのように実装されているかを徹底的に確認することから始まります。 Google Cloud サービスの評価に役立つよう、コンプライアンス リソース センターを使用します。このサイトでは、次の情報を提供します。
- さまざまな規制に対応するサービス サポート
- Google Cloud 認定資格と証明書
Google のコンプライアンス ライフサイクルと要件の遵守について理解を深めるには、営業担当者にお問い合わせのうえ、Google コンプライアンス スペシャリストのサポートをご依頼ください。または、Google Cloud アカウント マネージャーに連絡して、コンプライアンス ワークショップをリクエストすることもできます。
Google Cloud ワークロードのセキュリティとコンプライアンスの管理に使用できるツールとリソースの詳細については、クラウドでのコンプライアンスの確保をご覧ください。
コンプライアンス要件の実装を自動化する
この推奨事項は、クラウドのガバナンス、リスク、コンプライアンスという重点分野に関連しています。
変化し続ける規制を遵守し続けるために、コンプライアンス要件の実装方法を自動化できるかどうかを判断します。 Google Cloud が提供するコンプライアンス重視の機能と、特定のコンプライアンス体制の推奨構成を使用するブループリントの両方を使用できます。
Assured Workloads は、 Google Cloud 内の制御に基づいて構築され、コンプライアンス義務の遵守を支援します。Assured Workloads では次のことができます。
- コンプライアンス レジームを選択する。このツールは、選択した体制のベースライン担当者のアクセス制御を自動的に設定します。
- 組織のポリシーを使用してデータのロケーションを設定し、保存データとリソースがそのリージョンにのみ保持されるようにする。
- セキュリティとコンプライアンスの要件に最適な鍵管理オプション(鍵のローテーション期間など)を選択する。
- FedRAMP Moderate などの特定の規制要件を満たすために、Google サポート担当者のアクセス基準を選択します。たとえば、Google サポート担当者が適切なバックグラウンド チェックを完了しているかどうかを選択できます。
- FIPS-140-2 に準拠し、FedRAMP Moderate への準拠をサポートする Google-owned and Google-managed encryption keys を使用します。制御レイヤの追加と職掌分散のため、顧客管理の暗号鍵(CMEK)を使用します。鍵の詳細については、保存データと転送データを暗号化するをご覧ください。
Assured Workloads に加えて、コンプライアンス レジームに関連する Google Cloudブループリントを使用することもできます。これらのブループリントを変更して、セキュリティ ポリシーをインフラストラクチャのデプロイに組み込むことができます。
コンプライアンス要件をサポートする環境の構築を支援するため、Google のブループリントとソリューション ガイドには、推奨構成が含まれており、Terraform モジュールが提供されています。次の表に、セキュリティとコンプライアンス要件への対応を説明するブループリントを示します。
| 要件 | ブループリントとソリューション ガイド |
|---|---|
| FedRAMP | |
| HIPAA |
コンプライアンスをモニタリングする
この推奨事項は、次の重点分野に関連しています。
- クラウドのガバナンス、リスク、コンプライアンス
- ロギング、モニタリング、監査
ほとんどの規制では、アクセス関連のアクティビティを含む特定のアクティビティをモニタリングする必要があります。モニタリングのために、次の項目を使用できます。
- アクセスの透明性: Google Cloud 管理者がコンテンツにアクセスしたときに、ほぼリアルタイムのログを表示します。
- ファイアウォール ルールロギング: 作成したルールに従って VPC ネットワーク内の TCP 接続と UDP 接続を記録します。これらのログは、ネットワーク アクセスを監査する場合や、ネットワークが承認されていない方法で使用されていることを早期に警告する場合に活用できます。
- VPC Flow Logs: VM インスタンスによって送受信されたネットワーク トラフィック フローを記録します。
- Security Command Center Premium: さまざまな標準への準拠をモニタリングします。
- OSSEC(または別のオープンソース ツール): 環境に対する管理者権限がある個人のアクティビティをログに記録します。
- Key Access Justifications: 鍵アクセス リクエストの理由を表示します。
- Security Command Center 通知: コンプライアンス違反の問題が発生した場合にアラートを受け取ります。たとえば、ユーザーが 2 段階認証プロセスを無効にした場合や、サービス アカウントに過剰な権限が付与されている場合にアラートを受け取ります。特定の通知に対する自動修復を設定することもできます。
データ主権を管理するための推奨事項
この推奨事項は、クラウドのガバナンス、リスク、コンプライアンスという重点分野に関連しています。
データ主権は、Google がユーザーのデータにアクセスできないようにするメカニズムを提供します。アクセスを承認するのは、ユーザーによる同意が必要なプロバイダの動作に限られます。たとえば、次の方法でデータ主権を管理できます。
- 暗号鍵をクラウド外で保存および管理します。
- 詳細なアクセス理由に基づいて、これらの鍵へのアクセス権を付与します。
- Confidential Computing を使用して使用中のデータを保護します。
運用主権を管理する
この推奨事項は、クラウドのガバナンス、リスク、コンプライアンスという重点分野に関連しています。
運用主権は、Google の従業員がユーザーのワークロードを侵害できないことを保証します。たとえば、次の方法で運用主権を管理できます。
- 特定のプロバイダ リージョンに、新しいリソースのデプロイ先を制限します。
- 市民権や地理的位置など、事前定義された属性に基づいて Google の従業員によるアクセスを制限します。
ソフトウェア主権を管理する
この推奨事項は、クラウドのガバナンス、リスク、コンプライアンスという重点分野に関連しています。
ソフトウェア主権は、ワークロードの可用性を制御し、任意の場所で実行できることを保証します。また、単一のクラウド プロバイダに依存したり、ロックインされたりすることなく、この制御を行うことができます。ソフトウェア主権には、ワークロードのデプロイ先や外部接続の許可レベルを即座に変更する必要が生じるイベントに対処できることが含まれています。
たとえば、ソフトウェアの主権を管理するために、 Google Cloudはハイブリッド デプロイとマルチクラウド デプロイをサポートしています。また、GKE Enterprise では、クラウド環境とオンプレミス環境の両方でアプリケーションを管理およびデプロイできます。データ主権の理由でオンプレミス デプロイを選択する場合は、Google Distributed Cloud が適しています。これは、 Google Cloud をデータセンターに導入するハードウェアとソフトウェアの組み合わせです。
プライバシー要件に対応するための推奨事項
Google Cloud には、次に挙げるようなプライバシーを改善する管理の仕組みが含まれています。
- デフォルトでの全データの暗号化(保存時、転送中、処理中)。
- インサイダー アクセスに対する保護対策。
- 多数のプライバシー規制への対応。
次の推奨事項では、実装できる追加の制御について説明します。詳しくは、プライバシー リソース センターをご覧ください。
データ所在地を制御する
この推奨事項は、クラウドのガバナンス、リスク、コンプライアンスという重点分野に関連しています。
データ所在地は、データが保存される場所を表します。データ所在地の要件は、システム設計の目標、業界の規制に関する懸念、国内法、税務上の影響、さらには文化によって異なります。
データ所在地の制御を開始する手順は次のとおりです。
- データのタイプと場所を把握します。
- データに存在するリスクと適用される法規制を把握します。
- データの保存場所や保存先を管理する。
データ所在地の要件を遵守するため、 Google Cloud ではデータの保存場所、アクセス方法、処理方法を制御できます。リソース ロケーション ポリシーを使用して、リソースを作成する場所と、リージョン間でデータをレプリケートする場所を制限できます。リソースのロケーション プロパティを使用して、サービスのデプロイ先とメンテナンスを行うユーザーを特定できます。詳細については、リソース ロケーションのサポート対象サービスをご覧ください。
機密データを分類する
この推奨事項は、重点分野(データ セキュリティ)に関連しています。
どのデータが機密であるかを定義し、その機密データを適切に保護する必要があります。機密データには、クレジット カード番号、住所、電話番号、その他の個人情報(PII)などが含まれる場合があります。Sensitive Data Protectionを使用すると、適切な分類を設定できます。そうすると、 Google Cloudにデータを保存する前に、タグ付けおよびトークン化ができるようになります。また、Dataplex Universal Catalog には、メタデータを保存、管理、アクセスするためのプラットフォームを提供するカタログ サービスがあります。データ分類と匿名化の詳細と例については、Sensitive Data Protection を使用した PII の匿名化と再識別をご覧ください。
機密データへのアクセスを禁止する
この推奨事項は、次の重点分野に関連しています。
- データ セキュリティ
- ID とアクセスの管理
VPC Service Controls を使用して、機密データを独自のサービス境界に配置します。VPC Service Controls を使用すると、Google マネージド サービスから不正なデータ転送やコピー(データの引き出し)が行われるリスクを軽減できます。VPC Service Controls を使用すると、Google マネージド サービスのリソースにセキュリティ境界を構成し、境界をまたがるデータの移動を制御できます。データの Google Identity and Access Management(IAM)アクセス制御を設定します。センシティブ データへのアクセスを必要とするすべてのユーザーに対して、多要素認証(MFA)を構成します。