Google Cloud アーキテクチャ フレームワークのこのドキュメントでは、クラウドのデプロイにおけるリスクを管理するためのベスト プラクティスについて説明します。組織に適用されるリスクを慎重に分析することで、必要なセキュリティ管理を決定できます。Google Cloud にワークロードをデプロイする前にリスク分析を完了する必要があります。その後は、ビジネスニーズ、規制要件、組織に関連する脅威に応じて、定期的に分析を行う必要があります。
組織におけるリスクを特定する
Google Cloud でリソースを作成してデプロイする前に、リスク評価を実施して、内部セキュリティ要件と外部の規制要件を満たすために必要なセキュリティ機能を決定します。リスク評価は、関連するリスクのカタログを提供し、組織がセキュリティ上の脅威の検出と対処にどのように役立つかを示します。
クラウド環境におけるリスクは、オンプレミス環境におけるリスクとは異なります。これは、クラウド プロバイダが締結する責任を共有するためです。たとえば、オンプレミス環境ではハードウェア スタックの脆弱性を軽減する必要があります。一方、クラウド環境では、こうしたリスクはクラウド プロバイダが負担します。
また、リスクは Google Cloud の使用方法によって異なります。ワークロードの一部を Google Cloud に移行するのか、それともすべて移行するのかGoogle Cloud を障害復旧目的でのみ使用しているのかハイブリッド クラウド環境を設定していますか?
クラウド環境と規制要件に適用される、業界標準のリスク評価フレームワークを使用することをおすすめします。たとえば、Cloud Security Alliance(CSA)は Cloud Controls Matrix(CCM)を提供します。また、OWASP アプリケーションの脅威モデリングなどの脅威モデルもあります。これにより、潜在的なギャップのリストを提供し、検出されたギャップを修復するためのアクションを提案できます。Google Cloud のリスク評価を実施するエキスパートの一覧については、パートナー ディレクトリをご覧ください。
リスクをカタログ化するため、リスク保護プログラムの一部であるリスク マネージャーを検討してください。(このプログラムは現在プレビュー中です)。Risk Manager はユーザーのワークロードをスキャンして、ビジネスリスクの理解を助けてくれます。その詳細レポートはセキュリティのベースラインとなります。また、Risk Manager レポートを使用して、インターネット セキュリティ(CIS)ベンチマークに記載されているリスクとユーザーのリスクを比較できます。
リスクをカタログ化したら、どのようにリスクに対処するか(リスクを受け入れる、回避する、移転する、軽減する)を決定する必要があります。次のセクションでは、緩和策について説明します。
リスクを軽減する
リスクを軽減するには、技術的なコントロール、契約による保護、サードパーティの検証または証明を使用します。次の表は、新しいパブリック クラウド サービスを導入する際に、これらの緩和策を使用する方法を示しています。
緩和策 | 説明 |
---|---|
技術的なコントロール | 技術的なコントロール。環境の保護に使用する機能とテクノロジーのことです。これには、ファイアウォールやロギングなどのクラウド セキュリティ コントロールが組み込まれています。技術的なコントロールには、セキュリティ戦略を強化またはサポートするサードパーティ ツールの使用も含まれます。 技術的なコントロールには次の 2 つのカテゴリがあります。
|
契約による保護 | 契約による保護。Google Cloud サービスに関して締結した契約のことです。 Google は、コンプライアンス ポートフォリオの維持と拡大に取り組んでいます。 Cloud のデータ処理に関する追加条項(CDPA)のドキュメントでは、ISO 27001、27017、27018 の認証の維持と、12 か月ごとの SOC 2 および SOC 3 レポートの更新が定義されています。 DPST ドキュメントでは、Google サポート エンジニアによるお客様の環境へのアクセスを制限するアクセス制御の概要と、厳格なロギングと承認プロセスについても説明しています。 Google Cloud の契約管理について、法的および規制の専門家に相談して、要件を満たしていることを確認することをおすすめします。詳しくは、テクニカル アカウント担当者にお問い合わせください。 |
第三者による検証または証明 | 第三者による検証または証明とは、クラウド プロバイダがコンプライアンス要件を満たしていることをサードパーティ ベンダーに監査してもらうことです。たとえば、Google は ISO 27017 のコンプライアンスについて第三者機関の監査を受けています。 現在の Google Cloud 認定資格と証明書は、コンプライアンス リソース センターでご覧いただけます。 |
次のステップ
リスク管理の詳細については、次のリソースをご覧ください。
- アセットを管理する(このシリーズの次のドキュメント)