ヘルスケアとライフサイエンスのコントロールに関する制限事項
このページでは、ヘルスケアとライフサイエンスのコントロール、およびヘルスケアとライフサイエンスのコントロール(米国でのサポート)のコントロール パッケージを使用する際の制限、制限事項、その他の構成オプションについて説明します。
概要
ヘルスケアとライフサイエンスのコントロール、およびヘルスケアとライフサイエンスのコントロール(米国でのサポート)のコントロール パッケージを使用すると、医療保険の相互運用性と説明責任に関する法律(HIPAA)と Health Information Trust Alliance(HITRUST)の要件に準拠したワークロードを実行できます。
サポートされているプロダクトはそれぞれ、次の要件を満たしています。
- Google Cloud の HIPAA 業務提携契約(BAA)ページに記載されている
- Google Cloud の HITRUST 共通セキュリティ フレームワーク(CSF)ページに記載されている
- Cloud KMS 顧客管理の暗号鍵(CMEK)のサポート
- VPC Service Controls のサポート
- アクセスの透明性ログのサポート
- アクセス承認リクエストのサポート
- 米国内に限定された保存データ所在地のサポート
追加サービスの許可
各ヘルスケアとライフサイエンスのコントロールのコントロール パッケージには、サポートされているサービスのデフォルト構成が含まれています。これは、Assured Workloads フォルダに設定されたサービスの使用を制限する(gcp.restrictServiceUsage)組織のポリシー制約によって適用されます。ただし、ワークロードで必要な場合は、この制約の値を変更して他のサービスを含めることができます。詳細については、ワークロードのリソース使用量を制限するをご覧ください。
許可リストに追加する追加サービスはすべて、Google Cloud の HIPAA BAA ページまたは Google Cloud の HITRUST CSF ページで列挙されている必要があります。
gcp.restrictServiceUsage 制約を変更して追加サービスを追加すると、Assured Workloads モニタリングでコンプライアンス違反が報告されます。これらの違反を削除し、許可リストに登録されたサービスの今後の通知を防ぐには、違反ごとに例外を適用する必要があります。
以降のセクションでは、サービスを許可リストに追加する際のその他の考慮事項について説明します。
顧客管理の暗号鍵(CMEK)
サービスを許可リストに登録する前に、Cloud KMS ドキュメントの互換性のあるサービスページを参照して、CMEK がサポートされていることを確認します。CMEK をサポートしていないサービスを許可する場合は、Assured Workloads における責任の共有で説明されているように、関連するリスクを受け入れる必要があります。
CMEK を使用するときにより厳格なセキュリティ対策を適用する場合は、Cloud KMS ドキュメントの鍵の使用状況を表示するページをご覧ください。
データ所在地
サービスを許可リストに追加する前に、データ所在地がある Google Cloud サービスページにサービスが記載されていることを確認します。データ所在地をサポートしていないサービスを許可する場合は、Assured Workloads における責任の共有で説明されているように、関連するリスクを受け入れる必要があります。
VPC Service Controls
サービスを許可リストに追加する前に、VPC Service Controls のドキュメントのサポートされているプロダクトと制限事項ページを参照して、VPC Service Controls でサポートされていることを確認してください。VPC Service Controls をサポートしていないサービスを許可する場合は、Assured Workloads における責任の共有で説明されているように、関連するリスクを受け入れる必要があります。
アクセスの透明性とアクセスの承認
サービスを許可リストに追加する前に、次のページを確認して、そのサービスがアクセスの透明性ログを書き込み、アクセス承認リクエストをサポートできることを確認します。
アクセスの透明性ログを書き込まず、アクセス承認リクエストをサポートしていないサービスを許可する場合は、Assured Workloads における責任の共有で説明されているように、関連するリスクを受け入れます。
サポートされているプロダクトとサービス
次のプロダクトは、ヘルスケアとライフサイエンスのコントロール、およびヘルスケアとライフサイエンスのコントロール(米国でのサポート)のコントロール パッケージでサポートされています。
| サポートされているサービス | グローバル API エンドポイント | 制限事項 |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.com meshca.googleapis.com meshconfig.googleapis.com networksecurity.googleapis.com networkservices.googleapis.com |
なし |
| Artifact Registry |
artifactregistry.googleapis.com |
なし |
| BigQuery |
bigquery.googleapis.com bigqueryconnection.googleapis.com bigquerydatapolicy.googleapis.com bigqueryreservation.googleapis.com bigquerystorage.googleapis.com |
なし |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
なし |
| Binary Authorization |
binaryauthorization.googleapis.com |
なし |
| Certificate Authority Service |
privateca.googleapis.com |
なし |
| Bigtable |
bigtable.googleapis.com bigtableadmin.googleapis.com |
なし |
| Cloud Build |
cloudbuild.googleapis.com |
なし |
| Cloud Composer |
composer.googleapis.com |
なし |
| Cloud Data Fusion |
datafusion.googleapis.com |
なし |
| Dataflow |
dataflow.googleapis.com datapipelines.googleapis.com |
なし |
| Dataproc |
dataproc-control.googleapis.com dataproc.googleapis.com |
なし |
| Cloud Data Fusion |
datafusion.googleapis.com |
なし |
| Identity and Access Management(IAM) |
iam.googleapis.com |
なし |
| Cloud Key Management Service(Cloud KMS) |
cloudkms.googleapis.com |
なし |
| Cloud Logging |
logging.googleapis.com |
なし |
| Pub/Sub |
pubsub.googleapis.com |
なし |
| Cloud Router |
networkconnectivity.googleapis.com |
なし |
| Cloud Run |
run.googleapis.com |
なし |
| Spanner |
spanner.googleapis.com |
影響を受ける機能と組織のポリシーの制約 |
| Cloud SQL |
sqladmin.googleapis.com |
なし |
| Cloud Storage |
storage.googleapis.com |
なし |
| Cloud Tasks |
cloudtasks.googleapis.com |
なし |
| Cloud Vision API |
vision.googleapis.com |
なし |
| Cloud VPN |
compute.googleapis.com |
なし |
| Compute Engine |
compute.googleapis.com |
組織ポリシーの制約 |
| Contact Center AI Insights |
contactcenterinsights.googleapis.com |
なし |
| Eventarc |
eventarc.googleapis.com |
なし |
| Filestore |
file.googleapis.com |
なし |
| Google Kubernetes Engine |
container.googleapis.com containersecurity.googleapis.com |
なし |
| Memorystore for Redis |
redis.googleapis.com |
なし |
| Persistent Disk |
compute.googleapis.com |
なし |
| Secret Manager |
secretmanager.googleapis.com |
なし |
| Sensitive Data Protection |
dlp.googleapis.com |
なし |
| Speech-to-Text |
speech.googleapis.com |
なし |
| Text-to-Speech |
texttospeech.googleapis.com |
なし |
| Virtual Private Cloud(VPC) |
compute.googleapis.com |
なし |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
なし |
制限事項
以下のセクションでは、Google Cloud 全体またはプロダクト固有の制限、または機能の制限について説明します。これには、ヘルスケアとライフサイエンスのコントロールのフォルダにデフォルトで設定されている組織ポリシーの制約も含まれます。
Google Cloud 全体の組織のポリシーの制約
次の組織のポリシーの制約は、該当する Google Cloud サービスに適用されます。
| 組織のポリシーの制約 | 説明 |
|---|---|
gcp.resourceLocations |
allowedValues リストで次のロケーションに設定します。
|
gcp.restrictServiceUsage |
すべてのサポートされているサービスを許可するように設定します。 有効にして使用できるサービスを決定します。詳細については、ワークロードのリソース使用量を制限するをご覧ください。 |
gcp.restrictTLSVersion |
次の TLS バージョンを拒否するように設定します。
|
Compute Engine
Compute Engine 組織のポリシーの制約
| 組織のポリシーの制約 | 説明 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
True に設定します。 Google Cloud Armor セキュリティ ポリシーの作成を無効にします。 |
Spanner
影響を受ける Spanner の機能
| 機能 | 説明 |
|---|---|
| スプリットの境界 | Spanner は、主キーとインデックス付き列の小さなサブセットを使用して、顧客データとメタデータを含むスプリットの境界を定義します。Spanner のスプリットの境界は、連続する範囲の行が小さな部分に分割される場所を示します。 これらのスプリットの境界は、Google の担当者がテクニカル サポートとデバッグ目的でアクセスできますが、ヘルスケアとライフサイエンスのコントロールにおける管理者権限データ管理の対象ではありません。 |
Spanner 組織のポリシーの制約
| 組織のポリシーの制約 | 説明 |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
True に設定します。 Spanner リソースに追加のデータ主権とサポート性の制御を適用します。 |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
True に設定します。 マルチリージョン Spanner インスタンスを作成してデータ所在地とデータ主権を適用する機能を無効にします。 |
次のステップ
- Assured Workloads のコントロール パッケージについて理解する。
- 各コントロール パッケージでサポートされているプロダクトを確認する。