ITAR に関する制限事項

このページでは、ITAR コントロール パッケージを使用する際の制限、制限事項、その他の構成オプションについて説明します。

概要

国際武器取引規則（ITAR）コントロール パッケージは、対象範囲内の Google Cloud サービスのデータアクセス制御と所在地機能を有効にします。これらのサービスの一部の機能は、ITAR と互換性を持たせるために Google によって制限されています。これらの制限のほとんどは、ITAR 用に新しい Assured Workloads フォルダを作成するときに適用されますが、一部は組織のポリシーを変更することで後で変更できます。また、一部の制限事項については、ユーザーが遵守する責任があります。

これらの制限が特定の Google Cloud サービスの動作を変更する方法や、データアクセスやデータの保存場所に与える影響について理解することが重要です。たとえば、データアクセス制限とデータ所在地が維持されるように、一部の機能が無効になる場合があります。また、組織のポリシー設定を変更すると、リージョン間でデータがコピーされるという意図しない結果が生じる可能性があります。

前提条件

ITAR コントロール パッケージのユーザーとしてコンプライアンスを維持するには、次の前提条件を満たし、遵守していることを確認してください。

• Assured Workloads を使用して ITAR フォルダを作成し、そのフォルダにのみ ITAR ワークロードをデプロイします。
• ITAR ワークロードで対象となる ITAR サービスのみを有効にして使用します。
• 発生する可能性のあるデータ所在地のリスクを理解し、受け入れる意思がある場合を除き、デフォルトの組織のポリシーの制約値を変更しないでください。
• Google Cloud サービス エンドポイントに接続する場合は、エンドポイントを提供するサービスにリージョン エンドポイントを使用する必要があります。さらに：
  • オンプレミスまたは他のクラウド プロバイダの VM など、Google Cloud 以外の VM から Google Cloud サービス エンドポイントに接続する場合は、使用可能ないずれかのプライベート アクセス オプションを使用する必要があります。ここでは、Google Cloud 以外の VM への接続をサポートし、Google Cloud 以外のトラフィックを Google Cloud にルーティングします。
  • Google Cloud VM から Google Cloud サービス エンドポイントに接続する場合は、使用可能ないずれかのプライベート アクセス オプションを使用できます。
  • 外部 IP アドレスで公開されている Google Cloud VM に接続する場合は、外部 IP アドレスを持つ VM から API にアクセスするをご覧ください。
• ITAR フォルダで使用されるすべてのサービスで、次のユーザー定義またはセキュリティ構成情報のタイプに技術データを保存しないでください。
  • エラー メッセージ
  • コンソール出力
  • 属性データ
  • サービス構成データ
  • ネットワーク パケット ヘッダー
  • リソース識別子
  • データラベル
• 指定されたリージョン エンドポイントまたはロケーション エンドポイントは、それらを提供するサービスにのみ使用します。詳細については、対象となる ITAR サービスをご覧ください。
• Google Cloud セキュリティ ベスト プラクティス センターで提供されている一般的なセキュリティのベスト プラクティスの採用を検討してください。

対象範囲内のサービス

特に明記しない限り、ユーザーは Google Cloud コンソールから対象内のすべてのサービスにアクセスできます。

ITAR に対応しているサービスは次のとおりです。

組織のポリシー

このセクションでは、ITAR を使用してフォルダまたはプロジェクトを作成する際に、各サービスがデフォルトの組織のポリシーの制約値によってどのように影響を受けるかについて説明します。デフォルトで設定されていない場合でも、その他の適用可能な制約により、組織の Google Cloud リソースをさらに保護するための追加の「多層防御」を実現できます。

クラウド全体の組織のポリシーの制約

次の組織のポリシーの制約は、該当するすべての Google Cloud サービスに適用されます。

組織のポリシーの制約	説明
gcp.resourceLocations	allowedValues リストアイテムとして in:us-locations に設定します。 この値は、新しいリソースの作成を US の値グループのみに制限します。設定すると、米国以外の他のリージョン、マルチリージョン、ロケーションにリソースを作成できなくなります。詳細については、組織のポリシーの値グループのドキュメントをご覧ください。 制限を緩くしてこの値を変更すると、米国のデータ境界外でデータを作成または保存できるようになるため、データ所在地が損なわれる可能性があります。たとえば、in:us-locations 値グループを in:northamerica-locations 値グループに置き換えます。
gcp.restrictNonCmekServices	スコープ内のすべての API サービス名のリストに設定します。次に例を示します。 compute.googleapis.com container.googleapis.com run.googleapis.com storage.googleapis.com 上記の各サービスで、一部の機能が影響を受ける可能性があります。下記の影響を受ける機能をご覧ください。 各サービスには、顧客管理の暗号鍵（CMEK）が必要です。 CMEK により、Google のデフォルトの暗号化メカニズムではなく、ユーザーが管理している鍵で保存データを暗号化できます。 リストから 1 つ以上の対象サービスを削除してこの値を変更すると、データ主権のデータが損なわれる可能性があります。新しい保管中のデータは、ユーザーではなく Google 独自の鍵を使用して自動的に暗号化されます。既存の保存データは、指定した鍵によって暗号化されます。
gcp.restrictCmekCryptoKeyProjects	作成した ITAR フォルダ内のすべてのリソースに設定します。 CMEK を使用して保管中のデータを暗号化するために KMS 鍵を提供できる承認済みフォルダまたはプロジェクトの範囲を制限します。この制約により、承認されていないフォルダまたはプロジェクトが暗号鍵を提供できなくなるため、対象範囲内のサービスの保管中のデータのデータ主権を保証できます。
gcp.restrictServiceUsage	すべての対象サービスを許可するように設定します。 有効にして使用できるサービスを決定します。詳細については、ワークロードのリソース使用量を制限するをご覧ください。

Compute Engine 組織のポリシーの制約

組織のポリシーの制約	説明
compute.disableGlobalLoadBalancing	True に設定します。 グローバル ロード バランシング サービスの作成を無効にします。 この値を変更すると、ワークロードのデータ所在地に影響する可能性があります。設定値を保持することをおすすめします。
compute.disableGlobalSelfManagedSslCertificate	True に設定します。 グローバル セルフマネージド SSL 証明書の作成を無効にします。 この値を変更すると、ワークロードのデータ所在地に影響する可能性があります。設定値を保持することをおすすめします。
compute.disableInstanceDataAccessApis	True に設定します。 instances.getSerialPortOutput() API と instances.getScreenshot() API をグローバルに無効にします。 この組織のポリシーを有効にすると、Windows Server VM で認証情報を生成できなくなります。 Windows VM でユーザー名とパスワードを管理する必要がある場合は、次の操作を行います。 Windows VM 用の SSH を有効にします。 次のコマンドを実行して、VM のパスワードを変更します。 gcloud compute ssh VM_NAME --command "net user USERNAME PASSWORD" 次のように置き換えます。 VM_NAME: パスワードを設定する VM の名前。 USERNAME: パスワードを設定するユーザーのユーザー名。 PASSWORD: 新しいパスワード。
compute.disableNestedVirtualization	True に設定します。 ITAR フォルダ内のすべての Compute Engine VM で、ハードウェア アクセラレーションによりネストされた仮想化を無効にします。 この値を変更すると、ワークロードのデータ所在地に影響する可能性があります。設定値を保持することをおすすめします。
compute.enableComplianceMemoryProtection	True に設定します。 インフラストラクチャ障害が発生したときにメモリ コンテンツを追加で保護するために、一部の内部診断機能を無効にします。 この値を変更すると、ワークロードのデータ所在地に影響する可能性があります。設定値を保持することをおすすめします。
compute.restrictNonConfidentialComputing	（省略可）値は設定されていません。多層防御を提供するには、この値を設定します。 詳細については、Confidential VMs のドキュメントをご覧ください。
compute.restrictLoadBalancerCreationForTypes	GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS を除くすべての値を許可するように設定します。詳細については、 ロードバランサを選択するをご覧ください。

Google Kubernetes Engine 組織のポリシーの制約

組織のポリシーの制約	説明
container.restrictNoncompliantDiagnosticDataAccess	True に設定します。 ワークロードの主権管理を維持するために必要な、カーネルの問題の集計分析を無効にするために使用されます。 この値を変更すると、ワークロードのデータ主権に影響する可能性があります。設定値を保持することをおすすめします。

影響を受ける機能

このセクションでは、各サービスの機能が ITAR にどのように影響されるかについて説明します。これには、機能の使用時のユーザー要件も含まれます。

BigQuery の特長

機能	説明
新しいフォルダで BigQuery を有効にする	BigQuery はサポートされていますが、内部構成プロセスにより、Assured Workloads フォルダ新規作成時には自動的には有効になりません。通常、このプロセスは 10 分で完了しますが、状況によってはさらに時間がかかることもあります。プロセスが完了したかどうかを確認し、BigQuery を有効にするには、次の手順を完了します。 Google Cloud コンソールで、[Assured Workloads] ページに移動します。 Assured Workloads に移動 リストから新しい Assured Workloads フォルダを選択します。 [フォルダの詳細] ページの [許可されたサービス] セクションで、[利用可能なアップデートを確認] をクリックします。 [許可されているサービス] ペインで、フォルダのリソース使用量の制限組織ポリシーに追加するサービスを確認します。BigQuery サービスが表示されている場合は、 サービスを許可するをクリックし、これを追加します。 BigQuery サービスがリストに表示されていない場合は、内部プロセスが完了するまで待ちます。フォルダの作成から 12 時間以内にサービスが表示されない場合は、Cloud カスタマーケアにお問い合わせください。 有効化プロセスが完了すると、Assured Workloads フォルダで BigQuery を使用できるようになります。 Gemini in BigQuery は Assured Workloads ではサポートされていません。
サポートされていない機能	次の BigQuery 機能はサポートされておらず、ITAR コンプライアンスのために無効になっています。 外部でトレーニングされた BQML モデルは ITAR に準拠していません。 内部でトレーニングされた BQML モデルは ITAR に準拠しています。 連携クエリ データ マスキングと列レベルのアクセス制御: ポリシータグの分類の作成が無効になっています Analytics Hub GDrive エクスポート リモート関数 保存したクエリ ワークフローのスケジューリング BigQuery Studio では notebooksはサポートされていません。 継続的クエリ
準拠した BigQuery API	次の BigQuery API は ITAR に準拠しています。 bigquery.googleapis.com bigquerydatapolicy.googleapis.com bigqueryconnection.googleapis.com bigquerymigration.googleapis.com bigquerystorage.googleapis.com bigqueryreservation.googleapis.com bigquerydatatransfer.googleapis.com
リージョン	BigQuery は、米国マルチリージョンを除くすべての BigQuery US リージョンで ITAR に準拠しています。データセットが米国のマルチリージョン、米国以外のリージョン、米国以外のマルチリージョンに作成されている場合、ITAR コンプライアンスは保証されません。BigQuery データセットを作成する際に ITAR に準拠したリージョンを指定する責任はお客様にあります。
データの読み込み	Google Software as a Service（SaaS）アプリ、外部クラウド ストレージ プロバイダ、データ ウェアハウス用の BigQuery Data Transfer Service コネクタは ITAR に準拠していません。お客様は ITAR 環境でのみ Cloud Storage Transfer を使用できます。
外部データソースへの接続	Google のコンプライアンス責任は、BigQuery Connection API の機能に限定されます。BigQuery Connection API で使用されるソース プロダクトのコンプライアンスを確保することは、お客様の責任です。
ITAR 以外のプロジェクトの ITAR データセットに対するクエリ	BigQuery では、ITAR 以外のプロジェクトから ITAR データセットへのクエリを防ぐことはできません。ユーザーは、ITAR 技術データの読み取りまたは結合を持つクエリが ITAR 準拠のフォルダに配置されることを確認する必要があります。

Compute Engine の機能

機能	説明
Google Cloud コンソール	次の Compute Engine 機能は、Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。 ヘルスチェック ネットワーク エンドポイント グループ
Bare Metal Solution VM	Bare Metal Solution VM（o2 VM）は ITAR に準拠していないため、Bare Metal Solution VM を使用しないことはお客様の責任となります。
Google Cloud VMware Engine VM	Google Cloud VMware Engine VM は ITAR に準拠していないため、Google Cloud VMware Engine VM を使用しないことはお客様の責任です。
C3 VM インスタンスの作成	この機能は無効になっています。
CMEK を使用しない永続ディスクまたはそのスナップショットの使用	永続ディスクまたはそのスナップショットは、CMEK を使用して暗号化されていない限り使用できません。
ネストされた VM またはネストされた仮想化を使用する VM を作成する	ネストされた VM やネストされた仮想化を使用する VM は作成できません。 この機能は、上のセクションで説明した compute.disableNestedVirtualization 組織のポリシーの制約によって無効になっています。
グローバル ロードバランサにインスタンス グループを追加する	インスタンス グループをグローバル ロードバランサに追加することはできません。 この機能は、上のセクションで説明した compute.disableGlobalLoadBalancing 組織のポリシーの制約によって無効になっています。
マルチリージョンの外部 HTTPS ロードバランサへのリクエストの転送	マルチリージョン外部 HTTPS ロードバランサにリクエストを転送することはできません。 この機能は、上のセクションで説明した compute.restrictLoadBalancerCreationForTypes 組織のポリシーの制約によって無効になっています。
マルチライター モードで SSD 永続ディスクを共有する	VM インスタンス間でマルチライター モードの SSD 永続ディスクを共有することはできません。
VM インスタンスの一時停止および再開	この機能は無効になっています。 VM インスタンスの一時停止と再開には永続ディスク ストレージが必要です。停止状態の VM の状態の保存に使用される永続ディスク ストレージは、CMEK を使用して暗号化できません。この機能を有効にした場合のデータ所在地の影響については、前述のセクションの gcp.restrictNonCmekServices 組織のポリシーの制約をご覧ください。
ローカル SSD	この機能は無効になっています。 ローカル SSD は CMEK を使用して暗号化できないため、ローカル SSD を使用してインスタンスを作成できません。この機能を有効にした場合のデータ所在地の影響については、前述のセクションの gcp.restrictNonCmekServices 組織のポリシーの制約をご覧ください。
ゲスト環境	ゲスト環境に含まれているスクリプト、デーモン、バイナリが、暗号化されていない保存中および使用中のデータにアクセスすることは可能です。 VM の構成によっては、このソフトウェアの更新がデフォルトでインストールされている場合があります。各パッケージの内容、ソースコードなどの詳細については、ゲスト環境をご覧ください。 これらのコンポーネントは、内部のセキュリティ管理とプロセスを通じてデータ所在地を満たすのに役立ちます。ただし、追加の制御が必要な場合は、独自のイメージまたはエージェントを選択して、compute.trustedImageProjects 組織ポリシーの制約をオプションとして使用することもできます。 詳細については、カスタム イメージの構築ページをご覧ください。
instances.getSerialPortOutput()	この API は無効になっています。この API を使用して指定したインスタンスからシリアルポート出力を取得することはできません。 この API を有効にするには、compute.disableInstanceDataAccessApis 組織のポリシー制約値を False に変更します。インタラクティブ シリアルポートを有効にして使用することもできます。
instances.getScreenshot()	この API は無効です。この API を使用して指定したインスタンスからスクリーンショットを取得することはできません。 この API を有効にするには、compute.disableInstanceDataAccessApis 組織のポリシー制約値を False に変更します。インタラクティブ シリアルポートを有効にして使用することもできます。

Cloud DNS 機能

特徴	説明
Google Cloud コンソール	Cloud DNS の機能は Google Cloud コンソールでは使用できません。代わりに API または Google Cloud CLI を使用してください。

Cloud Interconnect の特長

特徴	説明
Google Cloud コンソール	Cloud Interconnect の機能は Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。
高可用性（HA）VPN	Cloud VPN で Cloud Interconnect を使用する場合は、高可用性（HA）VPN 機能を有効にする必要があります。また、このセクションに記載されている暗号化とリージョン指定の要件にも準拠する必要があります。

Cloud Load Balancing の機能

特徴	説明
Google Cloud コンソール	Google Cloud コンソールでは、Cloud Load Balancing の機能は使用できません。代わりに API または Google Cloud CLI を使用してください。
リージョン ロードバランサ	ITAR では、リージョン ロードバランサのみを使用する必要があります。リージョン ロードバランサの構成の詳細については、次のページをご覧ください。 内部アプリケーション ロードバランサ リージョン外部アプリケーション ロードバランサ 内部パススルー ネットワーク ロードバランサ 外部パススルー ネットワーク ロードバランサ

Cloud Logging の機能

顧客管理の暗号鍵（CMEK）で Cloud Logging を使用するには、Cloud Logging ドキュメントの組織の CMEK を有効にするページの手順を完了する必要があります。

特徴	説明
ログシンク	機密情報（顧客データ）をシンクフィルタに入れないでください。シンクフィルタはサービスデータとして扱われます。
ライブ テーリング ログエントリ	顧客データを含むフィルタは作成しないでください。 ライブ テーリング セッションには、構成として格納されたフィルタが含まれます。 テーリングログによって、ログエントリのデータが保存されることはありませんが、リージョン間でデータをクエリして送信できます。
ログベースのアラート	この機能は無効になっています。 Google Cloud コンソールでログベースのアラートを作成することはできません。
ログ エクスプローラ クエリの短縮 URL	この機能は無効になっています。 Google Cloud コンソールでは、クエリの短縮 URL を作成できません。
ログ エクスプローラにクエリを保存する	この機能は無効になっています。 Google Cloud コンソールではクエリを保存できません。
BigQuery を使用したLog Analytics	この機能は無効になっています。 Log Analytics 機能は使用できません。
SQL ベースのアラート ポリシー	この機能は無効になっています。 SQL ベースのアラート ポリシー機能は使用できません。

Cloud Monitoring の機能

特徴	説明
合成モニター	この機能は無効になっています。
稼働時間チェック	この機能は無効になっています。
ダッシュボードのログパネル ウィジェット	この機能は無効になっています。 ダッシュボードにログパネルを追加することはできません。
ダッシュボードの Error Reporting パネル ウィジェット	この機能は無効になっています。 ダッシュボードに Error Reporting パネルを追加することはできません。
EventAnnotation で [ダッシュボード] をフィルタします。	この機能は無効になっています。 EventAnnotation のフィルタはダッシュボードで設定できません。
alertPolicies の SqlCondition	この機能は無効になっています。 SqlCondition を alertPolicy に追加することはできません。

Network Connectivity Center の機能

特徴	説明
Google Cloud コンソール	Network Connectivity Center の機能は、Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。

Cloud NAT の機能

特徴	説明
Google Cloud コンソール	Cloud NAT 機能は Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。

Cloud Router の機能

特徴	説明
Google Cloud コンソール	Cloud Router の機能は Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。

Cloud Run の機能

特徴	説明
サポートされていない機能	次の Cloud Run 機能はサポートされていません。 Cloud Trace の統合 Cloud Run functions Eventarc トリガー

Cloud SQL の機能

特徴	説明
CSV へのエクスポート	CSV へのエクスポートは ITAR に準拠していないため、使用しないでください。この機能は Google Cloud コンソールで無効になっています。
executeSql	Cloud SQL API の executeSql メソッドは ITAR に準拠していないため、使用しないでください。

Cloud Storage の機能

特徴	説明
Google Cloud コンソール	ITAR コンプライアンスを維持するため、管轄区域の Google Cloud コンソールを使用する責任はお客様にあります。管轄コンソールでは、Cloud Storage オブジェクトのアップロードとダウンロードがブロックされます。Cloud Storage オブジェクトをアップロードおよびダウンロードするには、下の 準拠 API エンドポイントの行をご覧ください。
コンプライアンスを遵守した API エンドポイント	Cloud Storage では、ITAR に準拠したリージョン エンドポイントのいずれかを使用する必要があります。詳細については、Cloud Storage リージョン エンドポイントと Cloud Storage のロケーションをご覧ください。
制限事項	ITAR に準拠するには、Cloud Storage リージョン エンドポイントを使用する必要があります。ITAR の Cloud Storage リージョン エンドポイントの詳細については、Cloud Storage リージョン エンドポイントをご覧ください。 次のオペレーションは、リージョン エンドポイントではサポートされていません。ただし、これらのオペレーションでは、データ所在地に関するサービス規約で定義されている顧客データを扱いません。したがって、ITAR コンプライアンスに違反することなく、必要に応じてこれらのオペレーションにグローバル エンドポイントを使用できます。 HMAC キー オペレーション IAM サービス アカウントのオペレーション Pub/Sub 通知 オブジェクト変更通知
オブジェクトのコピーと書き換え	送信元バケットと宛先バケットの両方がエンドポイントで指定されたリージョンにある場合、オブジェクトのコピー オペレーションと書き換えオペレーションはリージョン エンドポイントでサポートされます。ただし、バケットが複数のロケーションに存在する場合は、リージョン エンドポイントを使用してバケット間でオブジェクトをコピーまたはリライトすることはできません。グローバル エンドポイントを使用してロケーション間でコピーまたはリライトすることは可能ですが、ITAR コンプライアンスに違反する可能性があるため、おすすめしません。

GKE の特長

機能	説明
クラスタ リソースの制限	クラスタ構成で、ITAR コンプライアンス プログラムでサポートされていないサービスのリソースを使用していないことを確認してください。たとえば、次の構成は、サポートされていないサービスの有効化または使用を必要とするため、無効です。 set `binaryAuthorization.evaluationMode` to `enabled`

VPC の機能

特徴	説明
Google Cloud コンソール	VPC ネットワーク機能は、Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。

Cloud VPN の機能

特徴	説明
Google Cloud コンソール	Cloud VPN の機能は Google Cloud コンソールで使用できません。代わりに API または Google Cloud CLI を使用してください。
暗号化	証明書の作成と IP セキュリティの構成には、FIPS 140-2 準拠の暗号のみを使用する必要があります。Cloud VPN でサポートされている暗号の詳細については、こちらのページをご覧ください。FIPS 140-2 標準に準拠する暗号を選択する方法については、こちらのページをご覧ください。 現在、Google Cloud で既存の暗号を変更する方法はありません。 Cloud VPN で使用するサードパーティ アプライアンスでも暗号が構成されている必要があります。
VPN エンドポイント	米国にある Cloud VPN エンドポイントのみを使用する必要があります。VPN ゲートウェイが米国リージョンでのみ使用されるように構成されていることを確認します。

脚注

2. BigQuery はサポートされていますが、内部構成プロセスにより、Assured Workloads フォルダ新規作成時には自動的には有効になりません。通常、このプロセスは 10 分で完了しますが、状況によってはさらに時間がかかることもあります。プロセスが完了したかどうかを確認し、BigQuery を有効にするには、次の操作を行います。

1. Google Cloud コンソールで、[Assured Workloads] ページに移動します。

   Assured Workloads に移動

2. リストから新しい Assured Workloads フォルダを選択します。
3. [フォルダの詳細] ページの [許可されたサービス] セクションで、[利用可能なアップデートを確認] をクリックします。
4. [許可されているサービス] ペインで、フォルダのリソース使用量の制限組織ポリシーに追加するサービスを確認します。BigQuery サービスが表示されている場合は、 サービスを許可するをクリックし、これを追加します。
   
   BigQuery サービスがリストに表示されていない場合は、内部プロセスが完了するまで待ちます。フォルダの作成から 12 時間以内にサービスが表示されない場合は、Cloud カスタマーケアにお問い合わせください。

有効化プロセスが完了すると、Assured Workloads フォルダで BigQuery を使用できるようになります。

Gemini in BigQuery は Assured Workloads ではサポートされていません。

次のステップ

• ITAR 制御パッケージについて学習する。
• 各コントロール パッケージでサポートされているプロダクトを確認する。