コンプライアンス マネージャーで環境を監査する

Compliance Manager を使用すると、フレームワークに対して監査を実行して、 Google Cloud 環境のコンプライアンスの状態を把握できます。環境を監査すると、次のことを完了できます。

  • コンプライアンス評価を自動化して、 Google Cloudワークロードがコンプライアンス義務にどの程度準拠しているかを評価する。
  • コンプライアンス監査の証拠を収集する。
  • ギャップを特定して違反を修正する。

Compliance Manager は、任意のGoogle Cloud フォルダまたはプロジェクトの評価を提供できます。

監査プロセスでは、次のアーティファクトが作成されます。これらのアーティファクトは、Compliance Manager によって Cloud Storage バケットに保存されます。

  • 次の情報を提供する監査概要レポート。
    • フォルダまたはプロジェクトがフレームワークのクラウド コントロールにどの程度準拠しているかの概要。
    • Google との共有責任を理解するための責任マトリックス。
  • 特定のクラウド コントロールの評価結果を説明するコントロール概要レポート。このレポートには、コンプライアンス チェックごとの評価の詳細(観察結果や想定値など)が記載されています。
  • レポートの作成に使用された証拠。これには、アセットデータの未加工のダンプなど、各クラウド コントロールについて評価されたすべてのリソースが含まれます。

始める前に

リソースを登録する

環境を監査する前に、監査する組織、フォルダ、プロジェクトを登録し、Cloud Storage バケットを指定する必要があります。Compliance Manager は、監査データを Cloud Storage バケットに保存します。

  1. コンソールで [コンプライアンス] ページに移動します。

    [コンプライアンス] に移動

  2. 組織を選択します。

  3. [監査(プレビュー)] タブで、[Audit settings] をクリックします。

  4. 監査するプロジェクトまたはフォルダを見つけます。

  5. [登録] をクリックします。継承は次のように機能します。

    • 組織を登録すると、すべてのフォルダとプロジェクトを監査できます。
    • フォルダを登録すると、そのフォルダ内のフォルダとプロジェクトを監査できます。

  6. 監査データの保存に使用する Cloud Storage バケットを選択するか、新しいバケットを作成します。

  7. [登録] をクリックします。

リソースの登録を更新する

リソースを登録した後で、Cloud Storage バケットを変更できます。

  1. コンソールで [コンプライアンス] ページに移動します。

    [コンプライアンス] に移動

  2. 組織を選択します。

  3. [監査(プレビュー)] タブで、[Audit settings] をクリックします。

  4. 変更するプロジェクトまたはフォルダを見つけます。

  5. [更新] をクリックします。

  6. バケット情報を変更します。

  7. [登録] をクリックします。

環境を監査する

フォルダまたはプロジェクトの監査を開始するには、次のタスクを完了します。

  1. コンソールで [コンプライアンス] ページに移動します。

    [コンプライアンス] に移動

  2. 組織を選択します。

  3. [監査(プレビュー)] タブで、[監査を実行] をクリックします。

  4. 監査するリソースを選択します。監査ごとに選択できるフォルダまたはプロジェクトは 1 つのみです。

  5. 適用されたフレームワークを選択します。

  6. 監査評価を処理するロケーションを選択します。サポートされているロケーションの一覧については、Compliance Manager の監査ロケーションをご覧ください。目的のロケーションが表示されない場合は、[グローバル] を選択します。[次へ] をクリックします。

  7. 評価プランを確認します。このプランには、選択したフレームワークに基づく監査範囲に関する情報が記載されています。OpenDocument スプレッドシート(ODS)ファイルをダウンロードするには、リンクをクリックします。

  8. [次へ] をクリックします。

  9. 監査レポートを保存する Cloud Storage バケットを選択します。[完了] をクリックします。

  10. [監査を実行] をクリックします。監査が完了するまでに時間がかかることがあります。メインの [監査] ページを更新して、進行状況を確認します。

Cloud Storage バケットの変更を監視するには、イベント ドリブン関数または Pub/Sub を使用して通知を設定します。

監査情報を表示する

監査が完了すると、Compliance Manager はアーティファクトを作成して転送先ストレージ バケットに保存し、ユーザーが確認できるようにします。

  1. コンソールで [コンプライアンス] ページに移動します。

    [コンプライアンス] に移動

  2. 組織を選択します。

  3. [監査(プレビュー)] タブで、監査の概要を表示するには、[ステータス] 列のリンクをクリックします。

    [基本情報] ページには、スコープ内のコンプライアンス コントロールに関する情報と、自動化されたコンプライアンスのステータスが表示されます。

    • 準拠: すべての要件を満たす構成が表示されます。
    • 違反: 特定のコントロールに対して検出された構成ミスが表示されます。
    • 手動レビューが必要: 構成が準拠しているかどうかを判断するために手動で検証する必要がある構成が表示されます。コンプライアンスとプロセス コントロールを証明するには、ユーザーの入力が必要です。
    • スキップ: 特定のコントロールに対して Compliance Manager がスキップした構成が表示されます。

  4. 表示する監査情報の種類に応じて、対応するタブの手順に沿って操作します。

    監査概要レポート

    1. ステータスの詳細を表示するには、[表示] をクリックします。

    2. 監査の概要レポートをエクスポートするには、[エクスポート] をクリックします。

      監査概要レポートは ODS 形式でエクスポートされます。

    コントロール概要レポート

    コントロールまたはステータスに基づいて、コントロールの概要レポートを表示できます。

    コントロールに基づいてコントロールの概要ページを表示するには、次の操作を行います。

    1. フィルタされたリストで、必要なコントロールを開きます。

    2. 該当するハイパーリンクをクリックします。コントロール ページには、責任、検出結果、要件が表示されます。

    ステータスに基づいてコントロール概要レポートを表示する手順は次のとおりです。

    1. 必要なステータスの [表示] をクリックします。

    2. コントロールのリストで、必要なハイパーリンクをクリックします。コントロールの概要ページには、責任、検出結果、要件が表示されます。

    コントロール概要レポートをエクスポートするには、[エクスポート] をクリックします。コントロール概要レポートは ODS 形式でエクスポートされます。

    証拠

    証拠は、コントロールまたはステータスに基づいて表示できます。

    コントロールに基づく証拠を表示する手順は次のとおりです。

    1. 必要なコントロールを開きます。

    2. 各ルールに対するコンプライアンス評価の詳細を表示するには、対応するハイパーリンクをクリックします。

    コントロール ページには、責任、検出結果、要件が表示されます。

    ステータスに基づいて証拠を表示する手順は次のとおりです。

    1. 必要なステータスの [表示] をクリックします。

    2. コントロールのリストで、必要なハイパーリンクをクリックします。

    コントロール ページには、責任、検出結果、要件が表示されます。

    検出結果の証拠を表示するには、フィルタリングされたリストで [Click here to open the evidence] をクリックします。証拠の詳細を含む [オブジェクトの詳細] ページが別のタブで開きます。

    証拠をダウンロードするには、[ダウンロード] をクリックします。証拠は JSON 形式でダウンロードされます。

また、必要なレポートと証拠を宛先ストレージ バケットから直接ダウンロードすることもできます。詳細については、バケットからオブジェクトをダウンロードするをご覧ください。

監査概要レポート

監査概要レポートは、すべてのコンプライアンス コントロールの概要と責任マトリックスを提供する包括的なレポートです。このレポートにより、 Google Cloud フォルダまたはプロジェクトのコンプライアンスを把握できます。監査概要レポートは、OpenDocument スプレッドシート(ODS)形式で提供されます。

宛先ストレージ バケットでは、監査概要レポートに次の命名規則が使用されます。

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

値は次のとおりです。

  • FRAMEWORK_NAME: フレームワークの名前。
  • TIMESTAMP: レポートが生成された日時を示すタイムスタンプ
  • UNIQUE_ID: レポートの一意の ID。

監査概要レポートでは、該当する各コントロール タイプについて次のフィールドが入力されます。

コントロール タイプ 説明
コントロール情報 コントロールの説明と要件。
Google の責任 Google Cloud の責任と実装の詳細。
お客様の責任 お客様の責任と実装の詳細。
評価ステータス

コントロールのコンプライアンス ステータス。ステータスは次のいずれかのタイプになります。

  • 非準拠: コンプライアンスからの逸脱が検出されました
  • 準拠: システムは準拠しています
  • 手動レビューが必要: アーティファクトは生成されますが、コンプライアンスのステータスを確定するにはユーザーの入力が必要です。
  • スキップ: Compliance Manager がクラウド コントロールを評価できません。
コントロール レポートのリンク コントロール概要レポートへのリンク。

コントロール概要レポート

コントロール概要レポートには、単一のコントロールのコンプライアンス評価の詳細な説明が含まれています。レポートには、各コンプライアンス チェックの評価の詳細(観察値と期待値を含む)が記載されています。

宛先ストレージ バケットでは、コントロール概要レポートに次の命名規則が使用されます。

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

値は次のとおりです。

  • FRAMEWORK: フレームワークの名前。
  • TIMESTAMP: レポートが生成された時点のタイムスタンプ。
  • UNIQUE_ID: レポートの一意の ID。
  • CONTROL_ID: コントロールの ID。

レポート内の日付は MM/DD/YYYY 形式で示されます。

コントロール概要レポートは、次の例のようになります。

コントロール ID: 準拠
サービス名 リソース数 ステータス リソース評価の詳細
リソース ID 測定対象フィールド 現在の値 期待される値 ステータス 証拠リソースの URI 証拠のタイムスタンプ プロジェクト / フォルダの証拠 証拠のリンク
このコントロールの対象となるサービスの合計数 監査範囲内のリソースの合計数 コンプライアンスのステータス リソース ID 監査対象の構成 観測値 準拠値 個々のコンプライアンス ステータス 証拠が収集されたときのタイムスタンプ
product1.googleapis.com 2 準拠 folder_123456 abc 10 >=10 準拠 リソース 1 01/01/2025 12:55:16 プロジェクト 1 リンク 1
def 15 =15 準拠 リソース 4 12/05/2024 13:55:16 プロジェクト 1 リンク 4
project_123456 xyz 20 =20 準拠 リソース 2 12/05/2024 14:55:16 プロジェクト 1 リンク 2
product2.googleapis.com 1 準拠 project_123456 def 5 >=5 準拠 リソース 3 12/05/2024 15:55:16 プロジェクト 1 リンク 3

証拠

証拠には、各コントロールについて評価されたすべてのリソースが含まれます。これには、アセットデータの未加工のダンプと、出力を生成するために実行されたコマンドが含まれます。

宛先ストレージ バケットでは、証拠は JSON 形式で、次の命名規則が使用されます。

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

値は次のとおりです。

  • FRAMEWORK_NAME: フレームワークの名前。
  • TIMESTAMP: レポートが生成された時点のタイムスタンプ。
  • UNIQUE_ID: レポートの一意の ID。
  • EVIDENCE_ID: 証拠の一意の ID。

次のステップ