アーキテクチャ センターには、セキュリティと Identity and Access Management(IAM)のさまざまなサブジェクトにわたるコンテンツ リソースが用意されています。
始める
Google Cloud を初めて使用する場合、または Google Cloud でのセキュリティと IAM の設計を初めて行う場合は、まず次のリソースをご覧ください。
アーキテクチャ センターのセキュリティと IAM リソース
リソースのタイトルまたは説明に含まれるプロダクト名またはフレーズを入力すると、セキュリティ リソースと IAM リソースのリストをフィルタリングできます。
|
Cloud Storage にアップロードされたファイルのマルウェア スキャンを自動化する このドキュメントでは、悪意のあるコードのファイルの評価を自動化するためのイベント ドリブン パイプラインを構築する方法について説明します。 使用するプロダクト: Cloud Logging、Cloud Run、Cloud Storage、Eventarc |
|
Google Cloud CLI の OAuth トークンの侵害による影響を緩和するためのベスト プラクティス gcloud CLI で使用される OAuth トークンを攻撃者が侵害した場合の影響を軽減する方法について説明します。 使用するプロダクト: Google Cloud CLI |
|
暗号通貨のマイニング(ビットコイン マイニングとも呼ばれます)は、新しい暗号トークンを作成し、トランザクションを検証するのに使用されるプロセスです。暗号通貨マイニング攻撃は、環境へのアクセスを入手した攻撃者が、リソースも悪用する場合に発生します... 使用するプロダクト: Cloud Key Management Service、Compute Engine、Google Cloud Armor、Identity and Access Management |
|
Apigee を使用したアプリケーションと API の保護のベスト プラクティス Apigee API 管理、Google Cloud Armor、reCAPTCHA Enterprise、Cloud CDN を使用してアプリケーションと API を保護する際に役立つベスト プラクティスについて説明します。 使用するプロダクト: Cloud CDN |
|
企業で生成 AI モデルと ML モデルを構築してデプロイする AI モデル作成のためのパイプラインをデプロイする、生成 AI と機械学習(ML)のブループリントについて説明します。 |
|
Google Cloud を使用したハイブリッド アーキテクチャとマルチクラウド アーキテクチャの構築 Google Cloud を使用したハイブリッド環境やマルチクラウド環境の計画と設計に関する実践的なガイダンスを提供します。 使用するプロダクト: Cloud Load Balancing、Compute Engine、GKE Enterprise、Google Kubernetes Engine(GKE) |
|
プライベート IP アドレスを持つ Compute Engine リソースを使用してインターネットに接続するための選択肢について説明します。 使用するプロダクト: Cloud Load Balancing、Cloud NAT、Compute Engine、Identity-Aware Proxy |
|
C3 AI と Google Cloud を使用してアプリケーションを開発します。 使用するプロダクト: Cloud Storage、Google Kubernetes Engine(GKE)、Virtual Private Cloud |
|
Google Cloud で FedRAMP と DoD に準拠したネットワークを構成する Google Cloud ネットワーク ポリシーをデプロイする際に、FedRAMP High と DoD IL2、IL4、IL5 の設計要件を遵守するための構成ガイダンスを提供します。 |
|
Spin.AI による Google Workspace データの SaaS データ保護の構成 Cloud Storage を使用して SpinOne(オールインワン SaaS データ保護)を構成する方法について説明します。 |
|
個別に承認された API へのアクセスを制限するコントロール 多くの組織には、内部要件に基づいて、または Assured Workloads の導入の一環として、明示的に承認された API のリストへのネットワーク アクセスを制限するコンプライアンス要件があります。オンプレミスでは、この要件は多くの場合プロキシで対処されます... |
|
Cohesity Helios と Google Cloud を使用したデータ マネジメント Cohesity と Google Cloud Storage の連携の仕組み。Cohesity は、バックアップ、テスト / 開発、ファイル サービス、分析データセットをスケーラブルなデータ プラットフォームに統合するためのハイパーコンバージド セカンダリ ストレージ システムです。 使用するプロダクト: Cloud Storage |
|
機密データの保護を使用した大規模なデータセットにおける PII の匿名化と再識別 Sensitive Data Protection を使用して自動化されたデータ変換パイプラインを作成し、個人情報(PII)などの機密データを匿名化する方法について説明します。 使用するプロダクト: BigQuery、Cloud Pub/Sub、Cloud Storage、Dataflow、Identity and Access Management、Sensitive Data Protection |
|
Google Cloud ランディング ゾーンのネットワーク設計を決定する このドキュメントでは、ランディング ゾーンの 4 つの一般的なネットワーク設計について説明し、要件に最も適したオプションを選択できるようにします。 使用するプロダクト: VPC Service Controls、Virtual Private Cloud |
|
Cloud Run を使用して安全なサーバーレス アーキテクチャをデプロイする 既存の基盤に追加の制御機能を重ねて、Cloud Run を使用するサーバーレス アプリケーションを保護する方法について説明します。 使用するプロダクト: Cloud Run |
|
Cloud Run functions を使用して安全なサーバーレス アーキテクチャをデプロイする 既存の基盤に追加の制御を階層化することで、Cloud Functions(第 2 世代)を使用するサーバーレス アプリケーションを保護する方法について説明します。 使用するプロダクト: Cloud Functions |
|
エンタープライズ デベロッパー プラットフォームを Google Cloud にデプロイする マネージド ソフトウェアの開発と配信を行う社内デベロッパー プラットフォームをデプロイする、エンタープライズ アプリケーションのブループリントについて説明します。 |
|
Google Cloud でのネットワーク モニタリング機能とテレメトリー機能をデプロイする ネットワーク テレメトリーはネットワーク上のデバイスからネットワーク トラフィック データを収集し、データを分析できるようにするものです。ネットワーク テレメトリーにより、セキュリティ運用チームはネットワーク ベースの脅威を検出し、高度な攻撃者を捕捉できます。これが不可欠なのは... 使用するプロダクト: Compute Engine、Google Kubernetes Engine(GKE)、Virtual Private Cloud |
|
機密性、整合性、可用性の要件に基づいて、安全なデプロイ パイプラインを設計するためのベスト プラクティスについて説明します。 使用するプロダクト: App Engine、Cloud Run、Google Kubernetes Engine(GKE) |
|
エンタープライズ ワークロードを移行するためのネットワーク設計: アーキテクチャのアプローチ このドキュメントでは、データセンターのワークロードを Google Cloud に移行する企業向けのネットワーキング アーキテクチャとセキュリティ アーキテクチャについて説明するシリーズを紹介します。これらのアーキテクチャで重視されているのは、高度な接続性、ゼロトラスト セキュリティの原則、... 使用プロダクト: Cloud CDN、Cloud DNS、Cloud Interconnect、Cloud Intrusion Detection System(Cloud IDS)、Cloud Load Balancing、Cloud NAT、Cloud Service Mesh、Cloud VPN、Google Cloud Armor、Identity-Aware Proxy、Network Connectivity Center、VPC Service Controls、Virtual Private Cloud |
|
Google Cloud の障害復旧(DR)について説明するシリーズの第 1 部です。ここでは、DR 計画プロセスの概要、つまり、DR 計画を設計して実装するために必要な情報を紹介します。 使用するプロダクト: Cloud Key Management Service、Cloud Storage、Spanner |
|
エッジ型ハイブリッド パターンについて、時間またはビジネスの面でクリティカルなワークロードをネットワークのエッジでローカル実行することで、接続に関する課題に対処する方法を説明します。 使用するプロダクト: Cloud Pub/Sub、Cloud Storage、Google Kubernetes Engine(GKE) |
|
このシリーズでは、ユーザーが Google Cloud にワークロードをデプロイできるように整理された Google Cloud セキュリティのベスト プラクティスの独自の見解について説明します。 |
|
既存のデータセンターにワークロードの本番環境を維持し、パブリック クラウドを他の非本番環境に使用する方法について説明します。 使用するプロダクト: Cloud Pub/Sub、Cloud Storage、Google Kubernetes Engine(GKE) |
|
Google Cloud と Active Directory を連携させる 使用するプロダクト: Cloud Identity、Google Cloud Directory Sync |
|
Google Cloud と Microsoft Entra ID(旧 Azure AD)を連携する 使用プロダクト: Google Cloud Directory Sync |
|
Google Cloud での FortiGate アーキテクチャ Google Cloud での FortiGate Next Generation Firewall(NGFW)のデプロイに関する全体的なコンセプトについて説明します。 使用するプロダクト: Cloud Load Balancing、Cloud NAT、Compute Engine、Virtual Private Cloud |
|
このガイドは、米国連邦政府によるリスクおよび認証管理プログラム(Federal Risk and Authorization Management Program)の実装と Google Cloud のコンプライアンスに責任を持つセキュリティ責任者、コンプライアンス責任者、IT 管理者、その他の従業員を対象としています。このガイドでは、以下について説明します。 使用するプロダクト: Cloud Identity、Cloud Logging、Cloud Monitoring、Cloud VPN、Google Cloud Armor、Google Workspace、Identity and Access Management、Identity-Aware Proxy、Security Command Center |
|
一般的なハイブリッド クラウドとマルチクラウドのアーキテクチャ パターンと、これらのパターンが最も適しているシナリオについて説明します。 使用するプロダクト: Cloud DNS、Cloud Interconnect、Cloud Pub/Sub、Cloud Run、Cloud SQL、Cloud Storage、Google Cloud Armor、Google Kubernetes Engine(GKE)、Looker |
|
Wiz Security Graph と Google Cloud によるセキュリティ リスクの特定と優先順位付け Wiz Security Graph と Google Cloud を使用して、クラウド ワークロードのセキュリティ リスクを特定して優先順位を付ける方法について説明します。 使用するプロダクト: Artifact Registry、Cloud Audit Logs、Cloud SQL、Cloud Storage、Compute Engine、Google Kubernetes Engine(GKE)、Security Command Center |
|
Google Cloud ランディング ゾーンのネットワーク設計を実装する このドキュメントでは、選択したネットワーク設計をランディング ゾーンに実装するための手順とガイダンスについて説明します。 使用するプロダクト: Virtual Private Cloud |
|
外部ネットワークから安全な BigQuery データ ウェアハウスにデータをインポートする 本番環境でデータ ウェアハウスを保護するために使用できるアーキテクチャと、オンプレミス環境などの外部ネットワークから BigQuery にデータをインポートするためのベスト プラクティスについて説明します。 使用するプロダクト: BigQuery |
|
Google Cloud から安全な BigQuery データ ウェアハウスにデータをインポートする 本番環境でデータ ウェアハウスを保護するために使用できるアーキテクチャと、Google Cloud のデータ ウェアハウスのデータ ガバナンスに関するベスト プラクティスについて説明します。 使用するプロダクト: BigQuery、Cloud Key Management Service、Dataflow、Sensitive Data Protection |
|
このシリーズでは、Google Cloud でランディング ゾーンを設計および構築し、ID オンボーディング、リソース階層、ネットワーク設計、セキュリティに関する重要な意思決定について説明します。 |
|
Google Cloud の PCI 環境に対するコンプライアンスの対象範囲の制限 Payment Card Industry(PCI)Security Standards Council コンプライアンス用にクラウド環境を設計する際のベスト プラクティスについて説明します。 使用するプロダクト: App Engine、BigQuery、Cloud Key Management Service、Cloud Logging、Cloud Monitoring、Cloud SQL、Identity and Access Management、Sensitive Data Protection |
|
オープンソース ツールを使用して、Google Cloud リソースへのジャストインタイム特権アクセスを実装する方法について説明します。 使用するプロダクト: App Engine、Identity-Aware Proxy |
|
アプリケーションとインフラストラクチャのワークロード(コンピューティング、データベース、ストレージのワークロードなど)を Google Cloud に移行するプロセスの計画、設計、実装をサポートします。 使用プロダクト: App Engine、Cloud Build、Cloud Data Fusion、Cloud Deployment Manager、Cloud Functions、Cloud Run、Cloud Storage、Container Registry、Data Catalog、Dataflow、Direct Peering、Google Kubernetes Engine(GKE)、Transfer Appliance |
|
Google Cloud を使用したランサムウェア攻撃の軽減 第三者によって作成され、データをハイジャックして、暗号化し、盗みを働くためにシステムに侵入するコードは、ランサムウェアと呼ばれます。ランサムウェア攻撃を軽減するために、Google Cloud は、ランサムウェアの脅威を特定、保護、検出するための抑制手段が用意されています... 使用するプロダクト: Google Security Operations、Google Workspace |
|
Identity and Access Management の概要 Identity and Access Management(一般的には IAM と呼ばれます)の一般的な手法と、企業 ID、顧客 ID、サービス ID など、対象となる個人について説明します。 使用するプロダクト: Cloud Identity、Identity and Access Management |
|
Google Cloud における 2021 年の OWASP トップ 10 緩和策 OWASP トップ 10 で説明されている一般的なアプリケーション レベルの攻撃の防御に役立つ Google Cloud プロダクトと緩和戦略について説明します。 使用するプロダクト: Google Cloud Armor、Security Command Center |
|
Google Cloud にビジネスのための Payment Card Industry データ セキュリティ基準(PCI DSS)を実装する方法について説明します。 使用するプロダクト: App Engine、BigQuery、Cloud Functions、Cloud Key Management Service、Cloud Logging、Cloud Monitoring、Cloud Storage、Compute Engine、Google Kubernetes Engine(GKE)、Sensitive Data Protection、VPC Service Controls |
|
このガイドは、お客様が Payment Card Industry Data Security Standard(PCI DSS)要件への対応で Google Kubernetes Engine(GKE)アプリケーション固有の課題を解決する際に有用な情報を提供することを目的としています。免責条項: この... 使用するプロダクト: Google Cloud Armor、Google Kubernetes Engine(GKE)、Sensitive Data Protection |
|
Palo Alto VM シリーズの NGFW で Virtual Private Cloud ネットワークを保護する Palo Alto Networks VM シリーズの次世代ファイアウォール(NGFW)を Google Cloud にデプロイするために理解する必要があるネットワーキングのコンセプトについて説明します。 使用するプロダクト: Cloud Storage |
|
GKE での PCI ブループリントには、Google Cloud で PCI 環境をブートストラップする方法を示す Terraform 構成とスクリプトが含まれています。このブループリントの中核は Online Boutique アプリケーションで、ユーザーはアイテムを閲覧して次のように追加できます... 使用するプロダクト: Google Kubernetes Engine(GKE) |
|
Google Cloud からログを収集、エクスポート、分析して、使用状況の監査や、データやワークロードに対する脅威の検出を行う方法について説明します。BigQuery または Chronicle 向けに付属の脅威検出クエリを使用するか、独自の SIEM を使用できます。 使用するプロダクト: BigQuery、Cloud Logging、Compute Engine、Looker Studio |
|
Google Cloud と Cloudentity を使用してエンベデッド ファイナンス ソリューションを設定する シームレスかつ安全なエンベデッド ファイナンス ソリューションをお客様に提供するためのアーキテクチャ オプションについて説明します。 使用するプロダクト: Cloud Run、Google Kubernetes Engine(GKE)、Identity Platform |
|
Google Cloud Armor、ロード バランシング、Cloud CDN を使用して、プログラム可能なグローバル フロントエンドをデプロイする Google Cloud のベスト プラクティスを組み込んだグローバル フロントエンドを使用するアーキテクチャを提供し、インターネットに接続されたアプリケーションのスケーリング、セキュリティ、配信の高速化を実現します。 |