アクセスの透明性

ほぼリアルタイムのログと承認コントロールにより、クラウド プロバイダによる操作のビジビリティと制御性が得られます。

クラウド プロバイダによる操作のビジビリティと制御性

アクセスの透明性の機能を使用すると、Google Cloud Platform 管理者がお客様のコンテンツにアクセスしたときに、ほぼリアルタイムのログが記録されます。自社内の管理者が行う操作については、これまでも GCP の Cloud 監査ログによって可視化されていました。しかし、この監査証跡の記録は、ご利用のクラウド プロバイダのサポートチームまたはエンジニアリング チームが関与するときには中断されるのが通例です。アクセスの透明性ログが導入される前は、たとえば、Google サポートによるデータアクセスを必要とするチケットを登録しても、それは Cloud 監査ログに反映されていませんでした。アクセスの透明性はこのギャップを埋め、サポートチームまたはエンジニアリング チームが手動で特定のターゲットにアクセスしたときにも、ほぼリアルタイムにそのログを収集します。

Google は、お客様に対する契約上の義務を果たすために必要な場合を除き、いかなる理由でもお客様の Google Cloud 上のデータにアクセスすることはありません。Google のサポート担当者またはエンジニアリング担当者は、お客様のコンテンツにアクセスする場合、必ずビジネス上の正当な理由を提示することが、技術的な統制によって義務付けられています。Google ではまた、Google の内部統制の有効性を確認するため、管理者によるアクセスを定期的に監査しています。

クラウド プロバイダによる操作をさらに詳細に把握: 画像

自信を持ってクラウドへ移行

クラウド プロバイダによるアクセスを監査できなければ、それがクラウド移行の決断をためらう理由になりかねません。従来と同様のセキュリティ プロセスを再現するためには、クラウド プロバイダ側の管理者による操作も可視化できる必要があります。アクセスの透明性は、そこを検証可能にすることで、お客様の監査制御をオンプレミスで期待されるレベルに近づけます。アクセス承認(ベータ版)機能は、法律により要求されるアクセスや、停止状態あるいはセキュリティ インシデントを解決するために必要なアクセスの場合を除き、GCP のデータや構成へのアクセスには事前に明示的な承認を義務付けることができます。こうして、より高いレベルの制御性が得られます。

自信を持ってクラウドへ移行: 画像

GCP サポート エンジニアによるアクセスの承認

インフラの管理を専門家に任せられるのがクラウド運用の大きな魅力ですが、そこには、クラウド プロバイダがデータアクセスに関する責任を順当に果たしてくれるという信頼も必要です。アクセス承認機能では、お客様のサービスのサポート任務にあたる Google 社員からのアクセス リクエストを確認した後、必要に応じてこれを承認または拒否できます。こうしたアクセス承認による管理は、インフラ管理者にとどまらず、お客様のサービスをサポートする可能性がある Google 社員全員を対象とします。

GCP サポート エンジニアによるアクセスの承認: 画像

セキュリティの自動化をより深いレイヤにまで拡張する

もうすでに現行のセキュリティ自動化パイプラインで、セキュリティ チェックの自動化、コントロール機能の検証に、Stackdriver のログをご利用かと思います。アクセスの透明性ログも Stackdriver でご利用いただけます。このログは、既存の分析パイプラインやセットアップ済みのツールのエクスポート機能に直接統合できます。

セキュリティの自動化をより深いレイヤにまで拡張する: 画像

必要なデータを入手する

コンテンツのアクセスログが必要となる局面には、規制、監査または保管など、さまざま目的があるはずです。アクセスの透明性によって生成されるログは、アクセス者の場所、アクセスの理由、特定のリソースに対して行われた操作など、お客様の要件を満たす幅広い情報を提供します。

必要なデータを入手する: 画像

アクセスの透明性の機能

ほぼリアルタイムのログと承認コントロールにより、クラウド プロバイダによる操作のビジビリティと制御性が得られます。

アクセスの承認
お客様のデータまたは GCP 構成へのアクセスの承認を明示的に実施できます。アクセス承認リクエストをアクセスの透明性ログと組み合わせることで、サポート チケットの提出からアクセスのリクエスト、そして承認に至るまで、エンドツーエンドのチェーンを監査できるようになります。
アクセスの理由
個々のアクセスの理由を表示します。該当する場合は特定のサポート チケットへの参照も含まれます。
リソースやアクセスの種類の特定
管理者がアクセスした具体的なリソースや、行われたアクセスの種類を特定します。
Stackdriver Logging との統合
既存の Stackdriver Logging 構成にシームレスに統合します。
アクセス者の場所
操作を行った管理者が所在する国を表示します。
データ保護コントロール
Google のデータ保護コントロールは、サポートチームまたはエンジニアリング チームによるお客様のデータへのアクセスが、必要な場合のみに限られるよう制限します。
ほぼリアルタイムでのログの発行
ほぼリアルタイムでログを取得します。

このページのプロダクトはベータ版です。プロダクトのリリース段階の詳細については、こちらをご覧ください。

注: 一部のストレージ レベル アクセスでは、遅延が発生するため、ほぼリアルタイムでのログ表示はできません。