アクセスの透明性

ほぼリアルタイムのログと承認コントロールを使用して、クラウド プロバイダの操作をさらに詳細に把握して制御できます。

クラウド プロバイダの操作をさらに詳細に把握して制御

アクセスの透明性の機能を使用すると、Google Cloud Platform 管理者がお客様のコンテンツにアクセスしたときに、ほぼリアルタイムのログが記録されます。お客様の管理者が行った操作は、これまでも GCP の Cloud 監査ログによって可視化されていました。ただし、この監査証跡の記録は通常、ご利用のクラウド プロバイダのサポートチームまたはエンジニアリング チームが関与するときには中断されます。たとえば、アクセスの透明性ログが導入される前は、Google サポートによるデータアクセスを必要とするチケットを登録しても、それは Cloud 監査ログに反映されませんでした。アクセスの透明性はこのギャップを埋め、サポートチームまたはエンジニアリング チームが手動で特定のターゲットにアクセスしたときにも、ほぼリアルタイムにそのログを収集します。

Google は、お客様に対する契約上の義務を果たすために必要な場合を除き、いかなる理由でもお客様の Google Cloud 上のデータにアクセスすることはありません。技術上の統制の一環として、Google のサポート担当者またはエンジニアリング担当者がお客様のコンテンツにアクセスする場合は、ビジネス上の正当な理由が常に求められます。Google ではまた、Google の内部統制の有効性を確認するため、管理者によるアクセスを定期的に監査しています。

クラウド プロバイダによる操作をさらに詳細に把握: 画像

自信を持ってクラウドへ移行

クラウド プロバイダによるアクセスを監査できないことが、クラウドへの移行の障害となる場合があります。クラウド プロバイダ管理者による操作が可視化されない限り、従来と同様のセキュリティ プロセスは実現不可能です。アクセスの透明性の機能は、これを検証可能にすることで、お客様の監査制御をオンプレミスで期待されるレベルに近づけます。アクセス承認(ベータ版)機能を使用すると、法律でアクセスが求められる場合や、現在の停止状態あるいはセキュリティ インシデントを解決するのにアクセスが必要な場合を除き、GCP のデータや構成にアクセスする前に明示的な承認を義務付けることができ、こうして制御レベルが上がります。

自信を持ってクラウドへ移行: 画像

GCP サポート エンジニアによるアクセスの承認

インフラの管理を専門家に任せられるのがクラウド運用の大きな魅力ですが、クラウド プロバイダがデータアクセスに関するコミットメントを本当に果たしているかどうか確認できることも望まれます。アクセス承認機能を使用すると、お客様のサービスのサポート作業を行う Google 社員からのアクセス リクエストを確認した後、そのリクエストを必要に応じて承認または拒否できます。こうしたアクセス承認による管理は、インフラ管理者にとどまらず、お客様のサービスをサポートする可能性がある Google 社員全員を対象とします。

GCP サポート エンジニアによるアクセスの承認: 画像

セキュリティの自動化をより深いレイヤにまで拡張する

既存のセキュリティ自動化パイプラインで Stackdriver ログを利用することにより、セキュリティ チェックを自動化し、コントロールが意図したとおりに機能していることを確認されているお客様もいますが、アクセスの透明性ログも Stackdriver でご利用いただけます。このログは、既存の分析パイプラインやセットアップ済みのツールのエクスポート機能に直接統合できます。

セキュリティの自動化をより深いレイヤにまで拡張する: 画像

必要なデータを入手する

規制、監査または保管上の目的など、お客様がコンテンツのアクセスログを求めるときには相応の理由がある場合があります。アクセスの透明性によって生成されるログは、アクセス者の場所、アクセスの理由、特定のリソースに対して行われた操作など、これらの任務を果たすために役立つ広範な情報を提供します。

必要なデータを入手する: 画像

アクセスの透明性の機能

ほぼリアルタイムのログと承認コントロールを通じて、クラウド プロバイダの操作をさらに詳細に把握して制御できます。

アクセスの承認
お客様のデータまたは GCP 構成へのアクセスを明示的に承認できます。アクセス承認リクエストをアクセスの透明性ログと組み合わせて使用すると、サポート チケットの提出から承認リクエストの受理、そしてデータアクセスに至るまで、エンドツーエンド チェーンの監査を実現可能です。
アクセスの理由
個々のアクセスの理由を表示します。該当する場合、これには特定のサポート チケットへの参照も含まれます。
リソースやアクセスの種類の特定
管理者がアクセスした正確なリソースや、行われたアクセスの種類を特定します。
Stackdriver Logging との統合
既存の Stackdriver Logging 構成にシームレスに統合します。
アクセス者の場所
操作を行った管理者が所在する国を表示します。
データ保護コントロール
Google のデータ保護コントロールを利用できます。このコントロールは、サポートチームまたはエンジニアリング チームによるお客様のデータへのアクセスを、必要な場合を除いて制限します。
ほぼリアルタイムでのログの発行
ほぼリアルタイムでログを取得します。

このページのプロダクトはベータ版です。プロダクトのリリース段階の詳細については、こちらをご覧ください。

注: 一部のストレージ レベル アクセスでは、遅延が発生するため、ほぼリアルタイムでのログ表示はできません。