アクセスの透明性

ほぼリアルタイムのログと承認コントロールにより、クラウド プロバイダによる操作の把握と統制を図れます。
クラウド プロバイダによる操作の把握と統制の実施

クラウド プロバイダによる操作を把握して管理する

アクセスの透明性の機能を使用すると、Google Cloud Platform 管理者がお客様のコンテンツにアクセスしたときに、ほぼリアルタイムのログが記録されます。自社内の管理者が行う操作については、これまでも GCP の Cloud 監査ログによって可視化されていました。しかしこの監査証跡は一般に、ご利用のクラウド プロバイダのサポートチームまたはエンジニアリング チームが操作する際に記録が中断されます。アクセスの透明性ログが導入される前は、たとえば、Google サポートによるデータアクセスを必要とするチケットを登録しても、それが Cloud 監査ログに反映されていませんでした。アクセスの透明性ログはこのギャップを埋め、サポートチームまたはエンジニアリング チームが手動で特定のターゲットにアクセスしたときにも、ほぼリアルタイム* に記録します。

Google Cloud は、どうしても必要な場合を除き、お客様のデータにアクセスすることはありません。Google のサポート担当者またはエンジニアリング担当者は、お客様のコンテンツにアクセスする場合、必ずビジネス上の正当な理由を提示することが、技術的な統制によって義務付けられています。Google ではまた、Google の内部統制の有効性を確認するため、管理者によるアクセスを定期的に監査しています。

*注: 一部のストレージ レベル アクセスでは、遅延が発生するため、ほぼリアルタイムでのログ表示はできません。

自信を持ってクラウドへ移行

クラウド プロバイダによるアクセスを監査できなければ、それがクラウド移行の決断をためらう理由になりかねません。従来と同様のセキュリティ プロセスを実現するためには、クラウド プロバイダ側の管理者による操作も可視化できる必要があります。それを可能にするのがアクセスの透明性であり、お客様の監査コントロールをオンプレミスで期待されるレベルに近づけます。アクセス承認(ベータ版)機能では、法律により要求されるアクセスや、停止状態の解決またはセキュリティ インシデントの解決に必要なアクセスの場合を除き、GCP のデータや構成へのアクセスには事前に明示的な承認を義務付けることができます。こうして、より高いレベルのコントロール能力が得られます。

GCP サポート エンジニアによるアクセスの承認

インフラの管理を専門家に任せられるのがクラウド運用の大きな魅力ですが、そこには、クラウド プロバイダがデータアクセスに関する責任を順当に果たしてくれるという信頼も必要です。アクセス承認機能では、お客様のサービスのサポート任務にあたる Google 社員からのアクセス リクエストを確認した後、必要に応じてこれを承認または拒否できます。こうしたアクセス承認による管理は、インフラ管理者にとどまらず、お客様のサービスをサポートする可能性がある Google 社員全員を対象とします。

セキュリティの自動化をより深いレイヤにまで拡張する

現行のセキュリティ自動化パイプラインで、セキュリティ チェックの自動化、コントロール機能の検証に、Stackdriver のログをすでにご利用かと思います。アクセスの透明性ログも Stackdriver でご利用いただけます。このログは、既存の分析パイプラインやセットアップ済みのツールのエクスポート機能に直接統合できます。

必要なデータを入手する

コンテンツのアクセスログが必要となる局面には、規制、監査、保管など、さまざま目的があるはずです。アクセスの透明性によって生成されるログは、アクセス者の場所、アクセスの理由、特定のリソースに対して行われた操作など、お客様の要件を満たす幅広い情報を提供します。

アクセスの透明性の機能

ほぼリアルタイムのログと承認コントロールにより、クラウド プロバイダによる操作の把握と統制を図れます。

アクセスの承認

お客様のデータまたは GCP 構成へのアクセスの承認を明示的に実施できます。アクセス承認リクエストを、アクセスの透明性ログと組み合わせることで、サポート チケットの提出からアクセスのリクエスト、そして承認に至るまで、エンドツーエンドのチェーンを監査できるようになります。

アクセスの理由

個々のアクセスの理由を表示します。該当する場合は特定のサポート チケットへの参照も含まれます。

リソースやアクセスの種類の特定

管理者がアクセスした具体的なリソースや、行われたアクセスの種類を特定します。

Stackdriver Logging との統合

既存の Stackdriver Logging 構成にシームレスに統合します。

アクセス者の場所

操作を行った管理者が所在する国を表示します。

データ保護コントロール

Google のデータ保護コントロールは、サポートチームまたはエンジニアリング チームによるお客様のデータへのアクセスが、必要な場合のみに限られるよう制限します。

ほぼリアルタイムでのログの発行

ほぼリアルタイムでログを取得します。

Google Cloud

使ってみる

無料で体験

GCP を初めてご利用の場合、あらゆる GCP プロダクトを $300 相当の無料クレジットでお試しいただけます。

さらにサポートが必要な場合

Google のエキスパートが、適切なソリューションの構築や、お客様のニーズに合ったパートナーを見つけるお手伝いをいたします。