アクセスの透明性

ほぼリアルタイムのログと承認コントロールにより、クラウド プロバイダによるアクセスの可視性と制御性が得られます。

このプロダクトのドキュメントを見る

動画の内容についての説明

クラウド プロバイダによるアクセスを可視化して制御する

アクセスの透明性の機能を使用すると、Google Cloud 管理者がお客様のコンテンツにアクセスしたときに、ほぼリアルタイムのログが記録されます。お客様の管理者が行った操作は、Cloud Audit Logs によって従来から可視化されています。しかしこの監査証跡は一般に、ご利用のクラウド プロバイダのサポートチームまたはエンジニアリング チームが操作する際に記録が中断されます。アクセスの透明性ログが導入される前は、たとえばお客様が Google サポートのデータアクセスを要するチケットを登録しても、そのようなアクセスは Cloud 監査ログに記録されませんでした。アクセスの透明性ログはこのギャップを埋め、サポートチームまたはエンジニアリング チームが手動で特定のターゲットにアクセスしたときにも、ほぼリアルタイム* に記録します。

Google Cloud は、お客様に対する契約上の義務を果たすために必要な場合を除き、いかなる理由でもお客様が Google Cloud 上に保存したデータにアクセスすることはありません。Google のサポート担当者またはエンジニアリング担当者は、お客様のコンテンツにアクセスする場合、必ずビジネス上の正当な理由を提示することが、技術的な統制によって義務付けられています。Google ではまた、Google の内部統制の有効性を確認するため、管理者によるアクセスを定期的に監査しています。

*注: 一部のストレージ レベル アクセスでは、遅延が発生するため、ほぼリアルタイムでのログ表示はできません。

信頼できるクラウド移行のロゴ

信頼できるクラウド移行

クラウド プロバイダによるアクセスを監査できず、透明性を得られないことが、クラウド移行の妨げとなる場合もあります。従来と同様のセキュリティ プロセスを実現するためには、クラウド プロバイダ側の管理者による操作も可視化できる必要があります。それを可能にするのがアクセスの透明性であり、お客様の監査コントロールをオンプレミスで期待されるレベルに近づけます。アクセス承認機能を使用すると、法律により要求されるアクセスや、停止状態の解決またはセキュリティ インシデントの解決に必要なアクセスの場合を除き、Google Cloud のデータや構成にアクセスする前に明示的な承認を義務付けることができます。それによって、より高いレベルのコントロール能力が得られます。

Google Cloud サポート エンジニアによるアクセスの承認

インフラの管理を専門家に任せられるのがクラウド運用の大きな魅力ですが、そこには、クラウド プロバイダがデータアクセスに関する責任を順当に果たしてくれるという信頼も必要です。アクセス承認機能では、お客様のサービスのサポート任務にあたる Google 社員からのアクセス リクエストを確認した後、必要に応じてこれを承認または拒否できます。こうしたアクセス承認による管理は、インフラ管理者にとどまらず、お客様のサービスをサポートする可能性がある Google 社員全員を対象とします。

セキュリティの自動化をより深いレイヤにまで拡張のロゴ

セキュリティの自動化をより深いレイヤにまで拡張する

現行のセキュリティ自動化パイプラインで、Cloud Logging をセキュリティ チェックの自動化とコントロール機能の検証にすでにご利用かと思います。アクセスの透明性ログも Cloud Logging でご利用いただけます。このログは、既存の分析パイプラインやセットアップ済みのツールのエクスポート機能に直接統合できます。

必要データの入手のロゴ

必要なデータを入手する

コンテンツのアクセスログが必要となる局面には、規制、監査、保管など、さまざま目的があります。アクセスの透明性によって生成されるログは、アクセス者の場所、アクセスの理由、特定のリソースに対して行われた操作など、お客様の要件を満たす幅広い情報を提供します。

機能

アクセスの承認

お客様のデータまたは Google Cloud の構成へのアクセスの承認を明示的に実施できます。アクセス承認リクエストを、アクセスの透明性ログと組み合わせることで、サポート チケットの提出から、アクセスのリクエスト、承認、最終的なアクセスに至るまでのエンドツーエンドのチェーンを監査できるようになります。

アクセスの理由

個々のアクセスの理由を表示します。該当する場合は特定のサポート チケットへの参照も含まれます。

リソースやアクセスの種類の特定

管理者がアクセスした具体的なリソースや、行われたアクセスの種類を特定します。

Cloud Logging の統合

既存の Cloud Logging 構成にシームレスに統合します。

アクセス者の場所

操作を行った管理者が所在する国を表示します。

データ保護コントロール

Google のデータ保護コントロールは、サポートチームまたはエンジニアリング チームによるお客様のデータへのアクセスが、必要な場合のみに限られるよう制限します。

ほぼリアルタイムでのログの発行

ほぼリアルタイムでログを取得します。

次のステップ

Google Cloud をご利用のお客様には、最大 12 か月間有効の無料クレジット $300 分を差し上げます。

開始にあたりサポートが必要な場合
信頼できるパートナーの活用