アーキテクチャ センターには、セキュリティと Identity and Access Management(IAM)のさまざまなサブジェクトにわたるコンテンツ リソースが用意されています。
始める
Google Cloud を初めて使用する場合、または Google Cloud でのセキュリティと IAM の設計を初めて行う場合は、まず次のリソースをご覧ください。
アーキテクチャ センターのセキュリティと IAM リソース
リソースのタイトルまたは説明に含まれるプロダクト名またはフレーズを入力すると、セキュリティ リソースと IAM リソースのリストをフィルタリングできます。
Identity Platform と Google の ID を使用して Firestore にアクセスするユーザーを認証する Identity Platform をユーザーの Identity and Access Management プラットフォームとして使用してユーザー単位のアクセス制御を Firestore データベースに設定する方法を紹介します。 使用するプロダクト: Firebase、Firestore、Firestore セキュリティ ルール、Identity Platform |
Cloud Storage にアップロードされたファイルのマルウェア スキャンを自動化する このドキュメントでは、悪意のあるコードのファイルの評価を自動化するためのイベント ドリブン パイプラインを構築する方法について説明します。 使用するプロダクト: Cloud Logging、Cloud Run、Cloud Storage、Eventarc |
Google Cloud CLI の OAuth トークンの侵害による影響を緩和するためのベスト プラクティス gcloud CLI で使用される OAuth トークンを攻撃者が侵害した場合の影響を軽減する方法について説明します。 使用するプロダクト: Google Cloud CLI |
この記事では、コンテナを操作しやすくするための一連のベスト プラクティスについて説明します。これらのプラクティスは、セキュリティからモニタリング、ロギングまで、幅広いトピックをカバーしています。その目的は、Google Kubernetes Engine でアプリケーションを実行しやすくすることです... 使用するプロダクト: Cloud Monitoring、Cloud Storage、Google Kubernetes Engine(GKE) |
暗号通貨のマイニング(ビットコイン マイニングとも呼ばれます)は、新しい暗号トークンを生成し、トランザクションを検証するのに使用されるプロセスです。暗号通貨マイニング攻撃は、環境へのアクセスを入手した攻撃者が、リソースも悪用する場合に発生します... 使用するプロダクト: Cloud Key Management Service、Compute Engine、Google Cloud Armor、Identity and Access Management |
Apigee を使用したアプリケーションと API の保護のベスト プラクティス Apigee API 管理、Google Cloud Armor、reCAPTCHA Enterprise、Cloud CDN を使用してアプリケーションと API を保護する際に役立つベスト プラクティスについて説明します。 使用するプロダクト: Cloud Armor、Cloud CDN、Waap |
Google Cloud を使用したハイブリッド アーキテクチャとマルチクラウド アーキテクチャの構築 Google Cloud を使用したハイブリッド環境やマルチクラウド環境の計画と設計に関する実践的なガイダンスを提供します。 使用するプロダクト: Anthos、Cloud Load Balancing、Compute Engine、Google Kubernetes Engine(GKE) |
プライベート IP アドレスを持つ Compute Engine リソースを使用してインターネットに接続するための選択肢について説明します。 使用するプロダクト: Cloud Load Balancing、Cloud NAT、Compute Engine、Identity-Aware Proxy |
Google Cloud 上の一元管理されたネットワーク アプライアンス このドキュメントは、Google Cloud で一元管理されたネットワーク アプライアンスを実行するネットワーク管理者、ソリューション アーキテクト、運用の専門家を対象としています。Google Cloud の Compute Engine と Virtual Private Cloud(VPC)ネットワーキングに関する知識が... 使用するプロダクト: Cloud Load Balancing、Compute Engine |
Google Cloud で FedRAMP と DoD に準拠したネットワークを構成する Google Cloud ネットワーク ポリシーをデプロイする際に、FedRAMP High と DoD IL2、IL4、IL5 の設計要件を遵守するための構成ガイダンスを提供します。 |
Spin.AI による Google Workspace データの SaaS データ保護の構成 Cloud Storage を使用して SpinOne(オールインワン SaaS データ保護)を構成する方法について説明します。 |
個別に承認された API へのアクセスを制限するコントロール 多くの組織には、内部要件に基づいて、または Assured Workloads の導入の一環として、明示的に承認された API のリストへのネットワーク アクセスを制限するコンプライアンス要件があります。オンプレミスでは多くの場合、この要件はプロキシで対処されます... 使用するプロダクト: Assured Workloads |
Cohesity Helios と Google Cloud を使用したデータ マネジメント Cohesity と Google Cloud Storage の連携の仕組み。Cohesity は、バックアップ、テスト / 開発、ファイル サービス、分析データセットをスケーラブルなデータ プラットフォームに統合するためのハイパーコンバージド セカンダリ ストレージ システムです。 使用するプロダクト: Cloud Storage |
機密データの保護を使用した大規模なデータセットにおける PII の匿名化と再識別 Sensitive Data Protection を使用して自動化されたデータ変換パイプラインを作成し、個人情報(PII)などの機密データを匿名化する方法について説明します。 使用するプロダクト: BigQuery、Cloud Data Loss Prevention、Cloud Pub/Sub、Cloud Storage、Dataflow、Identity and Access Management |
Cloud Healthcare API による医療画像の匿名化 研究者、データ サイエンティスト、IT チーム、医療組織、ヘルスケアとライフサイエンスに関わる組織が Cloud Healthcare API を使用して、個人を特定できる情報(PII)と保護医療情報(PHI)を取り除く方法について説明します。 使用するプロダクト: AI Platform、BigQuery、Cloud Storage、Dataflow、Datalab |
Google Cloud ランディング ゾーンのネットワーク設計を決定する このドキュメントでは、ランディング ゾーンの 4 つの一般的なネットワーク設計について説明し、要件に最も適したオプションを選択できるようにします。 使用するプロダクト: VPC Service Controls、Virtual Private Cloud |
Cloud Functions を使用して安全なサーバーレス アーキテクチャをデプロイする 既存の基盤に追加の制御を階層化することで、Cloud Functions(第 2 世代)を使用するサーバーレス アプリケーションを保護する方法について説明します。 使用するプロダクト: Cloud Functions |
Cloud Run を使用して安全なサーバーレス アーキテクチャをデプロイする 既存の基盤に追加の制御機能を重ねて、Cloud Run を使用するサーバーレス アプリケーションを保護する方法について説明します。 使用するプロダクト: Cloud Run |
エンタープライズ デベロッパー プラットフォームを Google Cloud にデプロイする マネージド ソフトウェアの開発と配信を行う社内デベロッパー プラットフォームをデプロイする、エンタープライズ アプリケーションのブループリントについて説明します。 |
Google Cloud でのネットワーク モニタリング機能とテレメトリー機能をデプロイする ネットワーク テレメトリーはネットワーク上のデバイスからネットワーク トラフィック データを収集し、データを分析できるようにするものです。ネットワーク テレメトリーにより、セキュリティ運用チームはネットワーク ベースの脅威を検出し、高度な攻撃者を捕捉できます。これが不可欠なのは... 使用するプロダクト: Compute Engine、Google Kubernetes Engine(GKE)、Logging、Packet Mirroring、VPC、Virtual Private Cloud |
機密性、整合性、可用性の要件に基づいて、安全なデプロイ パイプラインを設計するためのベスト プラクティスについて説明します。 使用するプロダクト: App Engine、Cloud Run、Google Kubernetes Engine(GKE) |
エンタープライズ ワークロードを移行するためのネットワーク設計: アーキテクチャのアプローチ このドキュメントでは、データセンターのワークロードを Google Cloud に移行する企業向けのネットワーキング アーキテクチャとセキュリティ アーキテクチャについて説明するシリーズを紹介します。これらのアーキテクチャで重視されているのは、高度な接続、ゼロトラスト セキュリティの原則、および... 使用するプロダクト: Anthos Service Mesh、Cloud CDN、Cloud DNS、Cloud Interconnect、Cloud Intrusion Detection System(Cloud IDS)、Cloud Load Balancing、Cloud NAT、Cloud VPN、Google Cloud Armor、Identity-Aware Proxy、Network Connectivity Center、Traffic Director、VPC Service Controls、Virtual Private Cloud |
Google Cloud の障害復旧(DR)について説明するシリーズの第 1 部です。ここでは、DR 計画プロセスの概要、つまり、DR 計画を設計して実装するために必要な情報を紹介します。 使用するプロダクト: Cloud Key Management Service、Cloud Storage、Spanner |
このシリーズでは、ユーザーが Google Cloud にワークロードをデプロイできるように整理された Google Cloud セキュリティのベスト プラクティスの独自の見解について説明します。 |
DLP プロキシを使用して機密データを含むデータベースにクエリを実行するアーキテクチャの例 機密データの保護を使用して、Google Cloud データベースに保存された機密データがユーザーに公開されるリスクを軽減しつつ、意味のあるデータをクエリできるようにする方法を説明します。 使用するプロダクト: Cloud Audit Logs、Cloud Data Loss Prevention、Cloud Key Management Service |
Google Cloud での FortiGate アーキテクチャ Google Cloud での FortiGate Next Generation Firewall(NGFW)のデプロイに関する全体的なコンセプトについて説明します。 使用するプロダクト: Cloud Load Balancing、Cloud NAT、Compute Engine、Virtual Private Cloud |
このガイドは、米国連邦政府によるリスクおよび認証管理プログラム(Federal Risk and Authorization Management Program)の実装と Google Cloud のコンプライアンスに責任を持つセキュリティ責任者、コンプライアンス責任者、IT 管理者、その他の従業員を対象としています。このガイドでは、以下について説明します。 使用するプロダクト: Cloud Identity、Cloud Logging、Cloud Monitoring、Cloud VPN、Google Cloud Armor、Google Workspace、Identity and Access Management、Identity-Aware Proxy、Security Command Center |
ハイブリッドおよびマルチクラウドの一般的なアーキテクチャ パターンと、これらのパターンが最も適しているシナリオについて説明します。 使用するプロダクト: Cloud Armor、Cloud DNS、Cloud Interconnect、Cloud Pub/Sub、Cloud Run、Cloud SQL、Cloud Storage、Google Kubernetes Engine(GKE)、Looker |
Wiz Security Graph と Google Cloud によるセキュリティ リスクの特定と優先順位付け Wiz Security Graph と Google Cloud を使用して、クラウド ワークロードのセキュリティ リスクを特定して優先順位を付ける方法について説明します。 使用するプロダクト: Artifact Registry、Cloud Audit Logs、Cloud SQL、Cloud Storage、Compute Engine、Google Kubernetes Engine(GKE)、Identity Access Management、Security Command Center |
Google Cloud ランディング ゾーン ネットワーク設計を実装する このドキュメントでは、選択したネットワーク設計をランディング ゾーンに実装するための手順とガイダンスについて説明します。 使用するプロダクト: Virtual Private Cloud |
Cloud Build と GKE を使用した Binary Authorization の実装 Google Kubernetes Engine(GKE)に対して Binary Authorization を使用する方法について説明します。Binary Authorization は、コンテナ イメージの証明書を作成するプロセスで、GKE にイメージがデプロイされる前に特定の基準が満たされていることを確認します。 使用するプロダクト: Artifact Registry、Binary Authorization、Cloud Build、Cloud Key Management Service、Cloud Source Repositories、Google Kubernetes Engine(GKE) |
外部ネットワークから安全な BigQuery データ ウェアハウスにデータをインポートする 本番環境でデータ ウェアハウスを保護するために使用できるアーキテクチャと、オンプレミス環境などの外部ネットワークから BigQuery にデータをインポートするためのベスト プラクティスについて説明します。 使用プロダクト: BigQuery |
Google Cloud から安全な BigQuery データ ウェアハウスにデータをインポートする 本番環境でデータ ウェアハウスを保護するために使用できるアーキテクチャと、Google Cloud のデータ ウェアハウスのデータ ガバナンスに関するベスト プラクティスについて説明します。 使用するプロダクト: BigQuery、Cloud Data Loss Prevention、Cloud Key Management Service、Dataflow |
Cloud Data Fusion を使用した臨床データと業務データの取り込み Cloud Data Fusion でデータを取り込み、変換して、BigQuery(Google Cloud 上の集約データ ウェアハウス)に保存することにより、どのようにデータを活用できるかについて、研究者、データ サイエンティスト、IT チームに説明します。 使用するプロダクト: BigQuery、Cloud Data Fusion、Cloud Storage |
このシリーズでは、Google Cloud でランディング ゾーンを設計および構築し、ID オンボーディング、リソース階層、ネットワーク設計、セキュリティに関する重要な意思決定について説明します。 |
Google Cloud の PCI 環境に対するコンプライアンスの対象範囲の制限 Payment Card Industry(PCI)Security Standards Council コンプライアンス用にクラウド環境を設計する際のベスト プラクティスについて説明します。 使用するプロダクト: App Engine、BigQuery、Cloud Data Loss Prevention、Cloud Key Management Service、Cloud Logging、Cloud Monitoring、Cloud SQL、Identity and Access Management |
オープンソース ツールを使用して、Google Cloud リソースへのジャストインタイム特権アクセスを実装する方法について説明します。 使用するプロダクト: App Engine、Identity-Aware Proxy |
アプリケーションとインフラストラクチャのワークロード(コンピューティング、データベース、ストレージのワークロードなど)を Google Cloud に移行するプロセスの計画、設計、実装をサポートします。 使用するプロダクト: App Engine、Cloud Build、Cloud Data Fusion、Cloud Deployment Manager、Cloud Functions、Cloud Run、Cloud Storage、Container Registry、Data Catalog、Dataflow、Direct Peering、Google Kubernetes Engine(GKE)、Transfer Appliance |
Google Cloud を使用したランサムウェア攻撃の軽減 第三者によって作成され、データをハイジャックして、暗号化し、盗みを働くためにシステムに侵入するコードは、ランサムウェアと呼ばれます。ランサムウェア攻撃を軽減するために、Google Cloud は、ランサムウェアの脅威を特定、保護、検出するための抑制手段が用意されています... 使用するプロダクト: Chronicle、Google Workspace |
Identity and Access Management の概要 Identity and Access Management(一般的には IAM と呼ばれます)の一般的な手法と、企業 ID、顧客 ID、サービス ID など、対象となる個人について説明します。 使用するプロダクト: Cloud Identity、Identity and Access Management |
Google Cloud における 2021 年の OWASP トップ 10 緩和策 OWASP トップ 10 で説明されている一般的なアプリケーション レベルの攻撃の防御に役立つ Google Cloud プロダクトと緩和戦略について説明します。 使用するプロダクト: Google Cloud Armor、Security Command Center |
Google Cloud における 2017 年の OWASP トップ 10 緩和策 2017 年の OWASP トップ 10 で説明されている一般的なアプリケーション レベルの攻撃の防御に役立つ Google Cloud プロダクトと緩和戦略について説明します。 使用するプロダクト: Google Cloud Armor、Security Command Center |
Google Cloud にビジネスのための Payment Card Industry データ セキュリティ基準(PCI DSS)を実装する方法について説明します。 使用するプロダクト: App Engine、BigQuery、Cloud Data Loss Prevention、Cloud Functions、Cloud Key Management Service、Cloud Logging、Cloud Monitoring、Cloud Storage、Compute Engine、Google Kubernetes Engine(GKE)、VPC Service Controls |
このガイドは、お客様が Payment Card Industry Data Security Standard(PCI DSS)要件への対応で Google Kubernetes Engine(GKE)アプリケーション固有の課題を解決する際に有用な情報を提供することを目的としています。免責条項: この... 使用するプロダクト: Cloud Data Loss Prevention、Google Cloud Armor、Google Kubernetes Engine(GKE) |
Compute Engine での PostgreSQL データベースの PITR の実行 デモ用のデータベースを作成し、アプリケーション ワークロードを実行します。次に、アーカイブ プロセスとバックアップ プロセスを構成します。その後、バックアップ、アーカイブ、復元のプロセスを確認する方法について説明します。 使用プロダクト: Cloud Storage、Compute Engine |
サードパーティ テナントによって配布されるカスタムアプリをホストする Google Kubernetes Engine(GKE)クラスタを構成して保護する際に活用できるコントロールについて推奨事項を示します。 使用するプロダクト: Anthos、Cloud Key Management Service、Google Kubernetes Engine(GKE) |
Vertex AI Workbench ユーザー管理ノートブックの機密データの保護 Vertex AI Workbench ユーザー管理ノートブックで機密データを保護するために使用できるコントロールとセキュリティのレイヤについて説明します。 使用するプロダクト: BigQuery、Notebooks |
Cloud Logging のエクスポート シナリオ: コンプライアンス要件 組織のコンプライアンス要件を満たすために、Cloud Logging から Cloud Storage にエクスポートする方法を示します。 使用するプロダクト: Cloud Audit Logs、Cloud Logging、Cloud Storage |
Anthos Service Mesh を使用した Anthos clusters 間の通信の保護と暗号化 Kubernetes クラスタを管理するネットワーク、プラットフォーム、セキュリティのエンジニアが、Anthos Service Mesh の上り(内向き)ゲートウェイと下り(外向き)ゲートウェイを使用して、外部のクラスタ間通信を処理する方法を示します。 使用するプロダクト: Anthos Service Mesh、Cloud Networking、Compute Engine、Container Registry、Google Kubernetes Engine(GKE) |
Palo Alto VM シリーズの NGFW で Virtual Private Cloud ネットワークを保護する Palo Alto Networks VM シリーズの次世代ファイアウォール(NGFW)を Google Cloud にデプロイするために理解する必要があるネットワーキングのコンセプトについて説明します。 使用するプロダクト: Cloud Storage |
GKE での PCI ブループリントには、Google Cloud で PCI 環境をブートストラップする方法を示す Terraform 構成とスクリプトが含まれています。このブループリントの中核は Online Boutique アプリケーションであり、ユーザーはアイテムを閲覧して次のように追加できます... 使用するプロダクト: Google Kubernetes Engine(GKE) |
Google Cloud からログを収集、エクスポート、分析して、使用状況の監査や、データやワークロードに対する脅威の検出を行う方法について説明します。BigQuery または Chronicle 向けに付属の脅威検出クエリを使用するか、独自の SIEM を使用できます。 使用するプロダクト: BigQuery、Cloud Logging、Compute Engine、Looker Studio |
Google Cloud と Cloudentity を使用してエンベデッド ファイナンス ソリューションを設定する シームレスかつ安全なエンベデッド ファイナンス ソリューションをお客様に提供するためのアーキテクチャ オプションについて説明します。 使用するプロダクト: Cloud Run、Google Kubernetes Engine(GKE)、Identity Platform |
GKE でのモバイル クライアント用の Pub/Sub プロキシの設定 クライアントサイドの認証情報ではなく、認証と認可のロジックを処理するプロキシを使用して、モバイルアプリまたはクライアントサイド アプリケーションから Pub/Sub にメッセージをパブリッシュする方法について説明します。 使用するプロダクト: Cloud Build、Cloud Endpoints、Cloud Pub/Sub、Container Registry、Google Kubernetes Engine(GKE)、Identity and Access Management |
PCI DSS を遵守した、機密性の高いカード所有者データのトークン化 Cloud Functions で、アクセス制御されたクレジット カードおよびデビットカードのトークン化サービスを設定する方法について説明します。 使用するプロダクト: Cloud Key Management Service、Firestore、Identity and Access Management |
VPC Service Controls と Storage Transfer Service を使用して Amazon S3 から Cloud Storage にデータを転送する VPC Service Controls 境界で Storage Transfer Service を使用して、Amazon Simple Storage Service(Amazon S3)から Cloud Storage へのデータ転送を強化する方法について説明します。 使用するプロダクト: Access Context Manager、Cloud Storage、Storage Transfer Service、VPC Service Controls |
Google Cloud のアクセスに関する問題のトラブルシューティングに使用するユースケース Google Cloud ツールを使用して、Google Cloud リソースへのアクセスに関連するユースケースをトラブルシューティングする方法について説明します。このドキュメントでは、アプリケーションへのエンドユーザー アクセスをトラブルシューティングする方法については説明しません。 使用するプロダクト: Identity and Access Management |
Cloud Healthcare API で Apigee X を使用する Apigee X を Cloud Healthcare API に接続します。 |
Microsoft SQL Server のバックアップを使用して Compute Engine でポイントインタイム リカバリを行う Compute Engine SQL Server インスタンスでバックアップを実行します。こうしたバックアップを管理して Cloud Storage に保存する方法や、データベースを特定の時点に復元する方法についても説明します。 使用するプロダクト: Cloud Storage、Compute Engine |