このガイドは、米国連邦政府によるリスクおよび認証管理プログラム(Federal Risk and Authorization Management Program)の実装と Google Cloud のコンプライアンスに責任を持つセキュリティ責任者、コンプライアンス責任者、IT 管理者、その他の従業員を対象としています。このガイドでは、Google による FedRAMP コンプライアンスのサポート方法、FedRAMP に基づく責任を果たすために設定する Google Cloud のツール、プロダクト、サービスについて説明します。
概要
Google Cloud は FedRAMP コンプライアンスをサポートしており、Google のセキュリティに関するホワイトペーパーと Google インフラストラクチャのセキュリティ設計の概要で、セキュリティとデータ保護に関する詳細を説明しています。安全でコンプライアンスに準拠したクラウド インフラストラクチャを Google が提供する一方で、FedRAMP コンプライアンスを評価する責任はお客様自身にあります。お客様はまた、Google Cloud 上に構築する環境とアプリケーションが、FedRAMP の要件に従って正しく構成され、保護されていることを確認する責任があります。
このドキュメントでは、FedRAMP Authority to Operate(ATO)フェーズの概要と Google Cloud 共有責任モデル、お客様固有の責任について説明し、Google Cloud でこれらの要件とガイドラインに準拠する方法を提案します。
FedRAMP
米国連邦政府によるリスクおよび認証管理プログラム(Federal Risk and Authorization Management Program)は、連邦情報セキュリティ近代化法(FISMA)をクラウド コンピューティングに適用する方法を標準化した、米国連邦政府のプログラムです。クラウドベースのサービスのセキュリティ評価、認可、継続的なモニタリングのための再現可能なアプローチを確立します。
FedRAMP の基準とガイドラインを使用すると、クラウド内の機密データやミッション クリティカルなデータを保護し、サイバーセキュリティの脆弱性をすばやく検出できるようになります。
FedRAMP の主目的は次のとおりです。
- 政府機関が使用するクラウド サービスとシステムに十分な安全保護対策が講じられていることを確認します。
- 重複を排除し、リスク管理コストを削減
- 政府機関は、情報システムやサービスを迅速かつコスト効率良く調達できます。
連邦政府の諸機関はFedRAMP に準拠して、次のことを行う必要があります。
- 政府のデータの処理、送信、保存を行うすべてのクラウド システムで、FedRAMP セキュリティ コントロール ベースラインを使用していることを確認する
- FISMA でセキュリティ承認を付与する際に、セキュリティ評価計画を使用する
- クラウド サービス プロバイダ(CSP)との契約を通じて FedRAMP 要件を適用する
Authority to Operate(ATO)
FedRAMP 認定プロセスを適切に実装して実行すると、クラウドにで操作権限(ATO)を持てるようになります。FedRAMP ATO には、P-ATO と Agency ATO の 2 つのパスがあります。
P-ATO(Provisional Authority to Operate)は、FedRAMP Joint Authorization Board(JAB)によって付与されます。JAB は、米国国土安全保障省(DHS)、米国連邦政府一般調達局(GSA)、米国国防総省(DoD)の CIO で構成されています。委員会は、ベースラインとなる FedRAMP セキュリティ制御を定義し、サードパーティの評価組織(3PAO)の FedRAMP 認証基準を確立します。組織と機関は、情報システム セキュリティ パッケージを JAB で処理するようリクエストし、その後 JAB はクラウド サービスを使用するための P-ATO を発行します。
Agency ATO では、内部組織または機関は、情報システム セキュリティ パッケージのリスク審査を実施するため、Authorizing Officials(AO)を指定します。AO は、3PAO または非公認の独立した評価者(IA)と協力して、情報システム セキュリティ パッケージを審査できます。AO(その後は機関または組織)は、情報システムによるクラウド サービスの使用を承認します。また、セキュリティ パッケージは審査目的で FedRAMP Program Management Office(PMO)にも送信されます。GSA は FedRAMP の PMO です。審査後、PMO は他のエージェンシーや組織に使用するセキュリティ パッケージを公開します。
セキュリティ評価計画
代理店や組織の Authorizing Officials(AO)は、内部認証プロセスに FedRAMP のセキュリティ評価計画(SAP)を組み込んで、クラウド サービスで使用するための FedRAMP 要件を満たしていることを確認する必要があります。SAF は 4 つのフェーズで実装されます。
お客様または AO は、機密性、完全性、可用性に関する FIPS PUB 199 のセキュリティ目標に沿って、情報システムをLow(低位)、Moderate(中位)、High(高位)の影響システムに分類します。
システムの FIPS 分類に基づいて、FIPS 199 の分類レベル(Low、Moderate、High)と相関する FedRAMP セキュリティ管理ベースラインを選択します。その後、それぞれの管理策ベースラインに規定されているセキュリティ管理策を実装する必要があります。管理に対応できないまたは実施できない理由に対する代替の実施内容や弁明も許容されます。
セキュリティ コントロールの実施内容をシステム セキュリティ プラン(SSP)で把握します。FedRAMP コンプライアンス レベル(低、中、高)に沿って SSP テンプレートを選択することをおすすめします。
SSP は次のことを行います。
- セキュリティの認可境界を記述します。
- システムの実装が各 FedRAMP セキュリティ コントロールに対処する方法を説明します。
- システムの役割と責任の概要をまとめます。
- 予想されるシステム ユーザーの行動を指定します。
- システムの設計方法と、基盤となるインフラストラクチャの内容を明らかにする。
ATO の進行状況を追跡するには、FedRAMP 認可審査テンプレートを使用します。
実装フェーズの詳細については、FedRAMP の機関認可プロセスをご覧ください。
クラウドの責任モデル
従来のインフラストラクチャ テクノロジー(IT)では、組織や広告代理店がシステムやサービスの構築に使用する物理データセンターやコロケーション スペース、物理サーバー、ネットワーク機器、ソフトウェア、ライセンス、その他のデバイスを購入する必要がありました。CSP はクラウド コンピューティングを活用して、物理ハードウェア、データセンター、グローバル ネットワーキングに投資し、使用する仮想機器、ツール、サービスを提供しています。
クラウド コンピューティング モデルは、Infrastructure as a Service(IaaS)、Platform as a Service(PaaS)、Software as a Service(SaaS)の 3 つです。
IaaS モデルでは、CSP は基本的にクラウドに仮想データセンターを構築し、仮想コンピューティング インフラストラクチャ(サーバー、ネットワーク、ストレージ提供します。こうしたリソースを実現する物理機器やデータセンターは CSP が管理しますが、仮想化されたインフラストラクチャで実行するプラットフォームやアプリケーション リソースの構成や保護は、お客様自身が行う必要があります。
PaaS モデルの場合、CSP はインフラストラクチャと仮想化レイヤを提供し、管理するだけでなく、ソフトウェア、アプリケーション、ウェブサービスを作成するために事前に開発、設定されたプラットフォームをお客様に提供します。PaaS を使用すると、基盤となるハードウェアのセキュリティや設定を気にすることなく、アプリケーションやミドルウェアを簡単に作成できるようになります。
SaaS モデルの場合、CSP は物理インフラストラクチャと仮想インフラストラクチャ、プラットフォーム レイヤを管理し、お客様の利用するクラウドベースのアプリケーションやサービスを提供します。ウェブブラウザから直接実行される、またはウェブサイトにアクセスして実行するインターネット アプリケーションは、SaaS アプリケーションです。このモデルでは、組織やエージェンシーは、アプリケーションのインストール、更新、サポートについて心配する必要はありません。システムやデータアクセス ポリシーを管理するだけです
次の図に、オンプレミスとクラウド コンピューティング モデル間での CSP とお客様の責任を示します。
FedRAMP の責任
物理インフラストラクチャ レイヤ、クラウド インフラストラクチャ レイヤ、クラウド プラットフォーム レイヤ、クラウド ソフトウェア レイヤの 4 つのレイヤに対してクラウド IT スタックを表示できます。次の図は、これらのレイヤを示しています。
図中の番号付きレイヤは、以下に対応しています。
- Software as a service. Google Workspace は FedRAMP Moderate の認定も取得しています。これらの SaaS セキュリティ管理策を継承するには、JAB に Google の ATO パッケージのコピーを依頼し、各自のパッケージに Google の証明書のコピーを含めることができます。
- Platform as a Service。FedRAMP は、Google Cloud の FedRAMP 認定物理インフラストラクチャに加えて、App Engine、Cloud Storage、データベース サービスなど、その他の PaaS プロダクトやサービスに対応しています。これらの認証済みプロダクトとサービスは、可能な限り使用するようおすすめします。
- Infrastructure as a service. FedRAMP は、Google Cloud の FedRAMP 認定物理インフラストラクチャに加えて、Google Kubernetes Engine(GKE)や Compute Engineなど、その他の IaaS プロダクトやサービスに対応しています。これらの認証済みプロダクトとサービスは、可能な限り使用するようおすすめします。
- 物理インフラストラクチャ。Google Cloud は、JAB によって FedRAMP Moderate として認証されています。これらの物理的なセキュリティ制御を継承するには、Google の ATO パッケージのコピーをリクエストし、パッケージに Google の証明書の書状を添付してください。
FedRAMP ATO に関しては、クラウド IT スタックの各レイヤは独立したコントロール境界とみなされ、各コントロール境界には個別の ATO が必要です。つまり、Google Cloud が FedRAMP に準拠しており、多数の Google Cloud サービスが FedRAMP による認定を受けていても、お客様のクラウド システムとワークロードが FedRAMP 準拠として認定を受けるためには、お客様が FedRAMP セキュリティ ベースライン管理と SAF プロセスを実装する必要があります。
Low、Moderate、High のコンプライアンス ベースラインにおける FedRAMP セキュリティ管理策には、情報システムにより実装される管理策と、組織により実装される管理策の 2 種類があります。組織またはエージェンシーが Google Cloud 上に FedRAMP 準拠のシステムを構築すると、Google が FedRAMP 認証で満たしている物理的インフラストラクチャのセキュリティコントロールを継承できます。また、Google の FedRAMP 準拠のプロダクトやサービス、および Google ワークスペースの使用時にはすべての SaaS に組み込まれている物理的なインフラストラクチャ、IaaS、PaaS のセキュリティ コントロールを継承します。ただし、他のすべてのセキュリティ コントロールと設定を IaaS、PaaS、SaaS レベルで実装する必要があります。その場合は FedRAMP セキュリティ コントロール ベースラインに基づきます。
FedRAMP 実装の最適化案
前述のとおり、CSP から一部のセキュリティ コントロールを継承します。その他の管理策については、お客様がそれらの管理策を明示的に構成し、各管理策を満たすための組織定義のポリシー、ルール、規制を策定する必要があります。
このセクションでは、組織定義のポリシーと Google Cloud のツール、サービス、ベスト プラクティスを使用して、クラウドで NIST 800-53 のセキュリティ管理を実装する際のヒントをご紹介します。
アクセス制御
Google Cloud でアクセス制御を管理するには、クラウドの情報システム アカウントを管理する組織管理者を指定します。Cloud Identity、管理コンソール、またはその他の ID プロバイダ(Active Directory、LDAP など)を使用して、これらの管理者をアクセス制御グループに追加し、サードパーティの ID プロバイダが Google Cloud と連携していることを確認します。Identity and Access Management(IAM)を使用して管理グループにロールと権限を割り当て、最小限の権限と職掌分散を実装します。
クラウド内の情報システム アカウントを対象とした組織全体のアクセス制御ポリシーを策定します。情報システム アカウントの作成、有効化、変更、無効化、削除に関するパラメータと手順を定義します。
アカウント管理、職掌分散、最小限の権限
アクセス制御ポリシーで、組織が情報システム アカウントを作成、有効化、変更、無効化、削除するパラメータと手順を指定します。情報システム アカウントを使用する条件を指定します。
また、ユーザーがシステムからログアウトする必要が生じる非アクティブな期間を指定します(*x* 分、*x* 時間、*x* 日など)。Cloud Identity、管理コンソール、またはアプリケーションの構成を使用して、指定した期間の経過後にユーザーを強制的にログアウトまたは再認証するようにします。
特権ロールの割り当てが組織内のユーザーに適切ではなくなった場合に実施するアクションを定義します。Google の *Policy Intelligence の IAM Recommender 機能は、ML を使用してスマート アクセス制御の推奨事項を作成することで、Google Cloud リソースに対する不要なアクセス権が削除できるようになります。
グループ アカウントが適切である条件を定義します。Cloud Identity または管理コンソールを使用して、グループまたはサービス アカウントを作成します。IAM を使用して、共有グループとサービス アカウントにロールと権限を割り当てます。可能であれば、サービス アカウントを使用します。組織にとって非定型的な情報システム アカウントの使用を指定します。非定型的な使用を検出した場合は、Google Cloud Observability や *Security Command Center などのツールを使用して、情報システム管理者にアラートを送信します。
上記のガイドラインを実施すると、セキュリティ管理策 AC-02、AC-02(04)、AC-02(05)、AC-02(07)、AC-02(09)、AC-02(11)、AC-02(12)、AC-05、AC-06(01)、AC-06(03)、AC-06(05)、AU-2、AU-3、AU-6、AU-12、SI-04、SI-04(05)、SI-04(11)、SI-04(18)、SI-04(19)、SI-04(20)、SI-04(22)、SI-04(23)の実装に役立ちます。
情報フローの適用とリモート アクセス
組織全体のアクセス制御ポリシーで、組織の情報フロー制御ポリシーを定義します。禁止または制限されたポート、プロトコル、サービスを特定します。内部システムおよび外部システムとの相互接続の要件と制限を定義します。Virtual Private Cloud などのツールを使用して、ファイアウォール、論理的に分離されたネットワーク、サブネットワークを作成します。Cloud Load Balancing、*Cloud Service Mesh、VPC Service Controls を実装して、情報フローの制御を制御します。
情報フロー制御ポリシーを設定する際に、組織の制御対象のネットワーク アクセス ポイントを特定します。Identity-Aware Proxy などのツールを使用して、リモート ユーザーとオンサイト ユーザーに、クラウド リソースへのコンテキストに応じたアクセスを提供します。Cloud VPN または Cloud Interconnect を使用して、VPC への安全な直接アクセスを提供します。
特権コマンドの実行と、リモート アクセスでのセキュアなデータへのアクセスに関する組織全体のポリシーを設定します。IAM と VPC Service Controls を使用して、機密データとワークロードへのアクセスを制限します。
ガイドライン: AC-04、AC-04(08)、AC-04(21)、AC-17(03)、AC-17(04)、CA-03(03)、CA-03(05)、CM-07、CM-07(01)、CM-07(02)に従って、セキュリティ コントロールを実施してください。
ログオン試行、システム使用通知、セッションの終了
アクセス制御ポリシーで、15 分間に 3 回ログインに失敗した場合のログイン プロンプトへのアクセスからの遅延時間を指定します。ユーザー セッションを終了または接続解除する条件とトリガーを指定します。
Cloud Identity Premium Edition または管理コンソールを使用して、ネットワークに接続するモバイル デバイス(BYOD を含む)を管理します。モバイル デバイスに適用する組織全体のセキュリティ ポリシーを作成します。ログインが連続して失敗した場合に、モバイル デバイスをパージおよびワイプするための要件と手順の概要を示します。
情報システムにアクセスするユーザーにプライバシー ポリシー、利用規約、セキュリティ通知を提供する、組織全体の言語とシステム用途の通知を開発します。ユーザーにアクセスを許可する前に組織全体の通知を表示する条件を定義します。Pub/Sub は、アプリケーションとエンドユーザーに通知を push するために使用できるグローバル メッセージングおよびイベント取り込みシステムです。また、*Chrome ブラウザと *ChromeOS を含む *Chrome Enterprise スイートを、*Push API と *Notifications API とともに使用して、ユーザーに通知とアップデートを送信できます。
上記のガイドラインを実施すると、セキュリティ管理策 AC-07、AC-07(02)、AC-08、AC-12、AC-12(01)の実装に役立ちます。
許可されているアクション、モバイル デバイス、情報共有
アクセス制御ポリシーで、ID と認証なしで情報システムで実行できるユーザー アクションを定義します。IAM を使用して、特定のリソースを表示、作成、削除、変更するユーザー アクセスを制御します。
組織全体での情報共有に関するポリシーを策定します。情報を共有できる状況と、情報の共有にユーザーの裁量が必要なときを決定します。ユーザーによる組織での情報共有とコラボレーションを支援するプロセスを導入します。Google Workspace には、チーム間での管理されたコラボレーションとエンゲージメントのための優れた機能セットがあります。
上記のガイドラインを実施すると、セキュリティ管理策 AC-14、AC-19(05)、AC-21 の実装に役立ちます。
認知向上とトレーニング
セキュリティ ポリシーと関連トレーニング資料を作成し、少なくとも年に 1 回、組織全体のユーザーとセキュリティ グループに配布します。Google は、Cloud Discover Security エンゲージメントや Google Workspace Security Assessment など、クラウドのセキュリティについてユーザーを教育するための プロフェッショナル サービス オプションを提供しています。
セキュリティ ポリシーとトレーニングを少なくとも年に 1 回更新します。
ガイドライン: AT-01 に従って、セキュリティ コントロールを実施します。
監査とアカウンタビリティ
組織全体の監査ポリシーとアカウンタビリティ コントロールを作成し、クラウド情報システムに関連付けられている担当者、イベント、アクションの監査の手順と実施要件に対応します。
組織全体の監査ポリシーでは、組織の情報システムで監査する必要があるイベントと監査頻度の概要を示しています。ログに記録されるイベントには、成功または失敗したアカウント ログイン イベント、アカウント管理イベント、オブジェクト アクセス、ポリシーの変更、権限機能、プロセス トラッキング、システム イベントなどがあります。ウェブ アプリケーションの例には、管理アクティビティ、認証チェック、承認チェック、データ削除、データアクセス、データ変更、権限の変更などがあります。組織に関連する追加イベントを指定します。
監査ポリシーでは、組織での不適切または異常なアクティビティを特定することをおすすめします。このような活動を定期的(少なくとも週 1 回)に監視、ログ記録、報告します。
Google Cloud Observability を使用して、Google Cloud、オンプレミス、その他のクラウド環境でのロギング、モニタリング、アラートを管理します。Google Cloud Observability を使用すると、組織内のセキュリティ イベントを構成、トラッキングできます。また、Cloud Monitoring を使用してカスタム指標を設定し、組織で定義されたイベントを監査レコードで監視することもできます。
情報システムを有効にして、監査処理の失敗を管理者にアラートします。これらのアラートは、Pub/Sub や alerting などのツールを使用して実装できます。
設定されたしきい値や容量に監査記録が達した場合など、システムや機能に障害が発生した場合に、一定時間内(例えば15分以内)に管理者にアラートする基準を設定します。組織全体の時間測定の粒度を決定し、それに基づいて監査のタイムスタンプとログ記録を取る必要があります。情報システム監査証跡でのタイムスタンプ付きレコードの許容レベル(例: ほぼリアルタイムまたは 20 分以内)を指定します。
VPC リソースの割り当てを設定して、監査レコードのストレージの容量しきい値を確立します。予算アラートを構成して、リソースの上限に達した時点または超えた時点で管理者に通知します。
監査データおよびレコードに関する組織全体のストレージ要件を定義し、監査ログの可用性と保持の要件を追加します。監査ログの保存とアーカイブには Cloud Storage を、さらにログ分析を実行するには BigQuery を使用します。
上記のガイドラインを実施すると、セキュリティ管理策 AU-01、AU-02、AU-04、AU-05、AU-05(01)、AU-06、AU-07(01)、AU- 08、AU-08(01)、AU-09(04)、AU-09(04)、AU-12、AU-12(01)、AU-12(03)、CA-07 の実装に役立ちます。
セキュリティ評価と承認
組織全体のセキュリティ評価および承認ポリシーを作成します。このポリシーでは、組織のセキュリティ評価、セキュリティ コントロール、承認コントロールの手順と実施要件を規定します。
セキュリティ評価および認可ポリシーで、セキュリティ評価チームがクラウド内の情報システムの公平な評価を実施するために必要な、独立レベルを定義します。独立した評価者による評価が必要な情報システムを特定します。
セキュリティ評価では、少なくとも以下をカバーする必要があります。
- 詳細モニタリング
- 脆弱性スキャン
- 悪意のあるユーザーのテスト
- インサイダー脅威の評価
- パフォーマンスと負荷テスト
追加の要件とセキュリティ評価を組織で規定する必要があります。
セキュリティ評価と認可のポリシーに、非機密非国家安全保障システムの要件を含む、セキュリティ システムの分類と要件が規定されていることを確認します。
組織の情報フロー制御ポリシーで、内部システムおよび外部システムとの相互接続の要件と制限を記述します。情報システムへのトラフィックを許可または拒否する VPC ファイアウォール ルールを設定し、VPC Service Controls を使用して、セキュリティ パラメータに基づいて機密データを保護します。
継続的なモニタリング要件(CA-07)を適用する組織全体の監査およびアカウンタビリティ ポリシーを設定します。
ガイドライン: CA-01、CA-02、CA-02(01)、CA-02(02)、CA-02(03)、CA-03(03)、CA-03(05)、CA-07、CA-07(01)、CA-08、CA-09 に従って、セキュリティ コントロールを実施してください。
構成管理
組織全体で構成管理ポリシーを作成します。このポリシーは、組織全体での構成管理コントロール、ロール、責任、スコープ、コンプライアンスのプロセスと実施要件を規定するものです。
組織所有の情報システムとシステム コンポーネントの構成設定要件を標準化します。情報システムを設定するための運用上の要件と手順を提供します。情報システム ロールバックのサポートのために、システム管理者が維持する必要があるベースライン構成の過去のバージョンの数を、明示的に指定します。Google の一連の構成管理ツールを使用して IT システム構成をコードとして制御し、*Policy Intelligence または *Security Command Center を使用して構成の変更をモニタリングします。
組織内のさまざまな種類の情報システム(クラウド、オンプレミス、ハイブリッド、非機密、管理対象非機密情報(CUI)、機密情報など)の構成要件を指定します。また、組織所有デバイスと BYOD(Bring Your Own Device)デバイスのセキュリティ安全保護対策要件を指定し、安全と危険な地理的位置の特定を含める必要があります。Identity-Aware Proxy を使用すると、地理的位置ごとのアクセス制御など、組織が所有するデータにコンテキスト ベースのアクセス制御を適用できます。Cloud Identity Premium エディションまたは管理コンソールを使用して、企業ネットワークに接続するモバイル デバイスにセキュリティ設定を適用します。
構成管理ポリシーで、組織全体の設定変更制御要素(変更管理委員会など)を規定します。委員会が開かれる頻度とその条件を文書化します。設定変更を確認および承認するための正式な文言を決定します。
組織の構成管理承認機関を特定します。これらの管理者は情報システムへの変更リクエストを確認します。管理権限者が変更リクエストを承認または拒否する必要がある期間を定義します。情報システムの変更が完了したら、変更の実施者が承認権限を通知するためのガイダンスを提供します。
組織全体でオープンソース ソフトウェアを使用する際の制限を設定し、使用が承認されているソフトウェア、承認されていないソフトウェアの仕様について記載します。Cloud Identity または管理コンソールを使用して、承認済みのアプリケーションとソフトウェアを組織に適用します。Cloud Identity Premium を使用すると、サードパーティ アプリケーションのシングル サインオンおよび多要素認証を有効にできます。
アラートなどのツールを使用して、構成変更がログに記録されたらセキュリティ管理者に通知を送信します。*Security Command Center などのツールに管理者権限を付与し、構成変更をほぼリアルタイムで監視します。*Policy Intelligence を使用すると、機械学習を使用して組織により定義された構成を調べることができるため、ベースラインからの構成の変更のタイミングについての認識が高まります。
情報フロー制御ポリシーを使用して、組織全体で最小限の機能を適用します。
ガイドライン: CM-01、CM-02(03)、CM-02(07)、CM-03、CM-03(01)、CM-05(02)、CM-05(03)、CM-06、CM-06(01)、CM-06(02)、CM-07、CM-07(01)、CM-07(02)、CM-07(05)、CM-08、CM-08(03)、CM-10(01)、CM-11、CM-11(01)、SA-10 に従って、セキュリティ コントロールを実施してください。
不足の事態に備える
組織全体の緊急時計画管理の手順と実施要件を規定した、組織の緊急時対応計画を策定します。組織の各要素の主な緊急時対応担当者、ロール、責任を特定します。
組織内のミッション クリティカルな情報のシステム運用を特定します。緊急時計画が発動されたときに必要な業務を再開するための RTO(Recovery Time Objective: 目標復旧時間)と RPO(Recovery Point Objective: 目標復旧時点)の概要を示します。
重要な情報システムと関連ソフトウェアについて文書化します。追加のセキュリティ関連情報を特定し、重要なシステム コンポーネントとデータのバックアップ コピーの保存に関するガイダンスと要件を特定します。高可用性を実現するため、Google のグローバル リソース、リージョン リソース、ゾーンリソース、および世界中のロケーションをデプロイします。マルチリージョン、リージョン、バックアップ、アーカイブのオプションに Cloud Storage のクラスを使用します。Cloud Load Balancing を使用してグローバル ネットワークの自動スケーリングと負荷分散を実施します。
ガイドライン: CP-01、CP-02、CP-02(03)、CP-07、CP-08、CP-09(03)に従って、セキュリティ コントロールを実施してください。
識別と認証
識別と認証の手順、スコープ、ロール、責任、管理、エンティティ、コンプライアンスを規定する、組織の識別と認証のポリシーを作成します。組織に必要な識別と認証の制御を規定します。Cloud Identity Premium または管理コンソールを使用して、組織のリソースに接続できる企業用デバイスと個人用デバイスを特定します。Identity-Aware Proxy を使用して、リソースにコンテキストアウェア アクセスを適用します。
組織の認証システム コンテンツ、認証の再利用条件、認証システムを保護するための基準、認証システムを変更または更新する際の標準に関するガイダンスを提供します。また、キャッシュされた認証システムを使用するための要件を規定します。キャッシュに保存された認証システムを使用するための時間制限と、キャッシュ内の認証システムの有効期限を指定します。組織の情報システムによって適用される必要がある、最小および最大の有効期間の要件と更新期間を定義します。
Cloud Identity または管理コンソールを使用して、機密性、文字の使用、新しいパスワードの作成や再利用、パスワードの有効期間、保存、送信の要件に関するパスワード ポリシーを適用します。
PIV カードや PKI 要件など、組織全体の認証に必要なハードウェアとソフトウェアのトークンの認証要件を記述します。*Titan セキュリティ キーを使用して、管理者や特権ユーザーに追加の認証要件を適用できます。
識別と認証のポリシーで、組織内でサードパーティを受け入れることができる Federal Identity, Credential, and Access Management(FICAM)情報システム コンポーネントを記述します。Google の Identity Platform は、外部エンティティがアクセスするアプリケーションに Identity and Access Management 機能を追加できるようにする、CIAM(顧客 ID とアクセス管理)プラットフォームです。
上記のガイドラインを実施すると、セキュリティ管理策 IA-01、IA-03、IA-04、IA-05、IA-05(01)、IA-05(03)、IA-05(04)、IA-05(11)、IA-05(13)、IA-08(03)の実装に役立ちます。
インシデント対応
組織のインシデント対応ポリシーを確立します。これには、インシデント対応の制御を促進および実施するための手順も含まれます。組織のインシデント対応チームと承認機関のセキュリティ グループを作成します。Google Cloud Observability や *Security Command Center などのツールを使用して、インシデント イベント、ログ、詳細を共有します。
インシデント対応テスト計画、手順とチェックリスト、成功のための要件とベンチマークを策定します。組織で認識する必要のあるインシデントのクラスを指定し、そのようなインシデントに対応するための関連アクションを記述します。インシデントが発生した場合に、許可されている従業員が行うアクションを定義します。これらのアクションは、情報漏洩、サイバーセキュリティの脆弱性、攻撃の管理のための措置となる可能性があります。Google Workspace の機能を利用して、メールのコンテンツをスキャンして検疫し、フィッシング攻撃をブロックして、添付ファイルに対する制限を設定します。Sensitive Data Protectionを使用して、機密データを検査、分類、匿名化して露出を制限します。
インシデント対応トレーニングに関する組織全体の要件を指定します。これには、一般ユーザーのトレーニング要件、特権ロールと責任が含まれます。トレーニングに要する期間の要件を適用します(参加から 30 日以内、四半期ごと、年単位など)。
次のガイドラインに従って、IR-01、IR-02、IR-03、IR-04(03)、IR-04(08)、IR-06、IR-08、IR- 09、IR-09(01)、IR-09(03)、IR-09(04)に従って、セキュリティ コントロールを実施してください。
システム メンテナンス
組織のシステム メンテナンス ポリシーを作成し、システム メンテナンス制御、ロール、責任、管理、調整の要件、コンプライアンスを文書化します。管理されたメンテナンスのパラメータを定義します。これには、オフサイトでのメンテナンスや修復を実施するための承認プロセス、故障したデバイスやパーツの交換の組織全体でのターンアラウンド タイムなどがあります。組織は、Google Cloud でのデータ削除のデータと機器のサニタイズ、Google のデータセンターのセキュリティとイノベーションを利用して、オフサイトでのメンテナンスと修復を行うことができます。
上記のガイドラインを実施すると、セキュリティ管理策 MA-01、MA-02、MA-06 の実装に役立ちます。
メディア保護
Google Cloud の FedRAMP ATO の一環として、Google は物理インフラストラクチャの媒体保護要件を満たしています。Google のインフラストラクチャ セキュリティ設計とセキュリティの概要を確認してください。仮想インフラストラクチャのセキュリティ要件を満たす責任はお客様にあります。
組織のメディア保護ポリシーを作成し、メディア管理、保護ポリシーと手順、コンプライアンス要件、管理上の役割や責任を文書化します。組織全体にわたるメディアの保護を促進し、実装するための手順を文書化します。メディアとその保護を管理するための担当者とロールを識別するセキュリティ グループを作成します。
デジタル メディアとデジタル以外のメディアの制限を含めて、組織の承認されたメディアタイプとアクセスを指定します。管理されているアクセス領域の内外でのセキュリティ マーキングの要件など、組織全体で実装する必要がある媒体マーキングと媒体の取り扱いに関する例外を設定します。*Data Catalog を使用してクラウド リソースのメタデータを管理することで、データの検出を簡素化します。*サービス カタログを使用して、クラウド リソースの配布と検出を規制し、組織全体でクラウド リソースのコンプライアンスを管理します。
組織が管理しているメディアのサニタイズ、廃棄、再利用の方法を特定します。メディアやデバイスのサニタイズ、廃棄、再利用が必要または許容されるユースケースや状況の概要をまとめます。組織が許容するメディア保護の手法とメカニズムを規定します。
Google では、Google Cloud でのデータ削除のデータと機器のサニタイズ、Google のデータセンターのセキュリティとイノベーションを利用できます。さらに、Cloud KMS と Cloud HSM により、FIPS に準拠した暗号による保護を利用でき、また *Titan セキュリティ キーを使用すれば、管理者と特権ユーザーに対して追加の物理的認証要件を適用できます。
上記のガイドラインを実施すると、セキュリティ管理策 MP-01、MP-02、MP-03、MP-04、MP-06、MP-06(03)、MP-07 の実装に役立ちます。
物理的保護および環境保護
Google Cloud の FedRAMP ATO の一環として、Google は物理インフラストラクチャの物理的保護と環境的保護の要件を満たしています。Google のインフラストラクチャ セキュリティ設計とセキュリティの概要を確認してください。仮想インフラストラクチャのセキュリティ要件を満たす責任はお客様にあります。
組織の物理的保護および環境保護ポリシーを確立します。これにより、保護機能の制御、保護エンティティ、コンプライアンス基準、ロール、責任、管理要件の概要を説明します。組織全体で物理的保護および環境保護を実装する方法の概要を説明します。
物理的保護および環境保護を管理するための担当者とロールを特定するセキュリティ グループを作成します。機密性の高い計算リソースにアクセスする管理者は、*Titan セキュリティ キーまたはその他の MFA の形式を使用して、アクセスの整合性を検証する必要があります。
物理的な環境的な保護のポリシーで、組織の物理的なアクセス制御要件を定義します。情報システムサイトの施設の入口と出口、そのような施設のアクセス制御保護手段、インベントリの要件を特定します。*Google Maps Platform などのツールを活用して、ロケーション マッピングで施設と入口および出口を視覚的に表示、追跡できます。Resource Manager と *サービス カタログを使用して、クラウド リソースへのアクセスを制御し、クラウド リソースを整理して簡単に検出できるようにします。
Cloud Monitoring を使用して、ログに記録可能なイベント、アクセス、インシデントを構成します。Cloud Logging でログインする必要のある組織全体での物理アクセス イベントを定義します。
物理的保護と環境的保護のポリシーを使用して、情報システムの緊急遮断、非常用電源、消火、緊急対応などの緊急事態に対処します。緊急時の対応に関する連絡先(組織の地域緊急連絡先と物理的セキュリティ担当者など)を特定します。代替作業サイトの要件と場所の概要を示します。プライマリ サイトと代替作業サイトに対して、セキュリティの管理と担当者を指定します。高可用性を実現するため、Google のグローバル リソース、リージョン リソース、ゾーンリソース、および世界中のロケーションをデプロイします。マルチリージョン、リージョン、バックアップ、アーカイブのオプションに Cloud Storage のクラスを使用します。Cloud Load Balancing を使用してグローバル ネットワークの自動スケーリングとロード バランシングを実施します。宣言型のデプロイ テンプレートを作成して、テンプレートを使用した繰り返し可能なデプロイ プロセスを確立します。
上記のガイドラインを実施すると、セキュリティ管理策 PE-01、PE-03、PE-03(01)、PE-04、PE-06、PE-06(04)、PE-10、PE- 13(02)、PE-17 の実装に役立ちます。
システム セキュリティ計画
組織のセキュリティ計画ポリシーを開発し、組織のセキュリティ計画の管理、ロール、責任、管理、セキュリティ計画エンティティ、コンプライアンスの要件の概要を示します。組織全体でセキュリティ計画を実装する方法の概要を説明します。
グループを作成して、セキュリティ計画の担当者を適宜定義します。セキュリティ評価、監査、ハードウェアとソフトウェアのメンテナンス、パッチ管理、組織の緊急時対応画のためのセキュリティ グループを指定します。Google Cloud Observability や *Security Command Center などのツールを使用して、組織全体のセキュリティ、コンプライアンス、アクセス制御を監視します。
上記のガイドラインを実施すると、セキュリティ管理策 PL-01、PL-02、PL-02(03) の実装に役立ちます。
社員のセキュリティ
従業員のセキュリティ ポリシーを作成します。具体的には、セキュリティ担当者、ロール、責任、人事セキュリティの実装方法、組織全体に適用する従業員のセキュリティ コントロールを指定します。組織のセキュリティ スクリーニング、再スクリーニング、調査で従業員が必要な条件を規定します。組織内の秘密情報使用許可の要件の概要をまとめます。
従業員の退職および転勤に関するガイダンスを含めます。終了インタビューの必要性とパラメータ、およびそのようなインタビューで話し合うべきセキュリティ トピックを指定します。組織内のセキュリティ エンティティおよび管理エンティティが、従業員の退職、転勤、再配置の通知を受けるタイミング(24 時間以内など)を指定します。担当者と組織が、転勤、再配置、退職を完了するために行うアクションを指定します。正式な従業員への制裁措置の施行要件も含みます。セキュリティ担当者と管理者に従業員への制裁措置が通知されるタイミングと、規制プロセスについて説明します。
IAM を使用して、担当者にロールと権限を割り当てます。Cloud Identity または管理コンソールで、従業員のプロフィールとアクセスを追加、削除、無効化、有効化します。*Titan セキュリティ キーを使用して、管理者と特権ユーザーに対して追加の物理的な認証要件を適用します。
ガイドライン: PS-01、PS-03、PS-04、PS-05、PS-07、PS-08 に従って、セキュリティ コントロールを実施します。
リスクの評価
リスク評価ポリシーを実装します。このポリシーでは、リスク評価の実施者、組織全体に実施するリスク評価の制御、組織内でのリスク評価の実施手順について説明します。リスク評価の文書化方法と報告方法を定義します。*Security Command Center などのツールを使用して、セキュリティ リスクと組織全体のセキュリティ ポスチャーをセキュリティ担当者に自動的に通知します。
Web Security Scanner、Artifact Analysis、Google Cloud Armor、Google Workspace のフィッシングおよびマルウェア保護機能などの、Google の一連のリスク評価ツールを活用することで、組織の情報システム全体の脆弱性をスキャンし、報告できます。リスク評価担当者と管理者が脆弱性を特定および削除できるように、これらのツールを使用可能にします。
ガイドライン: RA-01、RA-03、RA-05 に従って、セキュリティ コントロールを実施します。
システムおよびサービスの取得
システムとサービスの取得ポリシーを策定して、重要な担当者のロールと責任、サービス取得とサービス管理、コンプライアンス、エンティティの概要をまとめます。組織のシステムとサービス取得手順、サービス実施ガイドラインの概要をまとめます。情報システムや情報セキュリティに関する組織のシステム開発のライフサイクルを指定します。情報セキュリティのロールと責任、担当者、組織のリスク評価ポリシーがシステム開発ライフサイクルのアクティビティに与える影響についての概要をまとめます。
情報システム ドキュメントが使用できない、または未指定の場合に、組織内で実施する予定の手順の概要をまとめます。必要に応じて、組織の情報システム管理者とシステム サービス担当者に協力を求めます。組織内で情報システムを実装またはアクセスする管理者とユーザー向けに、必要なトレーニングを定義します。
*Security Command Center などのツールを使用して、組織のセキュリティ コンプライアンス、検出結果、セキュリティ管理ポリシーを追跡します。Google は、Google Cloud でコンプライアンス要件と法律に準拠する方法をお客様に説明できるように、すべてのセキュリティ標準、規制、認証を概説しています。また、Google が提供する一連のセキュリティ プロダクトは、お客様がクラウドとオンプレミスの両方で情報システム、通信、データを継続的に監視できるように支援します。
組織のデータ、サービス、情報処理に関する地域の制限と、データを他の場所に保管するための条件を指定します。Google では、Google Cloud でデータ ストレージ、処理、サービスの利用のために、グローバル、リージョン、ゾーンのオプションを提供しています。
設定管理ポリシーを活用して、システムおよびサービスの取得管理に関する開発者の設定管理を規制し、セキュリティ評価および認可ポリシーを活用して、開発者のセキュリティ テストおよび評価要件を実施します。
ガイドライン: SA-01、SA-03、SA-05、SA-09、SA-09(01)、SA-09(04)、SA-09(05)、SA-10、SA-11、SA-16 に従って、セキュリティ コントロールを実施します。
システムと通信の保護
システムとコミュニケーションの保護ポリシーを作成して、重要な関係者のロールと責任、システム通信保護ポリシーの実施要件、組織に必要な保護管理について概説します。組織が認識して監視するサービス拒否攻撃のタイプを特定し、組織の DoS 攻撃からの保護要件を記述します。
Google Cloud Observability を使用し、事前に定義された組織に対するセキュリティ攻撃をログに記録して監視と通知を行います。Cloud Load Balancing や Google Cloud Armor などのツールを使用してクラウド境界を保護し、ファイアウォールやネットワーク セキュリティ コントロールなどの VPC サービスを活用して内部クラウド ネットワークを保護します。
組織のリソースの可用性要件を特定し、組織全体でのクラウド リソースの割り当て方法、過剰使用率を制限するために実装する制約を定義します。Resource Manager などのツールを使用して、組織レベル、フォルダレベル、プロジェクト レベル、個々のリソースレベルでリソースへのアクセスを制御します。Google Cloud で API リクエストとリソースの使用を管理するには、リソース割り当てを設定します。
情報システムとシステム通信の境界保護の要件を確立します。内部通信トラフィックの要件と、内部トラフィックが外部ネットワークと連動する方法を定義します。プロキシ サーバーの要件と、その他のネットワークのルーティングと認証のコンポーネントの要件を指定します。
*Cloud Service Mesh を利用して、組織のネットワーク トラフィックと通信フローを管理します。Identity-Aware Proxy を使用して、認証、認可、コンテキスト(地理的位置やデバイスのフィンガープリントなど)に基づいてクラウド リソースへのアクセスを制御します。*限定公開の Google アクセス、*Cloud VPN、*Cloud Interconnect を実装して、ネットワーク トラフィックと内部リソースと外部リソースの間の通信を保護します。VPC を使用して、組織のクラウド ネットワークを定義して保護します。クラウド リソースとネットワーク境界をさらに隔離するためのサブネットワークを確立します。
Google は、高可用性とフェイルオーバーを実現するために、マルチリージョン、リージョン、ゾーンの機能を備えたグローバル ソフトウェア定義ネットワーキングを提供しています。組織の障害要件を指定して、情報システムが既知の状態にならないようにします。情報システム状態情報を保持するための要件を規定します。マネージド インスタンス グループと Deployment Manager テンプレートを使用して、障害が発生したリソースや異常なリソースを再インスタンス化します。組織の機密情報、整合性、可用性を継続的に監視するため、管理者に *Security Command Center へのアクセス権を付与します。
ポリシーで、暗号鍵を管理するための組織の要件(鍵の生成、配布、保管、アクセス、破棄の要件など)を記述します。Cloud KMS と Cloud HSM を使用して、クラウドで FIPS 準拠のセキュリティ キーを管理、生成、使用、ローテーション、保存、破棄します。
Google ではデフォルトで保存データを暗号化します。ただし、Compute Engine と Cloud Storage とともに Cloud KMS を使用すると、暗号鍵を使用してデータの暗号化が一層強化されます。Shielded VM をデプロイして、Compute Engine でカーネルレベルの完全性の管理策を適用することもできます。
上記のガイドラインを実施すると、セキュリティ管理策 SC-01、SC-05、SC-06、SC-07(08)、SC-07(12)、SC-07(13)、SC-07(20)、SC-07(21)、SC-12、SC-24、SC-28、SC-28(01)の実装に役立ちます。
システムと情報の整合性
システムと情報の整合性に関するポリシーを規定します。具体的には、組織の担当者の重要なロールと責任、整合性の実装手順と要件、コンプライアンス基準、セキュリティ コントロールについての概要をまとめます。システムと情報の整合性を担当する組織内の担当者のセキュリティ グループを作成します。組織とその情報システム全体のセキュリティ欠陥の監視、評価、承認、実施、計画、ベンチマーク、修復のためのガイドラインを含む、組織の欠陥修復要件を概説します。
利用できる Google のセキュリティ ツール スイートの一部を以下に示します。
- 更新
- Web Security Scanner
- Artifact Analysis
- Google Workspace のフィッシングおよびマルウェア保護
- Google Workspace セキュリティ センター
- Google Cloud Armor
これらのツールを使用して、次のことを行います。
- 悪意のあるコード、サイバー攻撃、一般的な脆弱性を防ぎます。
- 迷惑メールを隔離し、迷惑メールやマルウェアに関するポリシーを設定します。
- 脆弱性について管理者にアラートする。
- 組織全体の分析情報を取得し、一元管理を実現します。
Google Cloud Observability や *Security Command Center などのツールを使用して、組織のセキュリティ管理策と検出結果の一元管理、アラートの生成、監視を行います。具体的には、Google Cloud Observability を使用して、組織全体の特権ユーザーと担当者が開始した管理アクション、データアクセス、システム イベントをログに記録します。エラー メッセージと情報システムのエラー処理について管理者に通知します。
組織のソフトウェア、ファームウェア、情報(ゼロデイ脆弱性、不正なデータの削除、新しいハードウェア、ソフトウェア、ファームウェアのインストールなど)に関連するセキュリティ関連のイベントを定義します。このようなセキュリティ関連の変更が発生した場合に行う手順について説明します。組織全体の情報システム内でモニタリングする必要がある重要な情報を含めて、特に注意を払うべき管理者に対する攻撃の目的やインジケーターのモニタリングを指定します。システムと情報のモニタリングのロールと責任、モニタリングと報告の頻度(リアルタイム、15 分ごと、1 時間ごと、四半期の報告など)を定義します。
組織全体で情報システムの通信トラフィックを分析するための要件を収集します。異常を検出するための要件(モニタリング対象のシステム ポイントなど)を指定します。*Google の Network Intelligence Center サービスを使用すると、ネットワークのパフォーマンスとセキュリティの高度なモニタリングを実行できます。また、クラウドのエンドポイントやホストをスキャンして保護するために、Google は、Google Cloud と統合されたサードパーティとの強力なパートナーシップを有しています(+Aqua Security や +Crowdstrike など)。Shielded VM を使用すると、デバイスの強化、認証の検証、セキュアブート プロセスが可能になります。
組織がセキュリティの異常と完全性違反をどのようにチェックして保護するかを定義します。*Security Command Center や *Policy Intelligence などのツールを使用して、構成の変更を監視し、検出します。+構成管理ツールまたは Deployment Manager テンプレートを使用すると、クラウド リソースを再インスタンス化したり、クラウド リソースの変更を停止したりできます。
システム情報と整合性ポリシーで、組織内のネットワーク サービスの認可と承認の要件を規定します。ネットワーク サービスの承認と認可のプロセスの概要を示します。VPC は、ファイアウォールを使用してクラウド ネットワークとサブネットワークを定義し、ネットワーク境界を保護するうえで不可欠です。VPC Service Controls により、クラウド内のセンシティブ データに対して追加のネットワーク セキュリティ境界を適用できるようになります。
これらに加えて、Google のセキュアブート スタックと、信頼性の高い多層防御インフラストラクチャが自動的に継承されます。
上記のガイドラインを実施すると、セキュリティ管理策 SI-01、SI-02(01)、SI-02(03)、SI-03(01)、SI-04、SI-04(05) SI-04(11)、SI-04(18)、SI-04(19)、SI-04(20)、SI-04(22)、SI-04(23)、SI-05、SI -06、SI-07、SI-07(01)、SI-07(05)、SI-07(07)、SI-08(01)、SI-10、SI-11、SI-16 の実装に役立ちます。
まとめ
クラウドのセキュリティとコンプライアンス遵守は、お客様とお客様の CSP が共同で取り組む作業です。Google は、物理的なインフラストラクチャとそれに対応するサービスが、さまざまな第三者標準(規制と認証)への準拠に対応していることを保証していますが、お客様は、クラウド上でお客様が構築したものがすべてコンプライアンスに準拠しているようにする必要があります。
Google Cloud では、Google がインフラストラクチャの保護に使用しているのと同じセキュリティ プロダクトと機能の一式を提供することで、お客様のコンプライアンスへの取り組みを支援します。
次のステップ
- Google Cloud に関するリファレンス アーキテクチャ、図、ベスト プラクティスを確認する。Cloud アーキテクチャ センターをご覧ください。