このページは Cloud Translation API によって翻訳されました。

アセットの管理

Last reviewed 2023-08-04 UTC

Google Cloud アーキテクチャフレームワークのこのドキュメントでは、アセット管理のベストプラクティスについて説明します。

アセット管理は、ビジネス要件分析の重要な構成要素です。所有するアセットと、そのすべてに関して、アセットの価値、アセットに関連する重要なパスやプロセスを十分に把握する必要があります。アセットを保護するセキュリティ管理などを設計する際は、事前に正確なアセットインベントリを用意しておく必要があります。

セキュリティインシデントを管理し、組織の規制要件を満たすには、履歴データを分析する方法を含め、正確で最新のアセットインベントリが必要です。リスクエクスポージャーが時間とともにどのように変化するかを含め、アセットを追跡できる必要があります。

Google Cloud への移行は、クラウド環境に合わせてアセット管理プロセスを変更する必要があることを意味します。たとえば、クラウドに移行する利点の 1 つは、迅速にスケールする組織の能力を向上させることです。ただし、迅速にスケールできると、従業員が適切に管理および保護できないクラウドリソースを作成して、シャドー IT の問題を引き起こす可能性があります。したがって、アセット管理プロセスは、従業員が仕事をするのに十分な柔軟性を確保しつつ、適切なセキュリティ管理を提供しなければなりません。

クラウドアセット管理ツールを使用する

Google Cloud のアセット管理ツールは、Google の環境と特にお客様のユースケースに合わせて調整されています。

そうしたツールの一つである Cloud Asset Inventory では、リソースの現在の状態に関するリアルタイム情報と 5 週間の履歴の両方を確認できます。このサービスを使用すると、さまざまな Google Cloud リソースとポリシーについてインベントリの組織全体のスナップショットを取得できます。自動化ツールでは、そのスナップショットをモニタリングやポリシーの適用に使用できます。また、コンプライアンス監査の目的でスナップショットをアーカイブすることも可能です。アセットの変更を分析する場合は、アセットインベントリでメタデータの履歴をエクスポートできます。

Cloud Asset Inventory の詳細については、アセットの変更に対応するカスタムソリューションと検出制御をご覧ください。

アセット管理を自動化する

自動化により、指定したセキュリティ要件に基づいてアセットを迅速に作成および管理できます。アセットのライフサイクルの点では、次の方法で自動化できます。

Terraform などの自動化ツールを使用してクラウドインフラストラクチャをデプロイする。Google Cloud には、エンタープライズ基盤のブループリントが用意されています。これは、セキュリティのベストプラクティスに沿ったインフラストラクチャリソースを設定する際に役立ちます。また、Cloud Asset Inventory では、アセットの変更とポリシーのコンプライアンス通知を構成します。
Cloud Run や Artifact Registry などの自動化ツールを使用してアプリケーションをデプロイする。

コンプライアンスポリシーからの逸脱をモニタリングする

ポリシーからの逸脱は、アセットのライフサイクルのすべてのフェーズで発生する可能性があります。たとえば、アセットが適切なセキュリティ管理なしで作成されることや、特権がエスカレーションされることがあります。同様に、適切な終了手順を踏まずに、アセットが破棄されることがあります。

こうしたシナリオを回避するため、アセットがコンプライアンスから逸脱していないかどうかをモニタリングすることをおすすめします。モニタリングする一連のアセットは、リスク評価の結果とビジネス要件によって異なります。アセットのモニタリングの詳細については、アセットの変更のモニタリングをご覧ください。

既存のアセット管理モニタリングシステムと統合する

SIEM システムなどのモニタリングシステムをすでに使用している場合は、Google Cloud アセットをそのシステムと統合します。統合することにより、組織では、すべてのリソースを環境に関係なく 1 つの包括的なビューで確認できます。詳細については、Google Cloud セキュリティデータを SIEM システムにエクスポートすると、Cloud Logging データのエクスポートシナリオ: Splunk をご覧ください。

データ分析を使用してモニタリングを強化する

インベントリは、BigQuery テーブルや Cloud Storage バケットにエクスポートしてさらに分析することが可能です。

次のステップ

アセット管理の詳細について、次のリソースを確認する。

ID とアクセスを管理する（このシリーズの次のドキュメント）
リソース管理
システム設計