コンプライアンス義務の管理

Google Cloud アーキテクチャ フレームワークにおけるこのドキュメントでは、コンプライアンスの義務を管理するためのベスト プラクティスについて説明します。

クラウドの規制要件は、次のような要因の組み合わせによって異なります。

• 組織の物理的な場所に適用される法律および規制。
• ユーザーのお客様の物理的な場所に適用される法律と規制。
• 業界の規制要件。

これらの要件に基づいて、Google Cloud のワークロードに対して有効にするセキュリティ制御に必要な意思決定を行います。

一般的なコンプライアンスの取り組みには、評価、ギャップの修復、継続的なモニタリングの 3 つのステージがあります。このセクションでは、各ステージで使用できるベスト プラクティスを取り上げます。

コンプライアンスのニーズを評価する

コンプライアンス評価は、すべての規制義務と、それが企業でどのように実装されているかを徹底的に確認することから始まります。Google Cloud サービスの評価に役立つよう、コンプライアンス リソース センターを使用します。このサイトでは、次のことについて詳しく説明します。

• さまざまな規制に対応するサービス サポート
• Google Cloud の認定資格と証明書

Google のコンプライアンス ライフサイクルと要件の遵守について理解を深めるには、Google コンプライアンス スペシャリストのサポートを依頼してください。

詳細については、クラウドでのコンプライアンスの保証（PDF）をご覧ください。

Assured Workloads をデプロイする

Assured Workloads は、Google Cloud 内の制御に基づいて構築された Google Cloud ツールであり、コンプライアンス義務の遵守を支援します。Assured Workloads では次のことができます。

• コンプライアンス レジームを選択する。このツールは、ベースライン担当者のアクセス制御を自動的に設定します。
• 組織のポリシーを使用してデータのロケーションを設定し、保存データとリソースがそのリージョンにのみ保持されるようにする。
• セキュリティとコンプライアンスの要件に最適な鍵管理オプション（鍵のローテーション期間など）を選択する。
• FedRAMP Moderate などの特定の規制要件のために、Google サポート担当者によるアクセス基準を選択する（例: 適切なバックグラウンド チェックが完了しているか）。
• Google が管理する暗号鍵が FIPS-140-2 に準拠し、FedRAMP Moderate への準拠をサポートしていることを確認する。制御レイヤの追加と職掌分散のため、顧客管理の暗号鍵（CMEK）を使用します。鍵の詳細については、データを暗号化するをご覧ください。

コンプライアンス レジームに適用するテンプレートとベスト プラクティスのブループリントを確認します。

Google は、ベスト プラクティスについて説明し、コンプライアンスの達成に役立つ環境をロールアウトするための Terraform モジュールを提供するブループリントとソリューション ガイドを公開しています。次の表に、セキュリティとコンプライアンス要件への対応を説明するブループリントを示します。

スタンダード	説明
PCI	セキュリティ ブループリント: GKE での PCI PCI データ セキュリティ基準の遵守 Google Cloud の PCI 環境に対するコンプライアンスの対象範囲の制限 GKE における PCI DSS コンプライアンス
FedRAMP	Google Cloud FedRAMP 実装ガイド（PDF） Google Cloud 上での FedRAMP に準拠した 3 層ワークロードの設定
HIPAA	Google Cloud における医療データの保護（PDF） データ保護ツールキットを使用した HIPAA 対応ワークロードの設定（PDF）

コンプライアンスをモニタリングする

ほとんどの規制では、アクセス制御を含む特定のアクティビティをモニタリングする必要があります。モニタリングのために、次の項目を使用できます。

• アクセスの透明性。Google Cloud 管理者がお客様のコンテンツにアクセスした際に、ニア リアルタイムのログを提供します。
• ファイアウォール ルールロギング。ご自分で作成したルールに従って VPC ネットワーク内の TCP 接続と UDP 接続を記録します。これらのログは、ネットワーク アクセスを監査する場合や、ネットワークが承認されていない方法で使用されていることを早期に警告する場合に活用できます。
• VPC フローログ。VM インスタンスによって送受信されたネットワーク トラフィック フローを記録します。
• Security Command Center Premium。さまざまな標準への準拠をモニタリングします。
• OSSEC（または別のオープンソース ツール）。環境に対する管理者権限がある個人のアクティビティをログに記録します。
• Key Access Justifications。鍵アクセス リクエストの理由を表示します。

コンプライアンスを自動化する

変化し続ける規制を遵守し続けるために、Infrastructure as Code にセキュリティ ポリシーを組み込むことで、セキュリティ ポリシーを自動化できる方法があるかどうかを判断します。たとえば、次の点を考えます。

• セキュリティ ブループリントを使用して、インフラストラクチャのデプロイにセキュリティ ポリシーを組み込みます。

• Security Command Center を構成して、コンプライアンス違反の問題が発生した場合のアラートを構成します。たとえば、ユーザーが 2 段階認証プロセスを無効にしている場合や、過剰な権限が付与されたサービス アカウントなどの問題をモニタリングします。詳細については、検出通知の設定をご覧ください。

• 特定の通知に対する自動修復を設定します。詳細については、Cloud Functions のコードをご覧ください。

コンプライアンスの自動化の詳細については、リスク・コンプライアンス管理のコード化（RCaC）ソリューションをご覧ください。

次のステップ

コンプライアンスの詳細については、以下のリソースをご覧ください。

• データ所在地と主権の要件を実装する（このシリーズの次のドキュメント）
• コンプライアンス リソース センター
• Google のセキュリティに関するホワイトペーパー（PDF）
• Assured Workloads