リスクの制御と管理

Last reviewed 2023-08-08 UTC

Google Cloud アーキテクチャ フレームワークのこのドキュメントでは、クラウドのデプロイにおけるリスクを管理するためのベスト プラクティスについて説明します。組織に適用されるリスクを慎重に分析することで、必要なセキュリティ管理を決定できます。Google Cloud にワークロードをデプロイする前にリスク分析を完了する必要があります。その後は、ビジネスニーズ、規制要件、組織に関連する脅威に応じて、定期的に分析を行う必要があります。

組織におけるリスクを特定する

Google Cloud でリソースを作成してデプロイする前に、リスク評価を実施して、内部セキュリティ要件と外部の規制要件を満たすために必要なセキュリティ機能を決定します。リスク評価は、関連するリスクのカタログを提供し、組織がセキュリティ上の脅威の検出と対処にどのように役立つかを示します。

クラウド環境におけるリスクは、オンプレミス環境におけるリスクとは異なります。これは、クラウド プロバイダが締結する責任を共有するためです。たとえば、オンプレミス環境ではハードウェア スタックの脆弱性を軽減する必要があります。一方、クラウド環境では、こうしたリスクはクラウド プロバイダが負担します。

また、リスクは Google Cloud の使用方法によって異なります。ワークロードの一部を Google Cloud に移行するのか、それともすべて移行するのかGoogle Cloud を障害復旧目的でのみ使用しているのかハイブリッド クラウド環境を設定しているのか

クラウド環境と規制要件に適用される、業界標準のリスク評価フレームワークを使用することをおすすめします。たとえば、Cloud Security Alliance(CSA)は Cloud Controls Matrix(CCM)を提供します。また、OWASP アプリケーションの脅威モデリングなどの脅威モデルもあります。これにより、潜在的なギャップのリストを提供し、検出されたギャップを修復するためのアクションを提案できます。Google Cloud のリスク評価を実施するエキスパートの一覧については、パートナー ディレクトリをご覧ください。

リスクをカタログ化するため、Risk Protection Program の一部である Risk Manager を検討してください(このプログラムは現在プレビュー中です)。Risk Manager はユーザーのワークロードをスキャンし、ビジネスリスクを理解するうえで役立ちます。その詳細レポートはセキュリティのベースラインとなります。また、Risk Manager レポートを使用して、インターネット セキュリティ(CIS)ベンチマークに記載されているリスクとユーザーのリスクを比較できます。

リスクをカタログ化したら、どのようにリスクに対処するか(リスクを受け入れる、回避する、移転する、軽減する)を決定する必要があります。次のセクションでは、緩和策について説明します。

リスクを軽減する

リスクを軽減するには、技術的なコントロール、契約による保護、サードパーティの検証または証明を使用します。次の表は、新しいパブリック クラウド サービスを導入する際に、これらの緩和策を使用する方法を示しています。

緩和策説明
技術的なコントロール 技術的なコントロール。環境の保護に使用する機能とテクノロジーのことです。これには、ファイアウォールやロギングなどのクラウド セキュリティ コントロールが組み込まれています。技術的なコントロールには、セキュリティ戦略を強化またはサポートするサードパーティ ツールの使用も含まれます。

技術的なコントロールには次の 2 つのカテゴリがあります。
  • Google Cloud には、適用されるリスクを軽減する、さまざまなセキュリティ管理機能が用意されています。たとえば、オンプレミス環境がある場合は、Cloud VPNCloud Interconnect を使用してオンプレミスとクラウド リソース間の接続を保護できます。
  • Google では、堅牢な内部管理と監査を実施して、インサイダーによるアクセスからお客様のデータを保護しています。Google の監査ログにより Google Cloud では、Google 管理者アクセスのログがニア リアルタイムで提供されます。
契約による保護 契約による保護とは、Google Cloud サービスに関して Google が行う法律上のコミットメントのことです。

Google Cloud は、コンプライアンス ポートフォリオの維持と拡大に取り組んでいます。Cloud のデータ処理に関する追加条項(CDPA)のドキュメントでは、ISO 27001、27017、27018 の認証の維持と、12 か月ごとの SOC 2 および SOC 3 レポートの更新が定義されています。

DPST ドキュメントでは、Google サポート エンジニアによるお客様の環境へのアクセスを制限するアクセス制御の概要と、厳格なロギングと承認プロセスについても説明しています。

Google Cloud の契約管理について、法的および規制の専門家に相談して、要件を満たしていることを確認することをおすすめします。詳しくは、テクニカル アカウント担当者にお問い合わせください
第三者による検証または証明 第三者による検証または証明とは、クラウド プロバイダがコンプライアンス要件を満たしていることをサードパーティ ベンダーに監査してもらうことです。たとえば、Google は ISO 27017 のコンプライアンスについて第三者機関の監査を受けています。現在の Google Cloud 認定資格と証明書は、コンプライアンス リソース センターでご覧いただけます。

次のステップ

リスク管理の詳細については、次のリソースをご覧ください。