アーキテクチャ センターには、セキュリティと Identity and Access Management(IAM)のさまざまなサブジェクトにわたるコンテンツ リソースが用意されています。
始める
Google Cloud を初めて使用する場合、または Google Cloud でのセキュリティと IAM の設計を初めて行う場合は、まず次のリソースをご覧ください。
アーキテクチャ センターのセキュリティと IAM リソース
リソースのタイトルまたは説明に含まれるプロダクト名またはフレーズを入力すると、セキュリティ リソースと IAM リソースのリストをフィルタリングできます。
Identity Platform と Google の ID を使用して Firestore にアクセスするユーザーを認証する Identity Platform をユーザーの Identity and Access Management プラットフォームとして使用してユーザーベースのアクセス制御を Firestore データベースに設定する方法を紹介します。Identity Platform では、アプリケーションに認証レイヤを追加して... 使用するプロダクト: Firebase、Firestore、Firestore セキュリティ ルール、Identity Platform |
Cloud Storage にアップロードされたファイルのマルウェア スキャンを自動化する このドキュメントでは、悪意のあるコードのファイルの評価を自動化するためのイベント ドリブン パイプラインを構築する方法について説明します。 使用するプロダクト: Cloud Logging、Cloud Run、Cloud Storage、Eventarc |
Google Cloud CLI の不正使用された OAuth トークンを緩和するためのベスト プラクティス gcloud CLI で使用される OAuth トークンを不正使用する攻撃者の影響を軽減する方法について説明します。攻撃者が正規のユーザー アカウントまたは...エンドポイントにアクセスする場合、これらの OAuth トークンを不正使用する可能性があります。 使用するプロダクト: Google Cloud CLI |
この記事では、コンテナを操作しやすくするための一連のベスト プラクティスについて説明します。これらのプラクティスは、セキュリティからモニタリング、ロギングまで、幅広いトピックをカバーしています。その目的は、Google Kubernetes Engine でアプリケーションを実行しやすくすることです... 使用するプロダクト: Cloud Monitoring、Cloud Storage、Google Kubernetes Engine(GKE) |
暗号通貨のマイニング(ビットコイン マイニングとも呼ばれます)は、新しい暗号トークンを生成し、トランザクションを検証するのに使用されるプロセスです。暗号通貨マイニング攻撃は、環境へのアクセスを入手した攻撃者が、リソースも悪用する場合に発生します... 使用するプロダクト: Cloud Key Management Service、Compute Engine、Google Cloud Armor、Identity and Access Management |
Apigee を使用したアプリケーションと API の保護のベスト プラクティス Apigee API 管理、Google Cloud Armor、reCAPTCHA Enterprise、Cloud CDN を使用してアプリケーションと API を保護する際に役立つベスト プラクティスについて説明します。 使用するプロダクト: Cloud Armor、Cloud CDN、Waap |
プライベート IP アドレスを持つ Compute Engine リソースを使用してインターネットに接続するための選択肢について説明します。 使用するプロダクト: Cloud Load Balancing、Cloud NAT、Compute Engine、Identity-Aware Proxy |
Google Cloud 上の一元管理されたネットワーク アプライアンス このドキュメントは、Google Cloud で一元管理されたネットワーク アプライアンスを実行するネットワーク管理者、ソリューション アーキテクト、運用の専門家を対象としています。Google Cloud の Compute Engine と Virtual Private Cloud(VPC)ネットワーキングに関する知識が... 使用するプロダクト: Cloud Load Balancing、Compute Engine |
SpinOne による Google Workspace データの SaaS データ保護の構成 Cloud Storage を使用して SpinOne(オールインワン SaaS データ保護)を構成する方法について説明します。サイバーセキュリティ機能などの SpinOne を構成すると、SpinOne for Google Workspace のバックアップ データを Google に保存できます... |
Cohesity Helios と Google Cloud を使用したデータ マネジメント Cohesity と Google Cloud Storage の連携の仕組み。Cohesity は、バックアップ、テスト/開発、ファイル サービス、分析データセットをスケーラブルなデータ プラットフォームに統合するためのハイパーコンバージド セカンダリ ストレージ システムです。Cohesity のプロダクト... 使用するプロダクト: Cloud Storage |
機密データの保護を使用した大規模なデータセットにおける PII の匿名化と再識別 機密データの保護を使用して自動化されたデータ変換パイプラインを作成し、個人情報(PII)などの機密データを匿名化する方法について説明します。 使用するプロダクト: BigQuery、Cloud Data Loss Prevention、Cloud Pub/Sub、Cloud Storage、Dataflow、Identity and Access Management |
Cloud Healthcare API による医療画像の匿名化 研究者、データ サイエンティスト、IT チーム、医療組織、ライフサイエンス組織が Cloud Healthcare API を使用して、個人を特定できる情報(PII)と保護対象保健情報(PHI)をデジタルから削除する方法について説明します... 使用するプロダクト: AI Platform、BigQuery、Cloud Storage、Dataflow、Datalab |
Google Cloud ランディング ゾーンのネットワーク設計を決定する このドキュメントでは、ランディング ゾーンの 4 つの一般的なネットワーク設計について説明し、要件に最も適したオプションを選択できるようにします。 使用するプロダクト: VPC Service Controls、Virtual Private Cloud |
Cloud Functions を使用して安全なサーバーレス アーキテクチャをデプロイする 既存の基盤に追加の制御を階層化することで、Cloud Functions(第 2 世代)を使用するサーバーレス アプリケーションを保護する方法について説明します。 使用するプロダクト: Cloud Functions |
Cloud Run を使用して安全なサーバーレス アーキテクチャをデプロイする 既存の基盤に追加の制御機能を重ねて、Cloud Run を使用するサーバーレス アプリケーションを保護する方法について説明します。 使用するプロダクト: Cloud Run |
Google Cloud でのネットワーク モニタリング機能とテレメトリー機能をデプロイする ネットワーク テレメトリーはネットワーク上のデバイスからネットワーク トラフィック データを収集し、データを分析できるようにするものです。ネットワーク テレメトリーにより、セキュリティ運用チームはネットワーク ベースの脅威を検出し、高度な攻撃者を捕捉できます。これは次の状況に不可欠です... 使用するプロダクト: Compute Engine、Google Kubernetes Engine(GKE)、Logging、Packet Mirroring、VPC、Virtual Private Cloud |
エンタープライズ ワークロードを移行するためのネットワーク設計: アーキテクチャのアプローチ このドキュメントでは、データセンターのワークロードを Google Cloud に移行する企業向けのネットワーキング アーキテクチャとセキュリティ アーキテクチャについて説明するシリーズを紹介します。これらのアーキテクチャでは、高度な接続、ゼロトラスト セキュリティの原則、および... 使用するプロダクト: Anthos Service Mesh、Cloud CDN、Cloud DNS、Cloud Interconnect、Cloud Intrusion Detection System(Cloud IDS)、Cloud Load Balancing、Cloud NAT、Cloud VPN、Google Cloud Armor、Identity-Aware Proxy、Network Connectivity Center、Traffic Director、VPC Service Controls、Virtual Private Cloud |
Google Cloud の障害復旧(DR)について説明するシリーズの第 1 部です。ここでは、DR 計画プロセスの概要、つまり、DR 計画を設計して実装するために必要な情報を紹介します。以降のパートでは、以下の点について説明します... 使用するプロダクト: Cloud Key Management Service、Cloud Spanner、Cloud Storage |
DLP プロキシを使用して機密データを含むデータベースにクエリを実行するアーキテクチャの例 機密データの保護を使用して、Google Cloud データベースに保存されたセンシティブ データがユーザーに公開されるリスクを軽減しつつ、意味のあるデータをクエリできるようにする方法を説明します。 使用するプロダクト: Cloud Audit Logs、Cloud Data Loss Prevention、Cloud Key Management Service |
このガイドは、米国連邦政府によるリスクおよび認証管理プログラム(Federal Risk and Authorization Management Program)の実装と Google Cloud のコンプライアンスに責任を持つセキュリティ責任者、コンプライアンス責任者、IT 管理者、その他の従業員を対象としています。このガイドでは、以下について説明します... 使用するプロダクト: Cloud Identity、Cloud Logging、Cloud Monitoring、Cloud VPN、Forseti Security、Google Cloud Armor、Google Workspace、Identity and Access Management、Identity-Aware Proxy、Security Command Center |
ハイブリッド クラウドとマルチクラウドのデプロイ、アーキテクチャ パターン、ネットワーク トポロジについて説明する、複数のパートからなるシリーズの第 1 部です。このパートでは、ハイブリッド クラウドとマルチクラウドのデプロイがもたらす機会と課題を検証します... 使用するプロダクト: Google Kubernetes Engine(GKE) |
Forseti を使用したファイアウォール ルールの異常を特定して予測する Forseti と Google のエンジニアがプロジェクトの第 1 段階のレポートを作成します。このレポートでは、システム セキュリティのための ML ソリューションを実装するさまざまな段階に対して、さまざまなアプローチをテストします。 使用するプロダクト: BigQuery、Forseti Security |
Google Cloud ランディング ゾーンのネットワーク設計を実装する このドキュメントでは、選択したネットワーク設計をランディング ゾーンに実装するための手順とガイダンスについて説明します。 使用するプロダクト: Virtual Private Cloud |
Cloud Build と GKE を使用した Binary Authorization の実装 Google Kubernetes Engine(GKE)に対して Binary Authorization を使用する方法について説明します。Binary Authorization は、コンテナ イメージの証明書を作成するプロセスで、GKE にイメージがデプロイされる前に特定の基準が満たされていることを確認します。 使用するプロダクト: Artifact Registry、Binary Authorization、Cloud Build、Cloud Key Management Service、Cloud Source Repositories、Google Kubernetes Engine(GKE) |
外部ネットワークから安全な BigQuery データ ウェアハウスにデータをインポートする 本番環境でデータ ウェアハウスを保護するために使用できるアーキテクチャと、オンプレミス環境などの外部ネットワークから BigQuery にデータをインポートするためのベスト プラクティスについて説明します。 使用するプロダクト: BigQuery |
Google Cloud から安全な BigQuery データ ウェアハウスにデータをインポートする 本番環境でデータ ウェアハウスを保護するために使用できるアーキテクチャと、Google Cloud のデータ ウェアハウスのデータ ガバナンスに関するベスト プラクティスについて説明します。 使用するプロダクト: BigQuery、Cloud Data Loss Prevention、Cloud Key Management Service、Dataflow |
Cloud Data Fusion を使用した臨床データと業務データの取り込み このドキュメントでは、研究者、データ サイエンティスト、IT チームを対象に、Cloud Data Fusion を使用してデータを取り込み、変換して、Google Cloud 上の集約されたデータ ウェアハウスの BigQuery へデータを保存することにより、データを有効活用する方法について説明します。医療機関が活用する証明書 使用するプロダクト: BigQuery、Cloud Data Fusion、Cloud Storage |
このシリーズでは、Google Cloud でランディング ゾーンを設計および構築し、ID オンボーディング、リソース階層、ネットワーク設計、セキュリティに関する重要な意思決定について説明します。 |
Google Cloud の PCI 環境に対するコンプライアンスの対象範囲の制限 Payment Card Industry(PCI)Security Standards Council コンプライアンス用にクラウド環境を設計する際のベスト プラクティスについて説明します。 使用するプロダクト: App Engine、BigQuery、Cloud Data Loss Prevention、Cloud Key Management Service、Cloud Logging、Cloud Monitoring、Cloud SQL、Identity and Access Management |
オープンソース ツールを使用して、Google Cloud リソースへのジャストインタイム特権アクセスを実装する方法について説明します。ジャストインタイム特権アクセスでは、一部のユーザーにリソースへの一時的なアクセス権を付与できます... 使用するプロダクト: Appengine、Iap |
アプリケーションとインフラストラクチャのワークロード(コンピューティング、データベース、ストレージのワークロードなど)を Google Cloud に移行するプロセスの計画、設計、実装をサポートします。 使用するプロダクト: App Engine、Cloud Build、Cloud Data Fusion、Cloud Deployment Manager、Cloud Functions、Cloud Run、Cloud Storage、Container Registry、Data Catalog、Dataflow、Direct Peering、Google Kubernetes Engine(GKE)、Transfer Appliance |
Google Cloud を使用したランサムウェア攻撃の軽減 第三者によって作成され、データをハイジャックして、暗号化し、盗みを働くためにシステムに侵入するコードは、ランサムウェアと呼ばれます。ランサムウェア攻撃を軽減するために、Google Cloud は、ランサムウェアの脅威を特定、保護、検出するための抑制手段が用意されています... 使用するプロダクト: Chronicle、Google Workspace |
Identity and Access Management の概要 Identity and Access Management(一般的には IAM と呼ばれます)の一般的な手法と、企業 ID、顧客 ID、サービス ID など、対象となる個人について説明します。 使用するプロダクト: Cloud Identity、Identity and Access Management |
Google Cloud における 2021 年の OWASP トップ 10 緩和策オプション OWASP トップ 10 で説明されている一般的なアプリケーション レベルの攻撃の防御に役立つ Google Cloud プロダクトと緩和戦略について説明します。OWASP トップ 10 は、Open Web Application Security(OWASP)のリストです... 使用するプロダクト: Google Cloud Armor、Security Command Center |
Google Cloud における 2017 年の OWASP トップ 10 緩和策 2017 年の OWASP トップ 10 で説明されている一般的なアプリケーション レベルの攻撃の防御に役立つ Google Cloud プロダクトと緩和戦略について説明します。OWASP トップ 10 は、Open Web Application Security のリストです... 使用するプロダクト: Google Cloud Armor、Security Command Center |
Google Cloud にビジネスのための Payment Card Industry データ セキュリティ基準(PCI DSS)を実装する方法について説明します。 使用するプロダクト: App Engine、BigQuery、Cloud Data Loss Prevention、Cloud Functions、Cloud Key Management Service、Cloud Logging、Cloud Monitoring、Cloud Storage、Compute Engine、Google Kubernetes Engine(GKE)、VPC Service Controls |
このガイドは、お客様が Payment Card Industry Data Security Standard(PCI DSS)要件への対応で Google Kubernetes Engine(GKE)アプリケーション固有の課題を解決する際に有用な情報を提供することを目的としています。免責条項: この... 使用するプロダクト: Cloud Data Loss Prevention、Google Cloud Armor、Google Kubernetes Engine(GKE) |
Compute Engine での PostgreSQL データベースの PITR の実行 デモ用のデータベースを作成し、アプリケーション ワークロードを実行します。次に、アーカイブ プロセスとバックアップ プロセスを構成します。その後、バックアップ、アーカイブ、復元のプロセスを確認する方法について説明します。最後に、復元する方法について学習します... 使用するプロダクト: Cloud Storage、Compute Engine |
サードパーティ テナントによって配布されるカスタムアプリをホストする Google Kubernetes Engine(GKE)クラスタを構成して保護する際に活用できるコントロールについて推奨事項を示します。 使用するプロダクト: Anthos、Cloud Key Management Service、Google Kubernetes Engine(GKE) |
Vertex AI Workbench ユーザー管理ノートブックの機密データの保護 Vertex AI Workbench ユーザー管理ノートブックで機密データを保護するために使用できるコントロールとセキュリティのレイヤについて説明します。 使用するプロダクト: BigQuery、Notebooks |
Cloud Logging データのエクスポート シナリオ: Splunk 選択したログを Cloud Logging から Splunk Enterprise または Splunk Cloud にリアルタイムでエクスポートする方法について説明します。 使用プロダクト: Cloud Audit Logs、Cloud Logging、Cloud Pub/Sub |
Cloud Logging のエクスポート シナリオ: コンプライアンス要件 組織のコンプライアンス要件を満たすために、Cloud Logging から Cloud Storage にエクスポートする方法を示します。 使用するプロダクト: Cloud Audit Logs、Cloud Logging、Cloud Storage |
Anthos Service Mesh を使用した Anthos clusters 間の通信の保護と暗号化 Kubernetes クラスタを管理するネットワーク、プラットフォーム、セキュリティのエンジニアが、Anthos Service Mesh の上り(内向き)ゲートウェイと下り(外向き)ゲートウェイを使用して、外部のクラスタ間通信を処理する方法を示します。このドキュメントでは、以下の方法について説明します。 使用するプロダクト: Anthos Service Mesh、Cloud Networking、Compute Engine、Container Registry、Google Kubernetes Engine(GKE) |
Palo Alto VM シリーズの NGFW で Virtual Private Cloud ネットワークを保護する Palo Alto Networks VM シリーズの次世代ファイアウォール(NGFW)を Google Cloud にデプロイするために理解する必要があるネットワーキングのコンセプトについて説明します。 使用するプロダクト: Cloud Storage |
GKE での PCI ブループリントには、Google Cloud で PCI 環境をブートストラップする方法を示す Terraform 構成とスクリプトが含まれています。このブループリントの中核は Online Boutique アプリケーションで、ユーザーはアイテムを閲覧して次のように追加できます... 使用するプロダクト: Google Kubernetes Engine(GKE) |
このシリーズでは、ユーザーが Google Cloud にワークロードをデプロイできるように整理された Google Cloud セキュリティのベスト プラクティスの独自の見解について説明します。 |
Google Cloud からログを収集、エクスポート、分析して、使用状況の監査や、データやワークロードに対する脅威の検出を行う方法について説明します。BigQuery または Chronicle 向けに付属の脅威検出クエリを使用するか、独自の SIEM を使用できます。 使用するプロダクト: BigQuery、Cloud Logging、Compute Engine、Looker Studio |
GKE でのモバイル クライアント用の Pub/Sub プロキシの設定 クライアント側の認証情報ではなく、認証と認可のロジックを処理するプロキシを使用して、モバイルアプリまたはクライアント側アプリから Pub/Sub にメッセージをパブリッシュする方法を説明します。クライアントからのメッセージを認証することはできますが... 使用するプロダクト: Cloud Build、Cloud Endpoints、Cloud Pub/Sub、Container Registry、Google Kubernetes Engine(GKE)、Identity and Access Management |
PCI DSS を遵守した、機密性の高いカード所有者データのトークン化 Cloud Functions で、アクセス制御されたクレジット カードおよびデビットカードのトークン化サービスを設定する方法を説明します。このサービスを設定するために、この記事では Google Cloud サービスである、Identity and Access Management(IAM)および Cloud Key Management... 使用するプロダクト: Cloud Key Management Service、Firestore、Identity and Access Management |
VPC Service Controls と Storage Transfer Service を使用して Amazon S3 から Cloud Storage にデータを転送する VPC Service Controls 境界で Storage Transfer Service を使用して、Amazon Simple Storage Service(Amazon S3)から Cloud Storage へのデータ転送を強化する方法について説明します。 使用するプロダクト: Access Context Manager、Cloud Storage、Storage Transfer Service、VPC Service Controls |
Google Cloud のアクセスに関する問題のトラブルシューティングに使用するユースケース Google Cloud ツールを使用して、Google Cloud リソースへのアクセスに関連するユースケースをトラブルシューティングする方法について説明します。このドキュメントでは、アプリケーションへのエンドユーザー アクセスのトラブルシューティング方法について説明します。このドキュメントは、以下を前提としています... 使用するプロダクト: Identity and Access Management |
Cloud Healthcare API で Apigee X を使用する Apigee X を Cloud Healthcare API に接続します。 使用するプロダクト: Apigee、Cloudhealthcareapi |
Microsoft SQL Server のバックアップを使用して Compute Engine でポイントインタイム リカバリを行う Compute Engine SQL Server インスタンスでバックアップを実行します。こうしたバックアップを管理して Cloud Storage に保存する方法や、データベースを特定の時点に復元する方法についても説明します。 使用するプロダクト: Cloud Storage、Compute Engine |