アクセスの透明性
このページでは、アクセスの透明性について説明し、よくある質問とその回答を紹介します。
概要
セキュリティ、透明性、データ保護は、Google がそのプロダクトを設計、構築する際の中核です。Google Cloud のすべてのお客様は、ご自身のデータを所有し、その使用方法を完全に制御できます。Google Cloud の信頼に関する原則は、Google Cloud に保存されているお客様のコンテンツのプライバシー保護に対する Google の取り組みをまとめたものです。
アクセスの透明性は、透明性とユーザーの信頼に対する Google の長期的な取り組みの一部です。アクセスの透明性は、Google の担当者がお客様のコンテンツにアクセスした際に行った操作を記録として残します。
アクセスの透明性ログから得られる情報は、Cloud 監査ログから得られる情報とは異なります。Cloud 監査ログには、Google Cloud 組織のメンバーが Google Cloud リソースで行った操作が記録されます。一方、アクセスの透明性ログには、Google の担当者が行った操作が記録されます。
組織の一時的、ベンダー、契約社員によるアクセスも管理者権限とみなされ、アクセスの透明性により記録されます。アクセスの透明性は、ベンダーのデータアクセス ロギングの要件を満たすのに役立ちます。
アクセスの透明性ログエントリには、影響を受けたリソースとアクション、アクションの時間、アクションの理由、アクセス者に関する情報などの詳細が含まれます。アクセサーに関する情報には、Google 社員の物理的な所在地と職種の詳細が含まれています。アクセスの透明性ログに含まれる詳細について詳しくは、ログフィールドの説明をご覧ください。
アクセスの透明性を使用する場面
アクセスの透明性のログが必要になる理由は次のとおりです。
- Google の担当者によるお客様データへのアクセスは、サービス停止の修復やサポート リクエストへの対応など、ビジネス上の正当な理由がある場合に限られていることを確認する。
- Google の担当者がお客様の指示を実行する際に間違いを犯していないことを確認する。
- 法的 / 規制上の義務の遵守を確認し追跡する。
- 自動セキュリティ情報およびイベント管理(SIEM)ツールによって追跡されたアクセス イベントを収集および分析する。
アクセスの透明性ログを使用して全体的なセキュリティ ポスチャーを改善する
アクセスの透明性ログは、コンプライアンスや監査の目的でセキュリティ情報イベント管理(SIEM)ツールにエクスポートして使用できます。これを行うには、Pub/Sub と Dataflow を使用してアクセスの透明性からログを集計してストリーミングする統合エクスポート パイプラインをデプロイします。Security Command Center のセキュリティ検出結果と Cloud Asset Inventory のアセット変更をエクスポートして、SIEM ツールが潜在的なセキュリティ脅威と脆弱性を特定するために使用するセキュリティ データを拡充することもできます。
アクセスの透明性ログを生成する Google サービス
アクセスの透明性ログを提供する Google サービスの一覧については、アクセスの透明性ログ付きの Google サービスをご覧ください。
Google の担当者がお客様のコンテンツにアクセスできるタイミング
Google の社員が閲覧できる情報には厳しい制限が設けられています。お客様のコンテンツへのすべてのアクセスには、正当な理由が必要です。ビジネス上の正当な理由の一覧については、正当化理由コードをご覧ください。
Google はどのようにお客様のコンテンツの機密性保持についてトレーニングしていますか?
すべての Google 社員には、機密保持契約を締結し、Google の行動規範を遵守する必要があります。社員のオンボーディング、セキュリティとプライバシーに関するトレーニングの詳細については、Google セキュリティ ホワイトペーパーをご覧ください。
お客様の情報に対する政府からのリクエストに Google はどのように対応していますか?
お客様のコンテンツに対する政府からの要請を Google が受けた場合、Google は、それらのデータを Google Cloud のお客様に直接リクエストするように政府に伝えます。詳細については、Google Cloud 政府リクエスト ホワイトペーパーをご覧ください。
次のステップ
- 不正な管理者アクセスを防止する基本原則については、管理者権限制御の概要をご覧ください。
- アクセスの透明性ログエントリの内容を理解するため、アクセスの透明性ログを理解して使用するを参照する。
- Google Cloud の特権アクセスの原則については、特権アクセスをご覧ください。
- お客様のコンテンツを保護するため Google が講じている対策について詳しくは、Google のセキュリティに関するホワイトペーパーをご覧ください。
使ってみる
Google Cloud を初めて使用する場合は、アカウントを作成して、実際のシナリオでの Google プロダクトのパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。
無料で開始