FedRAMP Moderate の共有セキュリティ モデル
FedRAMP Moderate Authorization レベルには、NIST 800-53 から派生した 300 を超える制御が含まれています。Google Cloud では、以下の表に示すコントロールの Google 継承というコンプライアンス サポートを提供できます。つまり、Google Cloud を利用する場合、ユーザーはデフォルトでこれらのコントロールを継承できます。以下の表に示す制御をユーザーが顧客として実装する責任は、お客様にあります。Google Cloud では、プロダクトやサービスの実装により、お客様の責任範囲にわたってコンプライアンス管理を支援できます。FedRAMP カスタマー パッケージには、各コントロールと、コンプライアンスをサポートできる特定のプロダクトおよびサービスに関する追加情報が記載されています。以下の表で該当なしのラベルが付いた管理は、Google Cloud での FedRAMP Moderate の評価の対象外であり、お客様のユースケースと監査範囲に基づいて変更される場合があります。
共有セキュリティ マトリックス
次の表をフィルタリングして並べ替えるには、メニュー オプションを選択するか、ボックスに入力する、または列見出しをクリックします。
| ファミリー | ID | 設定名 | 責任の管理 |
|---|---|---|---|
| アクセス制御 | AC-1 | アクセス制御ポリシーと手順 | お客様 |
| アクセス制御 | AC-2 | アカウント管理 | お客様 |
| アクセス制御 | AC-2(1) | アカウントの管理 | 自動化されたシステム アカウントの管理 | お客様 |
| アクセス制御 | AC-2(2) | アカウントの管理 | 一時的なアカウント / 緊急アカウントの削除 | お客様 |
| アクセス制御 | AC-2(3) | アカウントの管理 | 非アクティブなアカウントを無効にする | お客様 |
| アクセス制御 | AC-2(4) | アカウントの管理 | 自動化された監査アクション | お客様 |
| アクセス制御 | AC-2(5) | アカウントの管理 | 非アクティブなログアウト | お客様 |
| アクセス制御 | AC-2(7) | アカウントの管理 | ロールベースのスキーム | お客様 |
| アクセス制御 | AC-2(9) | アカウントの管理 | 共有グループ / アカウントの使用に関する制限 | お客様 |
| アクセス制御 | AC-2(10) | アカウントの管理 | 共有 / グループ アカウントの認証情報の終了 | お客様 |
| アクセス制御 | AC-2(12) | アカウントの管理 | アカウントのモニタリング / 予期しない使用 | お客様 |
| アクセス制御 | AC-3 | アクセスの強制 | お客様 |
| アクセス制御 | AC-4 | 情報フローの適用 | お客様 |
| アクセス制御 | AC-4(21) | 情報フローの適用 | 情報のフローの物理的 / 論理的な分離 | お客様 |
| アクセス制御 | AC-5 | 職掌分散 | お客様 |
| アクセス制御 | AC-6 | 最小権限 | お客様 |
| アクセス制御 | AC-6(1) | 最小権限 | セキュリティ機能へのアクセスを承認する | Google 継承 |
| アクセス制御 | AC-6(2) | 最小権限 | セキュリティ以外の機能に対する権限のないアクセス | Google 継承 |
| アクセス制御 | AC-6(5) | 最小権限 | 特権アカウント | Google 継承 |
| アクセス制御 | AC-6(9) | 最小権限 | 特権関数の使用の監査 | お客様 |
| アクセス制御 | AC-6(10) | 最小権限 | 権限を付与されていないユーザーが特権機能を実行することを禁止する | お客様 |
| アクセス制御 | AC-7 | 失敗したログオン試行 | Google 継承 |
| アクセス制御 | AC-8 | システム使用量の通知 | お客様 |
| アクセス制御 | AC-10 | 同時実行セッション管理 | お客様 |
| アクセス制御 | AC-11 | セッション ロック | お客様 |
| アクセス制御 | AC-11(1) | セッション ロック | パターン非表示ディスプレイ | お客様 |
| アクセス制御 | AC-12 | セッションの終了 | お客様 |
| アクセス制御 | AC-14 | 識別または認証のない許可されたアクション | Google 継承 |
| アクセス制御 | AC-17 | リモート アクセス | Google 継承 |
| アクセス制御 | AC-17(1) | リモート アクセス | 自動モニタリング / 制御 | お客様 |
| アクセス制御 | AC-17(2) | リモート アクセス | 暗号化を使用した機密性 / 整合性の保護 | お客様 |
| アクセス制御 | AC-17(3) | リモート アクセス | マネージド アクセス制御ポイント | お客様 |
| アクセス制御 | AC-17(4) | リモート アクセス | 特権コマンド / アクセス | Google 継承 |
| アクセス制御 | AC-17(9) | リモート アクセス | 接続解除 / アクセスの無効化 | Google 継承 |
| アクセス制御 | AC-18 | ワイヤレス アクセス | Google 継承 |
| アクセス制御 | AC-18(1) | ワイヤレス アクセス | 認証と暗号化 | 該当なし |
| アクセス制御 | AC-19 | モバイル デバイスのアクセス制御 | Google 継承 |
| アクセス制御 | AC-19(5) | モバイル デバイスのアクセス制御 | 完全デバイス / コンテナ ベースの暗号化 | Google 継承 |
| アクセス制御 | AC-20 | 外部情報システムの使用 | 該当なし |
| アクセス制御 | AC-20(1) | 外部情報システムの使用 | 承認済みの使用の制限 | 該当なし |
| アクセス制御 | AC-20(2) | 外部情報システムの使用 | ポータブル ストレージ デバイス | 該当なし |
| アクセス制御 | AC-21 | 情報の共有 | お客様 |
| アクセス制御 | AC-22 | 一般公開コンテンツ | お客様 |
| 認知向上とトレーニング | AT-1 | セキュリティ認識とトレーニング ポリシーおよび手順 | お客様 |
| 認知向上とトレーニング | AT-2 | セキュリティ認識トレーニング | Google 継承 |
| 認知向上とトレーニング | AT-2(2) | セキュリティに関する意識 | インサイダーの脅威 | Google 継承 |
| 認知向上とトレーニング | AT-3 | ロールベースのセキュリティ トレーニング | Google 継承 |
| 認知向上とトレーニング | AT-4 | セキュリティ トレーニング レコード | Google 継承 |
| 監査と説明責任 | AU-1 | 監査とアカウンタビリティのポリシーおよび手順 | お客様 |
| 監査と説明責任 | AU-2 | 監査イベント | お客様 |
| 監査と説明責任 | AU-2(3) | 監査イベント | レビューと更新 | Google 継承 |
| 監査と説明責任 | AU-3 | 監査記録の内容 | お客様 |
| 監査と説明責任 | AU-3(1) | 監査記録の内容 | 追加の監査情報 | お客様 |
| 監査と説明責任 | AU-4 | ストレージ容量の監査 | お客様 |
| 監査と説明責任 | AU-5 | 音声処理エラーへの対応 | Google 継承 |
| 監査と説明責任 | AU-6 | 監査のレビュー、分析、レポート | お客様 |
| 監査と説明責任 | AU-6(1) | 監査のレビュー、分析、レポート | プロセス統合 | Google 継承 |
| 監査と説明責任 | AU-6(3) | 監査のレビュー、分析、レポート | 監査リポジトリの関連付け | Google 継承 |
| 監査と説明責任 | AU-7 | 監査の削減とレポート生成 | Google 継承 |
| 監査と説明責任 | AU-7(1) | 監査の削減とレポート生成 | 自動処理 | Google 継承 |
| 監査と説明責任 | AU-8 | タイムスタンプ | お客様 |
| 監査と説明責任 | AU-8(1) | タイムスタンプ | 信頼できる時刻のソースを使用した同期 | Google 継承 |
| 監査と説明責任 | AU-9 | 監査情報の保護 | Google 継承 |
| 監査と説明責任 | AU-9(2) | 監査情報の保護 | 個別の物理システム / コンポーネントへの監査のバックアップ | お客様 |
| 監査と説明責任 | AU-9(4) | 監査情報の保護 | 特権ユーザーのサブセットによるアクセス | お客様 |
| 監査と説明責任 | AU-11 | 監査記録の保持 | お客様 |
| 監査と説明責任 | AU-12 | 監査の生成 | Google 継承 |
| セキュリティ評価と承認 | CA-1 | セキュリティ評価と認可のポリシーと手順 | お客様 |
| セキュリティ評価と承認 | CA-2 | セキュリティ評価 | Google 継承 |
| セキュリティ評価と承認 | CA-2(1) | セキュリティ評価 | 独立評価機関 | Google 継承 |
| セキュリティ評価と承認 | CA-2(2) | セキュリティ評価 | 専門的な評価 | Google 継承 |
| セキュリティ評価と承認 | CA-2(3) | セキュリティ評価 | 外部組織 | Google 継承 |
| セキュリティ評価と承認 | CA-3 | システム相互接続 | お客様 |
| セキュリティ評価と承認 | CA-3(3) | システム相互接続 | 分類されていない国家機関によらないセキュリティ システムの接続 | お客様 |
| セキュリティ評価と承認 | CA-3(5) | システム相互接続 | 外部システム接続に関する制限 | お客様 |
| セキュリティ評価と承認 | CA-5 | アクションとマイルストーンの計画 | Google 継承 |
| セキュリティ評価と承認 | CA-6 | セキュリティ認可 | お客様 |
| セキュリティ評価と承認 | CA-7 | 継続的モニタリング | お客様 |
| セキュリティ評価と承認 | CA-7(1) | 継続的モニタリング | 独立評価 | Google 継承 |
| セキュリティ評価と承認 | CA-8 | ペネトレーション テスト | Google 継承 |
| セキュリティ評価と承認 | CA-8(1) | ペネトレーション テスト | 独立系のペネトレーション エージェントまたはチーム | Google 継承 |
| セキュリティ評価と承認 | CA-9 | 内部システム接続 | Google 継承 |
| 構成管理 | CM-1 | 構成管理ポリシーと手順 | お客様 |
| 構成管理 | CM-2 | ベースラインの構成 | お客様 |
| 構成管理 | CM-2(1) | ベースライン構成 | レビューと更新 | Google 継承 |
| 構成管理 | CM-2(2) | ベースライン構成 | 精度 / 通貨の自動化サポート | Google 継承 |
| 構成管理 | CM-2(3) | ベースライン構成 | 以前の構成の保持 | Google 継承 |
| 構成管理 | CM-2(7) | ベースライン構成 | リスクの高い領域のシステム、コンポーネント、デバイスを構成する | Google 継承 |
| 構成管理 | CM-3 | 構成変更の管理 | Google 継承 |
| 構成管理 | CM-4 | セキュリティへの影響の分析 | Google 継承 |
| 構成管理 | CM-5 | 変更に関するアクセス制限 | Google 継承 |
| 構成管理 | CM-5(1) | 変更に関するアクセス制限 | 自動化されたアクセスの適用 / 監査 | Google 継承 |
| 構成管理 | CM-5(3) | 変更に関するアクセス制限 | 署名されたコンポーネント | Google 継承 |
| 構成管理 | CM-5(5) | 変更に関するアクセス制限 | 本番環境 / 運用権限の制限 | Google 継承 |
| 構成管理 | CM-6 | 構成設定 | お客様 |
| 構成管理 | CM-6(1) | 構成の設定 | 自動化された一元管理 / アプリケーション / 検証 | Google 継承 |
| 構成管理 | CM-7 | 最小限の機能 | Google 継承 |
| 構成管理 | CM-7(1) | 最小限の機能 | 定期的なレビュー | Google 継承 |
| 構成管理 | CM-7(2) | 最小限の機能 | プログラム実行の回避 | Google 継承 |
| 構成管理 | CM-7(5) | 最小限の機能 | 承認済みソフトウェア / ホワイトリスト登録 | Google 継承 |
| 構成管理 | CM-8 | 情報システム コンポーネントの在庫 | Google 継承 |
| 構成管理 | CM-8(1) | 情報システム コンポーネントの在庫 | インストール中 / 削除時の更新 | Google 継承 |
| 構成管理 | CM-8(3) | 情報システム コンポーネントの在庫 | 自動化された承認されていないコンポーネントの検出 | Google 継承 |
| 構成管理 | CM-8(5) | 情報システム コンポーネントの在庫 | コンポーネントの重複する会計処理は不要 | Google 継承 |
| 構成管理 | CM-9 | 構成管理プラン | Google 継承 |
| 構成管理 | CM-10 | ソフトウェアの使用に関する制限 | Google 継承 |
| 構成管理 | CM-10(1) | ソフトウェアの使用に関する制限 | オープンソース ソフトウェア | Google 継承 |
| 構成管理 | CM-11 | ユーザーがインストールしたソフトウェア | Google 継承 |
| 緊急時対応計画 | CP-1 | 緊急時対応計画のポリシーと手順 | お客様 |
| 緊急時対応計画 | CP-2 | 緊急時対応計画 | Google 継承 |
| 緊急時対応計画 | CP-2(1) | 緊急時対応計画 | 関連計画との調整 | Google 継承 |
| 緊急時対応計画 | CP-2(2) | 緊急時対応計画 | キャパシティ プランニング | Google 継承 |
| 緊急時対応計画 | CP-2(3) | 緊急時対応計画 | 重要なミッション / ビジネス機能の再開 | Google 継承 |
| 緊急時対応計画 | CP-2(8) | 緊急時対応計画 | 重要なアセットの特定 | Google 継承 |
| 緊急時対応計画 | CP-3 | 緊急時対応トレーニング | Google 継承 |
| 緊急時対応計画 | CP-4 | 緊急時対応計画のテスト | Google 継承 |
| 緊急時対応計画 | CP-4(1) | 緊急時対応計画のテスト | 関連計画との調整 | Google 継承 |
| 緊急時対応計画 | CP-6 | 代替のストレージ サイト | Google 継承 |
| 緊急時対応計画 | CP-6(1) | 代替ストレージ サイト | プライマリ サイトからの分離 | お客様 |
| 緊急時対応計画 | CP-6(3) | 代替ストレージ サイト | ユーザー補助 | Google 継承 |
| 緊急時対応計画 | CP-7 | 代替処理サイト | Google 継承 |
| 緊急時対応計画 | CP-7(1) | 代替処理サイト | プライマリ サイトからの分離 | お客様 |
| 緊急時対応計画 | CP-7(2) | 代替処理サイト | ユーザー補助 | Google 継承 |
| 緊急時対応計画 | CP-7(3) | 代替処理サイト | サービスの優先度 | 該当なし |
| 緊急時対応計画 | CP-8 | 通信サービス | Google 継承 |
| 緊急時対応計画 | CP-8(1) | 通信サービス | サービス プロビジョニングの優先順位 | Google 継承 |
| 緊急時対応計画 | CP-8(2) | 通信サービス | 単一障害点 | Google 継承 |
| 緊急時対応計画 | CP-9 | 情報システムのバックアップ | Google 継承 |
| 緊急時対応計画 | CP-9 (1) | 情報システムのバックアップ | 信頼性 / 整合性のテスト | Google 継承 |
| 緊急時対応計画 | CP-9(3) | 情報システムのバックアップ | 重要な情報を保存するストレージ | Google 継承 |
| 緊急時対応計画 | CP-10 | 情報システムの復旧と再構築 | Google 継承 |
| 緊急時対応計画 | CP-10(2) | 情報システムの復旧と再構築 | トランザクションの復旧 | Google 継承 |
| 識別と認証 | IA-1 | 識別と認証のポリシーと手順 | お客様 |
| 識別と認証 | IA-2 | 識別と認証(組織ユーザー) | お客様 |
| 識別と認証 | IA-2(1) | 識別と認証 | 特権アカウントへのネットワーク アクセス | お客様 |
| 識別と認証 | IA-2(2) | 識別と認証 | 権限を付与されていないアカウントへのネットワーク アクセス | お客様 |
| 識別と認証 | IA-2(3) | 識別と認証 | 特権アカウントへのローカル アクセス | 該当なし |
| 識別と認証 | IA-2(5) | 識別と認証(組織ユーザー)| グループ認証 | お客様 |
| 識別と認証 | IA-2(8) | 識別と認証 | 特権アカウントへのネットワーク アクセス - 反論を再生する | お客様 |
| 識別と認証 | IA-2(11) | 識別と認証 | リモート アクセス - デバイスを分離 | お客様 |
| 識別と認証 | IA-2(12) | 識別と認証 | PIV 認証情報の受け入れ | お客様 |
| 識別と認証 | IA-3 | デバイスの識別と認証 | お客様 |
| 識別と認証 | IA-4 | ID 管理 | お客様 |
| 識別と認証 | IA-4(4) | ID 管理 | ユーザー ステータスの特定 | お客様 |
| 識別と認証 | IA-5 | 認証者管理 | お客様 |
| 識別と認証 | IA-5(1) | 認証者管理 | パスワード ベースの認証 | お客様 |
| 識別と認証 | IA-5(2) | 認証者管理 | PKI ベースの認証 | お客様 |
| 識別と認証 | IA-5(3) | 認証者管理 | 対面または信頼できるサードパーティの登録 | お客様 |
| 識別と認証 | IA-5(4) | 認証者管理 | パスワードの強度決定の自動化サポート | お客様 |
| 識別と認証 | IA-5(6) | 認証者管理 | 認証者の保護 | お客様 |
| 識別と認証 | IA-5(7) | 認証者管理 | 暗号化されていない静的認証者が埋め込まれていない | お客様 |
| 識別と認証 | IA-5(11) | 認証者管理 | ハードウェア トークン ベースの認証 | お客様 |
| 識別と認証 | IA-6 | 認証者のフィードバック | お客様 |
| 識別と認証 | IA-7 | 暗号モジュール認証 | お客様 |
| 識別と認証 | IA-8 | 識別と認証(組織外のユーザー) | お客様 |
| 識別と認証 | IA-8(1) | 識別と認証 | その他の機関発行の PIV 認証情報の受け入れ | お客様 |
| 識別と認証 | IA-8(2) | 識別と認証 | サードパーティ認証情報の受け入れ | お客様 |
| 識別と認証 | IA-8(3) | 識別と認証 | FICAM 承認プロダクトの使用 | お客様 |
| 識別と認証 | IA-8(4) | 識別と認証 | FICAM 発行のプロファイルの使用 | お客様 |
| インシデント対応 | IR-1 | インシデント対応ポリシーと手順 | お客様 |
| インシデント対応 | IR-2 | インシデント対応トレーニング | Google 継承 |
| インシデント対応 | IR-3 | インシデント対応テスト | Google 継承 |
| インシデント対応 | IR-3(2) | インシデント対応テスト | 関連プランとの調整 | Google 継承 |
| インシデント対応 | IR-4 | インシデント処理 | Google 継承 |
| インシデント対応 | IR-4(1) | インシデント処理 | 自動化されたインシデント処理プロセス | Google 継承 |
| インシデント対応 | IR-5 | インシデントのモニタリング | Google 継承 |
| インシデント対応 | IR-6 | インシデント報告 | お客様 |
| インシデント対応 | IR-6(1) | インシデント報告 | 自動レポート | Google 継承 |
| インシデント対応 | IR-7 | インシデント対応サポート | Google 継承 |
| インシデント対応 | IR-7(1) | インシデント対応サポート | 情報 / サポートを利用可能にするための自動化サポート | Google 継承 |
| インシデント対応 | IR-7(2) | インシデント対応サポート | 外部プロバイダとの調整 | 該当なし |
| インシデント対応 | IR-8 | インシデント対応計画 | お客様 |
| インシデント対応 | IR-9 | 情報漏洩に対する対応 | お客様 |
| インシデント対応 | IR-9(1) | 情報漏洩に対する対応 | 責任者 | お客様 |
| インシデント対応 | IR-9(2) | 情報漏洩に対する対応 | トレーニング | お客様 |
| インシデント対応 | IR-9(3) | 情報漏洩に対する対応 | 漏洩後の運用 | お客様 |
| インシデント対応 | IR-9(4) | 情報漏洩に対する対応 | 許可されていない担当者への漏洩 | お客様 |
| メンテナンス | MA-1 | システム メンテナンスのポリシーと手順 | お客様 |
| メンテナンス | MA-2 | 管理されたメンテナンス | Google 継承 |
| メンテナンス | MA-3 | メンテナンス ツール | Google 継承 |
| メンテナンス | MA-3(1) | メンテナンス ツール | 検査ツール | Google 継承 |
| メンテナンス | MA-3(2) | メンテナンス ツール | 検査メディア | Google 継承 |
| メンテナンス | MA-3(3) | メンテナンス ツール | 未承認の削除の防止 | Google 継承 |
| メンテナンス | MA-4 | 非ローカルメンテナンス | Google 継承 |
| メンテナンス | MA-4(2) | 非ローカルのメンテナンス | ドキュメントの非ローカルのメンテナンス | Google 継承 |
| メンテナンス | MA-5 | メンテナンス担当者 | Google 継承 |
| メンテナンス | MA-5(1) | メンテナンス担当者 | 適切なアクセス権を付与されていない個人 | Google 継承 |
| メンテナンス | MA-6 | タイムリーなメンテナンス | Google 継承 |
| メディア保護 | MP-1 | メディア保護のポリシーと手順 | お客様 |
| メディア保護 | MP-2 | メディアへのアクセス | Google 継承 |
| メディア保護 | MP-3 | メディア マーケティング | Google 継承 |
| メディア保護 | MP-4 | メディア ストレージ | Google 継承 |
| メディア保護 | MP-5 | メディア トランスポート | Google 継承 |
| メディア保護 | MP-5(4) | メディア トランスポート | 暗号保護 | Google 継承 |
| メディア保護 | MP-6 | メディアのサニタイズ | Google 継承 |
| メディア保護 | MP-6(2) | メディアのサニタイズ | 機器のテスト | Google 継承 |
| メディア保護 | MP-7 | メディアの使用 | Google 継承 |
| メディア保護 | MP-7(1) | メディアの使用 | 所有者が関与しない使用を禁止する | 該当なし |
| 物理的保護および環境保護 | PE-1 | 物理的、環境的保護のポリシーと手順 | お客様 |
| 物理的保護および環境保護 | PE-2 | 物理的なアクセス認可 | Google 継承 |
| 物理的保護および環境保護 | PE-3 | 物理アクセス制御 | Google 継承 |
| 物理的保護および環境保護 | PE-4 | 転送メディアのアクセス制御 | Google 継承 |
| 物理的保護および環境保護 | PE-5 | 出力デバイスのアクセス制御 | 該当なし |
| 物理的保護および環境保護 | PE-6 | 物理アクセスのモニタリング | Google 継承 |
| 物理的保護および環境保護 | PE-6(1) | 物理アクセスのモニタリング | 侵入アラーム / 監視機器 | Google 継承 |
| 物理的保護および環境保護 | PE-8 | 訪問者のアクセス レコード | Google 継承 |
| 物理的保護および環境保護 | PE-9 | 電源装置とケーブル設置 | Google 継承 |
| 物理的保護および環境保護 | PE-10 | 緊急遮断機能 | Google 継承 |
| 物理的保護および環境保護 | PE-11 | 緊急用電源 | Google 継承 |
| 物理的保護および環境保護 | PE-12 | 非常灯 | Google 継承 |
| 物理的保護および環境保護 | PE-13 | 防火 | Google 継承 |
| 物理的保護および環境保護 | PE-13(2) | 防火 | 消火デバイス / システム | Google 継承 |
| 物理的保護および環境保護 | PE-13(3) | 防火 | 自動消火 | 該当なし |
| 物理的保護および環境保護 | PE-14 | 温度と湿度の管理 | Google 継承 |
| 物理的保護および環境保護 | PE-14(2) | 温度と湿度の管理 | アラーム / 通知によるモニタリング | Google 継承 |
| 物理的保護および環境保護 | PE-15 | 水害からの保護 | Google 継承 |
| 物理的保護および環境保護 | PE-16 | 配信と削除 | Google 継承 |
| 物理的保護および環境保護 | PE-17 | 代替の就労場所 | Google 継承 |
| 計画 | PL-1 | セキュリティ計画ポリシーと手順 | お客様 |
| 計画 | PL-2 | システム セキュリティ プラン | Google 継承 |
| 計画 | PL-2(3) | システムのセキュリティ計画 | 他の組織との計画 / 調整 | Google 継承 |
| 計画 | PL-4 | 行動の規則 | Google 継承 |
| 計画 | PL-4(1) | 行動の規則 | ソーシャル メディアとネットワークの制約 | Google 継承 |
| 計画 | PL-8 | 情報セキュリティ アーキテクチャ | Google 継承 |
| 社員のセキュリティ | PS-1 | 従業員のセキュリティ ポリシーと手順 | お客様 |
| 社員のセキュリティ | PS-2 | リスク申告の位置付け | お客様 |
| 社員のセキュリティ | PS-3 | 従業員のスクリーニング | お客様 |
| 社員のセキュリティ | PS-3(3) | 従業員のスクリーニング | 特別な保護措置付きの情報 | お客様 |
| 社員のセキュリティ | PS-4 | 従業員の解雇 | Google 継承 |
| 社員のセキュリティ | PS-5 | 担当者の転送 | Google 継承 |
| 社員のセキュリティ | PS-6 | アクセス契約 | Google 継承 |
| 社員のセキュリティ | PS-7 | サードパーティの従業員のセキュリティ | Google 継承 |
| 社員のセキュリティ | PS-8 | 従業員に対する制裁 | Google 継承 |
| リスクの評価 | RA-1 | リスク評価のポリシーと手順 | お客様 |
| リスクの評価 | RA-2 | セキュリティの分類 | お客様 |
| リスクの評価 | RA-3 | リスクの評価 | Google 継承 |
| リスクの評価 | RA-5 | 脆弱性スキャン | Google 継承 |
| リスクの評価 | RA-5(1) | 脆弱性スキャン | ツール機能の更新 | Google 継承 |
| リスクの評価 | RA-5(2) | 脆弱性スキャン | 頻度 / 新しいスキャンの前 / 識別された時点での更新 | Google 継承 |
| リスクの評価 | RA-5(3) | 脆弱性スキャン | 対象範囲の幅 / 深さ | Google 継承 |
| リスクの評価 | RA-5(5) | 脆弱性スキャン | 特権アクセス | Google 継承 |
| リスクの評価 | RA-5(6) | 脆弱性スキャン | 自動化された傾向分析 | Google 継承 |
| リスクの評価 | RA-5(8) | 脆弱性スキャン | 過去の監査ログを確認 | Google 継承 |
| システムおよびサービスの取得 | SA-1 | システムおよびサービスの取得ポリシーと手続き | お客様 |
| システムおよびサービスの取得 | SA-2 | リソースの割り当て | Google 継承 |
| システムおよびサービスの取得 | SA-3 | システム開発のライフサイクル | Google 継承 |
| システムおよびサービスの取得 | SA-4 | 獲得プロセス | Google 継承 |
| システムおよびサービスの取得 | SA-4(1) | 獲得プロセス | セキュリティ制御の機能プロパティ | Google 継承 |
| システムおよびサービスの取得 | SA-4(2) | 獲得プロセス | セキュリティ管理の設計 / 実装に関する情報 | Google 継承 |
| システムおよびサービスの取得 | SA-4(8) | 獲得プロセス | 継続的なモニタリング計画 | Google 継承 |
| システムおよびサービスの取得 | SA-4(9) | 獲得プロセス | 使用中の関数 / ポート / プロトコル / サービス | Google 継承 |
| システムおよびサービスの取得 | SA-4(10) | 獲得プロセス | 承認済みの PIV プロダクトの使用 | お客様 |
| システムおよびサービスの取得 | SA-5 | 情報システムのドキュメント | Google 継承 |
| システムおよびサービスの取得 | SA-8 | セキュリティ エンジニアリングの原則 | お客様 |
| システムおよびサービスの取得 | SA-9 | 外部情報システム サービス | 該当なし |
| システムおよびサービスの取得 | SA-9(1) | 外部情報システム | リスク評価 / 組織の承認 | 該当なし |
| システムおよびサービスの取得 | SA-9(2) | 外部情報システム | 関数 / ポート / プロトコル / サービスの識別 | 該当なし |
| システムおよびサービスの取得 | SA-9(4) | 外部情報システム | コンシューマーとプロバイダの一貫した関心 | 該当なし |
| システムおよびサービスの取得 | SA-9(5) | 外部情報システム | 処理、ストレージ、サービスのロケーション | 該当なし |
| システムおよびサービスの取得 | SA-10 | 開発者による構成管理 | Google 継承 |
| システムおよびサービスの取得 | SA-10(1) | デベロッパーによる構成の管理 | ソフトウェア / ファームウェアの整合性検証 | Google 継承 |
| システムおよびサービスの取得 | SA-11 | 開発者によるセキュリティ テストと評価 | Google 継承 |
| システムおよびサービスの取得 | SA-11(1) | 開発者によるセキュリティ テストと評価 | 統計コード分析 | お客様 |
| システムおよびサービスの取得 | SA-11(2) | 開発者によるセキュリティ テストと評価 | 脅威と脆弱性の分析 | Google 継承 |
| システムおよびサービスの取得 | SA-11(8) | 開発者によるセキュリティ テストと評価 | 動的コード分析 | Google 継承 |
| システムと通信の保護 | SC-1 | システムおよび通知の保護ポリシーと手順 | お客様 |
| システムと通信の保護 | SC-2 | アプリケーションのパーティショニング | Google 継承 |
| システムと通信の保護 | SC-4 | 共有リソース内の情報 | Google 継承 |
| システムと通信の保護 | SC-5 | サービス拒否攻撃からの保護 | お客様 |
| システムと通信の保護 | SC-6 | リソースの可用性 | Google 継承 |
| システムと通信の保護 | SC-7 | 境界保護 | お客様 |
| システムと通信の保護 | SC-7(3) | 境界保護 | アクセス ポイント | お客様 |
| システムと通信の保護 | SC-7(4) | 境界保護 | 外部通信サービス | お客様 |
| システムと通信の保護 | SC-7(5) | 境界保護 | デフォルトの拒否 / 例外を許可 | お客様 |
| システムと通信の保護 | SC-7(7) | 境界保護 | リモート デバイスのスプリット トンネリングの回避 | Google 継承 |
| システムと通信の保護 | SC-7(8) | 境界保護 | 認証されたプロキシ サーバーへのトラフィックの転送 | お客様 |
| システムと通信の保護 | SC-7(12) | 境界保護 | ホストベースの保護 | Google 継承 |
| システムと通信の保護 | SC-7(13) | 境界保護 | セキュリティ ツール / メカニズム / サポート コンポーネントの分離 | Google 継承 |
| システムと通信の保護 | SC-7(18) | 境界保護 | セキュリティ違反 | お客様 |
| システムと通信の保護 | SC-8 | 転送の信頼性と整合性 | お客様 |
| システムと通信の保護 | SC-8(1) | 転送の信頼性と整合性 | 暗号による保護または代替手段による物理的保護 | お客様 |
| システムと通信の保護 | SC-10 | ネットワークの切断 | Google 継承 |
| システムと通信の保護 | SC-12 | 暗号鍵の確立と管理 | お客様 |
| システムと通信の保護 | SC-12(2) | 暗号鍵の確立と管理 | 対称鍵 | Google 継承 |
| システムと通信の保護 | SC-12(3) | 暗号鍵の確立と管理 | 非対称鍵 | Google 継承 |
| システムと通信の保護 | SC-13 | 暗号保護 | お客様 |
| システムと通信の保護 | SC-15 | コラボレーション コンピューティング デバイス | 該当なし |
| システムと通信の保護 | SC-17 | 公開鍵基盤の証明書 | Google 継承 |
| システムと通信の保護 | SC-18 | モバイルコード | Google 継承 |
| システムと通信の保護 | SC-19 | ボイスオーバー インターネット プロトコル | 該当なし |
| システムと通信の保護 | SC-20 | 安全な名前 / アドレス解決サービス(信頼できる送信元) | お客様 |
| システムと通信の保護 | SC-21 | 安全な名前 / アドレス解決サービス(再帰リゾルバまたはリゾルバ キャッシュ) | お客様 |
| システムと通信の保護 | SC-22 | 名前 / アドレス解決サービスのアーキテクチャとプロビジョニング | Google 継承 |
| システムと通信の保護 | SC-23 | セッション認証 | お客様 |
| システムと通信の保護 | SC-28 | 保存時の情報の保護 | Google 継承 |
| システムと通信の保護 | SC-28(1) | 保存時の情報の保護 | 暗号保護 | Google 継承 |
| システムと通信の保護 | SC-39 | プロセスの分離 | Google 継承 |
| システムと情報の整合性 | SI-1 | システムと情報の整合性ポリシーと手順 | お客様 |
| システムと情報の整合性 | SI-2 | 欠陥の修復 | Google 継承 |
| システムと情報の整合性 | SI-2(2) | 欠陥の修復 | 自動化された欠陥の修復ステータス | Google 継承 |
| システムと情報の整合性 | SI-2(3) | 欠陥の修復 | 欠陥の修復に要する時間 / 是正措置に関するベンチマーク | Google 継承 |
| システムと情報の整合性 | SI-3 | 悪意のあるコードからの保護 | お客様 |
| システムと情報の整合性 | SI-3(1) | 悪意のあるコードからの保護 | 一元管理 | Google 継承 |
| システムと情報の整合性 | SI-3(2) | 悪意のあるコードからの保護 | 自動更新 | Google 継承 |
| システムと情報の整合性 | SI-3(7) | 悪意のあるコードからの保護 | 非署名ベースの検出 | Google 継承 |
| システムと情報の整合性 | SI-4 | 情報システムのモニタリング | Google 継承 |
| システムと情報の整合性 | SI-4(1) | 情報システムのモニタリング | システム全体の侵入検知システム | Google 継承 |
| システムと情報の整合性 | SI-4(2) | 情報システムのモニタリング | リアルタイム分析用の自動化ツール | Google 継承 |
| システムと情報の整合性 | SI-4(4) | 情報システムのモニタリング | 受信と送信の通信トラフィック | Google 継承 |
| システムと情報の整合性 | SI-4(5) | 情報システムのモニタリング | システム生成のアラート | Google 継承 |
| システムと情報の整合性 | SI-4(14) | 情報システムのモニタリング | ワイヤレスの侵入検知 | Google 継承 |
| システムと情報の整合性 | SI-4(16) | 情報システムのモニタリング | モニタリング情報の関連付け | Google 継承 |
| システムと情報の整合性 | SI-4(23) | 情報システムのモニタリング | ホストベースのデバイス | Google 継承 |
| システムと情報の整合性 | SI-5 | セキュリティに関するアラート、アドバイザリ、ディレクティブ | Google 継承 |
| システムと情報の整合性 | SI-6 | セキュリティ機能の検証 | Google 継承 |
| システムと情報の整合性 | SI-7 | ソフトウェア、ファームウェア、情報の整合性 | Google 継承 |
| システムと情報の整合性 | SI-7(1) | ソフトウェア、ファームウェア、情報の整合性 | 整合性チェック | Google 継承 |
| システムと情報の整合性 | SI-7(7) | ソフトウェア、ファームウェア、情報の整合性 | 検出と対応の統合 | Google 継承 |
| システムと情報の整合性 | SI-8 | スパム対策 | Google 継承 |
| システムと情報の整合性 | SI-8(1) | 迷惑メール対策 | 一元管理 | Google 継承 |
| システムと情報の整合性 | SI-8(2) | 迷惑メール対策 | 自動更新 | Google 継承 |
| システムと情報の整合性 | SI-10 | 情報入力の検証 | Google 継承 |
| システムと情報の整合性 | SI-11 | エラー処理 | お客様 |
| システムと情報の整合性 | SI-12 | 情報の取り扱いと保持 | お客様 |
| システムと情報の整合性 | SI-16 | メモリ保護 | Google 継承 |