IRS パブリケーション 1075 用のデータ境界

このページでは、Assured Workloads の IRS 1075 ワークロードのデータ境界に適用される制御のセットについて説明します。データ所在地サポートされている Google Cloud プロダクトとその API エンドポイント、それらのプロダクトに適用される制限事項に関する詳細情報が提供されます。IRS 1075 のデータ境界には、次の追加情報が適用されます。

  • データ所在地: IRS 1075 コントロール パッケージのデータ境界は、米国のみのリージョンをサポートするデータ ロケーション コントロールを設定します。詳細については、Google Cloud全体の組織のポリシーの制約をご覧ください。
  • サポート: IRS 1075 ワークロードのデータ境界のテクニカル サポート サービスは、エンハンストまたはプレミアムの Cloud カスタマーケア サブスクリプションでご利用いただけます。IRS 1075 ワークロードのサポートケースのデータ境界は、米国在住の米国人に転送されます。この米国人は、指紋ベースの CJIS バックグラウンド チェック、州レベルの法執行機関によるチェック、市民権の確認を受けています。詳細については、サポートの利用をご覧ください。

  • 料金: IRS 1075 用のデータ境界コントロール パッケージは、Assured Workloads のプレミアム ティアに含まれており、20% の追加料金が発生します。詳細については、Assured Workloads の料金をご覧ください。

前提条件

Data Boundary for IRS 1075 コントロール パッケージのユーザーとしてコンプライアンスを維持するには、次の前提条件を満たし、遵守していることを確認してください。

  • Assured Workloads を使用して IRS 1075 フォルダのデータ境界を作成し、そのフォルダにのみ IRS 1075 ワークロードのデータ境界をデプロイします。
  • IRS 1075 ワークロードのデータ境界には、IRS 1075 サービスのデータ境界の対象範囲のみを有効にして使用します。
  • 発生する可能性のあるデータ所在地のリスクを理解し、それを受け入れる意思がある場合を除き、デフォルトの組織のポリシーの制約値を変更しないでください。
  • Google Cloud セキュリティ ベスト プラクティス センターで提供されている一般的なセキュリティ ベスト プラクティスの採用を検討してください。
  • Google Cloud コンソールにアクセスする際に、法域の Google Cloud コンソールを使用できます。IRS 1075 のデータ境界に管轄区域の Google Cloud コンソールを使用する必要はありません。次のいずれかの URL でアクセスできます。

サポートされているプロダクトと API エンドポイント

特に明記されている場合を除き、ユーザーは Google Cloud コンソールからすべてのサポート対象プロダクトにアクセスできます。サポートされているプロダクトの機能に影響する制限事項(組織のポリシーの制約の設定によって適用される制限事項を含む)を次の表に示します。

商品が表示されない場合、その商品はサポートされておらず、IRS 1075 のデータ境界の制御要件を満たしていません。デュー デリジェンスを実施し、責任共有モデルにおけるお客様の責任を十分に理解していない場合は、サポート対象外のプロダクトを使用することをおすすめしません。サポートされていないプロダクトを使用する前に、データ所在地やデータ主権への悪影響など、関連するリスクを認識し、受け入れることを確認してください。

サポートされているサービス API エンドポイント 制限事項
Access Context Manager accesscontextmanager.googleapis.com
なし
アクセスの透明性 accessapproval.googleapis.com
なし
Agent Assist dialogflow.googleapis.com
なし
AlloyDB for PostgreSQL alloydb.googleapis.com
なし
Apigee apigee.googleapis.com
なし
App Hub apphub.googleapis.com
なし
Application Integration integrations.googleapis.com
なし
Artifact Registry artifactregistry.googleapis.com
なし
Backup for GKE gkebackup.googleapis.com
なし
BigQuery bigquery.googleapis.com
bigquerydatapolicy.googleapis.com
bigquerymigration.googleapis.com
bigqueryreservation.googleapis.com
bigquerystorage.googleapis.com
影響を受ける機能
BigQuery Data Transfer Service bigquerydatatransfer.googleapis.com
影響を受ける機能
Bigtable bigtable.googleapis.com
bigtableadmin.googleapis.com
なし
Binary Authorization binaryauthorization.googleapis.com
なし
Certificate Authority Service privateca.googleapis.com
なし
Cloud Asset Inventory cloudasset.googleapis.com
なし
Cloud Build cloudbuild.googleapis.com
なし
Cloud Composer composer.googleapis.com
なし
Google Cloud コンソール N/A
なし
Cloud DNS dns.googleapis.com
なし
Cloud Data Fusion datafusion.googleapis.com
なし
Cloud Deploy clouddeploy.googleapis.com
なし
Cloud External Key Manager(Cloud EKM) cloudkms.googleapis.com
なし
Cloud Run functions cloudfunctions.googleapis.com
組織ポリシーの制約
Cloud HSM cloudkms.googleapis.com
なし
Cloud Healthcare API healthcare.googleapis.com
なし
Cloud Interconnect networkconnectivity.googleapis.com
影響を受ける機能
Cloud Key Management Service(Cloud KMS) cloudkms.googleapis.com
なし
Cloud Logging logging.googleapis.com
影響を受ける機能
Cloud Monitoring monitoring.googleapis.com
影響を受ける機能
Cloud NAT networkconnectivity.googleapis.com
なし
Cloud OS Login API oslogin.googleapis.com
なし
Cloud Router networkconnectivity.googleapis.com
なし
Cloud Run run.googleapis.com
影響を受ける機能
Cloud SQL sqladmin.googleapis.com
なし
Cloud Service Mesh mesh.googleapis.com
meshca.googleapis.com
meshconfig.googleapis.com
なし
Cloud Storage storage.googleapis.com
なし
Cloud Tasks cloudtasks.googleapis.com
なし
Cloud VPN compute.googleapis.com
影響を受ける機能
Cloud Vision API vision.googleapis.com
なし
Cloud Workstations workstations.googleapis.com
なし
Compute Engine compute.googleapis.com
影響を受ける機能組織のポリシーの制約
Connect gkeconnect.googleapis.com
なし
Dialogflow CX dialogflow.googleapis.com
なし
会話型分析情報 contactcenterinsights.googleapis.com
なし
Sensitive Data Protection dlp.googleapis.com
なし
データベース センター databasecenter.googleapis.com
なし
Dataflow dataflow.googleapis.com
datapipelines.googleapis.com
なし
Dataform dataform.googleapis.com
なし
Dataplex Universal Catalog dataplex.googleapis.com
datalineage.googleapis.com
なし
Dataproc dataproc-control.googleapis.com
dataproc.googleapis.com
なし
Document AI documentai.googleapis.com
なし
重要な連絡先 essentialcontacts.googleapis.com
なし
Eventarc eventarc.googleapis.com
なし
外部パススルー ネットワーク ロードバランサ compute.googleapis.com
なし
Filestore file.googleapis.com
なし
Firebase Authentication N/A
なし
Firestore firestore.googleapis.com
なし
GKE Hub gkehub.googleapis.com
なし
GKE Identity Service anthosidentityservice.googleapis.com
なし
Vertex AI の生成 AI aiplatform.googleapis.com
なし
Google Agentspace discoveryengine.googleapis.com
なし
Google Cloud Armor compute.googleapis.com
networksecurity.googleapis.com
影響を受ける機能
Google Cloud NetApp Volumes netapp.googleapis.com
影響を受ける機能
Google Kubernetes Engine(GKE) container.googleapis.com
containersecurity.googleapis.com
なし
Google Security Operations SIEM chronicle.googleapis.com
chronicleservicemanager.googleapis.com
なし
Google Security Operations SOAR Not applicable
なし
Identity and Access Management(IAM) iam.googleapis.com
なし
Identity-Aware Proxy(IAP) iap.googleapis.com
なし
Infrastructure Manager config.googleapis.com
なし
Integration Connectors connectors.googleapis.com
なし
内部パススルー ネットワーク ロードバランサ compute.googleapis.com
なし
法域の Google Cloud コンソール N/A
なし
Key Access Justifications cloudekm.googleapis.com
なし
Looker(Google Cloud コア) looker.googleapis.com
なし
Memorystore for Redis redis.googleapis.com
なし
Model Armor modelarmor.googleapis.com
なし
Network Connectivity Center networkconnectivity.googleapis.com
なし
組織ポリシー サービス orgpolicy.googleapis.com
なし
Persistent Disk compute.googleapis.com
なし
Pub/Sub pubsub.googleapis.com
なし
リージョン外部アプリケーション ロードバランサ compute.googleapis.com
なし
リージョン外部プロキシ ネットワーク ロードバランサ compute.googleapis.com
なし
リージョン内部アプリケーション ロードバランサ compute.googleapis.com
なし
リージョン内部プロキシ ネットワーク ロードバランサ compute.googleapis.com
なし
Resource Manager cloudresourcemanager.googleapis.com
なし
Secret Manager secretmanager.googleapis.com
なし
Secure Source Manager securesourcemanager.googleapis.com
なし
Spanner spanner.googleapis.com
なし
Speech-to-Text speech.googleapis.com
影響を受ける機能
Storage Transfer Service storagetransfer.googleapis.com
なし
Text-to-Speech texttospeech.googleapis.com
なし
VPC Service Controls accesscontextmanager.googleapis.com
なし
Vertex AI Batch prediction aiplatform.googleapis.com
なし
Vertex AI Model Monitoring aiplatform.googleapis.com
なし
Vertex AI Model Registry aiplatform.googleapis.com
なし
Vertex AI オンライン予測 aiplatform.googleapis.com
なし
Vertex AI Pipelines aiplatform.googleapis.com
なし
Vertex AI Search discoveryengine.googleapis.com
なし
Vertex AI Training aiplatform.googleapis.com
なし
Vertex AI Workbench aiplatform.googleapis.com
なし
Virtual Private Cloud(VPC) compute.googleapis.com
なし
Web Risk webrisk.googleapis.com
なし
Workforce Identity 連携 iam.googleapis.com
sts.googleapis.com
なし

制限事項

以下のセクションでは、 Google Cloud全体またはプロダクト固有の制限、または機能の制限について説明します。これには、IRS 1075 フォルダのデータ境界にデフォルトで設定されている組織ポリシーの制約も含まれます。デフォルトで設定されていない場合でも、その他の適用可能な組織のポリシーの制約により、組織の Google Cloud リソースをさらに保護するための多層防御を追加できます。

Google Cloud幅

影響を受ける Google Cloud全体の機能

機能 説明
Google Cloud コンソール IRS 1075 コントロール パッケージのデータ境界を使用しているときに Google Cloud コンソールにアクセスするには、管轄区域の Google Cloud コンソールを使用できます。IRS 1075 用のデータ境界には管轄区域の Google Cloud コンソールは必要ありません。次のいずれかの URL を使用してアクセスできます。
詳細については、法域 Google Cloud コンソールのページをご覧ください。

Google Cloud全体の組織ポリシー制約

次の組織のポリシーの制約は、 Google Cloud全体に適用されます。

組織のポリシーの制約 説明
gcp.resourceLocations allowedValues リストの次のロケーションに設定します。
  • us-locations
  • us-central1
  • us-central2
  • us-east1
  • us-east4
  • us-east5
  • us-south1
  • us-west1
  • us-west2
  • us-west3
  • us-west4
この値は、新しいリソースの作成を選択した値に制限します。設定すると、選択したリージョン、マルチリージョン、ロケーションの外部にあるリージョン、マルチリージョン、ロケーションにリソースを作成できなくなります。一部のリソースは範囲外で制限できないため、リソース ロケーションの組織のポリシーの制約によって制限できるリソースの一覧については、リソース ロケーションのサポート対象サービスをご覧ください。

制限を緩くしてこの値を変更すると、準拠したデータ境界外でデータを作成または保存できるようになるため、データ所在地が損なわれる可能性があります。
gcp.restrictNonCmekServices 対象範囲内のすべての API サービス名のリストに設定します。次に例を示します。
  • bigquerydatatransfer.googleapis.com
上記の各サービスで、一部の機能が影響を受ける場合があります。

各サービスには、顧客管理の暗号鍵(CMEK)が必要です。CMEK を使用すると、Google のデフォルトの暗号化メカニズムではなく、ユーザーが管理している鍵で保存データを暗号化できます。

リストから 1 つ以上の対象サービスを削除してこの値を変更すると、データ主権が損なわれる可能性があります。新しい保管中のデータは、ユーザーではなく Google 独自の鍵を使用して自動的に暗号化されます。既存の保存データは、指定した鍵によって暗号化されます。
gcp.restrictServiceUsage すべてのサポートされているプロダクトと API エンドポイントを許可するように設定します。

リソースへのランタイム アクセスを制限することで、使用できるサービスを決定します。詳細については、リソースの使用量の制限をご覧ください。
gcp.restrictTLSVersion 次の TLS バージョンを拒否するように設定します。
  • TLS_1_0
  • TLS_1_1
詳細については、TLS バージョンを制限するページをご覧ください。

BigQuery

影響を受ける BigQuery の機能

機能 説明
新しいフォルダで BigQuery を有効にする BigQuery はサポートされていますが、内部構成プロセスにより、Assured Workloads フォルダ新規作成時には自動的には有効になりません。通常、このプロセスは 10 分で完了しますが、状況によってはさらに時間がかかることもあります。プロセスが完了したかどうかを確認し、BigQuery を有効にするには、次の操作を行います。
  1. Google Cloud コンソールで、[Assured Workloads] ページに移動します。

    Assured Workloads に移動

  2. リストから新しい Assured Workloads フォルダを選択します。
  3. [フォルダの詳細] ページの [許可されたサービス] セクションで、[利用可能なアップデートを確認] をクリックします。
  4. [許可されているサービス] ペインで、フォルダのリソース使用量の制限組織ポリシーに追加するサービスを確認します。BigQuery サービスが表示されている場合は、 サービスを許可するをクリックし、これを追加します。

    BigQuery サービスがリストに表示されていない場合は、内部プロセスが完了するまで待ちます。フォルダの作成から 12 時間以内にサービスが表示されない場合は、Cloud カスタマーケアにお問い合わせください。

有効化プロセスが完了すると、Assured Workloads フォルダで BigQuery を使用できるようになります。

Gemini in BigQuery は Assured Workloads ではサポートされていません。

サポートされていない機能 次の BigQuery 機能はサポートされていないため、BigQuery CLI では使用しないでください。Assured Workloads に対して、これらを BigQuery で使用しないようにすることはお客様の責任です。
BigQuery CLI BigQuery CLI がサポートされています。

Google Cloud SDK テクニカル データのデータリージョン指定の保証を維持するには、Google Cloud SDK バージョン 403.0.0 以降を使用する必要があります。現在の Google Cloud SDK のバージョンを確認するには、gcloud --version を実行してから gcloud components update を実行し、最新バージョンに更新します。
管理機能 BigQuery はサポートされていない API を無効にしますが、Assured Workloads フォルダを作成するのに十分な権限を持つ管理者は、サポートされていない API を有効にできます。この場合、Assured Workloads モニタリング ダッシュボードで、コンプライアンス違反の可能性がある旨が通知されます。
データの読み込み Google Software as a Service(SaaS)アプリ、外部クラウド ストレージ プロバイダ、データ ウェアハウス用の BigQuery Data Transfer Service コネクタはサポートされていません。IRS 1075 ワークロードのデータ境界に対して、BigQuery Data Transfer Service コネクタを使用しないようにすることは、お客様の責任です。
サードパーティ転送 BigQuery は、BigQuery Data Transfer Service のサードパーティ転送のサポートを検証しません。BigQuery Data Transfer Service のサードパーティ転送を使用する際のサポート確認は、お客様の責任です。
非準拠 BQML モデル 外部でトレーニングされた BQML モデルはサポートされていません。
クエリジョブ クエリジョブは、Assured Workloads フォルダ内でのみ作成する必要があります。
他のプロジェクトのデータセットに対するクエリ BigQuery では、Assured Workloads 以外のプロジェクトから Assured Workloads データセットへのクエリを防ぐことはできません。Assured Workloads データに対して読み取りや結合を行うクエリはすべて、Assured Workloads フォルダに配置する必要があります。ユーザーは、BigQuery CLI で projectname.dataset.table を使用して、クエリ結果の完全修飾されたテーブル名を指定できます。
Cloud Logging BigQuery は、一部のログデータに対して Cloud Logging を利用します。コンプライアンスを維持するには、_default ロギング バケットを無効にするか、次のコマンドを使用して _default バケットを対象範囲内のリージョンに制限する必要があります。

gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink

詳細については、ログをリージョン化するをご覧ください。

Compute Engine

影響を受ける Compute Engine の機能

機能 説明
VM インスタンスの一時停止および再開 この機能は無効になっています。

VM インスタンスの一時停止と再開には永続ディスク ストレージが必要です。停止状態の VM の状態を保存するために使用される永続ディスク ストレージは、現在、CMEK を使用して暗号化できません。この機能を有効にした場合のデータ主権とデータ所在地の影響については、上記の gcp.restrictNonCmekServices 組織ポリシーの制約をご覧ください。
ローカル SSD この機能は無効になっています。

現在、ローカル SSD は CMEK を使用して暗号化できないため、ローカル SSD を使用してインスタンスを作成できません。この機能を有効にした場合のデータ主権とデータ所在地の影響については、上記の gcp.restrictNonCmekServices 組織ポリシーの制約をご覧ください。
ゲスト環境 ゲスト環境に含まれているスクリプト、デーモン、バイナリが、暗号化されていない保存中および使用中のデータにアクセスすることは可能です。VM の構成によっては、このソフトウェアの更新がデフォルトでインストールされることがあります。各パッケージの内容、ソースコードなどの詳細については、ゲスト環境をご覧ください。

これらのコンポーネントは、内部のセキュリティ管理とプロセスを通じてデータ主権を満たすのに役立ちます。ただし、追加の制御が必要な場合は、独自のイメージまたはエージェントを選択して、compute.trustedImageProjects 組織ポリシーの制約をオプションとして使用することもできます。

詳細については、カスタム イメージのビルドのページをご覧ください。
VM Manager の OS ポリシー OS ポリシー ファイル内のインライン スクリプトとバイナリ出力ファイルは、顧客管理の暗号鍵(CMEK)を使用して暗号化されません。そのため、これらのファイルに機密情報を含めないでください。または、これらのスクリプトと出力ファイルを Cloud Storage バケットに保存することを検討してください。詳細については、OS ポリシーの例をご覧ください。

インライン スクリプトまたはバイナリ出力ファイルを使用する OS ポリシー リソースの作成または変更を制限する場合は、constraints/osconfig.restrictInlineScriptAndOutputFileUsage 組織のポリシー制約を有効にします。

詳細については、 OS Config の制約をご覧ください。

Compute Engine の組織のポリシーの制約

組織のポリシーの制約 説明
compute.disableGlobalCloudArmorPolicy True に設定します。

新しいグローバル Google Cloud Armor セキュリティ ポリシーの作成と、既存のグローバル Google Cloud Armor セキュリティ ポリシーへのルールの追加または変更を無効にします。この制約は、ルールの削除や、グローバル Google Cloud Armor セキュリティ ポリシーの説明と一覧取得の削除または変更を制限するものではありません。リージョン Google Cloud Armor セキュリティ ポリシーは、この制約の影響を受けません。この制約の適用前から存在するグローバル セキュリティ ポリシーとリージョン セキュリティ ポリシーは引き続き有効です。

compute.disableGlobalLoadBalancing True に設定します。

グローバル ロード バランシング プロダクトの作成を無効にします。

この値を変更すると、ワークロードのデータ所在地またはデータ主権に影響する可能性があります。
compute.restrictNonConfidentialComputing

(省略可)値が設定されていません。多層防御を提供するには、この値を設定します。詳細については、Confidential VM のドキュメントをご覧ください。

compute.trustedImageProjects

(省略可)値が設定されていません。多層防御を提供するには、この値を設定します。

この値を設定すると、イメージ ストレージとディスクのインスタンス化が、指定されたプロジェクトのリストに制限されます。この値は、未承認のイメージやエージェントの使用を防ぐことでデータ主権に影響を与えます。

Cloud Run functions

Cloud Run functions の組織のポリシーの制約

組織のポリシーの制約 説明
cloudfunctions.restrictAllowedGenerations 新しい Cloud Run functions リソースの作成に使用できる次の Cloud Run functions の生成を拒否するように設定します。
  • 1stGen
詳細については、プロダクトのバージョンによって新しいデプロイを制限するをご覧ください。

Cloud Interconnect

影響を受ける Cloud Interconnect の機能

機能 説明
高可用性(HA)VPN Cloud VPN で Cloud Interconnect を使用する場合は、高可用性(HA)VPN 機能を有効にする必要があります。また、影響を受ける Cloud VPN の機能セクションに記載されている暗号化と地域化の要件にも準拠する必要があります。

Cloud KMS

Cloud KMS の組織のポリシーに関する制約

組織のポリシーの制約 説明

Cloud Logging

影響を受ける Cloud Logging の機能

機能 説明
ログシンク フィルタに顧客データを含めないでください。

ログシンクには、構成として格納されるフィルタが含まれます。顧客データを含むフィルタは作成しないでください。
ライブ テーリング ログエントリ フィルタに顧客データを含めないでください。

ライブ テーリング セッションには、構成として格納されたフィルタが含まれます。テーリングログによって、ログエントリのデータが保存されることはありませんが、リージョン間でデータをクエリして送信できます。顧客データを含むフィルタは作成しないでください。

Cloud Monitoring

影響を受ける Cloud Monitoring の機能

機能 説明
合成モニター この機能は無効になっています。
稼働時間チェック この機能は無効になっています。

Cloud Run

影響を受ける Cloud Run の機能

機能 説明
サポートされていない機能 次の Cloud Run 機能はサポートされていません。

Speech-to-Text

影響を受ける Speech-to-Text の機能

機能 説明
カスタム Speech-to-Text モデル カスタム音声文字変換モデルは IRS 1075 のデータ境界に準拠していないため、カスタム音声文字変換モデルを使用しないようにすることはお客様の責任です。

Cloud VPN

影響を受ける Cloud VPN の機能

機能 説明
VPN エンドポイント 対象範囲内のリージョンにある Cloud VPN エンドポイントのみを使用する必要があります。VPN ゲートウェイが対象範囲内のリージョンでのみ使用されるように構成されていることを確認します。

次のステップ