ITAR に関する制限事項
このページでは、ITAR コントロール パッケージを使用する際の制限、制限事項、その他の構成オプションについて説明します。
概要
国際武器取引規則(ITAR)コントロール パッケージは、対象範囲内の Google Cloud サービスのデータアクセス制御と所在地機能を有効にします。これらのサービスの一部の機能は、ITAR との互換性を確保するため、Google によって制限または制限されています。これらの制限と制限事項のほとんどは、ITAR 用に新しい Assured Workloads フォルダを作成するときに適用されますが、一部は組織のポリシーを変更することで後で変更できます。 さらに、一部の制限や制約については、ユーザーの責任のもとで遵守する必要があります。
これらの制限が特定の Google Cloud サービスの動作を変更する仕組みや、データアクセスまたはデータ所在地に影響する仕組みを理解することは重要です。たとえば、データアクセスの制限やデータ所在地を維持するために、一部の機能を自動的に無効にできます。また、組織のポリシーの設定が変更された場合、あるリージョンから別のリージョンにデータをコピーすると、意図しない結果が生じる可能性があります。
前提条件
ITAR コントロール パッケージのユーザーとしてコンプライアンスを維持するには、次の前提条件を満たし、遵守していることを確認してください。
- Assured Workloads を使用して ITAR フォルダを作成し、そのフォルダにのみ ITAR ワークロードをデプロイします。
- ITAR ワークロードに対して、対象範囲内の ITAR サービスのみを有効にして使用します。
- 発生する可能性があるデータ所在地のリスクを理解し、それを受け入れる場合を除いて、デフォルトの組織のポリシーの制約値は変更しないでください。
- Google Cloud サービス エンドポイントに接続する場合は、それを提供するサービスにリージョン エンドポイントを使用する必要があります。さらに:
- オンプレミスまたは他のクラウド プロバイダの VM など、Google Cloud 以外の VM から Google Cloud サービス エンドポイントに接続する場合は、使用可能ないずれかのプライベート アクセス オプションを使用する必要があります。ここでは、Google Cloud 以外の VM への接続をサポートし、Google Cloud 以外のトラフィックを Google Cloud にルーティングします。
- Google Cloud VM から Google Cloud サービス エンドポイントに接続する場合は、使用可能な任意のプライベート アクセス オプションを使用できます。
- 外部 IP アドレスで公開されている Google Cloud VM に接続する場合は、外部 IP アドレスを持つ VM から API にアクセスするをご覧ください。
- ITAR フォルダで使用されるすべてのサービスでは、次のユーザー定義またはセキュリティ構成情報タイプに技術データを保存しないでください。
- エラー メッセージ
- コンソール出力
- 属性データ
- サービス構成データ
- ネットワーク パケット ヘッダー
- リソース ID
- データラベル
- サービスを提供するサービスには、指定されたリージョン エンドポイントまたはロケーション エンドポイントのみを使用します。対象範囲内の ITAR サービスについては、こちらをご覧ください。
- Google Cloud セキュリティ ベスト プラクティス センターで提供されている一般的なセキュリティのベスト プラクティスを採用することを検討してください。
対象範囲内のサービス
ITAR と互換性があるサービスは次のとおりです。
- BigQuery
- Google Kubernetes Engine
- Identity and Access Management(IAM)
- Compute Engine
- Cloud SQL
- Cloud Storage
- Persistent Disk
- Cloud Load Balancing
- Cloud Logging
- Cloud VPN
- Virtual Private Cloud (VPC)
- VPC Service Controls
- Cloud Interconnect
- Cloud Router
- Identity-Aware Proxy
- Network Connectivity Center
- Cloud NAT
- Cloud DNS
- Cloud Key Management Service(Cloud KMS)
- Cloud External Key Manager(Cloud EKM)
- Cloud HSM
組織のポリシー
このセクションでは、ITAR を使用してフォルダまたはプロジェクトを作成するときに、各サービスがデフォルトの組織のポリシーの制約値に与える影響について説明します。他の適用可能な制約(デフォルトで設定されていなくても)により、追加の「多層防御」が提供され、組織の Google Cloud リソースの保護を強化できます。
クラウド組織全体のポリシーの制約
次の組織のポリシーの制約は、該当するすべての Google Cloud サービスに適用されます。
| 組織のポリシーの制約 | 説明 |
|---|---|
gcp.resourceLocations |
allowedValues リスト項目として in:us-locations に設定します。この値は、新しいリソースの作成を US の値グループのみに制限します。設定すると、米国以外のリージョン、マルチリージョン、ロケーションにリソースを作成できなくなります。詳細については、組織のポリシーの値のグループのドキュメントをご覧ください。 この値を制限すると、米国データ境界外でデータを作成または保存できるようになり、データ所在地が損なわれる可能性があります。たとえば、 in:us-locations 値グループを in:northamerica-locations 値グループに置き換えます。 |
gcp.restrictNonCmekServices |
以下を含む、対象範囲内のすべての API サービス名のリストに設定します。
各サービスには、顧客管理の暗号鍵(CMEK)が必要です。 CMEK により、保存データは、Google のデフォルトの暗号化メカニズムではなく、ユーザーが管理する鍵で暗号化されます。 リストから 1 つ以上の対象サービスを削除してこの値を変更すると、データ主権のデータが損なわれる可能性があります。新しい保管中のデータは、ユーザーではなく Google 独自の鍵を使用して自動的に暗号化されます。既存の保存データは、指定した鍵によって暗号化されます。 |
gcp.restrictCmekCryptoKeyProjects |
作成した ITAR フォルダの下にあるすべてのリソースに設定します。 CMEK を使用して保管中のデータを暗号化するために KMS 鍵を提供できる承認済みフォルダまたはプロジェクトの範囲を制限します。この制約により、承認されていないフォルダまたはプロジェクトが暗号鍵を提供できなくなるため、対象範囲内のサービスの保管中のデータのデータ主権を保証できます。 |
gcp.restrictServiceUsage |
すべてのスコープ内サービスを許可するように設定します。 有効にして使用できるサービスを決定します。詳細については、ワークロードのリソース使用量を制限するをご覧ください。 |
Compute Engine の組織のポリシーに関する制約
| 組織のポリシーの制約 | 説明 |
|---|---|
compute.disableGlobalLoadBalancing |
True に設定します。 グローバル ロード バランシング サービスの作成を無効にします。 この値を変更すると、ワークロード内のデータ所在地に影響する可能性があります。設定値を保持することをおすすめします。 |
compute.disableGlobalSelfManagedSslCertificate |
True に設定します。 グローバル セルフマネージド SSL 証明書の作成を無効にします。 この値を変更すると、ワークロード内のデータ所在地に影響する可能性があります。設定値を保持することをおすすめします。 |
compute.disableInstanceDataAccessApis |
True に設定します。instances.getSerialPortOutput() API と instances.getScreenshot() API をグローバルに無効にします。この組織のポリシーを有効にすると、Windows Server VM で認証情報が生成されなくなります。 Windows VM でユーザー名とパスワードを管理する必要がある場合は、次の手順を行います。
|
compute.disableNestedVirtualization |
True に設定します。 ITAR フォルダ内のすべての Compute Engine VM に対するハードウェア アクセラレーションによりネストされた仮想化を無効にします。 この値を変更すると、ワークロード内のデータ所在地に影響する可能性があります。設定値を保持することをおすすめします。 |
compute.enableComplianceMemoryProtection |
True に設定します。 インフラストラクチャ障害の発生時にメモリ コンテンツに対する保護を強化するため、一部の内部診断機能を無効にします。 この値を変更すると、ワークロード内のデータ所在地に影響する可能性があります。設定値を保持することをおすすめします。 |
compute.restrictNonConfidentialComputing |
(省略可)値が設定されていません。多層防御を提供するには、この値を設定します。 詳細については、Confidential VM のドキュメントをご覧ください。 |
compute.restrictLoadBalancerCreationForTypes |
GLOBAL_EXTERNAL_MANAGED_HTTP_HTTPS を除くすべての値を許可するように設定します。詳細については、
ロードバランサの選択をご覧ください。 |
Google Kubernetes Engine の組織のポリシーの制約
| 組織のポリシーの制約 | 説明 |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
True に設定します。 カーネルは、ワークロードの主権管理を維持するために、集約された問題の分析を無効にするために使用されます。 この値を変更すると、ワークロードのデータ主権に影響する可能性があります。設定値を保持することをおすすめします。 |
影響を受ける機能
このセクションでは、機能を使用する際のユーザー要件など、各サービスの機能が ITAR によってどのように影響を受けるかについて説明します。
BigQuery の特長
| 特徴 | 説明 |
|---|---|
| 新しいフォルダで BigQuery を有効にする | BigQuery はサポートされていますが、内部構成プロセスにより、新しい Assured Workloads フォルダを作成しても自動的に有効になりません。通常、このプロセスは 10 分で完了しますが、状況によってはさらにそれ以上かかることもあります。プロセスが完了したかどうかを確認し、BigQuery を有効にするには、次の手順を行います。
有効化プロセスが完了すると、Assured Workloads フォルダで BigQuery を使用できるようになります。 |
| サポートされていない機能 | 次の BigQuery 機能は ITAR コンプライアンスではサポートされていないため、BigQuery CLI では使用しないでください。お客様は、ITAR ワークロードに対して BigQuery でこれらを使用しない責任があります。
|
| サポートされていない統合 | 次の BigQuery 統合は、ITAR コンプライアンスではサポートされていません。お客様は、ITAR ワークロードに対して BigQuery でこれらを使用しない責任があります。
|
| 準拠している BigQuery API | ITAR に準拠しているのは、次の BigQuery API です。 |
| リージョン | BigQuery は、米国のマルチリージョンを除くすべての BigQuery 米国リージョンで ITAR に準拠しています。データセットが米国のマルチリージョン、米国以外のリージョン、または米国以外のマルチリージョンで作成された場合、ITAR コンプライアンスは保証されません。お客様は、BigQuery データセットの作成時に、ITAR 準拠のリージョンを指定する責任があります。 あるデータ リージョンを使用してテーブルデータ リスト リクエストを送信しても、そのデータセットが別のリージョンのリージョンで作成された場合、BigQuery はユーザーがどのリージョンとオペレーションを推測するか判断できません。エラーが発生し、「データセットが見つかりません」というエラー メッセージが表示されます。 |
| Google Cloud コンソール | Google Cloud コンソールの BigQuery ユーザー インターフェースは ITAR に準拠しています。 |
| BigQuery CLI | BigQuery CLI は ITAR に準拠しています。
|
| Google Cloud SDK | ITAR テクニカル データのデータリージョン指定の保証を維持するには、Google Cloud SDK バージョン 403.0.0 以降を使用する必要があります。現在の Google Cloud SDK のバージョンを確認するには、gcloud --version を実行してから gcloud components update を実行し、最新バージョンに更新します。 |
| 管理機能 | BigQuery では非準拠の API は無効になりますが、Assured Workloads フォルダを作成するのに十分な権限がある顧客管理者は、非準拠の API を有効にできます。その場合、Assured Workloads モニタリング ダッシュボードを通じて、コンプライアンス違反の可能性が通知されます。 |
| データの読み込み | Google Software as a Service(SaaS)アプリ、外部クラウド ストレージ プロバイダ、データ ウェアハウス用の BigQuery Data Transfer Service コネクタは、ITAR に準拠していません。ITAR ワークロードに BigQuery Data Transfer Service コネクタを使用しない責任はお客様にあります。 |
| サードパーティ転送 | BigQuery では、BigQuery Data Transfer Service のサードパーティ転送の ITAR コンプライアンスを検証しません。BigQuery Data Transfer Service のサードパーティ転送を使用する場合は、お客様の責任で ITAR への準拠を検証する必要があります。 |
| 遵守していない BQML モデル | 外部でトレーニングされた BQML モデルは ITAR に準拠していません。 |
| クエリジョブ | ITAR テクニカル データのクエリジョブは、ITAR プロジェクト内でのみ作成する必要があります。 |
| ITAR 以外のプロジェクトによる ITAR データセットに対するクエリ | BigQuery では、ITAR 以外のデータセットからクエリが実行されることはありません。ユーザーは、ITAR 技術データの読み取りまたは結合を持つクエリが ITAR 準拠のフォルダに配置されることを確認する必要があります。ユーザーは、BigQuery CLI で projectname.dataset.table を使用して、クエリ結果の完全修飾されたテーブル名を指定できます。 |
| Cloud Logging | BigQuery では、一部のお客様のログデータについて Cloud Logging が使用されます。 お客様は、次のコマンドを使用して _defaultAR ロギング バケットを無効にするか、_default バケットを米国リージョンに制限して ITAR コンプライアンスを維持する必要があります。gcloud alpha logging settings update --organization=ORGANIZATION_ID --disable-default-sink詳細については、このページをご覧ください。 |
Compute Engine の機能
| 特徴 | 説明 |
|---|---|
| Google Cloud コンソール | 次の Compute Engine の機能は、Google Cloud コンソールでは使用できません。代わりに API または Google Cloud CLI を使用します。
|
| Bare Metal Solution VM | Bare Metal Solution VM(o2 VM)は ITAR に準拠していないため、Bare Metal Solution VM を使用しないでください。 |
| Google Cloud VMware Engine VM | Google Cloud VMware Engine VM は ITAR に準拠していないため、Google Cloud VMware Engine VM を使用しないでください。 |
| C3 VM インスタンスを作成する | この機能は無効になっています。 |
| CMEK を使用せずに永続ディスクまたはそのスナップショットを使用する | CMEK を使用して暗号化されていない限り、永続ディスクまたはそのスナップショットは使用できません。 |
| ネストされた VM またはネストされた仮想化を使用する VM の作成 | ネストされた VM またはネストされた仮想化を使用する VM は作成できません。 この機能は、上記のセクションで説明した compute.disableNestedVirtualization 組織ポリシーの制約によって無効になっています。
|
| グローバル ロードバランサへのインスタンス グループの追加 | インスタンス グループをグローバル ロードバランサに追加することはできません。 この機能は、上記のセクションで説明した compute.disableGlobalLoadBalancing 組織ポリシーの制約によって無効になっています。 |
| マルチリージョンの外部 HTTPS ロードバランサにリクエストをルーティングする | マルチリージョンの外部 HTTPS ロードバランサにリクエストをルーティングすることはできません。 この機能は、上記のセクションで説明した compute.restrictLoadBalancerCreationForTypes 組織ポリシーの制約によって無効になっています。 |
| SSD 永続ディスクをマルチライター モードで共有する | SSD 永続ディスクは、VM インスタンス間でマルチライター モードで共有できません。 |
| VM インスタンスの一時停止および再開 | この機能は無効になっています。 VM インスタンスを一時停止および再開するには永続ディスク ストレージが必要であり、一時停止された VM 状態の保存に使用する永続ディスク ストレージは CMEK を使用して暗号化できません。この機能を有効にした場合のデータ所在地の影響については、前述のセクションの gcp.restrictNonCmekServices 組織のポリシーの制約をご覧ください。
|
| ローカル SSD | この機能は無効になっています。 ローカル SSD は CMEK を使用して暗号化できないため、ローカル SSD を使用してインスタンスを作成できません。この機能を有効にした場合のデータ所在地の影響については、前述のセクションの gcp.restrictNonCmekServices 組織のポリシーの制約をご覧ください。
|
| ゲスト環境 |
ゲスト環境に含まれているスクリプト、デーモン、バイナリが、暗号化されていない保存中および使用中のデータにアクセスすることは可能です。
VM 構成によっては、このソフトウェアへの更新がデフォルトでインストールされる場合があります。各パッケージの内容、ソースコードなどの詳細については、ゲスト環境をご覧ください。 これらのコンポーネントは、内部のセキュリティ管理とプロセスを通じてデータ所在地を満たすのに役立ちます。ただし、追加の制御が必要な場合は、独自のイメージまたはエージェントを選択して、 compute.trustedImageProjects 組織ポリシーの制約をオプションとして使用することもできます。
詳細については、 カスタム イメージの構築ページをご覧ください。 |
instances.getSerialPortOutput() |
この API は無効になっています。この API を使用して、指定されたインスタンスからシリアルポート出力を取得することはできません。 この API を有効にするには、 compute.disableInstanceDataAccessApis 組織のポリシー制約値を False に変更します。また、このページの手順に沿って、インタラクティブ シリアルポートを有効にして使用することもできます。
|
instances.getScreenshot() |
この API は無効になっています。この API を使用して、指定されたインスタンスからスクリーンショットを取得することはできません。 この API を有効にするには、 compute.disableInstanceDataAccessApis 組織のポリシー制約値を False に変更します。また、このページの手順に沿って、インタラクティブ シリアルポートを有効にして使用することもできます。
|
Cloud DNS 機能
| 特徴 | 説明 |
|---|---|
| Google Cloud コンソール | Cloud DNS 機能は、Google Cloud コンソールでは使用できません。代わりに API または Google Cloud CLI を使用します。 |
Cloud Interconnect の特長
| 特徴 | 説明 |
|---|---|
| Google Cloud コンソール | Cloud Interconnect の機能は、Google Cloud コンソールでは使用できません。代わりに API または Google Cloud CLI を使用してください。 |
| 高可用性(HA)VPN | Cloud VPN で Cloud Interconnect を使用する場合は、高可用性(HA)VPN 機能を有効にする必要があります。また、このセクションに記載されている暗号化とリージョン指定の要件に従う必要があります。 |
Cloud Load Balancing の機能
| 特徴 | 説明 |
|---|---|
| Google Cloud コンソール | Cloud Load Balancing の機能は、Google Cloud コンソールでは使用できません。代わりに API または Google Cloud CLI を使用してください。 |
| リージョン ロードバランサ | ITAR では、リージョン ロードバランサのみを使用する必要があります。リージョン ロードバランサの構成の詳細については、次のページをご覧ください。 |
Cloud Logging の機能
顧客管理の暗号鍵(CMEK)で Cloud Logging を使用するには、Cloud Logging ドキュメントの組織の CMEK を有効にするページの手順を完了する必要があります。
| 特徴 | 説明 |
|---|---|
| ログシンク | 機密情報(顧客データ)をシンクフィルタに入れないでください。シンクフィルタはサービスデータとして扱われます。 |
| ライブ テーリング ログエントリ | 顧客データを含むフィルタは作成しないでください。 ライブ テーリング セッションには、構成として格納されたフィルタが含まれます。 テーリングログによって、ログエントリのデータが保存されることはありませんが、リージョン間でデータをクエリして送信できます。 |
| ログベースのアラート | この機能は無効になっています。 Google Cloud コンソールでログベースのアラートを作成することはできません。 |
| ログ エクスプローラ クエリの短縮 URL | この機能は無効になっています。 Google Cloud コンソールでは、クエリの短縮 URL を作成できません。 |
| ログ エクスプローラにクエリを保存する | この機能は無効になっています。 Google Cloud コンソールではクエリを保存できません。 |
| BigQuery を使用したLog Analytics | この機能は無効になっています。 Log Analytics 機能は使用できません。 |
Network Connectivity Center の機能
| 特徴 | 説明 |
|---|---|
| Google Cloud コンソール | ネットワーク接続センターの機能は、Google Cloud コンソールでは使用できません。代わりに API または Google Cloud CLI を使用してください。 |
Cloud NAT の機能
| 特徴 | 説明 |
|---|---|
| Google Cloud コンソール | Cloud NAT 機能は Google Cloud コンソールでは使用できません。代わりに API または Google Cloud CLI を使用します。 |
Cloud Router の機能
| 特徴 | 説明 |
|---|---|
| Google Cloud コンソール | Cloud Router の機能は、Google Cloud コンソールでは使用できません。 代わりに API または Google Cloud CLI を使用してください。 |
Cloud SQL の機能
| 特徴 | 説明 |
|---|---|
| CSV へのエクスポート | CSV へのエクスポートは ITAR に準拠していないため、使用しないでください。この機能は Google Cloud コンソールでは無効になっています。 |
executeSql |
Cloud SQL API の executeSql メソッドは ITAR に準拠していないため、使用しないでください。 |
Cloud Storage の機能
| 特徴 | 説明 |
|---|---|
| Google Cloud コンソール | ITAR コンプライアンスを維持するには、Google Cloud コンソールの使用をお客様の責任で行っていただく必要があります。管轄 コンソールでは、Cloud Storage オブジェクトのアップロードとダウンロードができません。Cloud Storage オブジェクトをアップロードしてダウンロードするには、以下の準拠 API エンドポイントの行をご覧ください。 |
| 準拠している API エンドポイント | Cloud Storage では、ITAR 準拠のロケーション エンドポイントのいずれかを使用する必要があります。ロケーション エンドポイントは、すべての US リージョン、US マルチリージョン、NAM4 のデュアルリージョンで使用できます。 ロケーション エンドポイントは、NAM4 デュアルリージョン以外のデュアルリージョンでは使用できません。Cloud Storage 内のロケーションの詳細については、こちらのページをご覧ください。
|
| 制限事項 | ITAR に準拠するには、Cloud Storage のロケーション エンドポイントを使用する必要があります。ITAR 用の Cloud Storage ロケーション エンドポイントの詳細については、ITAR コンプライアンス用のロケーション エンドポイントをご覧ください。 次のオペレーションは、ロケーション エンドポイントではサポートされていません。ただし、これらのオペレーションでは、データ所在地に関するサービス規約で定義されている顧客データを扱いません。したがって、ITAR コンプライアンスに違反することなく、必要に応じてこれらのオペレーションにグローバル エンドポイントを使用できます。 |
| オブジェクトのコピーと書き換え | 送信元バケットと送信先バケットの両方がエンドポイントで指定されたリージョンにある場合、オブジェクトのコピーと書き換えオペレーションはロケーション エンドポイントでサポートされます。 ただし、バケットが複数のロケーションに存在する場合は、ロケーション エンドポイントを使用してバケット間でオブジェクトをコピーまたはリライトすることはできません。グローバル エンドポイントを使用してロケーション間でコピーや書き換えを行うことはできますが、おすすめしません。ITAR コンプライアンスに違反する可能性があります。 |
GKE の特長
| 特徴 | 説明 |
|---|---|
| クラスタ リソースの制限 | ITAR コンプライアンス プログラムでサポートされていないサービスのクラスタ構成が、クラスタ構成で使用されていないことを確認してください。たとえば、次の構成は、サポートされていないサービスを有効にするか使用する必要があるため、無効です。
set `binaryAuthorization.evaluationMode` to `enabled`
|
VPC の機能
| 特徴 | 説明 |
|---|---|
| Google Cloud コンソール | VPC ネットワーキング機能は、Google Cloud コンソールでは使用できません。代わりに API または Google Cloud CLI を使用してください。 |
Cloud VPN の機能
| 特徴 | 説明 |
|---|---|
| Google Cloud コンソール | Cloud VPN 機能は、Google Cloud コンソールでは使用できません。代わりに API または Google Cloud CLI を使用してください。 |
| 暗号化 | 証明書を作成し、IP セキュリティを構成する場合は、FIPS 140-2 準拠の暗号のみを使用する必要があります。Cloud VPN でサポートされている暗号の詳細については、こちらのページをご覧ください。FIPS 140-2 標準に準拠した暗号の選択に関するガイダンスについては、こちらのページをご覧ください。 現在、Google Cloud の既存の暗号を変更する方法はありません。 Cloud VPN で使用されているサードパーティ アプライアンスで暗号を構成します。 |
| VPN エンドポイント | 米国内にある Cloud VPN エンドポイントのみを使用する必要があります。 VPN ゲートウェイが US リージョンでのみ使用されるように構成されていることを確認します。 |
次のステップ
- ITAR コントロール パッケージについて学習する。
- 各コントロール パッケージでサポートされているプロダクトを確認する。