Assured Workloads フォルダで違反をモニタリングする

Assured Workloads は、フォルダのコンプライアンス プログラムの要件と次の詳細を比較し、Assured Workloads フォルダのコンプライアンス違反を積極的にモニタリングします。

  • 組織のポリシー: 各 Assured Workloads フォルダは、コンプライアンスの確保に役立つ特定の組織のポリシー制約設定で構成されています。これらの設定が非準拠の方法で変更されると、違反が発生します。詳細については、モニタリング対象の組織ポリシー違反セクションをご覧ください。
  • リソース: Assured Workloads フォルダの組織のポリシー設定によっては、フォルダの下のリソース(タイプやロケーションなど)が制限されることがあります。詳細については、モニタリング対象のリソース違反セクションをご覧ください。非準拠のリソースがある場合は、違反が発生します。

違反が発生した場合は、必要に応じて解決するか、例外を作成できます。違反には次の 3 つのステータスがあります。

Assured Workloads モニタリングは、Assured Workloads フォルダを作成すると自動的に有効になります。

準備

必要な IAM のロールと権限

組織のポリシー違反またはリソース違反を表示するには、次の権限を含む Assured Workloads フォルダに対する IAM ロールが付与されている必要があります。

  • assuredworkloads.violations.get
  • assuredworkloads.violations.list

これらの権限は、次の Assured Workloads IAM ロールに含まれます。

  • Assured Workloads 管理者roles/assuredworkloads.admin
  • Assured Workloads 編集者roles/assuredworkloads.editor
  • Assured Workloads 閲覧者roles/assuredworkloads.reader

リソース違反モニタリングを有効にするには、次の権限を含む Assured Workloads フォルダに対する IAM ロールが付与されている必要があります。

  • assuredworkloads.workload.update: この権限は、次のロールに含まれています。

    • Assured Workloads 管理者roles/assuredworkloads.admin
    • Assured Workloads 編集者roles/assuredworkloads.editor
  • resourcemanager.folders.setIamPolicy: この権限は、次のような管理者ロールに含まれています。

    • 組織管理者roles/resourcemanager.organizationAdmin
    • セキュリティ管理者roles/iam.securityAdmin

コンプライアンス違反の例外を提供するには、次の権限を含む Assured Workloads フォルダに対する IAM ロールが付与されている必要があります。

  • assuredworkloads.violations.update: この権限は、次のロールに含まれています。

    • Assured Workloads 管理者roles/assuredworkloads.admin
    • Assured Workloads 編集者roles/assuredworkloads.editor

さらに、組織のポリシーの違反を解決して監査ログを表示するには、次の IAM ロールが付与されている必要があります。

  • 組織のポリシー管理者roles/orgpolicy.policyAdmin
  • ログビューアroles/logging.viewer

違反に関するメール通知を設定します

コンプライアンス違反が発生した場合、解決された場合、または例外が発生した場合、デフォルトでは、重要な連絡先の [法務] カテゴリのメンバーにメールが送信されます。この動作は、法務チームが規制遵守の問題に対して常に最新の状態を保つ必要があるために必要です。

違反を管理するチーム(セキュリティ チームかそうでないかにかかわらず)は、法務カテゴリに連絡先として追加する必要があります。これにより、変更があったときにメール通知が送信されるようになります。

通知を有効または無効にする

特定の Assured Workloads フォルダの通知を有効または無効にするには:

  1. Google Cloud コンソールの [Assured Workloads] ページに移動します。

    Assured Workloads に移動

  2. [名前] 列で、通知設定を変更する Assured Workloads フォルダの名前をクリックします。

  3. [Assured Workloads モニタリング] カードで [通知を有効にする] チェックボックスをオフにして通知を無効にするか、それを選択してフォルダの通知を有効にします。

[Assured Workloads フォルダ] のページで、通知が無効になっているフォルダには [メール通知が無効] と表示されます。

組織内の違反を表示します

組織全体での違反は、Google Cloud コンソールと gcloud CLI の両方で確認できます。

コンソール

組織全体で発生する違反の数は、Google Cloud コンソールの [コンプライアンス] セクションの [Assured Workloads] ページ、または [コンプライアンス] セクションの [モニタリング] ページで確認できます。

Assured Workloads ページ

[Assured Workloads] ページに移動して、違反を一目で確認します。

Assured Workloads に移動

ページの上部に、組織のポリシー違反とリソース違反の概要が表示されます。[表示] リンクをクリックして、[モニタリング] ページに移動します。

リスト内の各 Assured Workloads フォルダについて、違反があれば [組織のポリシー違反] 列と [リソースの違反] 列に表示されます。未解決の違反には アイコンがアクティブになり、例外には アイコンがアクティブになります。違反や例外を選択すると、詳細が表示されます。

フォルダでリソース違反のモニタリングが有効になっていない場合は、[更新] 列で [リソース違反モニタリングを有効にする] リンクのある アイコンがアクティブになります。リンクをクリックしてこの機能を有効にします。また、Assured Workloads フォルダの詳細ページで [有効にする] ボタンをクリックして有効にすることもできます。

モニタリング ページ

[モニタリング] ページに移動して、違反の詳細を表示します。

[モニタリング] に移動

[組織のポリシー違反] と [リソース違反] の 2 つのタブが表示されます。複数の未解決の違反が存在する場合、タブで アイコンがアクティブになります。

どちらのタブでも、未解決の違反がデフォルトで表示されます。詳しくは、後述の違反の詳細を表示するセクションをご覧ください。

gcloud CLI

組織内の現在のコンプライアンス違反を一覧表示するには、次のコマンドを実行します。

gcloud assured workloads violations list --location=LOCATION --organization=ORGANIZATION_ID --workload=WORKLOAD_ID

ここで

レスポンスには、違反ごとに次の情報が含まれます。

  • 違反の監査ログリンク。
  • 違反が初めて発生したとき。
  • 違反のタイプ。
  • 違反についての説明。
  • 違反の名前。詳細を取得するために使用できます。
  • 影響を受ける組織のポリシーと関連するポリシー制約。
  • 違反の現在の状態。有効な値は未解決、解決済み、または例外です。

オプション フラグについては、Cloud SDK のドキュメントをご覧ください。

違反の詳細を表示する

特定のコンプライアンス違反とその詳細を表示するには、次の手順を行います。

コンソール

  1. Google Cloud コンソールで [Monitoring] ページに移動します。

    [モニタリング] に移動

    [モニタリング] ページで、[組織のポリシー違反] タブがデフォルトで選択されています。このタブには、組織内の Assured Workloads フォルダ全体の未解決のすべての組織のポリシー違反が表示されます。

    [リソース違反] タブには、組織内のすべての Assured Workloads フォルダ全体のリソースに関連付けられた未解決のすべての違反が表示されます。

  2. どちらのタブでも、[クイック フィルタ] オプションを使用して、違反ステータス、違反タイプ、コンプライアンス プログラム タイプ、違反タイプ、特定のフォルダ、特定の組織ポリシー制約、または特定のリソースでフィルタできます。

  3. いずれかのタブで既存の違反がある場合は、違反 ID をクリックして詳細を確認します。

[違反の詳細] ページから、次のタスクを実行できます。

  • 違反 ID をコピーします。

  • 違反が発生した Assured Workloads フォルダと、その最初の発生日時を表示します。

  • 監査ログを確認します。次のものが含まれます。

    • 違反が発生した日時。

    • 違反の原因となった変更ポリシーとその変更を行ったユーザー。

    • 例外が付与された場合、それを付与したユーザー。

    • 該当する場合は、違反が発生した特定のリソースを表示します。

  • 影響を受ける組織のポリシーを表示します。

  • コンプライアンス違反の例外を追加して確認します。

  • 修復手順に従って例外を解決します。

組織のポリシー違反では、次の情報も確認できます。

  • 影響を受ける組織のポリシー: コンプライアンス違反に関連付けられた特定のポリシーを表示するには、[ポリシーを表示] をクリックします。
  • 子リソース違反: リソースベースの組織のポリシー違反は、子リソース違反を引き起こす可能性があります。子リソース違反を表示または解決するには、[違反 ID] をクリックします。

リソース違反では、次の情報も確認できます。

  • 親組織のポリシー違反: 親組織のポリシー違反が子リソース違反の原因である場合は、親レベルで対処する必要があります。親違反の詳細を表示するには、[違反を表示] をクリックします。
  • 現在リソース違反を引き起こしている特定のリソースの他の違反も表示されます。

gcloud CLI

コンプライアンス違反の詳細を表示するには、次のコマンドを実行します。

gcloud assured workloads violations describe VIOLATION_PATH

VIOLATION_PATH は次の形式になります。

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

VIOLATION_PATH は、違反ごとに list レスポンスの name フィールドに返されます。

レスポンスには次の情報が含まれます。

  • 違反の監査ログリンク。

  • 違反が初めて発生したとき。

  • 違反のタイプ。

  • 違反についての説明。

  • 影響を受ける組織のポリシーと関連するポリシー制約。

  • 違反を解決するための修復手順。

  • 違反の現在の状態。有効な値は unresolvedresolvedexception です。

オプションのフラグについては、Cloud SDK のドキュメントをご覧ください。

違反を解決する

違反を修復するには、次の手順を行います。

コンソール

  1. Google Cloud コンソールで [Monitoring] ページに移動します。

    [モニタリング] に移動

  2. 違反 ID をクリックすると、詳細情報が表示されます。

  3. [修復] セクションでGoogle Cloud コンソールまたは CLI の指示に従って問題を解決します。

gcloud CLI

  1. gcloud CLI を使用して違反の詳細を表示します

  2. レスポンスの修復手順に沿って違反を解消してください。

違反の例外を追加する

違反は、特定の状況で有効である場合があります。次の手順で、違反の例外を 1 つ以上追加できます。

コンソール

  1. Google Cloud コンソールで [Monitoring] ページに移動します。

    [モニタリング] に移動

  2. [違反 ID] 列で、例外を追加する違反をクリックします。

  3. [例外] セクションで [新しく追加] をクリックします。

  4. 例外に対するビジネス上の正当な理由を入力します。すべての子リソースに例外を適用する場合は、[既存のすべての子リソース違反に適用する] チェックボックスをオンにして、[送信] をクリックします。

  5. 必要に応じて、これらの手順を繰り返して [新しく追加] をクリックすることで、例外を追加できます。

違反ステータスが [例外] に設定されます。

gcloud CLI

違反の例外を追加するには、次のコマンドを実行します。

gcloud assured workloads violations acknowledge VIOLATION_PATH --comment="BUSINESS_JUSTIFICATION"

BUSINESS_JUSTIFICATION は例外の理由で、VIOLATION_PATH は次の形式になります。

ORGANIZATION_ID/locations/LOCATION/workloads/WORKLOAD_ID/violations/VIOLATION_ID

VIOLATION_PATH は、違反ごとに list レスポンスの name フィールドに返されます。

コマンドが正常に送信されると、違反ステータスは [例外] に設定されます。

モニタリング対象の組織ポリシー違反

Assured Workloads は、Assured Workloads フォルダに適用されるコンプライアンス プログラムに応じて、さまざまな組織のポリシーの制約違反をモニタリングします。次のリストを使用して、影響を受けるコンプライアンス プログラムによって違反をフィルタリングします。

組織のポリシーの制約 違反のタイプ Description 影響を受けるコンプライアンス プログラム
Cloud SQL データへの非準拠のアクセス Access

非準拠の Cloud SQL 診断データへの非準拠アクセスが許可されている場合に発生します。

この違反は、コンプライアンス プログラムの sql.restrictNoncompliantDiagnosticDataAccess 制約の準拠値を変更したことが原因で発生します。

EU リージョンとサポート(主権管理あり)
Compute Engine データへの非準拠のアクセス Access

Compute Engine インスタンス データへの非準拠アクセスが許可されている場合に発生します。

この違反は、コンプライアンス プログラムの compute.disableInstanceDataAccessApis 制約の準拠値を変更したことが原因で発生します。

CJIS
EU リージョンとサポート(主権管理あり)
ITAR
非準拠の Cloud Storage 認証タイプ Access

準拠していない認証タイプの Cloud Storage での使用が許可されている場合に発生します。

この違反は、コンプライアンス プログラムの storage.restrictAuthTypes 制約の準拠値を変更したことが原因で発生します。

EU リージョンとサポート(主権管理あり)
Cloud Storage バケットへの非準拠アクセス Access

Cloud Storage への非準拠の不均一なバケットレベルのアクセスが許可されている場合に発生します。

この違反は、コンプライアンス プログラムの storage.uniformBucketLevelAccess 制約の準拠値を変更したことが原因で発生します。

EU リージョンとサポート(主権管理あり)
GKE データへの非準拠アクセス Access

GKE 診断データへの非準拠アクセスが許可されている場合に発生します。

この違反は、コンプライアンス プログラムの container.restrictNoncompliantDiagnosticDataAccess 制約の準拠値を変更したことが原因で発生します。

EU リージョンとサポート(主権管理あり)
IL4
IL5
ITAR
非準拠の Compute Engine の診断機能 構成

非準拠の Compute Engine 診断機能が有効になっている場合に発生します。

この違反は、コンプライアンス プログラムの compute.enableComplianceMemoryProtection 制約の準拠値を変更したことが原因で発生します。

EU リージョンとサポート(主権管理あり)
ITAR
非準拠の Compute Engine グローバル ロード バランシングの設定 構成

Compute Engine のグローバル ロード バランシング設定に非準拠の値が設定されている場合に発生します。

この違反は、コンプライアンス プログラムの compute.disableGlobalLoadBalancing 制約の準拠値を変更したことが原因で発生します。

ITAR
非準拠の Compute Engine FIPS 設定 構成

Compute Engine の FIPS 設定に非準拠の値が設定されている場合に発生します。

この違反は、コンプライアンス プログラムの compute.disableNonFIPSMachineTypes 制約の準拠値を変更したことが原因で発生します。

ITAR
非準拠の Compute Engine SSL 設定 構成

グローバル セルフマネージド証明書に非準拠の値が設定されている場合に発生します。

この違反は、コンプライアンス プログラムの compute.disableGlobalSelfManagedSslCertificate 制約の準拠値を変更したことが原因で発生します。

ITAR
ブラウザ設定での非準拠の Compute Engine SSH 構成

Compute Engine のブラウザ機能内の SSH に非準拠の値が設定されている場合に発生します。

この違反は、コンプライアンス プログラムの compute.disableSshInBrowser 制約の準拠値を変更したことが原因で発生します。

EU リージョンとサポート(主権管理あり)
非準拠の Cloud SQL リソースの作成 構成

非準拠の Cloud SQL リソースの作成が許可されている場合に発生します。

この違反は、コンプライアンス プログラムの sql.restrictNoncompliantResourceCreation 制約の準拠値を変更したことが原因で発生します。

EU リージョンとサポート(主権管理あり)
Cloud KMS 鍵の制限がない 暗号化

CMEK に暗号鍵を提供するためのプロジェクトが指定されていない場合に発生します。

この違反は、コンプライアンス プログラムの gcp.restrictCmekCryptoKeyProjects 制約の準拠値を変更したことが原因で発生します。これにより、未承認のフォルダまたはプロジェクトが暗号鍵を提供できなくなります。

EU リージョンとサポート(主権管理あり)
ITAR
CJIS
非準拠の CMEK が有効になっていないサービス 暗号化

CMEK をサポートしていないサービスがワークロードで有効になっている場合に発生します。

この違反は、コンプライアンス プログラムの gcp.restrictNonCmekServices 制約の準拠値を変更したことが原因で発生します。

EU リージョンとサポート(主権管理あり)
ITAR
CJIS
非準拠の Cloud KMS 保護レベル 暗号化

Cloud Key Management Service(Cloud KMS)で使用するために非準拠の保護レベルが指定されている場合に発生します。詳細については、Cloud KMS のリファレンスをご覧ください。

この違反は、コンプライアンス プログラムの cloudkms.allowedProtectionLevels 制約の準拠値を変更したことが原因で発生します。

EU リージョンとサポート(主権管理あり)
非準拠のリソース ロケーション リソース ロケーション

特定の Assured Workloads コンプライアンス プログラム用にサポートされているサービスのリソースが、ワークロードの許可されたリージョン外で作成されたか、許可されているロケーションから許可されていないロケーションに移動された場合に発生します。

この違反は、コンプライアンス プログラムの gcp.resourceLocations 制約の準拠値を変更したことが原因で発生します。

Assured Support を利用できるオーストラリア リージョン
カナダ保護 B
カナダ リージョンとサポート
CJIS
EU リージョンとサポート
EU リージョンとサポート(主権管理あり)
FedRAMP Moderate
FedRAMP High
HIPAA(プレビュー版)
HITRUST(プレビュー版)
IL4
IL5
イスラエル リージョンとサポート
ITAR
日本リージョン
米国リージョンとサポート
非準拠のサービス サービスの使用状況

ユーザーが、Assured Workloads フォルダ内の特定の Assured Workloads コンプライアンス プログラムによってサポートされていないサービスを有効にした場合に発生します。

この違反は、コンプライアンス プログラムの gcp.restrictServiceUsage 制約の準拠値を変更したことが原因で発生します。

Assured Support を利用できるオーストラリア リージョン
カナダ保護 B
カナダ リージョンとサポート
CJIS
EU リージョンとサポート
EU リージョンとサポート(主権管理あり)
FedRAMP Moderate
FedRAMP High
HIPAA(プレビュー版)
HITRUST(プレビュー版)
IL4
IL5
イスラエル リージョンとサポート
ITAR
日本リージョン
米国リージョンとサポート

モニタリング対象のリソース違反

Assured Workloads は、Assured Workloads フォルダに適用されるコンプライアンス プログラムに応じて、さまざまなリソース違反をモニタリングします。次のリストを使用して、影響を受けるコンプライアンス プログラムによって違反をフィルタリングします。

組織のポリシーの制約 Description 影響を受けるコンプライアンス プログラム
非準拠のリソース ロケーション

リソースのロケーションが非準拠のリージョンにある場合に発生します。

この違反は、gcp.resourceLocations の制約が原因で発生します。

Assured Support を利用できるオーストラリア リージョン
カナダ保護 B
カナダ リージョンとサポート
CJIS
EU リージョンとサポート
EU リージョンとサポート(主権管理あり)
FedRAMP Moderate
FedRAMP High
HIPAA(プレビュー版)
HITRUST(プレビュー版)
IL4
IL5
イスラエル リージョンとサポート
ITAR
日本リージョン
米国リージョンとサポート
フォルダ内の非準拠のリソース

サポートされていないサービスのリソースが Assured Workloads フォルダに作成された場合に発生します。

この違反は、gcp.restrictServiceUsage の制約が原因で発生します。

Assured Support を利用できるオーストラリア リージョン
カナダ保護 B
カナダ リージョンとサポート
CJIS
EU リージョンとサポート
EU リージョンとサポート(主権管理あり)
FedRAMP Moderate
FedRAMP High
HIPAA(プレビュー版)
HITRUST(プレビュー版)
IL4
IL5
イスラエル リージョンとサポート
ITAR
日本リージョン
米国リージョンとサポート

次のステップ