Assured Workloads における責任の共有

このページでは、Assured Workloads における責任の共有について説明します。 Google Cloudにおける責任の共有に関する一般的な情報については、 Google Cloudにおける責任の共有と運命の共有をご覧ください。

データに対する責任の共有

お客様は、ビジネスのセキュリティと規制の要件、そして機密データやリソースを保護する要件を把握するエキスパートです。 Google Cloudでワークロードを実行する場合は、機密データと各ワークロードを保護するために、 Google Cloud で構成する必要のあるセキュリティ コントロールを特定する必要があります。実装するセキュリティ コントロールを決定するには、次の要素を考慮する必要があります。

  • 法令遵守義務
  • 組織のセキュリティ基準とリスク管理計画
  • お客様とベンダーのセキュリティ要件

顧客データの保護は Google のすべてのインフラストラクチャ、プロダクト、スタッフ業務で最も重要な考慮事項です。 Google Cloud は、顧客データサービスデータなど、多くのデータタイプに対して強力なセキュリティを提供します。ただし、ワークロードが特定の規制要件を満たす必要がある場合や、高度なセキュリティ管理を必要とする国家標準の対象となる場合は、内部ポリシーがデフォルトの構成オプションと異なる場合があります。このような要件がある場合は、必要なレベルのコンプライアンスを維持し、チームがデータ管理と全体的なサイバーセキュリティ管理のベスト プラクティスに従えるように、追加のツールと手法を導入することをおすすめします。

責任共有のために Google Cloud と Assured Workloads を構成する

次の領域は、パブリック クラウドのユーザーとしてのお客様の責任です。

  • コンプライアンス要件やセキュリティ要件が異なるデータの部分を把握します。ほとんどのクラウド ユーザーは、一般的な商用セキュリティが必要な IT インフラストラクチャを備えています。また、一部のユーザーは、より高いコンプライアンス要件を満たす必要がある健康データなどの特定のデータを持っています。Assured Workloads は、こうした厳格なコンプライアンス要件を満たすのに役立ちます。特定のアクセス要件または所在地要件がある機密データや規制対象データは、適切な Assured Workloads のフォルダまたはプロジェクトに配置し、そこに保持します。
  • Identity and Access Management(IAM)を構成して、適切な担当者が組織のコンテンツにアクセスし、変更できるようにします。
  • 個人データが公開されないように、組織階層を作成して整理します。
  • すべてのドキュメントを読んで、ベスト プラクティスを理解し、それに従っていることを確認します。
  • テクニカル サポート セッションやトラブルシューティング中に慎重に情報を共有し、準拠した Assured Workloads フォルダの外部に機密データや規制対象データを配置または共有しないようにします。

機密データや規制対象データの範囲は、お客様またはお客様の顧客が対象となる規制などのさまざまな要因によって異なり、次のような要因が含まれます。

  • アカウント情報
  • 健康に関する情報
  • お客様またはユーザーの個人識別子
  • カード所有者情報
  • ID 番号

責任共有モデルにおける Google の責任

Google とお客様の間の責任共有パートナーシップでは、Google がクラウド ビジネスを成功に導くための基本的な要素とインフラストラクチャに責任を負います。その一部は、お客様がGoogle Cloud を構成してデータを適切に保護する責任を負うことに依存しています。Google の責任の例を次に示します。

  • デフォルトの暗号化インフラストラクチャ制御を適用します。
  • ワークロード管理と、識別した ID へのデータアクセスを制限するように設定した IAM ポリシーを適用する。
  • 選択したコンプライアンス レジームに関連付けられた、お客様が選択した Assured Workloads コントロールを、構成したリソース内の保護されたデータ型に構成して適用します。これには、データの保存場所や、適切なビジネス活動の過程でお客様のデータにアクセスできる Google 社員の制限が含まれます。
  • 規制対象の業界と場所による影響を受けやすいデータに対して、Assured Workloads を介して構成と制御を提供します。
  • フォルダとプロジェクトの階層全体でポリシーを構成できる組織のポリシーリソース設定を提供します。
  • アカウントやリソースへのアクセスに関する分析情報を提供する Policy Intelligence ツールを提供します。

欧州と EU に固有の構成

EU リージョン向け Assured Workloads または EU 向け主権管理を使用する場合、お客様は Google Cloud で提供される GDPR 保証に加えて追加の技術的管理を利用でき、コンプライアンスの取り組みの一環としてデータ所在地とセキュリティ管理を調整できます。これらの管理機能には、次のものがあります。

  • データ所在地で詳しく説明されている EU データ境界。
  • 復処理者を含む、EU 地域内の EU 担当者へのルーティングをサポートします。
  • 管理アクセスのリクエストとアクセスの可視化。
  • ポリシー主導型のアクセス承認(主権管理のみ)。
  • データの暗号化と鍵管理のカスタム オプション。

機密データや規制対象データに推奨されない一般的なフィールドの例

規制対象のお客様と主権国家のお客様には、 Google Cloud サービスにデータを入力する際は十分に注意することを強くおすすめします。技術的な制御によって保護されていない可能性のある、または Assured Workloads の技術的な制御境界に含まれていない一般的な入力フィールドに、機密データや規制対象データを追加しないことが重要です。この方法は、規制要件を遵守し、機密情報や規制対象情報を保護するために必要です。ご参考までに、特に注意が必要な Google Cloud サービスの例をまとめました。

機密データや規制対象データは、次の一般的なフィールドに配置しないでください。

  • リソース名と ID
  • プロジェクトまたはフォルダの名前と ID
  • 説明フィールドまたはラベル
  • ログベースの指標
  • VM サイズと同様のサービス構成
  • URI またはファイルパス
  • タイムスタンプ
  • ユーザー ID
  • ファイアウォール ルール
  • セキュリティ スキャンの構成
  • お客様の IAM ポリシー

次のステップ