Assured Workloads における責任の共有

このページでは、Assured Workloads における責任の共有について説明します。Google Cloud における責任の共有に関する一般的な情報については、Google Cloud における責任の共有と運命の共有をご覧ください。

データに対する責任の共有

お客様は、ビジネスのセキュリティと規制の要件、そして機密データやリソースを保護する要件を把握するエキスパートです。Google Cloud でワークロードを実行する場合、機密データと各ワークロードを保護するために、Google Cloud で構成する必要のあるセキュリティ コントロールを特定する必要があります。実装するセキュリティ コントロールを決定するには、次の要素を考慮する必要があります。

  • 法令遵守義務
  • 組織のセキュリティ基準とリスク管理計画
  • お客様とベンダーのセキュリティ要件

顧客データの保護は Google のすべてのインフラストラクチャ、プロダクト、スタッフ業務で最も重要な考慮事項です。Google Cloud は、顧客データサービスデータなど、多くのデータ型に強力なセキュリティを提供します。ただし、ワークロードが特定の規制要件を満たす必要がある場合や、高度なセキュリティ管理を必要とする国家標準が適用される場合は、内部ポリシーがデフォルトの構成オプションと異なる場合があります。このような要件がある場合は、追加のツールや手法を採用して、必要なレベルのコンプライアンスを維持し、チームがデータ管理と全体的なサイバーセキュリティ管理のベスト プラクティスを遵守できるようにすることをおすすめします。

責任共有のための Google Cloud と Assured Workloads を構成する

次の領域は、パブリック クラウドのユーザーとしてのお客様の責任です。

  • コンプライアンス要件やセキュリティ要件が異なるデータの部分を把握します。ほとんどのクラウドのお客様は、一般的な商用セキュリティを必要とする IT インフラストラクチャを所有していますが、一部のお客様は健康データなどの特定のデータを持ち、より高いコンプライアンス要件を満たす必要があります。Assured Workloads は、このような高度なコンプライアンス要件を満たすのに役立ちます。特定のアクセスや所在地の要件を持つ機密データや規制対象データを適切な Assured Workloads フォルダやプロジェクト内に配置して保持します。
  • Identity and Access Management(IAM)を構成して、適切な担当者が組織のコンテンツにアクセスし、変更できるようにします。
  • 個人データが公開されないように、組織階層を作成して整理します。
  • ベスト プラクティスを理解し、実行するために、すべてのドキュメントを読みます。
  • テクニカル サポート セッションやトラブルシューティング中に慎重に情報を共有し、準拠した Assured Workloads フォルダの外部に機密データや規制対象データを配置または共有しないようにします。

機密データや規制対象データの範囲は、お客様またはお客様の顧客が対象となる規制などのさまざまな要因によって異なり、次のような要因が含まれます。

  • アカウント情報
  • 健康に関する情報
  • お客様またはユーザーの個人 ID
  • カード所有者情報
  • ID 番号

責任共有モデルにおける Google の責任

Google とお客様の間の責任共有パートナーシップでは、Google がクラウド ビジネスを成功に導くための基本的な要素とインフラストラクチャに責任を負います。その一部は、お客様が Google Cloud を構成してデータを適切に保護する責任を負うことに依存しています。Google の責任の例は次のとおりです。

  • デフォルトの暗号化インフラストラクチャ制御を適用します。
  • 設定した IAM ポリシーを適用して、指定した ID へのワークロード管理とデータアクセスを制限します。
  • 選択したコンプライアンス レジームに関連付けられた、お客様が選択した Assured Workloads コントロールを、構成したリソース内の保護対象データタイプに対して構成して適用します。これには、データの保存場所、および適切な事業活動の一環としてデータにアクセスできる Google 社員の制限が含まれます。
  • 規制対象の業界や地域的に機密性の高いデータに対し、Assured Workloads を通じて構成と制御を提供します。
  • フォルダとプロジェクトの階層全体でポリシーを構成できる組織のポリシーリソース設定を提供します。
  • アカウントやリソースへのアクセスに関する分析情報を提供する Policy Intelligence ツールを提供します。

ヨーロッパと EU に固有の設定

EU リージョン向け Assured Workloads または EU 向け主権管理を使用する場合、お客様は Google Cloud で提供される GDPR 保証に加えて追加の技術的管理を利用でき、コンプライアンスの取り組みの一環としてデータ所在地とセキュリティ管理を調整できます。たとえば、次のような制御を行います。

  • データ所在地で説明されている EU のデータ境界。
  • 復処理者を含む、EU 地域内の EU 担当者へのルーティングをサポートします。
  • 管理アクセスのリクエストとアクセスの可視性。
  • ポリシーに基づくアクセス承認(主権管理のみ)。
  • データ暗号化と鍵管理のカスタム オプション。

機密データや規制対象データで推奨されない一般的なフィールドの例

規制対象と主権のあるすべてのお客様は、Google Cloud サービスにデータを入力するときに注意を払うことを強くおすすめします。技術的な管理によって保護されていない、または Assured Workloads の技術的な管理境界に含まれていない可能性のある共通の入力フィールドに、機密データや規制対象データを追加しないようにすることが重要です。これは、規制要件の遵守を維持し、機密情報や規制対象情報を保護するために必要です。お客様を支援するために、特に注意を要する Google Cloud のさまざまなサービスの例を一覧にまとめました。

機密データや規制対象データは、次の一般的なフィールドに配置しないでください。

  • リソース名と ID
  • プロジェクトまたはフォルダの名前と ID
  • 説明フィールドまたはラベル
  • ログベースの指標
  • VM サイズと同様のサービス構成
  • URI またはファイルパス
  • タイムスタンプ
  • ユーザー ID
  • ファイアウォール ルール
  • セキュリティ スキャンの構成
  • お客様の IAM ポリシー

次のステップ