Key Access Justifications の概要

このページでは、Key Access Justifications の概要について説明します。重要なアクセスの正当化は、透明性、ユーザーの信頼、データの所有権に対する Google の長期的な取り組みの一環です。アクセス承認を使用すると、Google 社員からのお客様データへのアクセス リクエストを承認できます。アクセスの透明性を使用すると、お客様データにアクセスされたタイミングに関する情報を確認できます。Key Access Justifications を使用すると、お客様が管理する鍵で暗号化された、保存中のお客様データに対するすべての操作に対して鍵アクセス制御を適用できます。

これらのプロダクトはそれぞれ、顧客データへのアクセスに関する管理リクエストの制御とコンテキストを提供するアクセス管理機能を提供します。

概要

Key Access Justifications を使用すると、指定された理由コードに応じて鍵アクセス リクエストを表示、承認、拒否するように Cloud Key Management Service(Cloud KMS)鍵にポリシーを設定できます。一部の外部鍵管理パートナーでは、Google Cloud の外部で鍵アクセスの正当化ポリシーを構成して、Cloud KMS ではなく外部鍵マネージャーによってのみ適用されるようにできます。Key Access Justifications は、選択した Assured Workloads コントロール パッケージに応じて、次の Cloud KMS 鍵タイプと連携します。

保存データの暗号化の仕組み

Google Cloud で保存されているデータの暗号化は、Google Cloud に保存されているデータを、データが保存されているサービスの外部にある暗号化鍵で暗号化することで行われます。たとえば、Cloud Storage でデータを暗号化する場合、サービスは保存した暗号化された情報のみを保存しますが、そのデータの暗号化に使用される鍵は Cloud KMS(顧客管理の暗号鍵(CMEK)を使用している場合)または外部のキー マネージャー(Cloud EKM を使用している場合)に保存されます。

Google Cloud サービスを使用する場合、アプリケーションを説明どおりに動作させ続けるには、データを復号する必要があります。たとえば、BigQuery を使用してクエリを実行する場合、BigQuery サービスは分析のためにデータを復号する必要があります。BigQuery は、キー マネージャーに復号リクエストを送信して必要なデータを取得することで、この処理を行います。

鍵にアクセスする理由

暗号鍵には、Google Cloud で独自のリクエストとワークロードを処理しながら、自動化されたシステムからアクセスできます。

お客様が開始したアクセスと自動システム アクセスに加えて、Google の社員は、次の理由により、暗号鍵を使用するオペレーションを開始しなければならない場合があります。

  • データのバックアップ: 障害復旧のために、データをバックアップするために暗号鍵にアクセスする必要がある場合があります。

  • サポート リクエストを解決する: Google の社員は、契約上、サポートの義務を果たすためにデータを復号する必要がある場合があります。

  • システムの管理とトラブルシューティング: Google の担当者は、暗号鍵を使用して複雑なサポート リクエストや調査に必要な技術的なデバッグを行うオペレーションを開始できます。また、ストレージ障害やデータ破損を修正するためにアクセスが必要になる場合があります。

  • データの整合性とコンプライアンスを確保し、不正行為や不正使用から保護する: Google は以下の理由でデータを復号する必要がある場合があります。

    • データとアカウントの安全性とセキュリティの確保
    • Google Cloud 利用規約に準拠して Google サービスを使用していることを確認します。
    • 他のユーザーやお客様からの申し立て、または不正行為の兆候を調査する
    • Google Cloud サービスが、マネーロンダリング防止規制などの適用される規制要件に従って使用されていることを確認する。
  • システムの信頼性の維持: Google の担当者は、疑わしいサービス停止がご自身に影響を与えないかどうかを調査するためのアクセス権をリクエストできます。また、サービスの停止やシステム障害からのバックアップと復旧を確保するために、アクセス権がリクエストされる場合があります。

正当化コードの一覧については、Key Access Justifications の正当化理由コードをご覧ください。

鍵へのアクセスを管理する

Key Access Justifications は、Cloud KMS で管理される鍵または外部で管理される鍵がアクセスされるたびに理由を生成します。鍵が暗号操作に使用されると、サービスベースのアクセス(サポートされているサービスの場合)と API の直接アクセスの両方の理由が表示されます。

鍵プロジェクトが Key Access Justifications に登録されると、新しい鍵のすべての鍵アクセスで正当化の理由がすぐに表示されます。以前に存在した鍵については、24 時間以内にすべての鍵アクセスの理由が届くようになります。

Key Access Justifications の有効化

Key Access Justifications は Assured Workloads でのみ使用できます。Key Access Justifications を含むコントロール パッケージ用に構成された新しい Assured Workloads フォルダを作成すると、デフォルトで有効になります。詳細については、Assured Workloads の概要をご覧ください。

Key Access Justifications の除外

Key Access Justifications は、次の場合にのみ適用されます。

  • 暗号化されたデータに対するオペレーション: 顧客管理の暗号鍵で暗号化されるサービス内のフィールドについては、サービスのドキュメントをご覧ください。
  • 保存データから使用中のデータへの移行: Google は使用中のデータに引き続き保護を適用しますが、Key Access Justification は、保存データから使用中のデータへの移行のみを管理します。

次の Compute Engine と Persistent Disk の機能は、CMEK で使用する場合、除外されます。

Access Approval を使用した Key Access Justifications

カスタム署名鍵でアクセス承認が有効になっているワークロードの場合、署名付きアクセス承認リクエストの処理にも Key Access Justification が適用されます。アクセス承認リクエストは、キーアクセスの関連付けられた理由が、キーの Key Access Justifications ポリシーでも許可されている場合にのみ処理できます。お客様がアクセス承認リクエストに署名すると、関連する理由が承認の署名リクエストに反映されます。

承認済みの署名付きアクセス承認リクエストから発生したすべての顧客データへのアクセスは、承認リクエストにリンクされたアクセスの透明性ログに表示されます。

次のステップ