Cloud Logging で知っておくべきセキュリティ機能とコンプライアンス機能 5 選

※この投稿は米国時間 2022 年 8 月 4 日に、Google Cloud blog に投稿されたものの抄訳です。

企業や公共機関がクラウドの導入を進めるなか、セキュリティとコンプライアンスを確保するうえで重要となるのが、クラウド環境で誰がどのような操作を行ったかを正確に把握することです。違反の検出、進行中のセキュリティの問題の調査、フォレンジック調査の実施において欠かせないのがログです。これからご紹介する、Cloud Logging で知っておくべき 5 つのセキュリティ機能とコンプライアンス機能は、セキュリティ監査を適切に実施するためのログを作成するうえで威力を発揮します。最初の 3 つの機能は 2022 年に入ってから最近リリースされたものですが、残りの 2 つの機能はリリースされてからある程度経過しています。

1. Cloud Logging は Assured Workloads に統合されている

Google Cloud の Assured Workloads では、ソフトウェア定義コミュニティ クラウドによってコンプライアンスの要件を満たすことができます。Cloud Logging と外部ログデータが多数の規制で利用されることから、Cloud Logging が Assured Workloads に組み込まれることになりました。Cloud Logging が Assured Workloads に組み込まれたことで、NIST 800-53 をはじめとするサポート対象フレームワークのログの保持期間と監査の要件をこれまでよりも容易に満たすことができます。

Assured Workloads の利用開始方法については、こちらのドキュメントをご覧ください。

2. Cloud Logging は FedRAMP High 認定を取得

FedRAMP は、クラウド テクノロジーを導入する連邦政府機関にセキュリティとリスクの評価に対する標準化されたアプローチを提供することで、安全なクラウド サービスの導入を推進する米国政府のプログラムです。FedRAMP の遵守に必要とされるコントロールの実装について、Cloud Logging チームは High ベースライン レベルの認定を受けています。この認定があることで、お客様がセンシティブ データをクラウドログに保存し、Cloud Logging を使用して自社のコンプライアンス管理要件を満たすことが可能となります。

以下はこの認定を受けるために NIST で必須とされている、Cloud Logging が実装しているコントロールです。かっこ内には、各機能に対応するコントロールの例を入れています。

• イベントのロギング（AU-2） - さまざまな種類のイベントがキャプチャされます。イベントの例として、パスワードの変更、ログインの失敗、システムに関連するアクセスの失敗、セキュリティまたはプライバシーの属性の変更、管理者権限の使用、PIV（Personal Identity Verification）の認証情報の使用、データ アクションの変更、クエリ パラメータ、外部認証情報の使用などが挙げられます。

• 監査の簡素化（AU-3） - 監査に必要とされるすべての情報をユーザーに提供するために、Google Cloud ではイベントのタイプ、発生時間、イベントの場所、イベントのソース、イベントの結果、ID 情報をキャプチャしています。

• ログの長期保持（AU-4） - インシデントの事後調査を可能にするために、Google Cloud ではログ ストレージの容量と保持に関するポリシーをサポートしています。お客様が保持期間を構成できるようにすることで、Google Cloud では規制および組織の情報保持要件をお客様が満たせるよう支援しています。

• ログ エラーのアラート（AU-5） - ログ エラーが発生した場合のアラートを作成できます。

• エビデンスの作成（AU-16） - 監査レコードで構成された、（論理的または物理的）システム全体の監査証跡が標準化された形式でキャプチャされます。組織横断的な監査機能を有効にできます。

Assured Workloads が FedRAMP コンプライアンス確保の取り組みのサポートにおいて発揮する威力については、こちらのウェブセミナーをご覧ください。

3. 顧客管理の暗号鍵（CMEK）とも呼ばれる「独自の鍵管理」で Cloud Logging ログ バケットの暗号化を可能にする

独自の暗号化要件があるお客様のために、Cloud Logging では Cloud KMS を介した CMEK のサポートを開始しました。CMEK は Logging バケット単位で適用でき、ログルーターで使用できます。必要に応じて、組織のすべてのログを 1 つのバケットとルーターに集約するよう Cloud Logging を構成できるため、組織のログ ストレージへの CMEK の適用が簡素化されます。

Cloud Logging バケットで CMEK を有効にする方法については、こちらをご覧ください。

4. アクセスの透明性でクラウド プロバイダの透明性に高い基準を設定する

アクセスの透明性のログを使用することで、お客様のコンテンツに対して Google 担当者が実施した対応を監査できます。また、既存の SIEM（セキュリティ情報およびイベント管理）ツールと統合できるため、Google 担当者がお客様のコンテンツにアクセスする可能性がある稀なケースの監査を自動化できます。Cloud Audit Logs では組織内の誰が Google Cloud のデータにアクセスしたかがわかるのに対して、アクセスの透明性のログではお客様のデータにアクセスした Google 担当者がいるかどうかがわかります。

アクセスの透明性のログを使用することで以下を実施できます。

• Google の担当者によるお客様データへのアクセスは、サービス停止の修復やサポート リクエストへの対応など、ビジネス上の正当な理由がある場合に限られていることを確認する。

• アクセスが承認された際に担当者が実際に実施した対応を確認する。

• Assured Workload Support の法的義務や規制上の義務の遵守を確認およびトラッキングする。

組織でアクセスの透明性を有効にする方法については、こちらをご覧ください。

5. ログデータにアクセスしているユーザーを Access Approval のログでトラッキングする

Access Approval では、事前定義した特性に応じて Google の担当者によるコンテンツへのアクセスを制限できます。これはロギングに特化した機能ではありませんが、多くのお客様からリクエストを頂いている機能です。デバッグのサポート（サービス リクエストが作成された場合）のために Google のサポート担当者かエンジニアがお客様のコンテンツにアクセスする必要がある場合は、お客様側で Access Approval ツールを使用してリクエストを承認または却下できます。

Access Approval の設定方法については、こちらをご覧ください。

今回ご紹介した機能を Cloud Logging の導入と使用における容易さ、セキュリティとコンプライアンスの向上にお役立ていただければ幸いです。今後も機能の追加を予定しておりますので、セキュリティやコンプライアンスに関するその他の義務を満たすうえで Cloud Logging に必要な機能についてご意見をぜひお寄せください。

Cloud Logging の詳細については、Qwiklabs のクエストでご確認ください。ディスカッション フォーラムへのご参加もお待ちしております。皆様からのフィードバックをお待ちしております。フィードバックがございましたら、こちらまでお寄せください。