さらに強力になった、お客様のためのデフォルトの組織のポリシーのご紹介

※この投稿は米国時間 2024 年 3 月 21 日に、Google Cloud blog に投稿されたものの抄訳です。

Google Cloud は、お客様が優れたセキュリティ成果を容易に達成できるようにすることを目指しています。この継続的な取り組みの一環として、更新され、より強力になった一連のセキュリティのデフォルト設定をリリースいたします。これらのデフォルト設定は、新規のお客様に対して自動的に実装されます。

所有権を証明済みのドメインをお持ちの Google Cloud のお客様は、組織リソースを受け取ります。組織リソースは、組織ポリシー サービスを使用することでクラウド環境をスケーラブルに制御できるようにするために、リソース階層のルートとして使用されます。

デフォルトで安全な組織リソースのリリースにより、不十分な可能性があるセキュリティ対策やセキュリティ成果に対処するため、新しい組織リソースが作成されるとすぐに組織のポリシーのセットが適用されます。既存の組織リソースはこの変更の影響を受けません。これらの変更は、お客様がクラウド導入の直後からセキュリティのベスト プラクティスを簡単に実践できるようにするための継続的な取り組みの一環です。

環境のセキュリティ向上に役立つ、強力になったデフォルト設定の詳細

組織のポリシーは、Identity and Access Management、ストレージ、重要な連絡先という幅広い領域にわたって適用されます。

Identity and Access Management の制約
IAM のデフォルトの組織ポリシー制約が変更されたことにより、サービス アカウントおよび共有先のドメインの制限に関する追加のセキュリティ ポリシーが適用されます。これらの制約には以下が含まれます。

• サービス アカウント キーの作成を無効化（iam.disableServiceAccountKeyCreation）- サービス アカウントの認証情報が漏洩するリスクを減らすために、ユーザーがサービス アカウントの永続キーを作成できないようにします。ほとんどの場合、サービス アカウント キーよりも安全な代替手段で認証できます。サービス アカウント キーの不適格な使用を許可する代わりに、ユースケースに適した認証方法を選択し、より安全な代替手段のいずれも使用できない場合にのみサービス アカウント キーを使用する例外を許可します。
• デフォルトのサービス アカウントに対する IAM ロールの自動付与の無効化（iam.automaticIamGrantsForDefaultServiceAccounts）- デフォルトのサービス アカウントが、制限が緩すぎる「編集者」の IAM ロールを作成時に受け取れないようにします。Dataproc、Dataflow、Google Kubernetes Engine のようなマネージド サービスを含む、Google Compute Engine を基盤として構築されたサービスも、デフォルトのコンピューティング サービス アカウントに依存します。デフォルトのサービス アカウントと編集者のロールに依存する代わりに、アプリケーションごとに専用のサービス アカウントを指定し、そのアカウントに、必要なタスクを行うための必要最小限の IAM ロールを付与することをおすすめします。詳細については、サービス アカウントの使用に関するベスト プラクティスをご覧ください。
• サービス アカウント キー アップロードの無効化（iam.disableServiceAccountKeyUpload）- サービス アカウント キーによるキーマテリアルの漏洩と再利用のリスクを回避します。
• 共有先のドメインを制限（iam.allowedPolicyMemberDomains）- お客様が選択したドメイン内の管理対象ユーザー ID のみが組織内のリソースにアクセスできるように IAM ポリシーを制限します。

ストレージの制約
ストレージの新しいデフォルトの組織ポリシー制約により、均一なバケットレベルのアクセスが適用されます（storage.uniformBucketLevelAccess）。この制約は、Cloud Storage バケットがオブジェクトごとの ACL（IAM ポリシーとは別のシステム）を使用してアクセスを提供することができないようにし、アクセス管理と監査の一貫性を確保します。

重要な連絡先の制約
重要な連絡先の新しいデフォルトのポリシー制約では、お客様が選択したドメイン内の管理対象ユーザー ID のみがプラットフォーム通知を受信できるように連絡先を制限します（essentialcontacts.allowedContactDomains）。この制約は、プラットフォームからの重要な通知を、選択したドメイン内のユーザーにのみ送信できるようにするうえで役立ちます。

デフォルトの組織のポリシーを変更

デフォルトの組織のポリシーによって適用されるセキュリティ設定は、変更することも、無効にすることもできます。たとえば、サービス アカウント キーでのみ認証可能で、それより安全な認証方法を使用できないワークロードがある場合は、可能な限り狭い範囲でポリシーを変更し、関連するプロジェクトに例外を認めることをおすすめします。

デフォルトの組織のポリシーを変更するためのガイダンスについては、組織のポリシーの適用を管理するをご覧ください。

組織ポリシー サービスを使ってみる

上記のデフォルトの組織ポリシー サービス制約は、プラットフォーム管理者が最小権限の原則に従ってクラウド リソースへのより安全なアクセスを提供するうえで、使いやすく強力な方法となる可能性があります。

Google Cloud は、今後もデフォルト構成を強化するための投資を継続します。お客様にソリューションのセキュリティ向上を求めるのではなく、必要に応じてセキュリティを適応させる方法に関するドキュメントを提供するように方針を転換してまいります。2024 年には、さらなる新機能のリリースを予定しています。それまでは、以下のリソースで、組織ポリシー サービスの詳細をご確認いただけます。

• 組織ポリシー サービスの概要
• 制約について
• 階層評価について
• 組織のポリシーの作成と管理
• タグを使用した組織のポリシーの設定

-Google Cloud、CISO オフィス、シニア セキュリティ＆コンプライアンス スペシャリスト Etienne De Burgh

-Google Cloud セキュリティ、シニア プロダクト マネージャー Aakashi Kapoor