コンテンツに移動
セキュリティ & アイデンティティ

IAM、アクセスリスク、クラウド ガバナンスの最新情報

2025年5月15日
Abhishek A Hemrajani

Senior Director, Product Management, Google Cloud Security

Try Gemini 2.5

Our most intelligent model is now available on Vertex AI

Try now

※この投稿は米国時間 2025 年 5 月 2 日に、Google Cloud blog に投稿されたものの抄訳です。

お客様が進化するポリシー、コンプライアンス、ビジネスの目標を達成できるよう支援することは、Google Cloud の中核的な使命です。Google は、お客様のクラウド環境のセキュリティをさらに強化できるよう、クラウド プラットフォーム上で新しいセキュリティ制御と機能を定期的に提供し続けています。

Google Cloud Next では、IAM、アクセスリスク、クラウド ガバナンスのポートフォリオのさまざまな新機能を発表しました。発表内容は、以下に示す Google Cloud の新しいプロダクト機能やセキュリティ強化など、幅広い範囲にわたりました。

  • Identity and Access Management(IAM)

  • VPC Service Controls、コンテキストアウェア アクセス、ITDR(Identity Threat Detection and Response)などのアクセスリスク プロダクト

  • 組織のポリシー サービスによるクラウド ガバナンス

  • リソース管理

また、アプリケーション ライフサイクルのあらゆる段階でクラウド開発者やオペレーターを支援する新しい AI 機能も発表しました。これらの新しい機能はアプリケーション中心のアプローチを採用しており、Gemini Code Assist と Gemini Cloud Assist の新機能を活用して、アプリケーション開発ライフサイクル全体に AI アシスタンスを組み込みます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/1-Security_Platform_HaXUqDP.max-2200x2200.png

IAM、アクセスリスク、クラウド ガバナンスのポートフォリオ

Identity and Access Management の新機能

Workforce Identity 連携

Workforce Identity 連携は、Google Cloud の ID 機能を拡張して、同期のない属性ベースのシングル サインオンに対応しています。現在、Google Cloud プロダクトの 95% 以上が Workforce Identity 連携をサポートしています。また、コンプライアンス要件の管理と遵守を支援するために、米国連邦政府の要件である FedRAMP High のサポートもリリースしました。

非人間 ID のセキュリティを強化

マイクロサービスの台頭とマルチクラウド デプロイの普及により、非人間 ID やワークロード ID は、人間の ID よりもはるかに速いペースで増加しています。現在、多くの大企業では、非人間 ID は人間(ユーザー)の ID の 10~45 倍になっており、これらには多くの場合、広範な権限と特権が付与されています。

非人間 ID の保護は、Google Cloud の重要な目標です。そこでこのたび、承認とアクセス保護を強化する 2 つの新機能を発表します。

マルチクラウド向けの Cloud Infrastructure Entitlement Management(CIEM)

セキュリティの現場では、過剰な、場合によっては不必要な権限が幅広く付与されるという問題に取り組んでいます。Google Cloud では、権限の拡散を制御できるツールを使用して権限の問題に積極的に取り組むとともに、すべてのレイヤにわたる包括的な防御も提供しています。

権限の問題に対処する主要なツールである Cloud Infrastructure Entitlement Management(CIEM)が、Azure 向け(プレビュー版)に利用可能になり、Google Cloud および AWS 向けに一般提供されるようになりました。

IAM 管理センター

また、IAM 管理センターも発表しました。これは、ロールに応じてカスタマイズされた一括表示画面で、推奨事項、通知、アクティブなタスクを表示します。コンソールから直接他のサービスを起動することもできます。

IAM 管理センターは、組織管理者やプロジェクト管理者が、統合ビューで IAM 機能を検出、学習、テスト、使用できるようにします。コンテキストに基づいて機能を見つけ、日常業務に専念することを可能にし、キュレートされた入門ガイドと継続学習のためのリソースを提供します。

アクセスをリクエストするには、こちらからお申し込みください。

既存の IAM 機能の強化

さらに、他の IAM 機能は対象範囲と機能の深さが増しました。

  • 以前、Google は IAM 拒否ポリシーとプリンシパル アクセス境界(PAB)ポリシーを発表しました。これらは、リソースへのアクセスにポリシーベースのガードレールを設定する強力なメカニズムです。これらの重要な制御のサービス範囲と導入が拡大するにつれて、計画の簡素化と影響の可視化のためのツールが必要になってきました。この問題に対処するため、拒否シミュレータPAB シミュレータトラブルシューティング(両方に対応)のプレビュー版をリリースしました。

Privileged Access Manager(PAM)にマルチレベルの承認機能(最大 2 つのレベルと、各レベルに複数のプリンシパル)が追加されました。また、フォルダ、プロジェクト、リソース、ロールの必要なサブセットのみに利用資格の付与の範囲をカスタマイズして付与できるようになりました。

アクセスリスクの最新情報

包括的なセキュリティでは、適切な権限を備え、アクティブなセッションに参加している認証済みのユーザーやワークロードに対しても、継続的なモニタリングと制御が要求されます。Google Cloud のアクセスリスク ポートフォリオは、ユーザー、ワークロード、データのセキュリティ管理をさらに強化する動的機能を提供します。

アクセスとセッションのセキュリティを強化

現在、ユーザーはコンテキストアウェア アクセス(CAA)を使用して、ユーザー ID、ネットワーク、ロケーション、企業の管理対象デバイスといった属性に基づいて Google Cloud へのアクセスを保護できます。

今後、CAA は、ITDR(Identity Threat Detection and Response)機能でさらに強化される予定で、不審なソースや新しい地理的位置からのアクティビティなど、多数のアクティビティ シグナルを使用してリスクのある行動を自動的に特定し、多要素認証(MFA)、再認証、拒否などのメカニズムを使用してさらなるセキュリティ検証をトリガーします。

また、自動再認証も発表しました。これは、ユーザーが請求先アカウントの更新などの機密性の高い操作を行った場合に再認証リクエストをトリガーします。この機能はデフォルトで有効になります。無効にすることもできますが、有効のままにしておくことを強くおすすめします。

VPC Service Controls の対象範囲の拡大

VPC Service Controls を使用すると、リソースとデータ、明示的に指定したサービスを保護する境界を作成できます。VPC Service Controls の使用時の診断とトラブルシューティングを迅速化するために、アクセス拒否イベントの診断を支援する違反分析ツール違反ダッシュボードをリリースしました。

組織のポリシー サービスによるクラウド ガバナンスの最新情報

カスタムの組織のポリシーの対象範囲拡大

Google Cloud の組織のポリシー サービスを使用すると、組織のリソースをプログラムで一元管理できます。組織のポリシーには事前定義された制約がすでに用意されていますが、より詳細な制御を行うには、カスタムの組織のポリシーを作成します。カスタムの組織のポリシーのサービス範囲が拡張され、62 のサービスがサポートされるようになりました。

Google Cloud セキュリティ ベースライン

Google Cloud は、お客様が優れたセキュリティ成果を容易に達成できるようにすることを目指しています。この継続的な取り組みの一環として、更新され、より強力になった一連のセキュリティのデフォルト設定、Google Cloud セキュリティ ベースラインをリリースいたします。昨年、これらの機能はすべての新規のお客様に展開され、デフォルトで有効になっていました。そしてお客様から高評価をいただいたことから、現在はすべての既存のお客様に推奨しています。

今年から、既存のお客様には、コンソールに Google Cloud セキュリティ ベースラインの採用をおすすめする推奨事項が表示されます。また、これらの制約が現在の環境にどのような影響を与えるかをテストするシミュレータにアクセスできるようになりました。

リソース管理の最新情報

Resource Manager によるアプリの有効化

アプリケーション中心のアプローチを Google Cloud の Resource Manager にも拡張しました。アプリ対応フォルダ(現在プレビュー版)は、サービスとワークロードを 1 つの管理可能な単位にまとめることでアプリケーション管理を効率化します。モニタリングと管理を一元化して管理を簡素化し、アプリケーション中心のビューを提供します。

これでフォルダのアプリケーション管理を 1 つのステップで有効にできるようになりました。

詳細

詳細については、これらの発表の概要を含む Next ‘25 セッションの録画をご覧ください。

https://storage.googleapis.com/gweb-cloudblog-publish/images/2-Title-Image-For-YouTube-Video-Embed.max-2000x2000.jpg

-Google Cloud Security、プロダクト管理担当シニア ディレクター、Abhishek A Hemrajani

投稿先