生成 AI のユースケースの Cloud Identity コントロール

このドキュメントでは、 Google Cloudで生成 AI ワークロードを実行する際の Cloud Build のベスト プラクティスとガイドラインについて説明します。Vertex AI で Cloud Identity を使用して、 Google Cloudの ID、アクセス、アプリケーション、管理を統合します。

必要な Cloud Identity コントロール

Cloud Identity を使用する場合は、次のコントロールを実装することを強くおすすめします。

特権管理者アカウントで 2 段階認証プロセスを有効にする

Google コントロール ID CI-CO-6.1
カテゴリ 必須
説明

Google では、特権管理者アカウントの 2 段階認証プロセス(2SV)に Titan セキュリティ キーを使用することを推奨しています。ただし、この方法が不可能なユースケースでは、別のセキュリティ キーを代わりに使用することをおすすめします。
対象プロダクト
  • Cloud Identity
  • Titan セキュリティ キー
関連する NIST-800-53 コントロール
  • IA-2
  • IA-4
  • IA-5
  • IA-7
関連する CRI プロファイル コントロール
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
関連情報

特権管理者組織部門に 2 段階認証プロセスを適用する

Google コントロール ID CI-CO-6.2
カテゴリ 必須
説明

特定の組織部門(OU)または組織全体に 2 段階認証プロセス(2SV)を適用します。特権管理者用の OU を作成し、その OU に 2 段階認証プロセスを適用することをおすすめします。
対象プロダクト
  • Cloud Identity
関連する NIST-800-53 コントロール
  • IA-2
  • IA-4
  • IA-5
  • IA-7
関連する CRI プロファイル コントロール
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
関連情報

メインの特権管理者専用のメールアドレスを作成する

Google コントロール ID CI-CO-6.4
カテゴリ 必須
説明
特定のユーザーに固有でないメールアドレスを、Cloud Identity のメインの特権管理者アカウントとして作成します。
対象プロダクト
  • Cloud Identity
関連する NIST-800-53 コントロール
  • IA-2
  • IA-4
  • IA-5
関連する CRI プロファイル コントロール
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
関連情報

監査ログを Google Cloudに送信する

Google コントロール ID CI-CO-6.5
カテゴリ 必須
説明

Google Workspace、Cloud Identity、Essentials アカウントのデータを Google Cloudのサービスと共有できます。Google Workspace は、ログインログ、管理ログ、グループログを収集します。共有データには Cloud Audit Logs からアクセスできます。
対象プロダクト
  • Google Workspace
  • Cloud Logging
関連する NIST-800-53 コントロール
  • AC-2
  • AC-3
  • AC-8
  • AC-9
関連する CRI プロファイル コントロール
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
関連情報

バックアップの特権管理者アカウントを作成する

Google コントロール ID CI-CO-6.7
カテゴリ 必須
説明

1 つまたは 2 つの予備の特権管理者アカウントを作成します。原則として、日常的な管理タスクに特権管理者アカウントを使用しないでください。組織の特権管理者アカウントは 2~3 個にします。
対象プロダクト
  • Google Workspace
関連する NIST-800-53 コントロール
  • IA-2
  • IA-4
  • IA-5
関連する CRI プロファイル コントロール
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2

推奨されるクラウド コントロール

特定のユースケースに関係なく、次の Cloud Identity コントロールをGoogle Cloud 環境に適用することをおすすめします。

Cloud Identity のマネージド ユーザー アカウントの Cloud Shell へのアクセスをブロックする

Google コントロール ID CI-CO-6.8
カテゴリ 推奨
説明

Google Cloudへの過剰なアクセス権を付与しないようにするには、Cloud Identity のマネージド ユーザー アカウントに対する Cloud Shell へのアクセスをブロックします。
対象プロダクト
  • Cloud Identity
  • Cloud Shell
関連する NIST-800-53 コントロール
  • SC-7
  • SC-8
関連する CRI プロファイル コントロール
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
関連情報

オプション コントロール

組織の要件に基づいて、次の Cloud Identity コントロールを実装できます。

特権管理者アカウントの自己復元をブロックする

Google コントロール ID CI-CO-6.3
カテゴリ オプション
説明
攻撃者は自己復元プロセスを使用して、特権管理者のパスワードを再設定する可能性があります。シグナリング システム 7(SS7)攻撃、SIM スワップ攻撃、その他のフィッシング攻撃に関連するセキュリティ リスクを軽減するため、この機能をオフにすることをおすすめします。この機能を無効にするには、Google 管理コンソールでアカウントの復元設定に移動します。
対象プロダクト
  • Cloud Identity
  • Google Workspace
関連する NIST-800-53 コントロール
  • IA-2
  • IA-4
  • IA-5
関連する CRI プロファイル コントロール
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
関連情報

使用していない Google サービスをオフにする

Google コントロール ID CI-CO-6.6
カテゴリ オプション
説明
通常は、使用しないサービスをオフにすることをおすすめします。
対象プロダクト
  • Cloud Identity
パス http://admin.google.com > Apps > Additional Google Services
演算子 Setting
  • False
関連する NIST-800-53 コントロール
  • SC-7
  • SC-8
関連する CRI プロファイル コントロール
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
関連情報

次のステップ