アクセスの透明性

このページでは、アクセスの透明性の概要と、アクセスの透明性ログを有効にする方法を説明します。

概要

セキュリティと透明性に対する Google の長期的な取り組みの一環として、Google スタッフがお客様のデータにアクセスする際に取ったアクションのログを示すアクセスの透明性機能を使用できます。

ご存知かもしれませんが、Cloud Audit Logging のログは、Google Cloud Platform プロジェクトで「誰がどこでいつ、何を行ったか」という質問の答えを見つけるのに役立ちます。Cloud Audit Logging はお客様の組織内のメンバーが行ったアクションに関するログを提供する一方、アクセスの透明性は Google のスタッフが行ったアクションのログを提供します。

Stackdriver Logging の他のログと同様に、アクセスの透明性ログにはさまざまなアクションに関するデータが記録されます。たとえば、お客様が電話でリクエストしたサポートへの対応、サポート リクエストに応えるためのより詳細なエンジニアリング調査、さらにサービス停止からの復旧といった有効なビジネス目的のための調査が対象になります。

アクセスの透明性を使用する場面

アクセスの透明性が必要となる理由としては、さまざまなものがあります。いくつかの例を以下に示します。

  • 問題の修正やリクエストへの対応など、ビジネス上の正当な理由のためだけに、Google がお客様のデータにアクセスしていることを確認する。
  • Google のスタッフがお客様の指示を実行する際にエラーが発生していないことを確認する。
  • 法的 / 規制上の義務の遵守を確認し追跡する。
  • 自動セキュリティ情報およびイベント管理(SIEM)ツールによって追跡されたアクセス イベントを収集および分析する。

アクセスの透明性は GCP 組織全体に対して有効にされます。プロジェクトごとにアクセスの透明性を有効にする場合は、GCP サポートにご連絡ください。

アクセスの透明性を使用するための要件

GCP 組織が次のいずれかの要件を満たしている場合、GCP 組織に対してアクセスの透明性を有効にできます。

  • GCP 組織が次のいずれかのロールベース サポート パッケージを所有している

    • エンタープライズ サポート
    • 4 つ以上の開発環境の役割
    • 4 つ以上の本番環境の役割
    • 開発環境の役割と本番環境の役割からなる、4 つ以上の役割

    アクセスの透明性ロギングを有効にするには、GCP セールスまたは GCP サポートに連絡します。特別な Cloud Identity and Access Management の役割や権限は必要ありません。GCP セールスまたはサポートへの連絡方法については、GCP サポートをご覧ください。

  • GCP 組織がプラチナ / ゴールド サポート パッケージを所有している。 この場合、アクセスの透明性を有効にするには、Google Cloud Platform Console を使用するか GCP サポートに連絡します。また、特定の Cloud IAM 権限と、請求先アカウントに関連付けられているプロジェクトも必要です。この両方の要件については、下記の構成手順で説明しています。

GCP 組織が該当する技術サポート パッケージを所有しているかどうかは、Cloud サポート コンソールで確認できます。

Cloud サポート コンソールを表示

[サポート] パネルに、サポートのステータスまたはパッケージのアップグレード オプションが表示されます。

GCP Console を使用してアクセスの透明性を構成する

GCP 組織が上述の必要なゴールド / プラチナ サポート パッケージを所有していることを確認したら、GCP Console で次の手順に従ってアクセスの透明性を有効または無効にできます。

  1. 組織レベルの権限を確認します。

    1. GCP Console の [IAM] ページに移動します。

      IAM に移動

    2. 組織を選択するよう求められたら、ページ上部の選択メニューで GCP 組織を選択します。

    3. [メンバー] リストの [役割] 列に、Cloud IAM の役割「アクセスの透明性管理者」(roles/axt.admin)が示されていることを確認します。

  2. ページ上部の選択メニューを使用して、組織内の任意の GCP プロジェクトを選択します。

    アクセスの透明性は GCP プロジェクトのページで構成しますが、組織全体に対して有効にされます。プロジェクトごとにアクセスの透明性を有効にする場合は、GCP サポートにご連絡ください。

  3. 選択した GCP プロジェクトが請求先アカウントに関連付けられていることを確認します。請求先アカウントに関連付けられているプロジェクトからのみ、GCP Console でアクセスの透明性を構成できます。

    1. 左側のナビゲーション メニューで、[お支払い] を選択します。「このプロジェクトには請求先アカウントが関連付けられていません」というメッセージが表示されたら、別のプロジェクトを選択するか、プロジェクトの請求先アカウントの変更の手順に従ってプロジェクトの請求先アカウントを変更します。
  4. [IAM と管理] > [設定] ページに移動します。

  5. [アクセスの透明性を有効にする] ボタンをクリックします。

    GCP プロジェクトに適切なサポート パッケージまたは請求先アカウントが関連付けられていないか、適切な権限が付与されていない場合、このボタンは表示されません。支援が必要な場合は、GCP サポートにご連絡ください。

アクセスの透明性を無効にする

アクセスの透明性を無効にする場合は、GCP サポートにご連絡ください。GCP Console を使用してアクセスの透明性を無効にすることはできません。

GCP サポートへの連絡方法については、GCP サポートをご覧ください。

サービスの提供状況

次の表に、アクセスの透明性ログを生成する GCP サービスを記載します。「GA」は、対象サービスのログタイプが一般提供であることを示します。「ベータ版」は、ログタイプが利用可能であるものの、下位互換性のない方法で変更される可能性があり、SLA または非推奨ポリシーの対象ではないことを示します。

GA のログは GCP Console でのみ有効にできます。上記の構成手順をご覧ください。ベータのログを有効にするには、GCP サポートにご連絡ください。

アクセスの透明性ログは、次のサービスによって生成されます。

アクセスの透明性をサポートしている GCP サービス 提供状況
App Engine1 GA
BigQuery ベータ版
Cloud Bigtable ベータ版
Cloud Dataflow ベータ版
Cloud Identity and Access Management GA
Cloud Key Management Service(KMS) GA
Cloud Pub/Sub ベータ版
Cloud Storage GA
Compute Engine GA
永続ディスク GA

1 現在、App Engine と互換性のあるストレージ バックエンドでアクセスの透明性をサポートしているのは Cloud Storage のみです。

ログの内容

アクセスの透明性をサポートしているサービスで、お客様によってアップロードされたデータに Google のスタッフがアクセスした場合(たとえば、Compute Engine インスタンスのラベルの 1 つを表示した場合)、アクセスの透明性のログが生成されます。ただし、以下の場合を除きます

  1. データにアクセスする人に対して、お客様が Cloud Identity and Access Management ポリシーを通じて権限を付与している場合。
    • Cloud IAM を通じてアクセス権を付与された Google スタッフが作業を行う場合、Cloud 監査ログが生成されます(有効になっている場合)。
  2. Google がお客様にアクセスの通知を行うことが法的に禁止されている場合。
  3. 該当のデータが公開リソース ID である場合。たとえば、GCP プロジェクト ID や Cloud Storage バケット名など。
  4. アクセスがシステムジョブである場合。たとえば、データに対して実行される圧縮ジョブなど。
    • Google では、Binary Authorization の内部バージョンを使用して、アクセスの透明性サービスで実行されているシステムコードがセカンド パーティによって検証済みであるかどうかを確認します。

料金

アクセスの透明性ログは課金対象外です。ただし、アクセスの透明性を有効にするには、一定の GCP サポートレベルが必要です。詳しくは、アクセスの透明性を使用するための要件をご覧ください。

次のステップ

アクセスの透明性ログエントリの内容を理解するには、アクセスの透明性ログの読み取り方法をご覧ください。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

ご不明な点がありましたら、Google のサポートページをご覧ください。