アクセスの透明性

このページでは、アクセスの透明性の概要と、アクセスの透明性ログを有効にする方法を説明します。

概要

セキュリティと透明性に対する Google の長期的な取り組みの一環として、お客様はアクセスの透明性を使用して、Google スタッフがあなたのデータにアクセスして行った操作のログを確認できるようになっています。

ご存知かもしれませんが、Cloud Audit Logs のログは、Google Cloud プロジェクトで「誰がどこでいつ、何を行ったか」という質問の答えを見つけるうえで有用です。Cloud Audit Logs はお客様の組織内のメンバーが行ったアクションに関するログを提供する一方、アクセスの透明性は Google のスタッフが行ったアクションのログを提供します。

Cloud Logging の他のログと同様に、アクセスの透明性ログにはさまざまなアクションに関するデータが記録されます。たとえば、お客様が電話でリクエストしたサポートへの対応、サポート リクエストに応えるためのより詳細なエンジニアリング調査、さらにサービス停止からの復旧といった有効なビジネス目的のための調査が対象になります。

アクセスが行われる前にアクセスを承認する機能が必要な場合は、アクセス承認のドキュメントをご覧ください。

アクセスの透明性を使用する場面

アクセスの透明性が必要となる理由としては、さまざまなものがあります。いくつかの例を以下に示します。

  • 問題の修正やリクエストへの対応など、ビジネス上の正当な理由のためだけに、Google がお客様のデータにアクセスしていることを確認する。
  • Google のスタッフがお客様の指示を実行する際にエラーが発生していないことを確認する。
  • 法的 / 規制上の義務の遵守を確認し追跡する。
  • 自動セキュリティ情報およびイベント管理(SIEM)ツールによって追跡されたアクセス イベントを収集および分析する。

アクセスの透明性は Google Cloud 組織全体に対して有効にされます。プロジェクトごとにアクセスの透明性を有効にするには、Google Cloud サポートにお問い合わせください。

アクセスの透明性を使用するための要件

次のいずれかの要件を満たしていれば、Google Cloud 組織のアクセスの透明性を有効にできます。

  • Google Cloud 組織には、次のいずれかのロールベース サポート パッケージがあります。

    • エンタープライズ サポート
    • 4 つ以上の開発環境の役割
    • 4 つ以上の本番環境の役割
    • 開発環境の役割と本番環境の役割からなる、4 つ以上の役割

    Google Cloud セールス、または Google サポートにお問い合わせいただくと、アクセスの透明性を有効にできます。特別な Cloud Identity and Access Management の役割や権限は必要ありません。 Google Cloud セールス、または Google Cloud サポートへのお問い合わせについては、Google Cloud サポートをご覧ください。

  • Google Cloud 組織がプラチナ / ゴールド サポート パッケージを所有している。アクセスの透明性を有効にするには、Google Cloud Console を使用するか、Google Cloud サポートにお問い合わせください。また、特定の Cloud IAM 権限と、請求先アカウントに関連付けられているプロジェクトも必要です。この両方の要件については、下記の構成手順で説明しています。

Google Cloud 組織に適切なテクニカル サポート パッケージがあるかどうか不明な場合は、Cloud サポート コンソールを確認してください。

サポート コンソールに移動

[サポート] パネルに、サポートのステータスまたはパッケージのアップグレード オプションが表示されます。

Cloud Console を使用したアクセスの透明性の構成

上記のように、Google Cloud 組織に必要な Gold または Platinum サポート パッケージがあると判断した場合は、Cloud Console を使用してアクセスの透明性を有効または無効にできます。

  1. 組織レベルの権限を確認します。

    1. Cloud Console の [IAM] ページに移動します。

      IAM に移動

    2. プロンプトが表示されたら、ページ上部のセレクタ メニューで Google Cloud 組織を選択します。

    3. [メンバー] リストの [ロール] 列に、Cloud IAM の役割 [アクセスの透明性管理者](roles/axt.admin)が示されていることを確認します。

  2. ページ内のセレクタ メニューを使用して、組織内の Google Cloud プロジェクトを選択します。

    Google Cloud プロジェクト ページではアクセスの透明性が構成されていますが、アクセスの透明性は組織全体に対して有効にされます。プロジェクトごとにアクセスの透明性を有効にするには、Google Cloud サポートにお問い合わせください。

  3. Google Cloud プロジェクトが請求先アカウントに関連付けられていることを確認します。Cloud Console でアクセスの透明性を構成できるのは、請求先アカウントに関連付けられたプロジェクトのみです。

    1. 左側のナビゲーション メニューで、[お支払い] を選択します。「このプロジェクトには請求先アカウントが関連付けられていません」というメッセージが表示されたら、別のプロジェクトを選択するか、プロジェクトの請求先アカウントの変更の手順に従ってプロジェクトの請求先アカウントを変更します。
  4. [IAM と管理] > [設定] ページに移動します。

  5. [アクセスの透明性を有効にする] ボタンをクリックします。

    Google Cloud プロジェクトが適切なサポート パッケージや請求先アカウントに関連付けられていないか、適切な権限がない場合、このボタンは表示されません。詳しくはGoogle Cloud サポートにお問い合わせください。

アクセスの透明性を無効にする

アクセスの透明性を無効にするには、Google Cloud サポートにお問い合わせください。Cloud Console を使用してアクセスの透明性を無効にすることはできません。

Google Cloud サポートへのお問い合わせについては、Google Cloud サポートをご覧ください。

アクセスの透明性ログを生成する Google サービス

アクセスの透明性ログを提供する Google Cloud サービスの一覧については、アクセスの透明性ログ付きの Google サービスをご覧ください。

ログの内容

サポートされている Google Cloud サービスで、お客様によってアップロードされたデータに Google のスタッフがアクセスした場合(たとえば、Compute Engine インスタンスのラベルの 1 つを表示した場合)、アクセスの透明性ログが生成されます。ただし、以下の場合を除きます

  1. データにアクセスする人間に対して、お客様が Cloud Identity and Access Management ポリシーを通じて権限を付与している場合。
    • Cloud IAM を通じてアクセス権を付与された Google スタッフが作業を行う場合、Cloud 監査ログが生成されます(有効になっている場合)。
  2. Google がお客様にアクセスの通知を行うことが法的に禁止されている場合。
  3. 対象となるデータが公開リソース ID である場合。たとえば、Google Cloud プロジェクト ID や Cloud Storage バケット名など。
  4. アクセスがシステムジョブである場合。たとえば、データに対して実行される圧縮ジョブなど。
    • Google では、Binary Authorization の内部バージョンを使用して、アクセスの透明性サービスで実行されているシステムコードがセカンド パーティによって検証済みであるかどうかを確認します。

料金

アクセスの透明性ログは課金対象外です。ただし、アクセスの透明性を有効にするには、一定の Google Cloud のサポートレベルが必要です。詳しくは、アクセスの透明性を使用するための要件をご覧ください。

次のステップ

アクセスの透明性ログエントリの内容を理解するには、アクセスの透明性ログの読み取り方法をご覧ください。