Cloud 監査ログのベスト プラクティス

このガイドでは、セキュリティ、調査、コンプライアンスに関する組織のログニーズに合わせて Cloud 監査ログを構成するためのベスト プラクティスをまとめます。

はじめに

Cloud 監査ログは、セキュリティ、監査、コンプライアンス エンティティが Google Cloud の監査証跡を維持するのに役立ちます。Cloud 監査ログを利用すると、企業は Google Cloud のデータに対する管理アクティビティとアクセスに、オンプレミス環境と同レベルの透明性を与えることができます。

Cloud 監査ログの構成

  • 組織レベルのデータ アクセス ポリシーを決定して適用します。詳細については、データアクセス監査ログの構成をご覧ください。

  • テスト用の Google Cloud プロジェクトを使用して、データアクセス監査ログ コレクションの構成を検証してから、デベロッパーおよび本番プロジェクトに伝播します。

  • 権限を付与するための最小権限のアプローチを採用してください。

  • データアクセス監査ログは、デフォルトで無効になっています。新しい Google Cloud サービスを有効にする場合は、その新しいサービスのデータアクセス監査ログを有効にするかどうかを判断します。BigQuery でのみ、データアクセス監査ログがデフォルトで有効になっています。

  • ネットワークの料金を考慮する。

  • 適切な Google Cloud リソースレベルで監査ログのエクスポートを構成します。

  • 即時調査と、低優先度のイベントを必要とするイベントを区別するアラートを構成します。

料金に関する考慮事項

  • データアクセス監査ログは非常に大きいため、追加のストレージ コストが発生する可能性があります。料金情報については、料金: Logging の詳細をご覧ください。

  • 有用でないロギングデータは必ず除外してください。

    • たとえば、開発プロジェクトにデータアクセスの監査ログを記録する必要はありません。

最小限の権限

  • 適切な Cloud Identity and Access Management コントロールを適用して、適切な Cloud Logging のロールを付与することで監査ログにアクセスできるユーザーを制限しているか確認してください。

  • 監査ロギングのロールの構成のガイダンスを使用してください。

  • ログビューアに適用したときと同じアクセス ポリシーを、ログをエクスポートする Google Cloud 宛先に適用します。

ログの表示と理解

トラブルシューティングが必要な場合は、ログをすばやく確認できるようにする必要があります。

構成をエクスポート

  • 将来の分析のために組織がクエリを実行しデータをエクスポートできる集約シンクを設計します。

  • ほとんどのエクスポートは Google Cloud プロジェクト レベルで行われます。フォルダレベルまたは、組織レベルでエクスポートが必要か判断して、Cloud IAM の組織レベルまたはフォルダレベルでシンクを設定します。それから、組織またはフォルダ内のすべてのプロジェクトからログをエクスポートします。たとえば、エクスポートのレベルは次のようなエクスポートのユースケースに応じて検討します。

    • 組織レベルのエクスポート。組織で SIEM を使用して複数の監査ログを管理する場合は、組織のすべての監査ログをエクスポートすることもあります。したがって、組織レベルのエクスポートは意味があります。

    • フォルダレベルのエクスポート。場合によって、部門の監査ログのみをエクスポートすることもできます。たとえば、「Finance」フォルダと「IT」フォルダがある場合は、「Finance」フォルダに属する監査ログのみをエクスポートすることもできます。その逆も可能です。

    詳細については、リソース階層をご覧ください。

  • ログを長期間保存するためにエクスポートするかどうかを指定します。長期間保存する場合はログの受け取りを始める前にログシンクを設定します。シンクが作成される前に書き込まれたログは、過去にさかのぼってエクスポートできません。

    • たとえば、次の gcloud コマンドライン ツールのコマンドは、Google Cloud 組織全体からすべての管理アクティビティ監査ログを単一の BigQuery シンクに送信します。

      gcloud logging sinks create my-bq-sink bigquery.googleapis.com/projects/my-project/datasets/my_dataset --log-filter='logName: "logs/cloudaudit.googleapis.com%2Factivity"' --organization=1234 --include-children

    なお、エクスポート先料金は、エクスポートに適用される場合があります。

  • 一般的なログ エクスポート シナリオにおけるベスト プラクティスに従います。

  • Compute Engine ファイアウォール ログを監査ログと同じシンクにエクスポートします。