アクセスの透明性ログの把握と使用

このページでは、アクセスの透明性ログエントリの内容とそれらを表示して使用する方法について説明します。

アクセスの透明性ログの詳細

アクセスの透明性ログを既存のセキュリティ情報およびイベント管理(SIEM)ツールに統合すると、Google の担当者がお客様のコンテンツにアクセスした際の監査を自動的化できます。アクセスの透明性ログは、Google Cloud Console で Cloud Audit Logging ログとともに確認できます。

アクセスの透明性ログエントリに含まれる詳細は次のとおりです。

  • 対象となるリソースとアクション。
  • 操作の時刻。
  • アクションの理由(カスタマー サポート リクエストに関連付けられたケース番号など)
  • コンテンツを操作している人についてのデータ(たとえば、Google 担当者の所在地など)

アクセスの透明性の構成

アクセスの透明性ログを構成するには、アクセスの透明性の概要をご覧ください。

アクセスの透明性ログの表示

Google Cloud 組織のアクセスの透明性を構成したら、ユーザーまたはグループにプライベート ログ閲覧者のロールを割り当てることで、アクセスの透明性ログにアクセス可能なユーザーについての制御を設定できます。詳細については、Cloud Logging アクセス制御ガイドをご覧ください。

ログ エクスプローラでアクセスの透明性ログを表示する方法については、ログ エクスプローラの使用をご覧ください。

Cloud Monitoring API または Cloud Functions を使用してログをモニタリングします。ご利用にあたっては、Cloud Monitoring のドキュメントをご覧ください。

オプション: ログベースの指標を作成し、ログによって明らかになる問題を適切なタイミングで認識できるよう、アラートポリシーを設定します。

アクセスの透明性ログエントリのサンプル

アクセスの透明性ログエントリの例を次に示します。

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123"
    }
  ]
 }
 logName:  "projects/Google Cloud project/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

ログフィールドの説明

フィールド 説明
insertId ログの一意の識別子。
@type アクセスの透明性ログ識別子。
principalOfficeCountry アクセス者の永久デスクがある国の ISO 3166-1 alpha-2 国コード、場所が確認できない場合は ??、Google 担当者の所在地が人口の少ない国の場合は 3 文字の大陸識別子。
principalEmployingEntity アクセスしている Google 担当者を採用しているエンティティ(Google LLC など)
principalPhysicalLocationCountry アクセス元の国の ISO 3166-1 alpha-2 国コード、場所が確認できない場合は ??、Google の担当者の所在地が人口の少ない国の場合は 3 文字の大陸識別子。
product アクセスされた、お客様の GCP プロダクト。
reason:detail 理由の詳細。サポート チケット ID など。
reason:type アクセスの理由タイプ(例: CUSTOMER_INITIATED_SUPPORT))。
accesses:methodName 行われたアクセスの種類(例: GoogleInternal.Read)。
accesses:resourceName アクセスされたリソースの名前
logName ログの場所の名前。
operation:id ログクラスタ ID。
receiveTimestamp ロギング パイプラインによってアクセスが受信された時刻。
project_id アクセスされたリソースに関連するプロジェクト。
type アクセスされたリソースのタイプ(project など)。
severity ログの重大度。
timestamp ログが書き込まれた時刻

正当化理由コード

理由 説明
CUSTOMER_INITIATED_SUPPORT お客様が開始したサポート(Case Number: #### など)。
GOOGLE_INITIATED_SERVICE 次のようなシステム管理とトラブルシューティングを行うために Google が開始したアクセス:
  • 停電やシステム障害からのバックアップと復旧
  • お客様が、疑わしいサービスの問題の影響を受けていないことを確認するための調査
  • ストレージ障害やデータ破損などの技術的問題の修正
THIRD_PARTY_DATA_REQUEST お客様からの法的手続きに応じて、Google がお客様自身のコンテンツにアクセスする必要がある場合を含め、法的要求または法的手続きに対応するために、お客様主導で Google が行うアクセス。このような要求や手続きについて Google が合法的にお客様に通知できない場合、この場合のアクセスの透明性ログは利用できない場合があります。
GOOGLE_INITIATED_REVIEW 次のようなセキュリティ、詐欺、乱用、コンプライアンスに関する目的で Google が開始したアクセス:
  • お客様のアカウントおよびコンテンツの安全性とセキュリティの確保
  • アカウントのセキュリティに影響する可能性のあるイベント(マルウェア感染など)によってコンテンツが影響を受けるかどうかの確認
  • お客様が Google 利用規約に準拠して Google サービスを使用しているかどうかを確認する
  • 他のユーザーやお客様による苦情やその他の乱用行為の調査
  • Google サービスが、関連するコンプライアンス基準(マネーロンダリング防止規制など)との整合性を保った状態で使用されていることを確認する

アクセスの透明性ログのモニタリング

Cloud Monitoring API を使用して、アクセスの透明性ログをモニタリングできます。ご利用にあたっては、Cloud Monitoring のドキュメントをご覧ください。

ログベースの指標を設定し、監査ログによって明らかになる問題を適切なタイミングで認識できるよう、アラート ポリシーを設定します。たとえば、Google の担当者がユーザーのコンテンツ アクセスをキャプチャするログベースの指標を作成し、特定の期間内のアクセス数が指定されたしきい値を超過したことを知らせるアラート ポリシーを Monitoring に作成できます。