このページでは、アクセスの透明性ログエントリの内容とそれらを表示して使用する方法について説明します。
アクセスの透明性ログの詳細
アクセスの透明性ログを既存のセキュリティ情報およびイベント管理(SIEM)ツールに統合すると、Google の担当者がお客様のコンテンツにアクセスした際の監査を自動的化できます。アクセスの透明性ログは、Google Cloud Console で Cloud Audit Logging ログとともに確認できます。
アクセスの透明性ログエントリに含まれる詳細は次のとおりです。
- 対象となるリソースとアクション。
- 操作の時刻。
- アクションの理由(カスタマー サポート リクエストに関連付けられたケース番号など)
- コンテンツを操作している人についてのデータ(たとえば、Google 担当者の所在地など)
アクセスの透明性の構成
アクセスの透明性ログを構成するには、アクセスの透明性の概要をご覧ください。
アクセスの透明性ログの表示
Google Cloud 組織のアクセスの透明性を構成したら、ユーザーまたはグループにプライベート ログ閲覧者のロールを割り当てることで、アクセスの透明性ログにアクセス可能なユーザーについての制御を設定できます。詳細については、Cloud Logging アクセス制御ガイドをご覧ください。
ログ エクスプローラでアクセスの透明性ログを表示する方法については、ログ エクスプローラの使用をご覧ください。
Cloud Monitoring API または Cloud Functions を使用してログをモニタリングします。ご利用にあたっては、Cloud Monitoring のドキュメントをご覧ください。
オプション: ログベースの指標を作成し、ログによって明らかになる問題を適切なタイミングで認識できるよう、アラートポリシーを設定します。
アクセスの透明性ログエントリのサンプル
アクセスの透明性ログエントリの例を次に示します。
{ insertId: "abcdefg12345" jsonPayload: { @type: "type.googleapis.com/google.cloud.audit.TransparencyLog" location: { principalOfficeCountry: "US" principalEmployingEntity: "Google LLC" principalPhysicalLocationCountry: "CA" } product: [ 0: "Cloud Storage" ] reason: [ detail: "Case number: bar123" type: "CUSTOMER_INITIATED_SUPPORT" ] accesses: [ 0: { methodName: "GoogleInternal.Read" resourceName: "//googleapis.com/storage/buckets/BUCKET_NAME/objects/foo123" } ] } logName: "projects/Google Cloud project/logs/cloudaudit.googleapis.com%2Faccess_transparency" operation: { id: "12345xyz" } receiveTimestamp: "2017-12-18T16:06:37.400577736Z" resource: { labels: { project_id: "1234567890" } type: "project" } severity: "NOTICE" timestamp: "2017-12-18T16:06:24.660001Z" }
ログフィールドの説明
フィールド | 説明 |
---|---|
insertId |
ログの一意の識別子。 |
@type |
アクセスの透明性ログ識別子。 |
principalOfficeCountry |
アクセス者の永久デスクがある国の ISO 3166-1 alpha-2 国コード、場所が確認できない場合は ?? 、Google 担当者の所在地が人口の少ない国の場合は 3 文字の大陸識別子。 |
principalEmployingEntity |
アクセスしている Google 担当者を採用しているエンティティ(Google LLC など) |
principalPhysicalLocationCountry |
アクセス元の国の ISO 3166-1 alpha-2 国コード、場所が確認できない場合は ?? 、Google の担当者の所在地が人口の少ない国の場合は 3 文字の大陸識別子。 |
product |
アクセスされた、お客様の GCP プロダクト。 |
reason:detail |
理由の詳細。サポート チケット ID など。 |
reason:type |
アクセスの理由タイプ(例: CUSTOMER_INITIATED_SUPPORT) )。 |
accesses:methodName |
行われたアクセスの種類(例: GoogleInternal.Read )。 |
accesses:resourceName |
アクセスされたリソースの名前。 |
logName |
ログの場所の名前。 |
operation:id |
ログクラスタ ID。 |
receiveTimestamp |
ロギング パイプラインによってアクセスが受信された時刻。 |
project_id |
アクセスされたリソースに関連するプロジェクト。 |
type |
アクセスされたリソースのタイプ(project など)。 |
severity |
ログの重大度。 |
timestamp |
ログが書き込まれた時刻 |
正当化理由コード
理由
説明
CUSTOMER_INITIATED_SUPPORT
お客様が開始したサポート(
Case Number: ####
など)。
GOOGLE_INITIATED_SERVICE
次のようなシステム管理とトラブルシューティングを行うために Google が開始したアクセス:
THIRD_PARTY_DATA_REQUEST
お客様からの法的手続きに応じて、Google がお客様自身のコンテンツにアクセスする必要がある場合を含め、法的要求または法的手続きに対応するために、お客様主導で Google が行うアクセス。このような要求や手続きについて Google が合法的にお客様に通知できない場合、この場合のアクセスの透明性ログは利用できない場合があります。
GOOGLE_INITIATED_REVIEW
次のようなセキュリティ、詐欺、乱用、コンプライアンスに関する目的で Google が開始したアクセス:
アクセスの透明性ログのモニタリング
Cloud Monitoring API を使用して、アクセスの透明性ログをモニタリングできます。ご利用にあたっては、Cloud Monitoring のドキュメントをご覧ください。
ログベースの指標を設定し、監査ログによって明らかになる問題を適切なタイミングで認識できるよう、アラート ポリシーを設定します。たとえば、Google の担当者がユーザーのコンテンツ アクセスをキャプチャするログベースの指標を作成し、特定の期間内のアクセス数が指定されたしきい値を超過したことを知らせるアラート ポリシーを Monitoring に作成できます。