アクセスの透明性ログの読み取り

このページでは、アクセスの透明性ログエントリの内容について説明します。

アクセスの透明性ログの詳細

アクセスの透明性を実現することで、お客様の Google Cloud Platform 組織で Google の社員が行ったアクションのログが提供されます。アクセスの透明性ログと、お客様の組織内部のユーザーが行ったアクションの Cloud Audit Logging ログで、「誰がいつどこで何を行ったか」という質問の答えが得られます。

アクセスの透明性ログを既存の SIEM ツールに統合すると、対象となるアクションの監査を自動化できます。ログは、Cloud Audit Logging ログとともに Google Cloud Platform Console で取得できます。

アクセスの透明性ログエントリに含まれる詳細は次のとおりです。

  • 対象となるリソースとアクション
  • アクションの時間
  • アクションの理由(顧客サポート リクエストに関連付けられたケース番号など)
  • データを操作している Google スタッフについてのデータ(場所など)

アクセスの透明性の設定

アクセスの透明性ログを構成するには、アクセスの透明性の概要をご覧ください。

アクセスの透明性ログの表示

GCP 組織でアクセスの透明性を構成したら、ユーザーまたはグループにプライベート ログ閲覧者の役割を割り当てることで、アクセスの透明性ログにアクセスできるユーザーを制御します。詳細については、Logging アクセス制御ガイドをご覧ください。

ログビューアでアクセスの透明性ログを確認する方法については、ログの表示をご覧ください。

Stackdriver API または Cloud Functions を使用してログをモニタリングします。この操作を開始するには Stackdriver Monitoring のドキュメントをご覧ください。

オプション: ログベースの指標を作成し、監査ログによって明らかになる問題を適切なタイミングで認識できるよう、アラート ポリシーを設定します。

アクセスの透明性ログの例

アクセスの透明性ログエントリの例を次に示します。

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

ログフィールドの説明

フィールド 説明
insertId ログの一意の識別子。
@type アクセスの透明性ログ ID。
principalOfficeCountry アクセス者の永久デスクがある国の ISO 3166-1 alpha-2 国コード、場所が確認できない場合は ??、Google の社員の所在地が低人口の国の場合は 3 文字の大陸識別子。
principalEmployingEntity アクセスしているユーザーを採用している Google エンティティ(Google LLC など)。
principalPhysicalLocationCountry アクセス元の国の ISO 3166-1 alpha-2 国コード、場所が確認できない場合は ??、Google の社員の所在地が低人口の国の場合は 3 文字の大陸識別子。
product アクセスされた、お客様の GCP プロダクト。
reason:detail 理由の詳細。サポート チケット ID など。
reason:type アクセスの理由タイプCUSTOMER_INTIATED_SUPPORT) など)。
accesses:methodName 行われたアクセスの種類(GoogleInternal.Read など)。
accesses:resourceName アクセスされたリソースの名前
logName ログの場所の名前。
operation:id ログクラスタ ID。
receiveTimestamp ロギング パイプラインによってアクセスが受信された時刻。
project_id アクセスされたリソースに関連するプロジェクト。
type アクセスされたリソースのタイプ(project など)。
severity ログの重大度。
timestamp ログが書き込まれた時刻

正当化理由コード

理由 説明
CUSTOMER_INTIATED_SUPPORT お客様が開始したサポート(Case Number: #### など)。
GOOGLE_INITIATED_SERVICE 次のようなシステム管理とトラブルシューティングを行うために Google が開始したアクセス:
  • 停電やシステム障害からのバックアップと復旧
  • お客様が、疑わしいサービスの問題の影響を受けていないことを確認するための調査
  • ストレージ障害やデータ破損などの技術的問題の修正
THIRD_PARTY_DATA_REQUEST お客様からの法的手続きに応じて Google が顧客データにアクセスする必要がある場合を含め、法的要求または法的手続きに対応するためにお客様主導で Google が行うアクセス。このような要求や手続きについて Google が合法的にお客様に通知できない場合、この場合のアクセスの透明性ログは利用できない場合があります。
GOOGLE_INITIATED_REVIEW 次のようなセキュリティ、詐欺、乱用、コンプライアンスに関する目的で Google が開始したアクセス:
  • お客様のアカウントおよびデータの安全性とセキュリティの確保
  • アカウントのセキュリティに影響を与える可能性のあるイベント(マルウェア感染など)によってデータが影響を受けるかどうかを確認する
  • お客様が Google 利用規約に準拠して Google サービスを使用しているかどうかを確認する
  • 他のユーザーやお客様による苦情やその他の乱用行為の調査
  • Google サービスが、関連するコンプライアンス体制(マネーロンダリング防止規制など)と一貫して使用されていることを確認する
このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

ご不明な点がありましたら、Google のサポートページをご覧ください。