このページは Cloud Translation API によって翻訳されました。

フレームワークを適用する

Compliance Manager のフレームワークは、クラウド環境で組織のセキュリティ要件または規制要件を満たすのに役立つクラウドコントロールで構成されています。フレームワークの適用は 2 段階のプロセスです。まず、ビジネスのセキュリティ、コンプライアンス、リスクの管理に必要なクラウド制御を決定する必要があります。次に、これらのクラウド制御を含むフレームワークをGoogle Cloudの適切なリソースにデプロイします。このページでは、次の手順について説明します。

どの組み込みフレームワークが規制とセキュリティの要件に最も適しているかを評価します。独自のカスタムフレームワークを作成できますが、組み込みのフレームワークから始めることをおすすめします。
ビジネス要件にマッピングされる組み込みのクラウド制御を特定します。必要に応じて、カスタムクラウドコントロールを作成できます。
フレームワークを Google Cloud組織にデプロイするか、特定のフォルダとプロジェクトにデプロイするかを決定します。各組織、フォルダ、プロジェクトにデプロイできるフレームワークは 1 つのみです。Compliance Manager は、アプリ対応フォルダをサポートしています。
既存のフレームワークをコピーして、要件に合わせて変更します。必要に応じて、カスタムフレームワークを作成できます。
適切な組織、フォルダ、プロジェクトにフレームワークをデプロイします。

始める前に

フレームワークを適用するために必要な権限を取得するには、組織に対する次の IAM ロールを付与するよう管理者に依頼してください。
- コンプライアンスマネージャー管理者（roles/cloudsecuritycompliance.admin）
- 検出結果ダッシュボードを表示する: コンプライアンスマネージャー閲覧者（roles/cloudsecuritycompliance.viewer）
- 組織のポリシーに基づくクラウドコントロールを含むフレームワークをデプロイするには、次のいずれかが必要です。
  - 組織のポリシー管理者（roles/orgpolicy.policyAdmin）
  - Assured Workloads 管理者（roles/assuredworkloads.admin）
  - Assured Workloads 編集者（roles/assuredworkloads.editor）
- フレームワークのデプロイ中にフォルダを作成するには、次のいずれかを行います。
  - フォルダ管理者（roles/resourcemanager.folderAdmin）
  - フォルダ作成者（roles/resourcemanager.folderCreator）
- フレームワークのデプロイ中にプロジェクトを作成するには、次のすべてを満たす必要があります。
  - プロジェクト支払い管理者（roles/billing.projectManager）
  - プロジェクト作成者（roles/resourcemanager.projectCreator）
  - プロジェクト削除者（roles/resourcemanager.projectDeleter）
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
組織のポリシーを使用してフレームワークをデプロイするロールには、必要な orgpolicy.policies.create、orgpolicy.policies.update、orgpolicy.policies.get の権限が含まれています。

フレームワークを作成するロールには、必要な resourcemanager.folders.get、resourcemanager.folders.create、resourcemanager.folders.delete の権限が含まれています。

プロジェクトを作成するロールには、必要な resourcemanager.projects.get、resourcemanager.projects.create、resourcemanager.projects.delete、resourcemanager.projects.createBillingAssignment 権限が含まれています。
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

フレームワークを表示する

組み込みフレームワークまたは作成済みの他のフレームワークの構成を表示する手順は次のとおりです。

Google Cloud コンソールで、[コンプライアンス] ページに移動します。

コンプライアンスに移動
使用可能なすべてのフレームワークを表示するには、[構成] タブをクリックします。

ダッシュボードには、利用可能なフレームワーク、簡単な説明、サポートされているプラットフォーム、フレームワークが適用されたリソースが表示されます。
特定のフレームワークの詳細を表示するには、フレームワーク名をクリックします。

クラウドコントロールを表示する

組み込みのクラウドコントロールと、すでに作成したカスタムクラウドコントロールを表示するには、次の手順を行います。

Google Cloud コンソールで、[コンプライアンス] ページに移動します。

コンプライアンスに移動
[構成] タブで、[クラウドコントロール] をクリックします。使用可能なクラウドコントロールが表示されます。

ダッシュボードには、クラウドコントロールを含むフレームワークと、クラウドコントロールが適用されているリソース（組織、フォルダ、プロジェクト）の数に関する情報が表示されます。
クラウドコントロールの詳細を表示するには、コントロール名をクリックします。

カスタムクラウドコントロールを作成

カスタムクラウド制御は、1 つのリソースタイプにのみ適用されます。サポートされているデータ型は Cloud Asset Inventory リソースのみです。

Google Cloud コンソールで、[コンプライアンス] ページに移動します。

コンプライアンスに移動
[構成] タブで、[クラウドコントロール] をクリックします。使用可能なクラウドコントロールのリストが表示されます。
Gemini を使用するか手動で、クラウドコントロールを作成します。

Gemini を使用する

Gemini にクラウドコントロールの生成を依頼します。Gemini は、プロンプトに基づいて、一意の識別子、名前、関連する検出ロジック、考えられる修復手順を提供します。
推奨事項を確認し、必要な変更を加えます。
カスタムクラウドコントロールを保存します。

手動で作成する

[クラウドコントロール ID] に、コントロールの一意の識別子を指定します。
組織内のユーザーがカスタムクラウドコントロールの目的を理解できるように、名前と説明を入力します。
省略可: コントロールのカテゴリを選択します。[続行] をクリックします。
カスタムクラウドコントロールで使用可能なリソースタイプを選択します。
Common Expression Language（CEL）形式で、クラウドコントロールの検出ロジックを指定します。

CEL 式を使用すると、リソースのプロパティを評価する方法を定義できます。詳細と例については、カスタムクラウドコントロールのルールを作成するをご覧ください。[続行] をクリックします。
適切な検出結果の重大度を選択します。
組織のインシデント対応者と管理者がクラウドコントロールの検出結果を解決できるように、修復手順を記述します。[続行] をクリックします。
入力内容を確認し、[作成] をクリックします。

フレームワークを作成する

組織内、特定のフォルダ内、またはプロジェクト内のリソースに適用されるクラウド制御を特定したら、フレームワークを作成できます。カスタムフレームワークを作成するか、既存のフレームワークをコピーして変更できます。

Google Cloud コンソールで、[コンプライアンス] ページに移動します。

コンプライアンスに移動
[構成] タブで、[カスタムフレームワークを作成] をクリックします。
次のいずれかを行います。
- 既存のフレームワークを使用するには、次の操作を行います。
  1. [既存のフレームワークから始める] を選択します。
  2. コピーするフレームワークを選択します。
  3. [追加] をクリックします。
- カスタムフレームワークを作成するには、[Start new] を選択します。
フレームワークの名前、一意の識別子、説明を入力します。[続行] をクリックします。

既存のフレームワークをコピーする場合は、既存のフレームワークに含まれていたクラウドコントロールのリストが表示されます。
必要なクラウドコントロールを追加する手順は次のとおりです。
- 既存のクラウドコントロールを追加するには、[クラウドコントロールを追加] をクリックします。必要なクラウドコントロールをすべて選択し、[追加] をクリックします。
- カスタムクラウドコントロールを作成するには、[カスタムクラウドコントロールを作成] をクリックします。手順については、カスタムクラウド制御を作成するをご覧ください。
[続行] をクリックします。
クラウドコントロールに必要な追加のパラメータを追加します。

たとえば、データアクセスガバナンス クラウドコントロールなどのデータセキュリティポスチャー管理（DSPM）クラウドコントロールを有効にする場合は、プリンシパルが使用する必要があるロケーションを指定します。データセキュリティポスチャー管理の制御の詳細については、データアクセスガバナンスクラウド制御をご覧ください。
[作成] をクリックします。

フレームワークをデプロイする

フレームワークを組織、フォルダ、プロジェクトにデプロイして、フレームワークのクラウドコントロールを使用してリソースを制御およびモニタリングできるようにします。各組織、フォルダ、プロジェクトに複数のフレームワークをデプロイできます。

フォルダとプロジェクトは、 Google Cloud リソース階層を介してフレームワークを継承します。したがって、組織レベルとプロジェクトレベルでフレームワークをデプロイすると、両方のフレームワーク内のすべてのクラウドコントロールがプロジェクト内のリソースに適用されます。クラウド制御の定義に違いがある場合、プロジェクト内のリソースでは下位レベルのクラウド制御が使用されます。たとえば、クラウド制御ルールが組織レベルで許可に設定され、プロジェクトレベルで拒否に設定されている場合、プロジェクトレベルの拒否設定がプロジェクト内のリソースに適用されます。

ベストプラクティスとして、ビジネス全体に適用できるクラウドコントロールを含むフレームワークを組織レベルでデプロイすることをおすすめします。必要に応じて、より厳格なフレームワークをフォルダやプロジェクトにデプロイできます。

Google Cloud コンソールで、[コンプライアンス] ページに移動します。

コンプライアンスに移動
[構成] タブで、デプロイするフレームワークの [その他の操作> リソースに適用] をクリックします。
次のいずれかのオプションを選択します。
- ドリフトのみをモニタリングするには、[モニタリング] を選択します。
- ドリフトをモニタリングして違反を積極的に防止するには、[モニタリングと防止] を選択します。
フレームワークをデプロイするリソースを選択します。既存の組織、フォルダ、プロジェクトを選択できます。違反を積極的に防止することを選択した場合は、新しいフォルダまたはプロジェクトを作成して、フレームワークをデプロイできます。
次のいずれかを行います。
- [モニタリング] を選択した場合は、情報を確認して [モニタリング] をクリックします。
- [監視と防止] を選択した場合は、次の操作を行います。
  1. [次へ] をクリックします。クラウドコントロールとモードを確認します。
  2. [続行] をクリックします。
  3. 表示された場合は、一部のクラウドコントロールに必要な追加情報を確認します。
  4. [次へ] をクリックします。
  5. 選択内容を確認し、[適用] をクリックします。

フレームワークをデプロイすると、環境で、定義したクラウドコントロールからのずれの有無をモニタリングできます。Security Command Center は、ドリフトのインスタンスを検出結果として報告します。この検出結果は、確認、フィルタ、解決できます。クラウドコントロールに関連する検出結果が表示されるまでに、フレームワークのデプロイ後約 6 時間かかることがあります。

デプロイされたフレームワークからリソースを削除する

デプロイされたフレームワークに割り当てた組織、フォルダ、プロジェクトは削除できます。リソースを削除すると、フレームワークはそのリソース階層のノードに関する結果を生成しなくなります。

リソースを削除すると、関連する検出結果の状態は 7 日後に Inactive に変わります。

Google Cloud コンソールで、[コンプライアンス] ページに移動します。

コンプライアンスに移動
組織を選択する。
[構成] タブで、リソースの割り当てを解除するフレームワークをクリックします。
[フレームワークの詳細] ページで、[アクション] > [リソース割り当ての管理] をクリックします。
[割り当てられたリソース] テーブルで、削除するリソースを見つけて、[ 削除] をクリックします。
確認メッセージが表示されたら、[割り当て解除] をクリックします。