フレームワークを適用する

Compliance Manager のフレームワークは、クラウド環境で組織のセキュリティ要件または規制要件を満たすのに役立つクラウドコントロールで構成されています。フレームワークの適用は 2 段階のプロセスです。まず、ビジネスのセキュリティ、コンプライアンス、リスクの管理に必要なクラウドコントロールを決定する必要があります。次に、これらのクラウドコントロールを含むフレームワークをGoogle Cloudの適切なリソースにデプロイします。このページでは、次の手順について説明します。

どの組み込みフレームワークが規制とセキュリティの要件に最も適しているかを評価します。独自のカスタムフレームワークを作成できますが、組み込みのフレームワークから始めることをおすすめします。
ビジネス要件にマッピングされる組み込みのクラウドコントロールを特定します。必要に応じて、カスタムクラウドコントロールを作成できます。
フレームワークを Google Cloud組織にデプロイするか、特定のフォルダとプロジェクトにデプロイするかを決定します。各組織、フォルダ、プロジェクトにデプロイできるフレームワークは 1 つのみです。Compliance Manager は、アプリ対応フォルダをサポートしています。
既存のフレームワークをコピーして、要件に合わせて変更します。必要に応じて、カスタムフレームワークを作成できます。
適切な組織、フォルダ、プロジェクトにフレームワークをデプロイします。

始める前に

フレームワークの適用に必要な権限を取得するには、組織に対する次の IAM ロールを付与するよう管理者に依頼してください。
- コンプライアンスマネージャー管理者（roles/cloudsecuritycompliance.admin）
- 検出結果ダッシュボードを表示するには、コンプライアンスマネージャー閲覧者（roles/cloudsecuritycompliance.viewer）が必要です。
- 組織のポリシーに基づくクラウドコントロールを含むフレームワークをデプロイするには、次のいずれかが必要です。
  - 組織のポリシー管理者（roles/orgpolicy.policyAdmin）
  - Assured Workloads 管理者（roles/assuredworkloads.admin）
  - Assured Workloads 編集者（roles/assuredworkloads.editor）
- フレームワークのデプロイ中にフォルダを作成するには、次のいずれかが必要です。
  - フォルダ管理者（roles/resourcemanager.folderAdmin）
  - フォルダ作成者（roles/resourcemanager.folderCreator）
- フレームワークのデプロイ中にプロジェクトを作成するには、次のすべてが必要です。
  - プロジェクト支払い管理者（roles/billing.projectManager）
  - プロジェクト作成者（roles/resourcemanager.projectCreator）
  - プロジェクト削除（roles/resourcemanager.projectDeleter）
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
組織のポリシーを使用してフレームワークをデプロイするロールには、必要な orgpolicy.policies.create、orgpolicy.policies.update、orgpolicy.policies.get の権限が含まれています。

フレームワークを作成するロールには、必要な resourcemanager.folders.get、resourcemanager.folders.create、resourcemanager.folders.delete の権限が含まれています。

プロジェクトを作成するロールには、必要な resourcemanager.projects.get、resourcemanager.projects.create、resourcemanager.projects.delete、resourcemanager.projects.createBillingAssignment 権限が含まれています。
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

フレームワークを表示する

組み込みフレームワークまたは作成済みの他のフレームワークの構成を表示する手順は次のとおりです。

Google Cloud コンソールで、[コンプライアンス] ページに移動します。

[コンプライアンス] に移動
使用可能なすべてのフレームワークを表示するには、[構成] タブをクリックします。

ダッシュボードには、利用可能なフレームワーク、簡単な説明、サポートされているプラットフォーム、フレームワークが適用されたリソースが表示されます。
特定のフレームワークの詳細を表示するには、フレームワーク名をクリックします。

クラウドコントロールを表示する

組み込みのクラウドコントロールと、すでに作成したカスタムクラウドコントロールを表示するには、次の手順を行います。

Google Cloud コンソールで、[コンプライアンス] ページに移動します。

[コンプライアンス] に移動
[構成] タブで、[クラウドコントロール] をクリックします。使用可能なクラウドコントロールが表示されます。

ダッシュボードには、クラウドコントロールを含むフレームワークと、クラウドコントロールが適用されているリソース（組織、フォルダ、プロジェクト）の数に関する情報が表示されます。
クラウドコントロールの詳細を表示するには、コントロール名をクリックします。

カスタムクラウドコントロールを作成する

カスタムクラウドコントロールは、1 つのリソースタイプにのみ適用されます。サポートされているデータタイプは Cloud Asset Inventory リソースのみです。

Google Cloud コンソールで、[コンプライアンス] ページに移動します。

[コンプライアンス] に移動
[構成] タブで、[クラウドコントロール] をクリックします。使用可能なクラウドコントロールのリストが表示されます。
Gemini を使用するか手動で、クラウドコントロールを作成します。

Gemini を使用する

Gemini にクラウドコントロールの生成を依頼します。Gemini は、プロンプトに基づいて、固有識別子、名前、関連する検出ロジック、可能な修復手順を提供します。
推奨事項を確認し、必要な変更を加えます。
カスタムクラウドコントロールを保存します。

手動で作成する

[クラウドコントロール ID] に、コントロールの固有識別子を指定します。
組織内のユーザーがカスタムクラウドコントロールの目的を理解できるように、名前と説明を入力します。
省略可: コントロールのカテゴリを選択します。[続行] をクリックします。
カスタムクラウドコントロールで使用可能なリソースタイプを選択します。
Common Expression Language（CEL）形式で、クラウドコントロールの検出ロジックを指定します。

CEL 式を使用すると、リソースのプロパティを評価する方法を定義できます。詳細と例については、カスタムクラウドコントロールのルールを作成するをご覧ください。[続行] をクリックします。
適切な検出結果の重大度を選択します。
組織のインシデント対応者と管理者がクラウドコントロールの検出結果を解決できるように、修復手順を記述します。[続行] をクリックします。
入力内容を確認し、[作成] をクリックします。

フレームワークを作成する

組織内、特定のフォルダ内、またはプロジェクト内のリソースに適用されるクラウドコントロールを特定したら、フレームワークを作成できます。カスタムフレームワークを作成するか、既存のフレームワークをコピーして変更できます。

Google Cloud コンソールで、[コンプライアンス] ページに移動します。

[コンプライアンス] に移動
[構成] タブで、[カスタムフレームワークを作成] をクリックします。
次のいずれかを行います。
- 既存のフレームワークを使用するには、次の操作を行います。
  1. [既存のフレームワークから始める] を選択します。
  2. コピーするフレームワークを選択します。
  3. [追加] をクリックします。
- カスタムフレームワークを作成するには、[新規作成] を選択します。
フレームワークの名前、固有識別子、説明を入力します。[続行] をクリックします。

既存のフレームワークをコピーする場合は、既存のフレームワークに含まれていたクラウドコントロールのリストが表示されます。
必要なクラウドコントロールを追加する手順は次のとおりです。
- 既存のクラウドコントロールを追加するには、[クラウドコントロールを追加] をクリックします。必要なクラウドコントロールをすべて選択し、[追加] をクリックします。
- カスタムクラウドコントロールを作成するには、[カスタムクラウドコントロールを作成] をクリックします。手順については、カスタムクラウドコントロールを作成するをご覧ください。
[続行] をクリックします。
クラウドコントロールに必要な追加のパラメータを追加します。

たとえば、データアクセスガバナンス クラウドコントロールなどのデータセキュリティポスチャー管理（DSPM）クラウドコントロールを有効にする場合は、プリンシパルが使用する必要があるロケーションを指定します。データセキュリティポスチャー管理の制御の詳細については、データアクセスガバナンスクラウドコントロールをご覧ください。
[作成] をクリックします。

フレームワークをデプロイする

フレームワークを組織、フォルダ、プロジェクトにデプロイして、フレームワークのクラウドコントロールを使用してリソースを制御およびモニタリングできるようにします。各組織、フォルダ、プロジェクトに複数のフレームワークをデプロイできます。

フォルダとプロジェクトは、 Google Cloud リソース階層を介してフレームワークを継承します。したがって、組織レベルとプロジェクトレベルでフレームワークをデプロイすると、両方のフレームワーク内のすべてのクラウドコントロールがプロジェクト内のリソースに適用されます。クラウドコントロールの定義に違いがある場合、プロジェクト内のリソースでは下位レベルのクラウドコントロールが使用されます。たとえば、クラウドコントロールルールが組織レベルで許可に設定され、プロジェクトレベルで拒否に設定されている場合、プロジェクトレベルの拒否設定がプロジェクト内のリソースに適用されます。

ベストプラクティスとして、ビジネス全体に適用できるクラウドコントロールを含むフレームワークを組織レベルでデプロイすることをおすすめします。必要に応じて、より厳格なフレームワークをフォルダやプロジェクトにデプロイできます。

Google Cloud コンソールで、[コンプライアンス] ページに移動します。

[コンプライアンス] に移動
[構成] タブで、デプロイするフレームワークの [その他の操作] > [リソースに適用] をクリックします。
次のいずれかのオプションを選択します。
- ドリフトのみをモニタリングするには、[モニタリング] を選択します。
- ドリフトをモニタリングして違反を積極的に防止するには、[モニタリングと防止] を選択します。
フレームワークをデプロイするリソースを選択します。既存の組織、フォルダ、プロジェクトを選択できます。違反を積極的に防止することを選択した場合は、新しいフォルダまたはプロジェクトを作成して、フレームワークをデプロイできます。
次のいずれかを行います。
- [モニタリング] を選択した場合は、情報を検証して [モニタリング] をクリックします。
- [モニタリングと防止] を選択した場合は、次の操作を行います。
  1. [次へ] をクリックします。クラウドコントロールとモードを確認します。
  2. [続行] をクリックします。
  3. 表示された場合は、一部のクラウドコントロールに必要な追加情報を検証します。
  4. [次へ] をクリックします。
  5. 選択内容を確認し、[適用] をクリックします。

フレームワークをデプロイすると、環境で、定義したクラウドコントロールからのずれの有無をモニタリングできます。Security Command Center は、ドリフトのインスタンスを検出結果として報告します。この検出結果は、確認、フィルタ、解決できます。クラウドコントロールに関連する検出結果が表示されるまでに、フレームワークのデプロイ後約 6 時間かかることがあります。

デプロイされたフレームワークからリソースを削除する

デプロイされたフレームワークに割り当てた組織、フォルダ、プロジェクトを削除できます。リソースを削除すると、フレームワークはそのリソース階層のノードに関する結果を生成しなくなります。

リソースを削除すると、関連する検出結果の状態は 7 日後に Inactive に変わります。

Google Cloud コンソールで、[コンプライアンス] ページに移動します。

[コンプライアンス] に移動
組織を選択します。
[構成] タブで、リソースの割り当てを解除するフレームワークをクリックします。
[フレームワークの詳細] ページで、[アクション] > [リソース割り当ての管理] をクリックします。
[割り当てられたリソース] テーブルで、削除するリソースを見つけて、[ 削除] をクリックします。
確認メッセージが表示されたら、[割り当て解除] をクリックします。