コンプライアンス マネージャーの概要

Google Cloud の Compliance Manager を使うことで、組織のセキュリティや規制の要件を満たすように、Google Cloud 上のインフラストラクチャ、ワークロード、データを確認できます。Compliance Manager では、次のことができます。

• Google Cloud 環境に準拠した安全な構成を定義してデプロイします。
• 環境がコンプライアンスとセキュリティの要件に準拠していることを示すダッシュボードを表示します。
• 証拠の収集や評価レポートの生成など、クラウド環境を監査します。

Compliance Manager は、Google Cloud 組織内の複数のコンプライアンス プログラムとセキュリティ要件のサポートを評価できるソフトウェア定義の制御を使用します。

Compliance Manager のコンポーネント

次の表に、Compliance Manager のコンポーネントを示します。

ルール	コンプライアンス、セキュリティ、プライバシーの要件を満たすことができるクラウド コントロール内の技術項目。ルールは、組織のポリシー、IAM ポリシー、クラウド設定、Common Expression Language（CEL）に基づく検出ロジックにすることができます。
クラウド コントロール	組織のセキュリティまたはコンプライアンスの意図を定義するために使用できる一連のルールと関連するメタデータ。Compliance Manager には、組み込みのクラウド コントロールのライブラリが含まれており、独自のコントロールを作成することもできます。 クラウド コントロールのメタデータには、修復手順と検出結果の重大度が含まれます。 クラウド コントロールには次のモードがあります。 検出: Compliance Manager は、モニタリング目的で定義されたリソースにクラウド コントロールを適用します。違反が検出され、アラートが生成されます。予防措置は自動的に実行されません。 予防的: Compliance Manager は、定義されたリソースにクラウド コントロールを適用し、ルールを積極的に適用します。クラウド制御に違反するリソース アクティビティはブロックされ、ブロックされたアクションに対してアラートが生成されます。 一部のクラウド コントロールは、機能するために追加情報の提供を必要とします。たとえば、ワークロードとリソースが特定のリージョンで実行されているかどうかを確認するクラウド コントロールを使用する場合は、クラウド コントロールの作成時に許可されるリージョンを指定する必要があります。
規制管理	業界で定義されたセキュリティまたは規制コンプライアンス要件。クラウド コントロールと規制管理間の関係マッピングでは、1 つ以上のクラウド コントロールが規制管理の要件を満たす方法を定義します。次の点を考慮してください。 1 つのクラウド制御を複数の規制制御にマッピングできます。 1 つの規制制御を複数のクラウド制御にマッピングできます。
フレームワーク	セキュリティのベスト プラクティスや、FedRAMP や NIST などの業界定義の標準を表すクラウド制御と規制制御のコレクション。フレームワークには、クラウド コントロールと規制管理間のマッピングを含めることができます。 Compliance Manager には、組み込みフレームワークのライブラリが含まれています。これらのフレームワークをカスタマイズすることも、独自のフレームワークを作成することもできます。
フレームワークのデプロイ	フレームワークをデプロイする際に、そのフレームワークと組織、フォルダ、プロジェクトとの間に設定される関連付けのこと。

次の図は、Compliance Manager のコンポーネントを示しています。

組み込みフレームワーク

Compliance Manager は、Google Cloudの組み込みフレームワークをサポートしています。これらのフレームワークはそのままデプロイすることも、特定のニーズに合わせてカスタマイズすることもできます。

Google Cloudのフレームワーク

次のフレームワークを使用できます。

• AI の保護
• CIS Kubernetes Benchmark v1.1.7
• データ セキュリティとプライバシーの基本

Compliance Manager を Security Command Center のサービスや機能とあわせて利用する

他の Security Command Center サービスと機能を有効にして、Compliance Manager を有効にした同じ組織で使用できます。次の点を考慮してください。

• Security Health Analytics が有効になっているフォルダまたはプロジェクトにフレームワークをデプロイすると、重複した検出結果が表示されることがあります。Compliance Manager は、Security Health Analytics とは異なる評価エンジンを使用します。

• セキュリティ ポスチャー サービスを使用してセキュリティ ポスチャーをデプロイするのと同じフォルダまたはプロジェクトにフレームワークをデプロイできます。Compliance Manager とセキュリティ ポスチャーは相互に作用しません。ポスチャーで設定した内容は、フレームワークで設定した内容に影響しません。ただし、セキュリティ ポスチャーでは Security Health Analytics が使用されるため、重複する検出結果が表示されることがあります。

• Compliance Manager は、Security Command Center のデータ所在地を有効にするときに指定するエンドポイントではなく、グローバル エンドポイントを使用します。ただし、環境の監査を行う場所を指定できます。詳細については、コンプライアンス マネージャーで環境を監査するをご覧ください。

次のステップ

• Compliance Manager を有効にする。