フレームワークを適用する

フレームワークは、クラウド環境でビジネスのセキュリティ要件または規制要件を満たすのに役立つクラウド制御で構成されています。フレームワークの適用は 2 段階のプロセスです。まず、セキュリティ、コンプライアンス、リスクの管理にビジネスで必要なクラウド制御を決定する必要があります。次に、これらのクラウド コントロールを含むフレームワークをGoogle Cloudの適切なリソースにデプロイできます。このページでは、次の手順について説明します。

  1. どの組み込みフレームワークが規制とセキュリティの要件に最も適しているかを評価します。独自のカスタム フレームワークを作成できますが、組み込みのフレームワークから始めることをおすすめします。

  2. ビジネス要件にマッピングされる組み込みのクラウド制御を特定します。必要に応じて、カスタム クラウド コントロールを作成できます。

  3. フレームワークを Google Cloud 組織にデプロイするか、特定のフォルダまたはプロジェクトにデプロイするかを決定します。各組織、フォルダ、プロジェクトにデプロイできるフレームワークは 1 つのみです。

  4. 既存のフレームワークをコピーし、要件に合わせて変更します。必要に応じて、カスタム フレームワークを作成できます。

  5. 適切なリソースにフレームワークをデプロイします。

始める前に

次のいずれかの Identity and Access Management ロールが必要です。

  • コンプライアンス マネージャーを構成する Security Compliance Adminroles/cloudsecuritycompliance.admin)。

  • セキュリティ コンプライアンス閲覧者roles/cloudsecuritycompliance.viewer): Compliance Manager と Compliance Manager の設定の検出結果ダッシュボードを表示します。

フレームワークを表示する

組み込みフレームワークまたはすでに作成した他のフレームワークの構成を表示するには、次の手順を完了します。

  1. Google Cloud コンソールで、[コンプライアンス] ページに移動します。

    コンプライアンスに移動

  2. 使用可能なすべてのフレームワークを表示するには、[構成] タブをクリックします。

  3. 特定のフレームワークの詳細を表示するには、 [その他の操作] > [詳細を表示] をクリックします。

クラウド コントロールを表示する

組み込みのクラウド コントロールと、すでに作成したカスタム クラウド コントロールを表示するには、次の手順を行います。

  1. Google Cloud コンソールで、[コンプライアンス] ページに移動します。

    コンプライアンスに移動

  2. [構成] タブで、[クラウド コントロール] をクリックします。使用可能なクラウド コントロールのリストが表示されます。

  3. クラウド コントロールの詳細を表示するには、コントロール名をクリックします。

カスタム クラウド コントロールを作成

このプレビューには、カスタム クラウド制御の作成に関する次の制限事項が含まれています。

  • 選択できるリソースタイプは 1 つのみです。
  • サポートされているデータ型は Cloud Asset Inventory リソースのみです。
  • Google Cloud コンソールで Common Expression Language(CEL)の構文とセマンティクスを確認することはできません。

  1. Google Cloud コンソールで、[コンプライアンス] ページに移動します。

    コンプライアンスに移動

  2. [構成] タブで、[クラウド コントロール] をクリックします。使用可能なクラウド コントロールのリストが表示されます。

  3. 次のいずれかのタスクを完了します。

Gemini を使用する

  1. Gemini にクラウド コントロールの生成を依頼します。Gemini は、プロンプトに基づいて、一意の識別子、名前、関連する検出ロジック、可能な修復手順を提供します。

  2. 推奨事項を確認し、必要な変更を加えます。

  3. カスタム クラウド コントロールを保存します。

手動で作成する

  1. [クラウド コントロール ID] に、コントロールの一意の識別子を指定します。

  2. 組織内のユーザーがカスタム クラウド コントロールの目的を理解できるように、名前と説明を入力します。

  3. 必要に応じて、コントロールのカテゴリを選択します。

  4. [続行] をクリックします。

  5. カスタム クラウド コントロールで使用可能なリソースタイプを選択します。

  6. クラウド コントロールの検出ロジックを Common Expression Language(CEL)形式で指定します。検出ロジックをコーディングするには、CEL 式で標準の CEL 演算子を使用し、クラウド コントロールに含まれるリソースのプロパティを評価します。詳細と例については、CEL 式を記述するをご覧ください。

  7. [続行] をクリックします。

  8. 適切な検出結果の重大度を選択します。

  9. 組織のインシデント対応者と管理者がクラウド コントロールの検出結果を解決できるように、修復手順を記述します。

  10. [続行] をクリックします。

  11. 入力内容を確認し、[作成] をクリックします。

フレームワークを作成する

  1. Google Cloud コンソールで、[コンプライアンス] ページに移動します。

    コンプライアンスに移動

  2. [構成] タブで、[カスタム フレームワークを作成] をクリックします。

  3. 既存のフレームワークから始めるか、カスタム フレームワークを作成するかを選択します。

  4. 次のいずれかを行います。

    • 既存のフレームワークを使用するには、次の操作を行います。

      1. [既存のフレームワークから始める] を選択します。

      2. コピーするフレームワークを選択します。

      3. [追加] をクリックします。

    • カスタム フレームワークを作成するには、[Start new] を選択します。

  5. フレームワークの名前と一意の識別子を入力します。

  6. [続行] をクリックします。既存のフレームワークをコピーする場合は、既存のフレームワークに含まれていたクラウド コントロールのリストが表示されます。

  7. 必要なクラウド コントロールを追加する手順は次のとおりです。

    • 既存のクラウド コントロールを追加するには、[クラウド コントロールを追加] をクリックします。必要なクラウド コントロールをすべて選択し、[追加] をクリックします。

    • カスタム クラウド コントロールを作成するには、[カスタム クラウド コントロールを作成] をクリックします。カスタム クラウド コントロールの作成手順については、カスタム クラウド コントロールを作成するをご覧ください。

  8. [続行] をクリックします。

  9. クラウド コントロールに必要な追加のパラメータを追加します。たとえば、Cloud Logging コンプライアンス設定クラウド コントロールでデータ所在地クラウド コントロールを有効にする場合は、Cloud Logging が使用する必要があるロケーションを指定する必要があります。

  10. [作成] をクリックします。

フレームワークを組織、フォルダ、プロジェクトにデプロイする

フレームワークを組織、フォルダ、プロジェクトに適用して、フレームワークのクラウド コントロールを使用してこれらのリソースを制御およびモニタリングできるようにします。各組織、フォルダ、プロジェクトにデプロイできるフレームワークは 1 つのみです。

フレームワークは、子フォルダとプロジェクトに継承されます。したがって、組織レベルとプロジェクト レベルでフレームワークをデプロイすると、両方のフレームワーク内のすべてのクラウド制御がプロジェクト内のリソースに適用されます。クラウド制御の定義に違いがある場合(たとえば、クラウド制御ルールが組織レベルでは許可され、プロジェクト レベルでは拒否されるように設定されている)、プロジェクト内のリソースでは下位レベルのクラウド制御が使用されます。

ベスト プラクティスとして、ビジネス全体に適用できるクラウド コントロールを含むフレームワークを組織レベルでデプロイすることをおすすめします。より厳格なフレームワークを必要とするフォルダやプロジェクトには、より厳格なフレームワークを適用できます。

  1. Google Cloud コンソールで、[コンプライアンス] ページに移動します。

    コンプライアンスに移動

  2. [構成] タブで、適用するフレームワークの [その他の操作] > [リソースに適用] をクリックします。

  3. 次のいずれかのオプションを選択します。

    • ドリフトのみをモニタリングするには、[モニタリング] を選択します。

    • ドリフトをモニタリングして違反を積極的に防止するには、[モニタリングと防止] を選択します。

  4. フレームワークをデプロイするリソースを選択します。既存の組織、プロジェクト、フォルダを選択できます。違反を積極的に防止することを選択した場合は、新しいプロジェクトまたはフォルダを作成して、フレームワークを適用できます。

  5. 次のいずれかを行います。

    • [Monitor] を選択した場合は、[Monitor] をクリックします。

    • [監視と防止] を選択した場合は、次の操作を行います。

      1. [次へ] をクリックします。
      2. 適用する予防的なクラウド管理を選択します。
      3. [続行] をクリックします。
      4. 選択内容を確認し、[適用] をクリックします。

フレームワークを適用すると、環境で、定義したクラウド コントロールからのずれの有無をモニタリングできます。[コンプライアンス] ページの [概要] タブにあるコンプライアンス ダッシュボードには、環境が適用されたフレームワークにどの程度準拠しているかが表示されます。

Security Command Center は、ドリフトのインスタンスを検出結果として報告します。この検出結果は、確認、フィルタリング、解決できます。クラウド コントロールに関連する検出結果にフレームワークを適用してから、検出結果が表示されるまでに約 6 時間かかることがあります。詳細については、コンソールで検出結果を確認して管理するをご覧ください。

これらの検出結果は、Security Command Center から他の検出結果をエクスポートする場合と同じ方法でエクスポートできます。詳細については、Security Command Center データをエクスポートするをご覧ください。