コンプライアンス マネージャーの概要

Google Cloud の Compliance Manager を使用すると、Google Cloud インフラストラクチャ、ワークロード、データが組織のセキュリティ要件と規制要件を満たしていることを確認できます。コンプライアンス マネージャーでは、次のことができます。

• Google Cloud 環境に準拠した安全な構成を定義してデプロイします。
• 環境がコンプライアンスとセキュリティの要件に準拠していることを示すダッシュボードを表示します。
• 証拠の収集や評価レポートの生成など、クラウド環境を監査します。

コンプライアンス マネージャーは、Google Cloud 組織内の複数のコンプライアンス プログラムとセキュリティ要件のサポートを評価できるソフトウェア定義のコントロールを使用します。

コンプライアンス マネージャーのコンポーネント

次の表に、コンプライアンス マネージャーのコンポーネントを示します。

ルール	コンプライアンス、セキュリティ、プライバシーの要件を満たすことができるクラウド コントロール内の技術項目。ルールは、組織のポリシー、IAM ポリシー、クラウド設定、Common Expression Language（CEL）に基づく検出ロジックにすることができます。
クラウド コントロール	組織のセキュリティまたはコンプライアンスの意図を定義するために使用できる一連のルールと関連するメタデータ。コンプライアンス マネージャーには、組み込みのクラウド コントロールのライブラリが含まれており、独自のコントロールを作成することもできます。 クラウド コントロールのメタデータには、修復手順と検出結果の重大度が含まれます。 クラウド コントロールには次のモードがあります。 検出: Compliance Manager は、モニタリング目的で、定義されたリソースにクラウド コントロールを適用します。違反が検出され、アラートが生成されます。予防措置は自動的に実行されません。 予防的: Compliance Manager は、定義されたリソースにクラウド コントロールを適用し、ルールを積極的に適用します。クラウド制御に違反するリソース アクティビティはブロックされ、ブロックされたアクションに対してアラートが生成されます。 一部のクラウド コントロールは、機能するために追加情報の提供を必要とします。たとえば、ワークロードとリソースが特定のリージョンで実行されているかどうかを確認するクラウド コントロールを使用する場合は、クラウド コントロールの作成時に許可されるリージョンを指定する必要があります。
規制管理	業界で定義されたセキュリティまたは規制コンプライアンス要件。クラウド コントロールと規制コントロール間の関係マッピングでは、1 つ以上のクラウド コントロールが規制コントロールの要件を満たす方法を定義します。次の点を考慮してください。 1 つのクラウド制御を複数の規制制御にマッピングできます。 1 つの規制制御を複数のクラウド制御にマッピングできます。
フレームワーク	セキュリティのベスト プラクティスや、FedRAMP や NIST などの業界定義の標準を表すクラウド制御と規制制御のコレクション。フレームワークには、クラウド コントロールと規制コントロール間のマッピングを含めることができます。 コンプライアンス マネージャーには、組み込みフレームワークのライブラリが含まれています。これらのフレームワークをカスタマイズすることも、独自のフレームワークを作成することもできます。
フレームワークのデプロイ	フレームワークをデプロイするときに、特定のフレームワークと組織、フォルダ、プロジェクト間のバインディング。

次の図は、コンプライアンス マネージャーのコンポーネントを示しています。

組み込みフレームワーク

コンプライアンス マネージャーは、Google Cloudの組み込みフレームワークをサポートしています。これらのフレームワークはそのままデプロイすることも、特定のニーズに合わせてカスタマイズすることもできます。

Google Cloudのフレームワーク

次のフレームワークを使用できます。

• AI 保護
• CIS Kubernetes Benchmark v1.1.7
• データ セキュリティとプライバシーの基本

Security Command Center のサービスと機能で Compliance Manager を使用する

他の Security Command Center サービスと機能を有効にして、コンプライアンス マネージャーを有効にした同じ組織で使用できます。次の点を考慮してください。

• Security Health Analytics が有効になっているフォルダまたはプロジェクトにフレームワークをデプロイすると、重複した検出結果が生成されることがあります。コンプライアンス マネージャーは、Security Health Analytics とは異なる評価エンジンを使用します。

• セキュリティ ポスチャー サービスを使用してセキュリティ ポスチャーをデプロイするのと同じフォルダまたはプロジェクトにフレームワークをデプロイできます。コンプライアンス マネージャーとセキュリティ対策は相互に作用しません。対策で設定した内容は、フレームワークで設定した内容に影響しません。ただし、セキュリティ ポスチャーでは Security Health Analytics が使用されるため、重複する検出結果が表示されることがあります。

• コンプライアンス マネージャーは、Security Command Center のデータ所在地を有効にするときに指定するエンドポイントではなく、グローバル エンドポイントを使用します。ただし、環境の監査を行う場所を指定できます。詳細については、コンプライアンス マネージャーで環境を監査するをご覧ください。

次のステップ

• コンプライアンス マネージャーを有効にします。