データ所在地の計画

データ所在地を使用すると、Security Command Center データの保存場所をより細かく制御できます。このページでは、Security Command Center がデータ所在地をサポートする方法に関する基本的な情報を提供します。

このページで使用される用語の定義は次のとおりです。

サポートされているデータのロケーション

Security Command Center では、データ ロケーションとして次の Google Cloud マルチリージョンのみがサポートされています。

EU(eu
データは、欧州連合の加盟国内の Google Cloud リージョンのいずれかに保存されます。
米国(us
データは米国内の Google Cloud リージョンのいずれかに保存されます。
サウジアラビア王国(KSA)(sa
データは、サウジアラビアの Google Cloud リージョンのいずれかに保存されます。
海外(global
データは任意の Google Cloud リージョンに配置できます。データ所在地が有効になっていない場合、サポートされるロケーションはグローバル(global)のみです。

Security Command Center のロケーションの詳細については、ロケーション別のプロダクト提供状況をご覧ください。

Security Command Center でサポートされていないデータ所在地のデフォルト ロケーションを指定する必要がある場合は、アカウント担当者または Google Cloud セールス スペシャリストにお問い合わせください。

データ所在地の要件

データ所在地を有効にできるのは、組織で Security Command Center のスタンダード ティアまたはプレミアム ティアを初めて有効にする場合のみです。エンタープライズ ティアでは、データ所在地はサポートされていません。

データ所在地を有効にすると、無効にすることも、デフォルトのロケーションを変更することもできません。また、検出結果と攻撃パスの Gemini のサマリーも利用できません。

データ所在地には Security Command Center v2 API が必要です。データ所在地が有効になっている場合は、以前のバージョンの Security Command Center API を使用できません。

Security Command Center を有効にするときにデータ所在地を有効にしない場合、Security Command Center はデータを特定のロケーションに制限せず、Google Cloud Platform 利用規約に従って保存します。

リージョン URL

サウジアラビア(KSA)のロケーションの場合は、ロケーション固有の URL を使用して、該当する Google Cloud コンソール、gcloud CLI、Cloud クライアント ライブラリ、Security Command Center API の一部の方法とコマンドにアクセスする必要があります。

Console

Security Command Center にアクセスするには、該当する地域の Google Cloud コンソール(https://console.sa.cloud.google.com/)を使用します。

地域の Google Cloud コンソールを使用すると、KSA とグローバルのロケーションの Security Command Center データにアクセスできます。

gcloud

KSA のロケーションのデータにアクセスするには、次の gcloud CLI コマンド グループで、Security Command Center API のリージョン サービス エンドポイントを使用する必要があります。

また、KSA ロケーションで長時間実行オペレーションを行う場合、gcloud scc operations コマンド グループは使用できません。たとえば、長時間実行オペレーションのステータスを確認して検出結果を一括ミュートすることはできません。

他のすべての gcloud scc コマンド グループでは、Security Command Center API のデフォルトのサービス エンドポイントを使用する必要があります。

リージョン サービス エンドポイントに切り替えるには、次のコマンドを実行します。

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

デフォルトのサービス エンドポイントに切り替えるには、次のコマンドを実行します。

gcloud config unset api_endpoint_overrides/securitycenter

必要に応じて、リージョン サービス エンドポイントを使用する gcloud CLI の名前付き構成を作成し、KSA ロケーションで Security Command Center コマンドを実行する前に、その名前付き構成に切り替えることができます。名前付き構成に切り替えるには、gcloud config configurations activate コマンドを実行します。

REST

KSA ロケーションの場合、Security Command Center API はリージョン サービス エンドポイント https://securitycenter.me-central2.rep.googleapis.com/ を使用します。

KSA ロケーションで次の REST API リソースタイプにアクセスするには、Security Command Center のリージョン サービス エンドポイントを使用する必要があります。

また、KSA ロケーションの organizations.operations リソースのメソッドを呼び出すことはできません。たとえば、長時間実行オペレーションのステータスを確認して検出結果を一括ミュートすることはできません。

他のすべてのリソースタイプでは、Security Command Center API のデフォルトのサービス エンドポイント https://securitycenter.googleapis.com/ を使用する必要があります。

Go

KSA ロケーションで次のリソースタイプを管理するには、Security Command Center のクライアントを作成するときにデフォルトのサービス エンドポイントをオーバーライドする必要があります。

これらのリソースタイプには、エンドポイント securitycenter.me-central2.rep.googleapis.com:443 を使用します。次のコードサンプルは、リージョン サービス エンドポイントを使用するクライアントを作成する方法を示しています。

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

Java

KSA ロケーションで次のリソースタイプを管理するには、Security Command Center のクライアントを作成するときにデフォルトのサービス エンドポイントをオーバーライドする必要があります。

これらのリソースタイプには、エンドポイント securitycenter.me-central2.rep.googleapis.com:443 を使用します。次のコードサンプルは、リージョン サービス エンドポイントを使用するクライアントを作成する方法を示しています。


import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

データ所在地が適用される場合

Security Command Center でデータ所在地を有効にすると、Security Command Center データの一部は、次のいずれかの状態にある場合に指定されたロケーション内に保持されます。

データ所在地(保存時)

データは、次の条件をすべて満たしている場合に保存中と見なされます。

データ所在地を有効にすると、Security Command Center は次の処理を行います。

EU、米国、グローバル

  • 可能であれば、検出結果データが保存されている場合、Security Command Center はリソースが配置されている Google Cloud マルチリージョンに保存します。

    それ以外の場合、検出結果データは、選択したデフォルトのロケーションに保存されます。

  • 特定のタイプの構成リソースが非アクティブな場合、Security Command Center は選択したデフォルトのロケーションに保存します。

  • Google Cloud の一般サービス規約データ ロケーションの項目で定義されているように、Security Command Center が顧客データ以外のデータを保存する場合、Security Command Center は Google Cloud Platform 利用規約に従って、保存中のデータを保存します。

KSA

  • KSA ロケーションに存在するリソースの検出結果が作成されると、その検出結果は常に KSA ロケーションに保存されます。
  • 別のロケーションにあるリソースの検出結果が作成されると、検出結果は最終的に KSA ロケーションに保存されます。ただし、検出結果が一時的に別のリージョンに保存されることがあります。
  • KSA ロケーションに特定のタイプの構成リソースを作成し、それらのリソースが非アクティブな場合、それらのリソースは KSA ロケーションに存在します。

  • Google Cloud の一般サービス規約データ ロケーションの項目で定義されているように、Security Command Center が顧客データ以外のデータを保存する場合、Security Command Center は Google Cloud Platform 利用規約に従って、保存中のデータを保存します。

使用中のデータの所在地

データは、次の条件をすべて満たしている場合に使用中と見なされます。

  • データは、データ所在地の制御の対象となるリソースタイプに関するものです。
  • Google Cloud は、リクエストで開始されたオペレーション(アプリケーションが Security Command Center API を呼び出したなど)を完了しています。または監査ログまたはアクセスの透明性ログを生成するオペレーションを完了しています。
  • Google Cloud は、データの意味を把握する必要がある方法でデータに対してオペレーションを行うことができます。たとえば、構成リソースの特定のフィールドを更新するなどです。これには、データがメモリ内で暗号化されていない場合も含まれます。

データ所在地を有効にすると、Security Command Center は次の処理を行います。

EU、米国、グローバル

EU、米国、グローバルのロケーションでは、使用中のデータはデータ所在地の制御の対象ではありません。

KSA

  • KSA ロケーションに存在するリソースの検出結果が作成されると、その検出結果は常に使用中の KSA ロケーションに存在します。
  • 別のロケーションにあるリソースの検出結果が作成されると、その検出結果は最終的に使用中の KSA ロケーションに保存されます。ただし、検出結果が一時的に、使用中の別のリージョンに存在する場合があります。
  • KSA ロケーションに特定のタイプの構成リソースを作成し、それらのリソースが使用されている場合、それらのリソースは KSA ロケーションに存在します。

  • Google Cloud の一般サービス規約データ ロケーションの項目で定義されている顧客データ以外のデータを Security Command Center が保存する場合、Security Command Center は Google Cloud Platform 利用規約に従って使用中のデータが保存されます。

送信中のデータの所在地

データが転送中である場合: 次の条件をすべて満たしている必要があります。

  • データは、データ所在地の制御の対象となるリソースタイプに関するものです。
  • データが Google のネットワーク内で暗号化されて転送されている、または Google のネットワーク内で転送するために暗号化されたデータがメモリ内にある。

データ所在地を有効にすると、Security Command Center は次の処理を行います。

EU、米国、グローバル

EU、米国、グローバルのロケーションでは、転送中のデータはデータ所在地の制御の対象ではありません。

KSA

  • KSA ロケーションに存在するリソースの検出結果が作成されると、その検出結果は常に KSA ロケーションに転送中になります。
  • 別のロケーションにあるリソースの検出結果が作成されると、検出結果は最終的に転送中の KSA ロケーションに配置されます。ただし、検出結果は一時的に転送中に別のリージョンに存在する場合があります。
  • KSA ロケーションに特定のタイプの構成リソースを作成し、それらのリソースが転送中の場合、それらのリソースは KSA ロケーションに存在します。

  • Google Cloud の一般サービス規約データ ロケーションの項目で定義されている「顧客データ」ではないデータを Security Command Center が保存する場合、Security Command Center は Google Cloud Platform サービス利用規約に従って転送中のデータも保存します。

デフォルトのデータ ロケーション

EU、米国、グローバルのロケーションで Security Command Center のデータ所在地を有効にする場合は、デフォルトの Security Command Center のロケーションを指定します。デフォルトのロケーションとして、サポートされているデータのロケーションを選択できます。

Security Command Center は、次のタイプのリソースに適用される検出結果を保存するためにのみ、デフォルトのロケーションを使用します。

複数のロケーションまたはマルチリージョンに Google Cloud リソースをデプロイする場合は、グローバル(global)ロケーションをデフォルトとして選択できます。

リソースを 1 つのロケーションにのみデプロイする場合は、そのロケーションを含むマルチリージョンをデフォルトとして選択できます。

Security Command Center のリソースとデータ所在地

次のリストでは、Security Command Center で Security Command Center リソースにデータ所在地の制御を適用する方法について説明します。リソースがここに記載されていない場合、そのリソースはデータ所在地の管理の対象ではなく、Google Cloud Platform 利用規約に従って保存されます。

アセット

アセットのメタデータは Cloud Asset Inventory によって保存され、データ所在地の制御の対象ではありません。このデータは、Google Cloud Platform 利用規約に従って保存されます。

このため、Google Cloud コンソールの Security Command Center の [アセット] ページには、場所や場所に関係なく、Google Cloud コンソールで選択した組織、フォルダ、プロジェクト内のすべてのリソースが常に表示されます。ただし、データ所在地が有効な状態でアセットの詳細を表示すると、アセットに影響する検出結果に関する情報は [アセット] ページには表示されません。

攻撃の発生可能性スコアと攻撃パス

攻撃の発生可能性スコアと攻撃パスは、データ所在地制御の対象ではありません。このデータは、Google Cloud Platform 利用規約に従って保存されます。

BigQuery エクスポート

BigQuery エクスポート構成はデータ所在地管理の対象となります。

EU、米国、グローバル

これらのリソースを作成するときに、リソースが配置されるロケーションを指定します。これらの構成は、同じロケーションに存在する検出結果にのみ適用されます。

KSA

これらの構成リソースを作成して管理するには、リージョン URL を使用します。検出結果とともに KSA のロケーションに保存されます。

Security Command Center API は、BigQuery Export 構成を BiqQueryExport リソースとして表します。

継続的エクスポート

継続的エクスポート構成はデータ所在地管理の対象となります。

EU、米国、グローバル

これらのリソースを作成するときに、リソースが配置されるロケーションを指定します。これらの構成は、同じロケーションに存在する検出結果にのみ適用されます。

KSA

これらの構成リソースを作成して管理するには、リージョン URL を使用します。検出結果とともに KSA のロケーションに保存されます。

Security Command Center API は、継続的エクスポート構成を NotificationConfig リソースとして表します。

検出

検出結果はデータ所在地の制御の対象となります。

EU、米国、グローバル

検出結果が作成されると、影響を受けるリソースが配置されている Security Command Center のロケーションに保存されます。

影響を受けるリソースがサポートされているロケーションの外部にある場合や、ロケーション ID がない場合、リソースの検出結果はデフォルトのロケーションに保存されます。

KSA

KSA ロケーションにあるリソースの検出結果が作成されると、その検出結果は常に KSA ロケーションに存在します。

別のロケーションにあるリソースの検出結果が作成されると、検出結果は最終的に KSA ロケーションに保存されます。ただし、検出結果は作成時に別のリージョンにある場合があります。

検出結果が常に KSA ロケーションに存在するようにするには、すべてのリソースを KSA ロケーションに作成します。

ミュートルール

ミュートルールの構成はデータ所在地管理の対象となります。

EU、米国、グローバル

これらのリソースを作成するときに、リソースが配置されるロケーションを指定します。これらの構成は、同じロケーションに存在する検出結果にのみ適用されます。

KSA

これらの構成リソースを作成して管理するには、リージョン URL を使用します。検出結果とともに KSA のロケーションに保存されます。

Security Command Center API は、ミュートルールの構成を MuteConfig リソースとして表します。

Security Command Center のその他のリソースと設定

有効になっているサービスやアクティブなティアを定義する設定など、ここに記載されていない Security Command Center のリソースと設定は、データ所在地の制御の対象ではありません。このデータは、Google Cloud Platform 利用規約に従って保存されます。

ロケーションでデータを作成または表示する

データ所在地が有効になっている場合は、データ所在地の制御の対象となるデータを作成または表示するときにロケーションを指定する必要があります。Security Command Center は、作成する検出結果のロケーションを自動的に選択します。

一度に作成または表示できるロケーションは 1 つのみです。たとえば、全世界(global)のロケーションで検出結果を一覧表示した場合、欧州連合(eu)のロケーションの検出結果は表示されません。

Security Command Center のロケーションにあるデータを作成または表示するには、次の操作を行います。

Console

EU、米国、グローバル

  1. Google Cloud コンソールで、[Security Command Center] に移動します。

    Security Command Center に移動

  2. データのロケーションを変更するには、アクションバーのロケーション セレクタをクリックします。

    ロケーションのリストが表示されます。新しいロケーションを選択します。

KSA

KSA のロケーションの管轄区域の Google Cloud コンソールで、Security Command Center に移動します。

Security Command Center に移動

gcloud

EU、米国、グローバル

Google Cloud CLI を実行するときに、次の例に示すように --location=LOCATION フラグを使用します。

gcloud scc findings list コマンドは、特定のロケーションにある組織の検出結果を一覧表示します。

後述のコマンドデータを使用する前に、次のように置き換えます。

gcloud scc findings list コマンドを実行します。

Linux、macOS、Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows(PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows(cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

レスポンスには検出結果のリストが含まれます。

KSA

Security Command Center API に KSA ロケーションのリージョン サービス エンドポイントを使用するように gcloud CLI を構成します。

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

次に、次の例に示すように、Google Cloud CLI を実行するときに --location=sa フラグを使用する必要があります。

gcloud scc findings list コマンドは、特定のロケーションにある組織の検出結果を一覧表示します。

後述のコマンドデータを使用する前に、次のように置き換えます。

  • ORGANIZATION_ID: 組織の数値 ID

gcloud scc findings list コマンドを実行します。

Linux、macOS、Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows(PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows(cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=sa

レスポンスには検出結果のリストが含まれます。

REST

EU、米国、グローバル

次の例に示すように、パスに locations/LOCATION を含む API エンドポイントを使用します。

Security Command Center API の organizations.sources.locations.findings.list メソッドは、特定のロケーションの組織の検出結果を一覧表示します。

リクエストのデータを使用する前に、次のように置き換えます。

HTTP メソッドと URL:

GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings

リクエストを送信するには、次のいずれかのオプションを展開します。

レスポンスには検出結果のリストが含まれます。

KSA

次の例に示すように、KSA ロケーションのリージョン サービス エンドポイントを使用して API を呼び出します。

Security Command Center API の organizations.sources.locations.findings.list メソッドは、特定のロケーションの組織の検出結果を一覧表示します。

リクエストのデータを使用する前に、次のように置き換えます。

  • ORGANIZATION_ID: 組織の数値 ID

HTTP メソッドと URL:

GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings

リクエストを送信するには、次のいずれかのオプションを展開します。

レスポンスには検出結果のリストが含まれます。

次のステップ