安全な AI のための事前定義されたポスチャー、基本事項

このページでは、セキュア AI（基本）の事前定義されたポスチャーの v1.0.0 バージョンに含まれる予防的ポリシーと検出ポリシーについて説明します。このポスチャーには、次の 2 つのポリシーセットが含まれています。

Vertex AI ワークロードに適用される組織のポリシーを含むポリシーセット。
Vertex AI ワークロードに適用されるカスタム Security Health Analytics 検出機能を含むポリシーセット。

このポスチャーを使用して、Gemini リソースと Vertex AI リソースの保護に役立つセキュリティポスチャーを構成できます。この事前定義されたポスチャーは、変更を加えることなくデプロイできます。

ポリシー	説明	コンプライアンス標準
`ainotebooks.disableFileDownloads`	この制約を適用すると、ファイルダウンロードオプションを有効にした状態では Vertex AI Workbench インスタンスを作成できなくなります。デフォルトでは、任意の Vertex AI Workbench インスタンスでファイルダウンロードオプションを有効にできます。値が `true` の場合は、新しい Vertex AI Workbench インスタンスでファイルのダウンロードが無効になります。	NIST SP 800-53 コントロール: AC-3(1)
`ainotebooks.disableRootAccess`	この制約を適用すると、新しく作成された Vertex AI Workbench のユーザー管理のノートブックとインスタンスで、root アクセスを有効にできなくなります。デフォルトでは、Vertex AI Workbench のユーザー管理のノートブックとインスタンスで root アクセスを有効にできます。値が `true` の場合は、新しい Vertex AI Workbench ユーザー管理ノートブックとインスタンスで root アクセスが無効になります。	NIST SP 800-53 コントロール: AC-3 および AC-6(2)
`ainotebooks.disableTerminal`	この制約により、ターミナルを有効にした状態で Vertex AI Workbench インスタンスを作成できなくなります。デフォルトでは、Vertex AI Workbench インスタンスでターミナルを有効にすることができます。新しい Vertex AI Workbench インスタンスでターミナルを無効にする場合、値は `true` です。	NIST SP 800-53 コントロール: AC-3、AC-6、CM-2
`ainotebooks.requireAutoUpgradeSchedule`	この制約では、新しく作成された Vertex AI Workbench ユーザー管理のノートブックとインスタンスに自動アップグレードスケジュールを設定する必要があります。値が `true` の場合は、新しい Vertex AI Workbench ユーザー管理ノートブックとインスタンスで自動アップグレードのスケジュール設定が必須になります。	NIST SP 800-53 コントロール: AU-9、CM-2、CM-6
`ainotebooks.restrictPublicIp`	この制約を適用すると、新しく作成された Vertex AI Workbench のノートブックとインスタンスへのパブリック IP アドレスが制限されます。デフォルトでは、パブリック IP から Vertex AI Workbench のノートブックとインスタンスにアクセスできます。値が `true` の場合は、新しい Vertex AI Workbench のノートブックとインスタンスでパブリック IP アクセスが制限されます。	NIST SP 800-53 コントロール: AC-3、AC-4、SC-7

Security Health Analytics の検出機能

次の表では、事前定義されたポスチャーに含まれる Security Health Analytics のカスタムモジュールを示します。

検出機能の名前	該当するリソース	説明	コンプライアンス標準
vertexAIDataSetCMEKDisabled	`aiplatform.googleapis.com/Dataset`	この検出機能は、データセットが顧客管理の暗号鍵（CMEK）を使用して暗号化されていないかどうかを確認します。この検出結果を解決するには、鍵とキーリングを作成し、権限を設定して、データセットの作成時に鍵を指定していることを確認します。手順については、リソース用に CMEK を構成するをご覧ください。	NIST SP 800-53 コントロール: SC-12、SC-13
vertexAIModelCMEKDisabled	`aiplatform.googleapis.com/Model`	この検出機能は、モデルが CMEK を使用して暗号化されていないかどうかを確認します。この検出結果を解決するには、鍵とキーリングを作成し、権限を設定して、モデルの作成時に鍵を指定していることを確認します。手順については、リソース用に CMEK を構成するをご覧ください。	NIST SP 800-53 コントロール: SC-12、SC-13
vertexAIEndpointCMEKDisabled	`aiplatform.googleapis.com/Endpoint`	この検出機能は、エンドポイントが CMEK を使用して暗号化されていないかどうかを確認します。この検出結果を解決するには、鍵とキーリングを作成し、権限を設定して、エンドポイントの作成時に鍵を指定していることを確認します。手順については、リソース用に CMEK を構成するをご覧ください。	NIST SP 800-53 コントロール: SC-12、SC-13
vertexAITrainingPipelineCMEKDisabled	`aiplatform.googleapis.com/TrainingPipeline`	この検出機能は、トレーニングパイプラインが CMEK を使用して暗号化されていないかどうかを確認します。この検出結果を解決するには、鍵とキーリングを作成し、権限を設定して、トレーニングパイプラインの作成時に鍵を指定していることを確認します。手順については、リソース用に CMEK を構成するをご覧ください。	NIST SP 800-53 コントロール: SC-12、SC-13
vertexAICustomJobCMEKDisabled	`aiplatform.googleapis.com/CustomJob`	この検出機能は、カスタムワークロードを実行するジョブが CMEK を使用して暗号化されていないかどうかを確認します。この検出結果を解決するには、鍵とキーリングを作成し、権限を設定して、カスタムジョブの作成時に鍵を指定していることを確認します。手順については、リソース用に CMEK を構成するをご覧ください。	NIST SP 800-53 コントロール: SC-12、SC-13
vertexAIDataLabelingJobHyperparameterTuningJobCMEKDisabled	`aiplatform.googleapis.com/HyperparameterTuningJob`	この検出機能は、ハイパーパラメータ調整ジョブが CMEK を使用して暗号化されていないかどうかを確認します。この検出結果を解決するには、鍵とキーリングを作成し、権限を設定して、ハイパーパラメータ調整ジョブの作成時に鍵を指定していることを確認します。手順については、リソース用に CMEK を構成するをご覧ください。	NIST SP 800-53 コントロール: SC-12、SC-13

ポスチャーテンプレートを表示する

セキュア AI（基本）のポスチャーテンプレートを表示するには、次のようにします。

gcloud

後述のコマンドデータを使用する前に、次のように置き換えます。

ORGANIZATION_ID: 組織の数値 ID

gcloud scc posture-templates describe コマンドを実行します。

Linux、macOS、Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential

Windows（PowerShell）

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential

Windows（cmd.exe）

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential

レスポンスには、ポスチャーテンプレートが含まれます。

REST

リクエストのデータを使用する前に、次のように置き換えます。

ORGANIZATION_ID: 組織の数値 ID

HTTP メソッドと URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential

リクエストを送信するには、次のいずれかのオプションを展開します。

curl（Linux、macOS、Cloud Shell）

注: 次のコマンドは、gcloud init または gcloud auth login を実行して、ユーザーアカウントで gcloud CLI にログインしているか、Cloud Shell を使用して自動的に gcloud CLI にログインしていることを前提としています。gcloud auth list を実行すると、現在アクティブなアカウントを確認できます。

次のコマンドを実行します。

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential"

PowerShell（Windows）

注: 次のコマンドは、gcloud init または gcloud auth login を実行して、ご自分のユーザーアカウントで gcloud CLI にログインしていることを前提としています。gcloud auth list を実行すると、現在アクティブなアカウントを確認できます。

次のコマンドを実行します。

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_ai_essential" | Select-Object -Expand Content

レスポンスには、ポスチャーテンプレートが含まれます。

次のステップ

この事前定義されたポスチャーを使用してセキュリティポスチャーを作成する。

安全な AI のための事前定義されたポスチャー、基本事項 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

Security Health Analytics の検出機能

ポスチャー テンプレートを表示する

gcloud

Linux、macOS、Cloud Shell

Windows（PowerShell）

Windows（cmd.exe）

REST

curl（Linux、macOS、Cloud Shell）

PowerShell（Windows）

次のステップ

安全な AI のための事前定義されたポスチャー、基本事項

ポスチャーテンプレートを表示する