Google Cloud FedRAMP 実装ガイド

GCP での FedRAMP 準拠ポリシーと制御の確立
2020 年 3 月

対象読者

FedRAMP(米国連邦政府によるリスクおよび認証管理プログラム)の要件を満たす必要があるお客様の場合、Google Cloud Platform は FedRAMP コンプライアンスをサポートしています。このガイドは、セキュリティ責任者、コンプライアンス責任者、IT 管理者、Google Cloud Platform への FedRAMP の実装とコンプライアンスを担当するその他の従業員を対象としています。このガイドでは、Google が FedRAMP コンプライアンスをどのようにサポートできるか、FedRAMP に基づく責任を果たすために構成する Google Cloud のツール、プロダクト、サービスについて理解しておく必要があります。

概要

Google Cloud Platform は FedRAMP コンプライアンスをサポートしており、Google のセキュリティに関するホワイトペーパーGoogle インフラストラクチャのセキュリティ設計の概要のセキュリティとデータの保護方法に関する詳細が説明されています。 Google は安全かつコンプライアンスに準拠したクラウド インフラストラクチャを提供する一方で、お客様は独自の FedRAMP コンプライアンスを評価し、Google Cloud Platform 上で構築する環境とアプリケーションが適切に構成され、FedRAMP 要件に従って保護されていることを確認する責任を負っています。

このドキュメントでは、FedRAMP Authority to Operate(ATO)フェーズの概要と Google Cloud 共有責任モデル、およびお客様固有の責任について説明し、Google Cloud Platform でこれらの要件とガイドラインに準拠する方法について提案しています。

FedRAMP

米国連邦政府によるリスクおよび認証管理プログラム(Federal Risk and Authorization Management Program)は、連邦政府情報システム法(FISMA)をクラウド コンピューティングに適用する方法を標準化した、米国連邦政府のプログラムです。クラウドベースのサービスのセキュリティ評価、承認、継続的なモニタリングのための再現可能なアプローチを確立します。

FedRAMP の標準とガイドラインを使用すると、クラウド内の機密データやミッション クリティカルなデータを保護し、サイバーセキュリティの脆弱性をすばやく検出できるようになります。

FedRAMP の目的は次のとおりです。

  • 政府機関が使用するクラウド サービスとシステムに十分な安全保護対策が講じられていることを確認する

  • 重複を排除し、リスク管理コストを削減

  • 政府機関が情報システムやサービスを迅速かつコスト効率良く調達できるようにする

FedRAMP の規定に従い、連邦政府機関は次のことを行う必要があります。

  • 政府のデータの処理、送信、保存を行うすべてのクラウド システムで、FedRAMP セキュリティ コントロール ベースラインを使用していることを確認する

  • FISMA でセキュリティ承認を付与する際にセキュリティ評価フレームワークを使用する

  • クラウド サービス プロバイダ(CSP)と契約することで FedRAMP 要件を適用する

Authority to Operate(ATO)

FedRAMP 認定プロセスを適切に実装して実行すると、クラウドに Authority to Operate(ATO)を持てるようになります。FedRAMP ATO には、P-ATO と Agency ATO の 2 つのパスがあります。

P-ATO(Provisional Authority to Operate)は、FedRAMP Joint Authorization Board(JAB)によって付与されます。JAB は、DHS、GSA、DoD の CIO で構成されています。これらは、ベースラインとなる FedRAMP セキュリティ制御を定義し、サードパーティの評価組織(3PAO)の FedRAMP 認証基準を確立します。組織と機関は、情報システム セキュリティ パッケージを JAB で処理するようリクエストし、その後 JAB はクラウド サービスを使用するための P-ATO を発行します。

Agency ATO では、内部組織または機関は、情報システム セキュリティ パッケージのリスク審査を実施するため、Authorizing Officials(AO)を指定します。AO は、3PAO または非公認の独立した評価者(IA)と協力して、情報システム セキュリティ パッケージを審査できます。AO(その後は機関または組織)は、情報システムによるクラウド サービスの使用を承認します。また、セキュリティ パッケージは審査目的で FedRAMP Program Management Office(PMO)にも送信されます。GSA は FedRAMP の PMO です。審査後、PMO は他のエージェンシーや組織に使用するセキュリティ パッケージを公開しました。

セキュリティ評価フレームワーク

代理店や組織の Authorizing Officials(AO)は、内部認証プロセスに FedRAMP のセキュリティ評価フレームワーク(SAF)を組み込んで、クラウド サービスで使用するための FedRAMP 要件を満たしていることを確認する必要があります。SAF は 4 つのフェーズで実装されます。

セキュリティ評価フェーズ

フェーズ 1: ドキュメント

組織または代理店は、機密性、整合性、可用性を確保するための FIPS PUB 199 のセキュリティ目的に従って、情報システムを低、中、高の影響システムに分類します。

システムの FIPS 分類に基づき、組織または代理店は、低、中、高の FIPS 199 分類レベルと相関している FedRAMP セキュリティ コントロール ベースラインを選択する必要があります。

次に、情報システム オーナーは、それぞれのコントロール ベースラインでキャプチャされたセキュリティ管理を実装する必要があります。また、実装を制御できない理由や実装が許可されない理由についても検討します。

セキュリティ管理の実装の詳細は、システム セキュリティ計画(SSP)でキャプチャする必要があります。システム オーナーは、提案された FedRAMP コンプライアンス レベル、に従って SSP テンプレートを選択する必要があります。

SSP は、セキュリティ承認境界について説明し、システムの実装によって FedRAMP セキュリティ制御に対処する方法を説明し、システムロールと責任の概要を示し、予想されるシステム ユーザー動作を定義し、システムの設計方法、インフラストラクチャのサポートの概要を示します。

FedRAMP 承認確認テンプレートを使用して、ATO の進行状況を追跡します。

実装フェーズの詳細については、FedRAMP の代理店承認プロセスを確認してください。

クラウドの責任モデル

従来のインフラストラクチャ テクノロジー(IT)では、組織や広告代理店がシステムやサービスの構築に使用する物理データセンターやコロケーション スペース、物理サーバー、ネットワーク機器、ソフトウェア、ライセンス、その他のデバイスを購入する必要があります。クラウド サービス プロバイダはクラウド コンピューティングを活用して、物理ハードウェア、データセンター、グローバル ネットワーキングに投資し、使用する仮想機器、ツール、サービスを提供しています。

クラウド コンピューティング モデルは、Infrastructure as a Service(IaaS)、Platform as a Service(PaaS)、Software as a Service(SaaS)の 3 つです。

IaaS モデルでは、CSP は基本的にクラウド内の仮想データセンターを提供し、サーバー、ネットワーク、ストレージなどの仮想化コンピューティング インフラストラクチャを実現します。CSP は、これらのリソースの物理機器やデータセンターを管理しますが、仮想化インフラストラクチャ上で実行するプラットフォームやアプリケーション リソースの構成と保護については、お客様の責任で行っていただく必要があります。

PaaS モデルの場合、CSP はインフラストラクチャと仮想化レイヤを提供し、管理するだけでなく、ソフトウェア、アプリケーション、ウェブサービスを作成するために事前に開発、設定されたプラットフォームをお客様に提供します。PaaS を使用すると、基盤となるハードウェアのセキュリティや設定を気にすることなく、アプリケーションやミドルウェアを簡単に作成できるようになります。

SaaS モデルの場合、CSP は物理インフラストラクチャと仮想インフラストラクチャ、プラットフォーム レイヤを管理し、お客様の利用するクラウドベースのアプリケーションやサービスのすべてを提供します。ウェブブラウザから直接実行される、またはウェブサイトにアクセスして実行するインターネット アプリケーションは、SaaS アプリケーションです。このモデルでは、組織やエージェンシーは、アプリケーションのインストール、更新、サポートについて心配する必要はありません。システムやデータアクセス ポリシーを管理するだけです。

以下の図は、オンプレミスとクラウド コンピューティング モデル全体の CSP とお客様の責任を示します。

FedRAMP の責任

クラウド IT スタックは、物理インフラストラクチャ レイヤ、クラウド インフラストラクチャ レイヤ、クラウド プラットフォーム レイヤ、クラウド ソフトウェア レイヤの 4 つのレイヤを基準にして表示できます。

クラウド IT スタック レイヤの構造

FedRAMP ATO に対し、クラウド IT スタックの各レイヤは独立したコントロール境界とみなされ、各コントロール境界には個別の ATO が必要です。つまり、Google Cloud Platform の FedRAMP コンプライアンス、および FedRAMP の対象となる Google Cloud サービスを多数運用している場合でも、FedRAMP セキュリティ ベースライン コントロールと SAF プロセスを実装して、クラウド システムとワークロードを FedRAMP 準拠として認定する必要があります。

低、中、高のコンプライアンスには、情報システムによって実装されるコントロールと、組織によって実装されるコントロールの 2 種類の FedRAMP セキュリティ コントロールがあります。組織と代理店は、Google Cloud 上に FedRAMP 準拠のシステムを構築する際に、Google が FedRAMP 認証で満たしている物理的インフラストラクチャのセキュリティ管理を継承します。また、Google の FedRAMP 準拠のプロダクトやサービス、および Google ワークスペースの使用時にはすべての SaaS に組み込まれている物理的なインフラストラクチャ、IaaS、PaaS のセキュリティ コントロールを継承します。ただし、お客様は他のすべてのセキュリティ コントロールと設定を IaaS、PaaS、SaaS レベルで実装する必要があります。その場合は FedRAMP セキュリティ コントロール ベースラインに基づきます。

Google Cloud が提供するセキュリティ管理を利用するには、JAB から Google の ATO パッケージのコピーをリクエストし、パッケージを組織または代理店のセキュリティ評価書に含めます。さらに、FedRAMP コンプライアンスの Google の証明書文書のコピーも含めます。

FedRAMP の実装に関する推奨事項

前述のように、お客様はクラウド サービス プロバイダから一部のセキュリティ管理を継承し、その他はお客様が個別に構成する必要があります。お客様によるセキュリティ管理が必要なセキュリティ制御の多くを行うには、組織指定のポリシー、ルール、規制を作成する必要があります。このセクションでは、GCP のツールやサービス、ベスト プラクティスと組み合わせて組織指定ポリシーを使用して、クラウドで NIST 800-53 セキュリティコントロールを実装する際のヒントをご紹介します。

: このセクションで「*」が付いているサービスは、現在 FedRAMP の対象ではなく、「+」が付いているサービスはネイティブの Google Cloud サービスではありません。

アクセス制御

Google Cloud でアクセス制御を管理するには、クラウドの情報システム アカウントを管理する組織管理者を定義します。Cloud Identity管理コンソール、またはその他の ID プロバイダ(Active Directory、LDAP など)を使用して、これらの管理者をアクセス コントロール グループに追加します。これにより、サードパーティの ID プロバイダが Google Cloud と連携していることを確認します。Cloud Identity and Access Management(IAM)を使用して、管理グループにロールと権限を割り当てて、義務の最小限の権限と職掌分散を実装します。

クラウド内の情報システム アカウント向けの組織全体のアクセス制御ポリシーを作成します。組織が情報システム アカウントを作成、有効化、変更、無効化、削除するパラメータと手順を定義します。

アカウント管理、分離の分離、最小権限

アクセス制御ポリシーで、組織が情報システム アカウントを作成、有効化、変更、無効化、削除するパラメータと手順を指定します。情報システム アカウントを使用する条件を指定します。

また、ユーザーがシステムからログアウトする必要が生じる非アクティブな時間を指定します(x 分後、x 時間後、x 日後など)。Cloud Identity管理コンソール、またはアプリケーションの構成を使用して、指定した期間の経過後にユーザーにログアウトまたは再認証してもらうようにします。

特権ロールの割り当てが組織内のユーザーに適切ではなくなった場合に実施するアクションを定義します。Google の *ポリシー インテリジェンスには、IAM Recommender 機能があり、機械学習を使用してスマート アクセス制御の提案を行うことにより、GCP リソースに対する不要なアクセス権を削除できます。

適切なアカウント グループの条件として定義します。Cloud Identity または管理コンソールを使用して、グループまたはサービス アカウントを作成します。Cloud Identity and Access Management(IAM)を使用して、共有グループとサービス アカウントにロールと権限を割り当てます。可能な限りサービス アカウントを使用してください。

組織の情報システム アカウントへの通常の使用法を指定し、Cloud Operations Suite、*Cloud Security Command Center、*Forseti Security などのツールを使用して、される情報システム管理者に一般的に使用について警告します。

ガイドライン AC-02、AC-02(04)、AC-02(05)、AC-02(07)、AC-02(09)、AC-02(11)、AC-02(12)、AC-05、AC-06(01)、AC-06(03)、AC-06(05)、AU-2、AU-3、AU-6、AU-12、SI-04,、SI-04(05)、SI-04(11)、SI-04(18)、SI-04(19)、SI-04(20)、SI-04(22)、SI-04(23)に従って、セキュリティ コントロールを実施してください。

情報フローの適用、リモート アクセス

組織全体のアクセス制御ポリシーで、組織の情報フロー制御ポリシーを定義します。禁止または制限されているポート、プロトコル、サービスを特定します。内部システムと外部システムへの相互接続の要件と制限事項を定義します。Cloud VPC などのツールを使用してファイアーウォール、論理的に隔離されたネットワークとサブネットワークを作成します。Cloud ロードバランサ、*Traffic DirectorVPC Service Controls を実装して、情報のフローを制御できます。

情報フロー制御ポリシーを設定する場合は、組織向けの制御対象のネットワーク アクセス ポイントを特定します。Cloud Identity Aware Proxy などのツールを使用して、リモート ユーザーとオンサイト ユーザー向けに、クラウド リソースへのコンテキストに応じたアクセスを提供します。Cloud VPN または Cloud Interconnect を使用して、Cloud VPC に安全で直接的なアクセスを提供します。

特権コマンドを実行し、リモート アクセスでセキュアなデータにアクセスするための組織全体のポリシーを設定します。Cloud IAMVPC Service Controls を使用して、機密データとワークロードへのアクセスを制限します。

ガイドライン AC-04、AC-04(08)、AC-04(21)、AC-17(03)、AC-17(04)、CA-03(03)、CA-03(05)、CM-07、CM-07(01)、CM-07(02)に従って、セキュリティ コントロールを実施してください。

ログイン試行、システムの使用通知、セッション終了

アクセス制御ポリシーで、15 分間に 3 回ログインに失敗した場合のログイン プロンプトへのアクセスからの遅延時間を指定します。ユーザー セッションを終了または切断する条件とトリガーを指定します。

Cloud Identity Premium Edition または管理コンソールを使用して、ネットワークに接続する BYOD を含めたモバイル デバイスにセキュリティ設定を適用します。モバイル デバイスに適用する組織全体のセキュリティ ポリシーを作成します。連続ログイン失敗後にモバイル デバイスをパージしてワイプするための要件と手順の概要を示します。

情報システムにアクセスするユーザーに、プライバシー ポリシー、利用規約、セキュリティ通知を提供する、組織全体の言語やシステムの使用についての通知を作成します。ユーザーにアクセスを許可する前に、組織全体の通知を表示する条件を定義します。Cloud Pub/Sub は、アプリケーションとエンドユーザーへのプッシュ通知に使用できるグローバル メッセージングおよびイベント取り込みシステムです。*Chromeブラウザや *Chrome OS などの *Chrome Enterprise Suite を *Push API や *Notifications API と一緒に使用して、ユーザーに通知を送信したり、更新情報を送信したりできます。

ガイドライン AC-07、AC-07(02)、AC-08、AC-12、AC-12(01)に従って、セキュリティ コントロールを実施してください。

許可されている操作、モバイル デバイス、情報共有

アクセス制御ポリシーでID と認証なしで情報システムで実行できるユーザー アクションを定義します。Cloud IAM を使用して、特定のリソースを表示、作成、削除、変更するユーザー アクセスを制御します。

また、情報共有に関する組織全体のポリシーを作成します。情報を共有できる状況と、情報の共有にユーザーの裁量が必要になる状況を判断します。ユーザーが組織全体で情報を共有し、コラボレーションすることを支援するプロセスを学びます。Google ワークスペースには、チーム間でコラボレーションとエンゲージメントをコントロールするためのさまざまな機能があります。

ガイドライン AC-14、AC-19(05)、AC-21 に従って、セキュリティ コントロールを実施してください。

認知向上とトレーニング

セキュリティ ポリシーと関連トレーニング資料を作成し、少なくとも年に 1 回、組織全体のユーザーとセキュリティ グループに配布します。Google は、クラウドのセキュリティについてユーザーを教育するための Professional Services を提供していますが、Cloud Discover Security エンゲージメントや Google Workspace Security Assessment に限定されません。

セキュリティ ポリシーとトレーニングを少なくとも年に 1 回更新します。

ガイドライン: AT-01 に従って、セキュリティ コントロールを実施します。

監査と説明

組織全体の監査ポリシーとアカウンタビリティ コントロールを作成して、クラウド情報システムに関連付けられている担当者、イベント、アクションの監査の手順と実施要件に対応します。

組織全体の監査ポリシーでは、組織の情報システムで監査する必要があるイベントと監査頻度の概要を示しています。ログに記録されるイベントには、成功または失敗したアカウント ログイン イベント、アカウント管理イベント、オブジェクト アクセス、ポリシーの変更、権限機能、プロセス トラッキング、システム イベントなどがあります。ウェブ アプリケーションの例には、管理アクティビティ、認証チェック、承認チェック、データ削除、データアクセス、データ変更、権限の変更などがあります。組織に関連する追加イベントを指定します。

監査ポリシーでは、組織での不適切または異常なアクティビティを特定することをおすすめします。これらのアクティビティは定期的にモニタリングされ、ログに記録され、フラグが付けられます(少なくとも週 1 回)。

Google の Cloud Operations Suite スイートを使用して、GCP、オンプレミス、その他のクラウド環境のロギング、モニタリング、アラートを管理します。Cloud Operations Suite を使用して、組織内のセキュリティ イベントの構成と追跡を行います。さらに、Cloud Monitoring では、監査レコードで組織指定イベントのモニタリングを行うカスタム指標を設定できます。

監査処理に失敗したときに、情報システムで管理者に警告することを有効にします。これは、Cloud Pub/SubCloud アラートなどのツールを使用して実装できます。

設定されたしきい値や容量に監査記録が達した場合など、システムや機能に障害が発生した場合に、一定時間内(例えば15分以内)に管理者にアラートする基準を設定します。組織全体の時間測定の粒度を決定し、それに基づいて監査のタイムスタンプとログ記録を取る必要があります。情報システム監査証跡で、タイムスタンプ付き記録の許容レベル(例: ほぼリアルタイムまたは 20 分以内)を指定します。

VPC リソースの割り当てを設定して、監査レコード ストレージの容量しきい値を確立します。Cloud Budget Alerts を構成して、リソースの制限に達したか、超えたときに管理者に通知します。

監査データおよびレコードに関する組織全体のストレージ要件を定義し、監査ログの可用性と保持の要件を追加します。Google Cloud Storage を使用して監査ログの保存やアーカイブを行い、BigQuery を使用して詳細なログ分析を実行できます。

ガイドライン AU-01、AU-02、AU-04、AU-05、AU-05(01)、AU-06、AU-07(01)AU-08、AU-08(01)、AU-09(04)、AU-09(04)、AU-12、AU-12(01)、AU-12(03)、CA-07 に従って、セキュリティ コントロールを実施してください。

セキュリティ評価と承認

組織全体のセキュリティ評価および承認ポリシーを作成します。このポリシーでは、組織のセキュリティ評価、セキュリティ コントロール、承認コントロールの手順と実施要件を規定します。

セキュリティ評価および認可ポリシーで、セキュリティ評価チームがクラウド内の情報システムに対して部分的な評価を実施するために必要な、独立レベルを定義します。独立した評価機関による評価が必要な情報システムを特定する必要があります。

セキュリティ評価では、少なくとも詳細モニタリング、脆弱性スキャン、悪意のあるユーザーテスト、インサイダーの脅威の評価、パフォーマンスや負荷のテストについてカバーする必要があります。追加の要件とセキュリティ評価を組織で規定する必要があります。

セキュリティ評価と認可ポリシーで、未分類のセキュリティ システムや海外のセキュリティ システムの要件を含む、セキュリティ システムの分類と要件を指定する必要があります。

情報フロー制御ポリシーで、内部システムと外部システムへの相互接続の要件と制限について概説します。Cloud VPC ファイアウォール ルールを設定して情報システムへのトラフィックを許可または拒否し、VPC Service Controls を使用して、セキュリティ パラメータに基づいて機密データを保護します。

継続的なモニタリング要件(CA-07)を適用する組織全体の監査およびアカウンタビリティ ポリシーを設定します。

ガイドライン CA-01、CA-02、CA-02(01)、CA-02(02)、CA-02(03)、CA-03(03)、CA-03(05)、CA-07、CA-07(01)、CA-08、CA-09 に従って、セキュリティ コントロールを実施してください。

構成管理

組織全体で構成管理ポリシーを作成します。このポリシーは、組織全体での構成管理コントロール、ロール、責任、スコープ、コンプライアンスのプロセスと実施要件を規定するものです。

組織所有の情報システムとシステム コンポーネントの構成設定要件を標準化します。情報システムを設定するための運用上の要件と手順を提供します。システム管理者が情報システム ロールバックのサポート維持のために必要としているベースライン設定の以前のバージョンの数を明示的に呼び出します。Google の一連の構成管理ツールを使用して IT システム設定をコードとして管理し、*Cloud Policy Intelligence、*Cloud Security Command Center、または *Forseti Security を使用して構成の変更をモニタリングします。

組織内のさまざまな種類の情報システムの設定要件(クラウド、オンプレミス、ハイブリッド、未分類、CUI、分類されている情報など)を指定します。また、組織所有デバイスと BYOD デバイスのセキュリティ安全保護対策要件を指定し、安全と危険な地理的位置の特定を含める必要があります。Identity-Aware Proxy を使用すると、地理的位置ごとのアクセス制御など、組織が所有するデータにコンテキスト ベースのアクセス制御を適用できます。Cloud Identity Premium エディションまたは管理コンソールを使用して、企業ネットワークに接続するモバイル デバイスにセキュリティ設定を適用します。

構成管理ポリシーで、組織全体の設定変更制御要素(変更管理委員会など)を規定します。変更制御要素が満たされる頻度とその条件を文書化します。設定変更を確認および承認するための正式な文言を決定します。

組織の構成管理承認機関を特定します。これらの管理者は情報システムへの変更リクエストを確認します。当局が変更リクエストを承認または拒否する必要がある期間を定義します。 情報システムの変更が完了したら、変更の実施者が承認機関に通知するためのガイダンスを提供します。

組織全体でオープンソース ソフトウェアを使用する際の制限を設定し、使用が承認されているソフトウェア、承認されていないソフトウェアの仕様について記載します。 Cloud Identity または管理コンソールを使用すると、組織で承認済みのアプリケーションとソフトウェアを適用できます。 Cloud Identity Premium を使用すると、サードパーティ アプリケーションのシングル サインオンと多要素認証を有効にできます。

Cloud アラートなどのツールを使用して、構成の変更がログに記録されたときにセキュリティ管理者に通知を送信します。*Cloud Security Command Center や *Forseti Security などのツールに管理者権限を付与し、設定変更をほぼリアルタイムでモニタリングします。* Cloud ポリシー インテリジェンスを使用すると、機械学習を使用して組織によって定義された構成を調べることができるため、ベースラインからの構成変更のタイミングについての認識が高まります。

情報フロー制御ポリシーを使用して、組織全体で最小限の機能を適用します。

ガイドライン: CM-01、CM-02(03)、CM-02(07)、CM-03、CM-03(01)、CM-05(02)、CM-05(03)、CM-06、CM-06(01)、CM-06(02)、CM-07、CM-07(01)、CM-07(02)、CM-07(05)、CM-08、CM-08(03)、CM-10(01)、CM-11、CM-11(01)、SA-10 に従って、セキュリティ コントロールを実施してください。

不測の事態に備える

組織全体の緊急時計画管理の手順と実施要件を規定した、組織の緊急時対応計画を策定します。組織の各要素の主な緊急時対応担当者、ロール、責任を特定します。

組織内のミッション クリティカルな情報のシステム運用を特定します。緊急時計画が発動されたときに必要な業務を再開するための RTO(Recovery Time Objective: 目標復旧時間)と RPO(Recovery Point Objective: 目標復旧時点)の概要を示します。

重要な情報システムと関連ソフトウェアについて文書化します。追加のセキュリティ関連情報を特定し、重要なシステム コンポーネントやデータのバックアップ コピーを保存するためのガイダンスと要件を提供します。Google のグローバル リソース、リージョン リソース、ゾーンリソース、および世界中のロケーションをデプロイして高可用性を実現します。マルチリージョン、リージョン、バックアップ、アーカイブのオプションに Google Cloud Storage クラスを使用します。Cloud ロードバランサを使用してグローバル ネットワークの自動スケーリングと負荷分散を実施します。

ガイドライン CP-01、CP-02、CP-02(03)、CP-07、CP-08、CP-09(03)に従って、セキュリティ コントロールを実施してください。

識別と認証

識別と認証の手順、スコープ、ロール、責任、管理、エンティティ、コンプライアンスを指定する、組織の ID と認証ポリシーを作成します。組織に必要な ID と認証の制御を指定します。Cloud Identity Premium または管理コンソールを使用して、組織のリソースに接続できる企業用デバイスと個人用デバイスを特定します。Cloud Identity Aware Proxy(IAP)を使用して、リソースへのコンテキストアウェア アクセスを適用します。

組織の認証システム コンテンツ、認証の再利用条件、認証システムを保護するための基準、認証システムを変更または更新する際の標準に関するガイダンスを提供します。また、キャッシュされた認証システムを使用するための要件を規定します。キャッシュに保存された認証システムを使用するための時間制限と、キャッシュ内の認証システムの有効期限を指定します。組織の情報システムによって適用する必要がある、最小および最大の有効期間の要件と更新期間を指定します。

Cloud Identity または管理コンソールを使用して、パスワード ポリシーを、機密性、文字の使用、新しいパスワードの作成や再利用、パスワードの有効期間、ストレージ、送信要件に適用します。

PIV カードや PKI 要件など、組織全体の認証に必要なハードウェアとソフトウェアのトークンの認証要件をまとめます。*Google Titan セキュリティ キーを使用すると、管理者や特権ユーザーに追加の認証要件を適用できます。

ID と認証ポリシーでは、組織内のサードパーティを受け入れることができる Federal Identity, Credential, and Access Management(FICAM)情報システム コンポーネントの概要を説明しています。 Google の ID プラットフォームは、組織が外部エンティティによってアクセスされるアプリケーションに Identity and Access Management 機能を追加する際に役立つ、顧客 ID とアクセス管理(CIAM)プラットフォームです。

ガイドライン IA-01、IA-03、IA-04、IA-05、IA-05(01)、IA-05(03)、IA-05(04)、IA-05(11)、IA-05(13)、IA-08(03)に従って、セキュリティ コントロールを実施してください。

インシデント対応

組織のインシデント対応ポリシーを確立します。これには、インシデント対応の制御を促進および実施するための手順も含まれます。組織のインシデント対応チームと承認機関のセキュリティ グループを作成します。Cloud Operations Suite や *Cloud Security Command Center などのツールを使用して、インシデント イベント、ログ、その他の詳細情報を共有できます。*Incident Response Management(IRM)により、管理者は情報システムのセキュリティ インシデントをエンドツーエンドで調査して解決できます。

インシデント対応テスト計画、手順とチェックリスト、成功のための要件とベンチマークを作成します。組織で認識する必要のあるインシデントのクラスを指定し、そのようなインシデントに対応するために関連付けられたアクションの概要を示します。情報漏洩、サイバーセキュリティの脆弱性、攻撃の管理のための手順など、インシデントが発生した場合に、許可された担当者が行う必要がある特定のアクションを定義します。Google Workspace の機能を利用して、メールのコンテンツをスキャンして検疫し、フィッシング攻撃をブロックし、添付ファイルに対する制限を設定します。Cloud Data Loss Prevention を使用して、機密データの検査、分類、匿名化を行い、露出を制限します。

インシデント対応トレーニングに組織全体の要件を指定します。これには、一般的なユーザーのトレーニング要件、特権ロールと責任が含まれます。トレーニングに要する期間の要件を適用します(参加から 30 日以内、四半期ごと、年単位など)。

ガイドライン IR-01、IR-02、IR-03、IR-04(03)、IR-04(08)、IR-06、IR-08、IR-09、IR-09(01)、IR-09(03)、IR-09(04)に従って、セキュリティ コントロールを実施してください。

システム メンテナンス

組織のシステム メンテナンス ポリシーを作成し、システム メンテナンス制御、ロール、責任、管理、調整の要件、コンプライアンスを文書化します。管理外のメンテナンスのパラメータを指定します。オフサイト メンテナンスや修復を行うための承認プロセスや、失敗したデバイスやパーツを置き換えるための組織全体でのターンアラウンド タイムなどを指定します。組織は、Google Cloud Platform でのデータ削除のデータと機器のサニタイズ、Google のデータセンターのセキュリティとイノベーションにより、オフサイトでのメンテナンスと修復を行うことができます。

ガイドライン MA-01、MA-02、MA-06 に従って、セキュリティ コントロールを実施してください。

メディア保護

Google Cloud の FedRAMP ATO の一環として、物理インフラストラクチャのメディア保護要件を満たします。Google のインフラストラクチャ セキュリティ設計セキュリティの概要を確認してください。 その後、仮想インフラストラクチャのセキュリティ要件を満たす必要があります

組織のメディア保護ポリシーを作成し、メディア管理、保護ポリシーと手順、コンプライアンス要件、管理上の役割や責任を文書化します。組織全体にわたるメディアの保護を促進し、実装するための手順を文書化します。メディアとその保護を管理するための担当者とロールを定義するセキュリティ グループを作成します。

デジタル メディアとデジタル以外のメディアの制限を含めて、組織の承認されたメディアタイプとアクセスを指定します。また、制御が必要なアクセス領域内外のセキュリティ マークの要件など、組織全体で実装する必要があるメディア マークとメディア処理に関する注意点を設定します。*Google Data Catalog を使用してクラウド リソースのメタデータを管理することで、データの検出を簡素化します。*Google Private Catalog を使用して、クラウド リソースの配布を検出を規制し、組織全体でクラウド リソースのコンプライアンスを制御します。

組織で管理されるメディアをサニタイズして廃棄するか再利用する方法を特定します。また、メディアやデバイスのサニタイズ、廃棄、再利用が必要または許容されるユースケースや状況の概要をまとめます。組織が許容するメディア保護の手法とメカニズムを定義します。

組織は、Google Cloud Platform でのデータ削除のデータと機器のサニタイズ、Google のデータセンターのセキュリティとイノベーションの恩恵を受けられます。さらに、Cloud KMSCloud HSM は FIPS 準拠の暗号化保護を提供し、*Google Titan セキュリティ キーを使用すると、管理者や特権ユーザーに追加の物理認証要件を適用できます。

ガイドライン MP-01、MP-02、MP-03、MP-04、MP-06、MP-06(03)、MP-07 に従って、セキュリティ コントロールを実施してください。

物理的保護および環境保護

Google Cloud の FedRAMP ATO の一環として、物理インフラストラクチャの物理的保護および環境保護の要件を満たします。Google のインフラストラクチャ セキュリティ設計セキュリティの概要を確認してください。 その後、仮想インフラストラクチャのセキュリティ要件を満たす必要があります

組織の物理的保護および環境保護ポリシーを確立します。これにより、保護機能の制御、保護エンティティ、コンプライアンス基準、ロール、責任、管理要件の概要を説明します。組織全体で物理的保護および環境保護を実装する方法の概要を説明します。

物理的保護および環境保護を管理するための担当者とロールを特定するセキュリティ グループを作成します。機密性の高い計算リソースにアクセスする管理者は、*Titan セキュリティ キーまたはその他の MFA の形式を使用して、アクセスの整合性を検証する必要があります。

物理的保護と環境保護のポリシーで、組織の物理的なアクセス制御要件を定義します。情報システムサイトの施設のエントリ ポイントおよび exit ポイント、そのような施設のアクセス制御の安全保護対策、インベントリの要件を特定します。*Google Maps Platform などのツールを利用して、ロケーション マッピングのために施設、エントリ ポイント、exit ポイントを視覚的に表示して追跡します。Cloud Resource Manager と *Private Catalog を使用してクラウド リソースへのアクセスを制御し、整理して見つけやすくします。

Cloud Monitoring を使用して、ログに記録可能なイベント、アクセス、インシデントを構成します。Cloud Logging に記録する必要のある組織全体の物理アクセス イベントを定義します。*インシデント レスポンス管理を使用して、トリガーされた物理的なセキュリティ インシデントに対処し、検出結果を Cloud Security Command Center で一元管理します。

物理的保護および環境保護ポリシーを使用して、情報システムの緊急遮断機能、非常用電源、消火、緊急対応などの緊急事態に対処します。緊急時の対応窓口(組織の各地の緊急時の対応担当者、物理的なセキュリティ担当者など)を特定します。代替作業サイトの要件と場所の概要を示します。メイン作業サイトと代替作業サイトのセキュリティ管理と担当者を指定します。 Google のグローバル リソース、リージョン リソース、ゾーンリソース、および世界中のロケーションをデプロイして高可用性を実現します。マルチリージョン、リージョン、バックアップ、アーカイブのオプションに Google Cloud Storage クラスを使用します。Cloud ロードバランサを使用してグローバル ネットワークの自動スケーリングと負荷分散を実施します。再現可能なテンプレートを使用したデプロイ プロセスを確立するために、宣言型デプロイ テンプレートを作成します。

ガイドライン PE-01、PE-03、PE-03(01)、PE-04、PE-06、PE-06(04)、PE-10、PE-13(02)、PE-17 に従って、セキュリティ コントロールを実施してください。

システム セキュリティ計画

組織のセキュリティ計画ポリシーを開発し、組織のセキュリティ計画の管理、ロール、責任、管理、セキュリティ計画エンティティ、コンプライアンスの要件の概要を示します。セキュリティ計画を組織全体で実装する方法の概要を示します。

グループを作成して、セキュリティ計画担当者を定義します。組織のセキュリティ評価、監査、ハードウェアとソフトウェアの保守、パッチ管理、危機管理計画のためのセキュリティ グループを指定します。Cloud オペレーション スイート、*Cloud Security Command Center、*Forseti Security などのツールを使用して、組織全体のセキュリティ、コンプライアンス、アクセス制御をモニタリングします。

ガイドライン PL-01、PL-02、PL-02(03)に従って、セキュリティ コントロールを実施してください。

社員のセキュリティ

担当者のセキュリティ ポリシーを作成し、セキュリティ担当者、セキュリティ担当者のロールと責任、担当者によるセキュリティの実装方法、担当者が組織全体で適用するセキュリティ制御の内容の概要を示します。組織のセキュリティ スクリーニング、再スクリーニング、調査で従業員が必要な条件を規定します。組織内の秘密情報使用許可の要件の概要をまとめます。

従業員の退職および転勤に関するガイダンスを含めます。終了インタビューの必要性とパラメータ、およびそのようなインタビューで話し合うべきセキュリティ トピックを指定します。組織内のセキュリティ エンティティおよび管理エンティティが、従業員の退職、転勤、再配置の通知を受けるタイミング(24 時間以内など)を指定します。担当者と組織が、転勤、再配置、退職を完了するために行う必要があるアクションを指定します。正式な従業員への制裁措置の施行要件も含みます。セキュリティ担当者と管理者に従業員への制裁措置が通知されるタイミングと制裁措置プロセスについて説明します。

Cloud IAM を使用して、担当者にロールと権限を割り当てます。Cloud Identity または管理コンソールで、従業員のプロフィールとアクセスを追加、削除、無効化、有効化します。*Titan セキュリティ キーを使用して、管理者と特権ユーザーに対して追加の物理的な認証要件を適用します。

ガイドライン PS-01、PS-03、PS-04、PS-05、PS-07、PS-08 に従って、セキュリティ コントロールを実施してください。

リスクの評価

リスク評価ポリシーを実装します。このポリシーでは、リスク評価の実施者、組織全体に実施するリスク評価の制御内容、組織内でのリスク評価の実施手順について説明します。リスク評価の文書化方法と報告方法を定義します。*Forseti Security や *Security Command Center などのツールを使用して、セキュリティ リスクや組織全体のセキュリティ体制を自動的にセキュリティ担当者に通知できます。

Cloud Security ScannerContainer AnalysisCloud ArmorGoogle Workspace のフィッシングやマルウェア保護機能などの、Google の一連のリスク評価ツールを活用することで、組織の情報システム全体の脆弱性をスキャンし、報告できます。脆弱性の評価担当者と管理者が脆弱性を特定および削除できるように、これらのツールを使用可能にします。

ガイドライン: RA-01、RA-03、RA-05 に従って、セキュリティ コントロールを実施します。

システムおよびサービスの取得

システムとサービスの取得ポリシーを策定して、重要な担当者のロールと責任、サービス取得とサービス管理、コンプライアンス、エンティティの概要をまとめます。組織のシステムとサービス取得手順、サービス実施ガイドラインの概要をまとめます。情報システムや情報セキュリティに関する組織のシステム開発のライフサイクルを指定します。情報セキュリティのロールと責任、担当者、組織のリスク評価ポリシーがシステム開発ライフサイクルのアクティビティに与える影響についての概要をまとめます。

情報システム ドキュメントが使用できない、または未指定の場合に、組織内で実施する予定の手順の概要をまとめます。必要に応じて、組織の情報システム管理者とシステム サービス担当者に協力を求めます。組織内で情報システムを実装、またはシステムにアクセスする管理者とユーザー向けに、必要なトレーニングを指定します。

*Cloud Security Command Center や *Forseti Security などのツールを使用して、組織のセキュリティ コンプライアンス、検出内容、セキュリティ制御ポリシーを追跡します。Google は、Google Cloud でコンプライアンス要件と法律に準拠する方法をお客様に説明できるように、セキュリティ標準、規制、認証のすべての概要を示しています。また、Google では、クラウドとオンプレミスの両方でお客様が情報システム、通信、データを継続的にモニタリングできるように、セキュリティ プロダクト スイートを提供します。

組織のデータ、サービス、情報処理に関するロケーション制限と、データを他の場所に格納するための条件を指定します。Google では、GCP でのデータ ストレージ、処理、サービスの利用のために、グローバル、リージョン、ゾーンのオプションを提供しています。

構成管理ポリシーを活用して、システムおよびサービスの取得管理に関する開発者による構成管理を規制し、セキュリティ評価および認可ポリシーを使用して、開発者によるセキュリティ テストおよび評価の要件を適用します。

ガイドライン SA-01、SA-03、SA-05、SA-09、SA-09(01)、SA-09(04)、SA-09(05)、SA-10、SA-11、SA-16に従って、セキュリティ コントロールを実施してください。

システムと通信の保護

システムとコミュニケーションの保護ポリシーを作成して、重要な関係者のロールと責任、システム通信保護ポリシーの実施要件、組織に必要な保護管理について概説します。組織が認識してモニタリングするサービス拒否攻撃のタイプを特定し、組織の DoS 攻撃の保護要件の概要をまとめます。

Cloud のオペレーション スイートを使用して、組織に対する事前指定されたセキュリティ攻撃を記録、モニタリング、通知できます。Cloud Load BalancingCloud Armor などのツールを使用してクラウド境界を保護し、ファイアウォールやネットワーク セキュリティ コントロールなどの Cloud VPC サービスを活用して内部クラウド ネットワークを保護します。

組織のリソースの可用性要件を特定し、組織全体でのクラウド リソースの割り当て方法、過剰使用率を制限するために実装する制約を定義します。Cloud Resource Manager などのツールを使用して、組織レベル、フォルダレベル、プロジェクト レベル、個々のリソースレベルでリソースへのアクセスを制御します。GCP での API リクエストとリソースの使用率を管理するには、Cloud リソース割り当てを設定します。

情報システムとシステム通信の境界保護要件を確立します。内部通信トラフィックの要件と、内部トラフィックが外部ネットワークとやり取りする方法を定義します。プロキシ サーバー、その他のネットワーク ルーティングと認証コンポーネントの要件を指定します。

*Cloud Traffic Director を利用して、組織のネットワーク トラフィックと通信フローを管理します。Cloud Identity Aware Proxy を使用して、認証、承認、コンテキスト(地理的な場所やデバイスのフィンガープリントなど)に基づいてクラウド リソースへのアクセスを制御します。*Google Private Access、*Cloud VPN、*Cloud Interconnect を実装して、ネットワーク トラフィックと内部リソースと外部リソースの間の通信を保護します。Cloud VPC は、組織のクラウド ネットワークの定義と保護に使用できます。クラウド リソースとネットワーク境界をさらに隔離するためのサブネットワークを確立します。

また、Google は、高可用性とフェイルオーバーを実現するために、マルチリージョン、リージョン、ゾーンの機能を備えたグローバル ソフトウェア定義ネットワーキングを提供しています。組織の障害要件を指定して、情報システムが既知の状態にならないようにします。情報システム状態情報を保持するための要件を規定します。マネージド インスタンス グループと Deployment Manager テンプレートを使用して、失敗したリソースや異常なリソースを再インスタンス化します。管理者に *Cloud Security Command Center または *Forseti Security へのアクセス権を付与し、組織の機密情報、整合性、可用性を継続的にモニタリングします。

ポリシーで、暗号鍵を管理するための要件(鍵の生成、配布、ストレージ、アクセス、破棄の要件など)の概要を示します。Cloud KMSCloud HSM を使用して、クラウド内で FIPS 準拠のセキュリティ キーの管理、生成、使用、ローテーション、保存、破棄を行うことができます。

Google はデフォルトで保存データを暗号化しますが、Compute Engine と Google Cloud Storage で Cloud KMS を使用すると、暗号鍵を使用してデータをさらに暗号化できます。Shielded VM をデプロイして、Compute Engine でカーネルレベルの整合性制御を適用することもできます。

ガイドライン SC-01、SC-05、SC-06、SC-07(08)、SC-07(12)、SC-07(13)、SC-07(20)、SC-07(21)、SC-12、SC-24、SC-28、SC-28(01)に従って、セキュリティ コントロールを実施してください。

システムと情報の整合性

システムと情報の整合性に関するポリシーを規定します。具体的には、組織の担当者の重要なロールと責任、整合性の実装手順と要件、コンプライアンス基準、セキュリティ コントロールについての概要をまとめます。システムと情報の整合性を担当する組織内の担当者のセキュリティ グループを作成します。組織とその情報システム全体のセキュリティ欠陥の監視、評価、承認、実施、計画、ベンチマーク、修復のためのガイドラインを含む、組織の欠陥修復要件を概説します。

Chrome ブラウザだけではなく、Cloud Security ScannerContainer AnalysisGoogle Workspace Phishing & Malware Protections、Google Workspace セキュリティ センター、Cloud Armor などの Google のセキュリティ ツール スイートを活用して、悪意のあるコード、サイバー攻撃、共通脆弱性から保護し、迷惑メールを隔離して、迷惑メールやマルウェアに関するポリシーを設定し、管理者に脆弱性に関するアラートを送信し、組織全体で分析情報を取得し、一元管理を実現します。Cloud Operations Suite、*Cloud Security Command Center、*Forseti Security などのツールを使用して、組織のセキュリティ管理と検出結果を一元的に管理、アラート送信、モニタリングできます。具体的には、Cloud オペレーション スイートを使用して、組織全体で特権ユーザーや担当者が開始した管理アクション、データアクセス、システム イベントをログに記録します。エラー メッセージや情報システムエラー処理について管理担当者に通知します。

組織のソフトウェア、ファームウェア、情報(ゼロデイ脆弱性、不正なデータの削除、新しいハードウェア、ソフトウェア、ファームウェアのインストールなど)に関連するセキュリティ関連のイベントを定義します。このようなセキュリティ関連の変更が発生した場合に行う必要がある手順について説明します。組織全体の情報システム内でモニタリングする必要がある重要な情報を含めて、特に注意を払うべき管理者に対する攻撃の目的やインジケーターのモニタリングを指定します。システムと情報のモニタリングのロールと責任、モニタリングと報告の頻度(リアルタイム、15 分ごと、1 時間ごと、四半期の報告など)を定義します。

組織全体で情報システムの通信トラフィックを分析するための要件を収集します。異常を検出するための要件(モニタリング用のシステム ポイントなど)を指定します。*Google のネットワーク テレメトリー サービスを使用すると、ネットワークのパフォーマンスとセキュリティの高度なモニタリングを実行できます。また、Cloud Endpointsやホスト(+Aqua Security や +Crowdstrike など)をスキャンして保護するために、Google は GCP と統合されたサードパーティーとの強力なパートナーシップを有しています。Shielded VM を使用すると、デバイスの強化、認証の検証、ブート プロセスの保護が可能になります。

組織がセキュリティの異常と整合性違反をどのようにチェックして保護するかを規定します。*Cloud Security Command Center、*Forseti Security、*Cloud Policy Intelligence などのツールを使用して、設定の変更を監視および検出します。+Configuration Management ToolsDeployment Manager を使用すると、クラウド リソースを再インスタンス化したり、クラウド リソースの変更を停止したりできます。

さらに、システム情報と整合性ポリシーで、組織内のネットワーク サービスを承認および承認するための要件を指定します。ネットワーク サービスの承認プロセスと承認プロセスの概要を示します。Cloud VPC は、ネットワーク境界を保護するために、ファイアウォールを使用してクラウド ネットワークとサブネットワークを定義するために不可欠です。VPC Service Controls を使用すると、クラウド内の機密データに対して追加のネットワーク セキュリティ境界を適用できます。

これらに加えて、Google のセキュアブート スタックと、信頼できる多層防御インフラストラクチャを自動的に継承します。

ガイドライン SI-01、SI-02(01)、SI-02(03)、SI-03(01)、SI-04、SI-04(05)、SI-04(11)、SI-04(18)、SI-04(19)、SI-04(20)、SI-04(22)、SI-04(23)、SI-05、SI-06、SI-07、SI-07(01)、SI-07(05)、SI-07(07)、SI-08(01)、SI-10、SI-11、SI -16 に従って、セキュリティ コントロールを実施してください。

まとめ

クラウドのセキュリティとコンプライアンス遵守は、お客様とクラウド サービス プロバイダが共同で取り組む作業です。Google は、物理的なインフラストラクチャとそれに対応するサービスが多数の第三者標準(規制と認証)の遵守をサポートしていることを保証していますが、お客様は、クラウド上で構築したものがすべてコンプライアンスに準拠していることを確認する必要があります。

Google Cloud では、Google がインフラストラクチャの保護に使用しているのと同じセキュリティ プロダクトと機能の一式を提供することで、コンプライアンスの取り組みを支援します。

免責条項

このガイドは情報提供のみを目的としています。このガイドに記載された情報または推奨事項は、法的助言を与えることを意図したものではありません。サービスの特定の使用方法を必要に応じて独自に評価し、法令遵守義務を果たすのは、お客様の責任です。