Protected B(カナダ)
Google Cloud の Protected B コンプライアンス
Canadian Center for Cyber Security(サイバーセンター)は、クラウド サービスのセキュリティを評価するためのフレームワークを開発しました。これは、カナダ政府: Cloud Service Provider(CSP)Information Technology Security(ITS)評価プログラムと呼ばれています。ITS 評価プログラムの主な目的は、カナダ政府(GC)の部門や機関に対して、クラウド サービスが情報とサービスに対する GC のパブリック クラウドのセキュリティ要件(Protected B まで)を満たしていることを保証することです。ITS 評価プログラムでは、CSP が提供する特定のクラウド サービスについて、そのセキュリティ ポスチャー、管理機能、運用慣行を評価します。なお、このプログラムは企業全体を認証するものではなく、GC が定めるセキュリティ管理プロファイルに基づいて、特定のサービスを評価します。
CSP ITS の評価には 3 つのコンポーネントがあり、それぞれ GC 内の異なるグループによって実施されます。1)サイバーセンターのサプライ チェーン整合性(SCI)チームが、企業の所有権、地理的位置、プロダクト/サービスに関連するリスクを評価します。2)カナダの公共事業・調達省 - 契約セキュリティ プログラム(PSPC CSP)が、物理的セキュリティと人的セキュリティを評価します。3)サイバーセンターが、GC クラウド管理プロファイル(Protected B Medium(以前の PBMM)と Protected B High Value Asset のオーバーレイ(PBHVA))に基づいてクラウド サービスを評価します。
Google Cloud は、サイバーセンターのサプライ チェーンの整合性と IT クラウド セキュリティ評価プロセス、および必要な物理的および人的セキュリティ評価を含む、ITS 評価の 3 つのコンポーネントすべてを完了しています。カナダ連邦政府のお客様は、契約セキュリティ プログラムに従ってクラウド サービスを調達するには、Data Boundary for Canada Protected B 機能パッケージを使用する必要があります。
はじめに
カナダ政府(GC)は、さまざまなセキュリティ分類レベル(例: Protected A、Protected B、Confidential、Secret、Top Secret など)を使用して、情報の機密性、および情報の機密性、完全性、可用性が侵害された場合に発生する可能性のある損害に応じてデータを分類しています。GC の部門や機関はクラウド サービスを使用できますが、GC の部門はまず情報を特定して分類し、適用すべきセキュリティ管理を理解する必要があります。
Protected B とは
「保護された」情報は、Protected A、Protected B、Protected C のいずれかに分類され、個人情報、商業上の機密情報、または侵害された場合に国家以外の利益に損害を与えると合理的に予測されるその他の情報やアセットに適用されます。具体的には、Protected B には、医療記録、人事評価レポート、詳細な財務情報などの機密性の高い個人情報が含まれる可能性があります。この種の情報の不正な開示は、精神的苦痛、金銭的損失、評判の低下など、個人や組織に深刻な損害をもたらす可能性があります。
GC は、政府機関のセキュリティに関するポリシー、サービスとデジタルに関するポリシー、指令、ガイドライン、契約セキュリティ マニュアル、商用クラウド サービスの安全な使用に関する指令: セキュリティ ポリシー実施通知(SPIN)などのポリシー文書を公開しています。これらの文書には、政府機関の機密情報を保護するために、各部門、機関、民間組織が考慮すべき物理的、人的、IT セキュリティ要件と管理方法が記載されています。
Protected B のクラウド関連のセキュリティ管理要件は何ですか。
クラウドについては、セキュリティ管理の要件は Information Technology Security Guidance(ITSG-33)の付録 3 – IT Security Risk Management: A Lifecycle Approach に記載されています。サイバーセンターの Medium Cloud Security Control Profile は、IT セキュリティ要件のベースラインとして使用されます。さらに、GC は Protected B High Value Assets(PBHVA)Cloud Security Control Profile を開発しました。このプロファイルは、高価値アセット システムとして特定された Protected B ワークロードをサポートするために、強化として適用できる追加の整合性と可用性の管理を定義します。
カナダの公共事業・調達省(PSPC)契約セキュリティ プログラム(CSP)
PSPC CSP は、クラウド サービス契約の人員のセキュリティと物理的なセキュリティを検証します。この一環として、Google Cloud が PSPC CSP に登録されており、必要な組織のセキュリティ クリアランスを保持していること、保護された情報や運用ゾーンにアクセスするビジネス上のニーズがある従業員に対して人員のセキュリティ クリアランスを促進していることが確認されます。また、PSPC は Google Cloud のカナダのデータセンター ロケーションで物理的なセキュリティ検査を実施し、安全な運用ゾーン、適切なデータ保護、アクセス制御、契約のセキュリティ要件が満たされていることを確認します。
Canadian Centre for Cyber Security(CCCS)Supply Chain Integrity(SCI)
Cyber Center SCI チームは、プロダクトやサービス自体の技術的なリスクに加えて、所有権、場所、ビジネス プラクティスなどの企業関連のリスク要因を評価します。SCI チームはさまざまなソースを使用してリスク評価を生成し、最終的なクラウド セキュリティ評価の決定に役立てます。SCI プロセスの詳細については、ITSAP.10.070, Cyber supply chain: An approach to assessing risk をご覧ください。
Canadian Centre for Cyber Security(CCCS)CSP IT Security Assessment Process
Cloud Service Provider(CSP)Information Technology Security(ITS)Assessment Process(ITSM.50.100)は、Medium Cloud Profile や Protected B High Value Asset Overlay Profile などのセキュリティ管理に対するクラウド ソリューションの詳細な評価で構成されています。Google Cloud は、関連する管理プロファイル内の各セキュリティ管理機能への準拠を示す証拠を提供する責任があります。その後、CCCS は、その調査結果をまとめたセキュリティ評価レポートを発行します。
Google Cloud の Protected B コンプライアンス
Google Cloud は、PSPC CSP の組織、物理的、人員のセキュリティ要件による評価を受けています。また、Google Cloud は、CCCS(Canadian Centre for Cyber Security)のクラウド サービス プロバイダ(CSP)の IT セキュリティ評価とサプライ チェーンの整合性(SCI)プロセスも完了しており、Protected B Medium と Protected B High Value Asset の両方のワークロードをサポートすることが承認されています。CCCS の概要レポートには、Compliance Reports Manager から追加料金なしでオンデマンドでアクセスできます。
Google Cloud での Protected B ワークロードのホスティング
Google Cloud は、デフォルトでセキュリティが提供されるインフラストラクチャに投資しています。これにより、セキュリティ コントロールがあらかじめ構成された状態で組み込まれるため、従来の分離された政府のクラウド インフラストラクチャを使用しなくても、さまざまなコンプライアンス レベルを達成できるようになります。
Assured Workloads は、CJIS、FedRAMP(Moderate と High)、国防総省 IL2 / IL4 / IL5、Protected B など、さまざまな規制の枠組みへの準拠をサポートするために設計された Google Cloud のコンプライアンス サービスです。
カナダ連邦政府のお客様が、Google Cloud サービスを使用して、Contract Security Program の要件に沿って保護されたワークロードを処理することを検討している場合は、Data Boundary for Canada Protected B 機能パッケージを使用する必要があります。Assured Workloads for Canada Protected B を通じて使用可能になる Protected B の認証済みサービスは、Protected B の顧客データの所在地をカナダに限定するガードレールや、信頼性ステータス(またはそれ以上)のセキュリティ スクリーニングを完了した担当者によってのみ提供される技術サポートなどのコントロールを実装することで、GC の部門や機関のセキュリティとコンプライアンスを簡素化します。Assured Workloads for Canada Protected B でサポートされるプロダクトとサービスのリストは、こちらをご覧ください。
対象範囲内のサービス
次の Google Cloud サービスは、Canadian Centre for Cyber Security による Protected B IT セキュリティ評価を受けています。
Google Cloud
Protected B Medium
管理コンソール(Admin SDK、Directory Sync を含む)
AI Platform Training and Prediction
BeyondCorp Enterprise(注: Cloud コンソールから分割)
BigQuery Data Transfer Service
Care Studio(旧: Cloud Healthcare Search)
Cloud コンソール(BeyondCorp Enterprise なし)
Cloud External Key Manager(Cloud EKM)
Cloud Life Sciences(旧称 Google Genomics)
GCP Marketplace(旧: Cloud Launcher)
Key Access Justification(アクセス主権)
Looker Studio(旧称 Google データポータル、Pro を含む)
Notebooks(旧: Vertex AI Workbench / AI Platform Notebooks)
Security Command Center(Web Security Scanner を含む)(旧 Cloud Security Sanner)
Vertex AI Search(Gemini Enterprise を含む)
Protected B High Value Asset(PBHVA)
管理コンソール(Admin SDK、Directory Sync を含む)
AI Platform Training and Prediction
BeyondCorp Enterprise(注: Cloud コンソールから分割)
BigQuery Data Transfer Service
Care Studio(旧: Cloud Healthcare Search)
Cloud コンソール(BeyondCorp Enterprise なし)
Cloud External Key Manager(Cloud EKM)
Cloud Life Sciences(旧称 Google Genomics)
GCP Marketplace(旧: Cloud Launcher)
Key Access Justification(アクセス主権)
Looker Studio(旧称 Google データポータル、Pro を含む)
Notebooks(旧: Vertex AI Workbench/AI Platform Notebooks)
Security Command Center(Web Security Scanner を含む)(旧 Cloud Security Sanner)
Google Workspace
Protected B Medium
関連サービス
ISO/IEC 27001ISO/IEC 27000 規格群は、情報の安全を保つうえで役立ちます。Google Cloud と Google Workspace は ISO/IEC 27001:2022 に準拠しています。- ISO/IEC 27017ISO/IEC 27017 は、情報セキュリティ統制のガイドラインを示しています。Google Cloud と Google Workspace は ISO/IEC 27017:2015 に準拠しています。
SOC 2Google Cloud は、第三者機関による監査を定期的に実施し、個々のプロダクトが SOC-2 標準に適合していることを確認しています。
FedRAMPGoogle Cloud は、Google Cloud および Google Workspace プロダクトに対する FedRAMP High と FedRAMP Moderate P-ATO を保持しています。
セキュリティのベスト プラクティスに関する情報
ベスト プラクティスを見るよくある問題を解決する
セキュリティのユースケース動画を見るパートナーの活用
セキュリティ パートナーを見る
