管理アクセス制御の概要

このページでは、Google Cloudの管理アクセス制御の設計に基づいて基本原則の概要を説明します。

管理アクセスとは

管理アクセスには、管理的手段での Google 従業員による顧客データへのアクセスが含まれます。たとえば、データベースの問題に言及するお客様のサポートケースを診断するために、Google 社員が内部サポートツールを使用して Cloud Spanner データベースのコンテンツにアクセスする場合があります。

非管理アクセスの一例は、ユーザー空間で標準ユーザー権限を割り当てることで、Google 社員にプロジェクトレベルでの IAM への直接アクセス権を付与することです。明示的にアクセス権を付与したプロジェクトでのこの Google 社員によるアクセスは、管理アクセスには含まれません。

管理者アクセス制御の目的は、監査可能な理由と、必要に応じて明示的な承認がなければ、Google 従業員が Google Cloud のお客様のデータにアクセスできないようにすることです。

基本原則

このセクションでは、Google Cloud が遵守する顧客データアクセスの基本原則について説明します。

デフォルトでアクセスを拒否する: ユーザーコンテンツはユーザー組織に明示的に属する

Google Cloud は、お客様のデータがお客様に属することの保証に尽力しています。これは、Google のすべての従業員がお客様のデータに対して取るデフォルトの姿勢です。

コンテンツ所有者の管理アクセスに対する管理は基本のコミットメントである

アクセスイベントは、クラウドベースのビジネスの標準的な運用要素です。たとえば、サポート担当者は要求されたサポートを提供するためにお客様のデータにアクセスする必要があり、エンジニアはサポートリクエストの調査中に発見された問題の解決のためにより深く掘り下げるために、アクセスする必要がある場合があります。Google Cloudの方針は、アクセスの透明性と Access Approval の機能を使用して、コンテンツアクセスの完全なロギングと承認をサポートすることです。

次の表に、自動アクセスと人間によるアクセスの違いを示します。

自動アクセス	人間のアクセス
人間は、これらのシステムで扱われるコンテンツのアクセス、表示、エクスポートを行うことができません。これらのコンテンツアクセスは、アクセスの透明性ログの生成の対象外です。たとえば、顧客コンテンツを定期的にハッシュしてデータ破損をチェックするプログラムによるアクセスなどです。	人間のアクセスとは、ユーザーコンテンツへのアクセス権を人間に付与する、または付与できるアクセスを指します。このアクセスには、自動化されたアクセスパスを使用してコンテンツへの間接アクセスを許可するユーザーが含まれます。このコンテンツアクセスは、アクセスの透明性とアクセスの承認のスコープに完全に含まれます。

自動アクセス

人間のアクセス

人間は、これらのシステムで扱われるコンテンツのアクセス、表示、エクスポートを行うことができません。これらのコンテンツアクセスは、アクセスの透明性ログの生成の対象外です。たとえば、顧客コンテンツを定期的にハッシュしてデータ破損をチェックするプログラムによるアクセスなどです。

人間のアクセスとは、ユーザーコンテンツへのアクセス権を人間に付与する、または付与できるアクセスを指します。このアクセスには、自動化されたアクセスパスを使用してコンテンツへの間接アクセスを許可するユーザーが含まれます。このコンテンツアクセスは、アクセスの透明性とアクセスの承認のスコープに完全に含まれます。

次の表に、緊急アクセスと非緊急アクセスの違いを示します。

緊急アクセス非緊急アクセス権

このタイプのアクセスは、Google のサービス、インフラストラクチャ、またはカスタマーサービスやコンテンツの整合性に対する緊急の脅威がある場合に発生します。これらの理由のいずれかによるアクセスでは、組織の Access Approval ポリシーをオーバーライドできます。このまれなタイプのアクセスは、Access Approval で auto-approved ステータスでログに記録されます。auto-approved ステータスの詳細については、アクセス権のリクエストのステータスをご覧ください。このタイプのアクセスは、あらゆる提出したサポートリクエストで構成され、サポート担当者は、サポートするためにお客様のデータを調べる必要があります。緊急アクセスの要件を満たさないアクセス。

緊急アクセス	非緊急アクセス権
このタイプのアクセスは、Google のサービス、インフラストラクチャ、またはカスタマーサービスやコンテンツの整合性に対する緊急の脅威がある場合に発生します。これらの理由のいずれかによるアクセスでは、組織の Access Approval ポリシーをオーバーライドできます。このまれなタイプのアクセスは、Access Approval で `auto-approved` ステータスでログに記録されます。`auto-approved` ステータスの詳細については、アクセス権のリクエストのステータスをご覧ください。	このタイプのアクセスは、あらゆる提出したサポートリクエストで構成され、サポート担当者は、サポートするためにお客様のデータを調べる必要があります。緊急アクセスの要件を満たさないアクセス。

すべてのアクセスに理由が必要

管理アクセスは、一部の例外とともに、監査可能な有効なビジネス上の正当な理由を裏付けとして囲われています。

顧客データにアクセスするビジネス上の理由の完全なリストについては、正当化理由コードをご覧ください。

アクセスロギングはユニバーサル

顧客データに対する管理者権限は、デフォルトでログに記録されます。アクセスの透明性を有効にすると、Google の担当者による組織内のユーザーコンテンツへのアクセスがほぼリアルタイムで各プロジェクトのログに記録されます。これらのアクセスは、Google の監査担当者によって内部でモニタリングされ、アクセスの透明性ログを通じて外部から確認できます。これらのログの表示については、アクセスの透明性ログを理解して使用するをご覧ください。

Assured Workloads を使用してさらに範囲を広げる

Assured Workloads では、米国政府の認証で規定されているより厳格なガイドライン（米国以外の人によるデータアクセスの制限など）を満たす管理コントロールを提供できます。

詳細については、担当者のデータのアクセスとサポートの管理をご覧ください。