Assured Workloads の概要

Assured Workloads を使用すると、民間部門と公共部門の組織は、クラウド内の機密性の高いワークロードに対して、所在地、アクセス、人員の制御を備えた主権データとアクセス境界を構成できます。Assured Workloads を使用すると、事前定義されたコントロール パッケージをフォルダに適用することで、規制対象ワークロードの管理と構成を簡素化できます。Assured Workloads を使用すると、商用クラウド インフラストラクチャのスケール、費用、サービス可用性のメリットを維持しながら、コンプライアンスを遵守したワークロードを実行できます。

Assured Workloads のユースケース

組織が特定の規制、地域、主権の要件に準拠する必要がある場合は、Assured Workloads を使用します。たとえば、Assured Workloads を使用すると、次の組織はコンプライアンス義務を遵守できます。

  • データの保存、鍵管理、アクセスに関する厳しい規制が適用される組織(金融サービス、ヘルスケア、政府機関など)。
  • 特定のリージョンまたは国にデータを保存する必要がある組織。
  • Google Cloud データへの従業員のアクセスを制御する必要がある組織。

Assured Workloads の機能

Assured Workloads には、コンプライアンスと規制の要件を満たすのに役立つ次のようなさまざまな機能が用意されています。

  • コンプライアンス適用のためのリージョン データ境界と規制データ境界
  • 担当者のデータアクセス制御
  • 暗号鍵の管理コントロール
  • コンプライアンスに関する最新情報
  • 違反のモニタリング

以降のセクションでは、これらの機能について説明します。

コントロール パッケージ

コントロール パッケージは、Assured Workloads のコンプライアンス適用の基盤です。Assured Workloads コントロール パッケージは、リージョン データ境界、規制データ境界、パートナーによる主権管理の次のコントロール タイプで使用できます。特定のコントロール パッケージの Assured Workloads フォルダを作成すると、コントロール パッケージ内のコントロールによって、フォルダ内のすべてのプロジェクトとリソースのガードレールが定義されます。これらの制御は、組織のポリシーの制約やその他の機能を使用して適用されます。

Google Cloud プロダクトとサービスのサポートは、コントロール パッケージによって異なります。詳細については、コントロール パッケージ別のサポート対象プロダクトをご覧ください。

地域データの境界

リージョン データ境界コントロール パッケージは、リソースを保存できる地理的位置を制限することで、データ所在地の要件をサポートします。一部のデータ境界では、適切かつ必要とみなされる特定のプロバイダの動作に対してのみアクセスを承認するなど、Google によるデータへのアクセスを独立して制御することもできます。

これらのデータ境界を使用すると、データが存在する必要がある Google Cloud リージョンを指定でき、そのリージョン外のデータを保存できなくなります。たとえば、EU データ境界コントロール パッケージが適用されている場合、リソース使用を EU のみのリージョンに制限するようにデータ所在地のコントロールが実装されます。Assured Workloads には、データ所在地の制限と Google 担当者のサポート アクセス制御を適用するためのさまざまなリージョン データ境界が用意されています。

Assured Workloads とデータ所在地の詳細については、データ所在地をご覧ください。

規制データの境界

規制データ境界制御パッケージを使用すると、一連の制御をデプロイして、特定の規制要件またはコンプライアンス要件に対処できます。 Google Cloudには、次のような規制データ境界が含まれています。

完全なリストについては、規制データの境界をご覧ください。

パートナーによる主権管理

Assured Workloads には、パートナーによる主権管理を通じてパートナーが運用および管理するコントロール パッケージも用意されています。パートナーによる主権管理を使用すると、信頼できるローカル パートナーを使用して、暗号鍵、アクセスの理由、監査を管理できます。これらのコントロール パッケージは、データ所在地の適用に役立ち、暗号化や鍵管理など、クラウド インフラストラクチャの重要な側面を網羅するセキュリティ構成を提供します。

Google の担当者によるデータへのアクセスの管理

サポート タスクの実行時にデータにアクセスできる Google の担当者を制御できます。Assured Workloads の Assured Support は、エンハンスト サポートまたはプレミアム サポートで利用できる Google Cloud カスタマーケアの追加機能です。使用する場合、Google サポート担当者は、特定の地理的位置と担当者の特性に関する要件に準拠する必要があります。コントロール パッケージによっては、担当者の制御は、地域や特定のバックグラウンド チェック要件の満たし状況などの基準に基づいて実装されます。たとえば、FedRAMP High をサポートするアクセス制御では、Google の一次サポート担当者と二次サポート担当者、およびすべての復処理者が米国に拠点を置き、高度なバックグラウンド チェックの要件を満たしている必要があります。

Assured Workloads の Assured サポートの詳細については、サポートの利用をご覧ください。

鍵管理

コントロール パッケージに応じて、さまざまな鍵管理コントロールを使用して規制コンプライアンスをサポートできます。たとえば、ITAR 制御パッケージのデータ境界には、顧客管理の暗号鍵(CMEK)を使用する必要があります。職務分担を可能にするため、ITAR 制御パッケージのデータ境界は、デプロイされた他のリソースとは別の鍵管理プロジェクトを使用し、コンプライアンス ロケーション内に保存するための一意のキーリングを作成します。Assured Workloads は、Google-owned and Google-managed encryption keys (FIPS-140-2 準拠)、CMEK、Cloud External Key Manager(Cloud EKM)、他のコントロール パッケージの鍵のインポートもサポートしています。

鍵管理の詳細については、鍵管理によるコンプライアンスのサポートをご覧ください。

ワークロードの更新

ワークロードの更新を使用すると、コントロール パッケージの構成を評価して維持できます。利用可能なコントロール パッケージが改善されると、デプロイされた Assured Workloads フォルダ構成が最新バージョンと同じかどうかを評価できます。新しい構成バージョンが利用可能な場合は、Assured Workloads フォルダに更新を適用して最新バージョンにアップグレードできます。

違反のモニタリング

Assured Workloads は、組織のポリシーの制約違反とリソース違反をモニタリングし、デプロイされたコントロール パッケージのコンプライアンスに関する分析情報を提供します。組織のポリシー違反や違反例外の追加時にメール通知を有効にできます。これらの通知には、Assured Workloads フォルダ、監査ログ、影響を受ける組織のポリシーに関する情報が含まれます。これにより、コンプライアンス違反の原因を十分に把握して修正できます。

モニタリングの詳細については、Assured Workloads フォルダで違反をモニタリングするをご覧ください。

アクセス制御と可視性のためのサービス

次の Google Cloud サービスを使用すると、データアクセスと暗号鍵を制御して可視化できます。これらのサービスを Assured Workloads と組み合わせて使用することで、コンプライアンス ベースのニーズを満たすことができます。

Google Cloud サービス 説明

アクセスの承認

Access Approval を使用すると、Google の担当者によるデータへのアクセスを制御できます。Google 管理者がアクセス権を取得するには、組織内の承認済みのお客様管理者がリクエストを承認する必要があります。承認されたアクセス リクエストは、承認リクエストにリンクされたアクセスの透明性ログに記録されます。リクエストが承認された後、アクセスを許可する前に、Google 内で適切に権限を付与する必要があります。

Assured Workloads で使用する場合、Access Approval リクエストの条件は、適用される Assured Workloads の担当者のアクセス保証に次ぐものです。詳細については、Assured Workloads でのアクセス承認の仕組みをご覧ください。

アクセスの透明性

アクセスの透明性を使用すると、Google の承認済み担当者のアクティビティ ログを表示できます。これらのログには、サポート リクエストの処理に関連するアクションと、サービス アベイラビリティに関連するアクションの詳細が記録されます。

Key Access Justifications

Key Access Justifications を使用すると、Cloud KMS または特定の外部鍵管理パートナーで鍵アクセス リクエストの表示と承認を制御できます。理由に基づいてリクエストを承認または拒否できます。Assured Workloads コントロール パッケージに応じて、Cloud EKM 鍵、Cloud HSM 鍵、または Cloud KMS ソフトウェア鍵で Key Access Justifications を使用できます。

コントロール パッケージの名前変更に関するお知らせ

Assured Workloads では、コントロール パッケージを使用して、コンプライアンス フレームワーク、法令、規制のベースラインをサポートする一連のコントロールを参照します。2025 年 6 月より、コンソールと API のコントロール パッケージ名が変更されました。これらの新しい名前は、Assured Workloads API を使用して新しいワークロードを作成するときに使用される ComplianceRegime 列挙型にも反映されます。名前のみが変更され、基本的な機能は変更されていません。

次の表に、一部のコントロール パッケージの新旧を示します。

今後の名前 現在の名前

オーストラリアのデータ境界

オーストラリア リージョン

オーストラリアのデータ境界とサポート

Assured Support を利用できるオーストラリア リージョン

ブラジルのデータ境界

ブラジル リージョン

カナダのデータ境界

カナダ リージョン

カナダのデータ境界とサポート

カナダ リージョンとサポート

チリのデータ境界

チリリージョン

カナダの管理対象商品のデータ境界

カナダの管理対象商品

カナダ Protected B のデータ境界

カナダ Protected B

CJIS のデータ境界

刑事司法情報サービス(CJIS)

FedRAMP High のデータ境界

FedRAMP High

FedRAMP Moderate のデータ境界

FedRAMP Moderate

影響レベル 2(IL2)のデータ境界

影響レベル 2(IL2)

影響レベル 4(IL4)のデータ境界

影響レベル 4(IL4)

影響レベル 5(IL5)のデータ境界

影響レベル 5(IL5)

IRS パブリケーション 1075 用のデータ境界

IRS パブリケーション 1075

ITAR のデータ境界

国際武器取引規則(ITAR)

EU のデータ境界

EU リージョン

EU のデータ境界とサポート

EU リージョンとサポート

Access Justifications に基づく EU のデータ境界

EU の主権管理

香港のデータ境界

香港リージョン

インドのデータ境界

インド リージョン

インドネシアのデータ境界

インドネシア リージョン

イスラエルのデータ境界

イスラエル リージョン

イスラエルのデータ境界とサポート

イスラエル リージョンとサポート

日本のデータ境界

日本リージョン

サウジアラビア王国のデータ境界と Access Justifications

サウジアラビア王国(KSA)の主権管理

カタールのデータ境界

カタール リージョン

シンガポールのデータ境界

シンガポール リージョン

南アフリカのデータ境界

南アフリカ リージョン

韓国のデータ境界

韓国リージョン

スイスのデータ境界

スイス リージョン

台湾のデータ境界

台湾リージョン

英国のデータ境界

英国リージョン

米国のデータ境界

米国リージョン

米国のデータ境界とサポート

米国リージョンとサポート

ヘルスケアとライフ サイエンス用の米国のデータ境界

ヘルスケアとライフサイエンスのコントロール

ヘルスケアとライフサイエンス用の米国のデータ境界とサポート

ヘルスケアとライフサイエンスのコントロール(米国でのサポート)

次のステップ