Key Access Justifications の概要

このページでは、Key Access Justifications の概要について説明します。Key Access Justifications は、透明性、ユーザーの信頼、お客様のデータの所有権がお客様にあることを確保するための Google の長期的な取り組みの一環です。キーアクセスの正当化では、登録された Cloud Key Management Service(Cloud KMS)鍵に関連する暗号化オペレーションごとにアクセスの正当化コードを生成するように Google システムに指示します。

Key Access Justifications は、Access Approvalアクセスの透明性と連携して機能します。Access Approval を使用すると、Google 社員からのお客様データへのアクセス リクエストを承認できます。アクセスの透明性を使用すると、お客様データがいつアクセスされたかに関する情報を確認できます。Key Access Justifications は、お客様が管理する鍵で暗号化された、保存中のお客様データに対するすべての操作に対して鍵アクセス制御を提供します。これらのプロダクトはそれぞれ、顧客データへのアクセスに関する管理リクエストを制御し、そのコンテキストを把握できるアクセス管理機能を提供します。

概要

Key Access Justifications を使用すると、指定された理由コードに応じて鍵アクセス リクエストを表示、承認、拒否するように Cloud Key Management Service(Cloud KMS)鍵にポリシーを設定できます。一部の外部鍵管理パートナーの場合、 Google Cloud の外部で、Cloud KMS ではなく外部鍵管理によってのみ適用される Key Access Justifications ポリシーを構成できます。

選択した Assured Workloads コントロール パッケージに応じて、次の Key Access Justifications 機能が使用できます。

  • 一部のリージョン管理パッケージでは、鍵アクセスの透明性により、これらの正当化コードが Cloud KMS の監査ログに記録されます。
  • 一部のリージョン、規制主権管理パッケージでは、Key Access Justifications を使用して、指定された理由コードに応じて鍵アクセス リクエストを承認または拒否するポリシーを鍵に設定できます。一部の地域データ境界では、キーアクセスの透明性に加えてこの機能が提供されています。
  • 一部の主権管理パッケージでは、サポートされている外部鍵管理パートナーを使用して、Google Cloudの外部で Key Access Justifications ポリシーを構成できます。これらのポリシーは、Cloud KMS ではなく外部鍵管理によってのみ適用されます。

これらの機能に加えて、選択した Assured Workloads コントロール パッケージによって、使用可能な次の Cloud KMS 鍵の種類も決まります。

保存データの暗号化の仕組み

Google Cloud で保存されているデータの暗号化は、Google Cloud に保存されているデータを、データが保存されているサービスの外部にある暗号化鍵で暗号化することで行われます。たとえば、Cloud Storage でデータを暗号化した場合、サービスでは暗号化された情報のみが保存されます。データの暗号化に使用した鍵は、顧客管理の暗号鍵(CMEK)の場合は Cloud KMS に、また Cloud KMS の場合は外部鍵マネージャーに保存されます。

Google Cloud サービスを使用する場合、アプリケーションを説明どおりに動作させ続けるには、データを復号する必要があります。たとえば、BigQuery を使用してクエリを実行する場合、BigQuery サービスは分析のためにデータを復号する必要があります。BigQuery は、キー マネージャーに復号リクエストを送信して必要なデータを取得することで、この処理を行います。

鍵にアクセスする理由

暗号鍵には、 Google Cloudで独自のリクエストとワークロードを処理しながら、自動化されたシステムからアクセスできます。

お客様が開始したアクセスと自動システム アクセスに加えて、Google の社員は、次の理由により、暗号鍵を使用するオペレーションを開始しなければならない場合があります。

  • データのバックアップ: 障害復旧のために、データをバックアップするために暗号鍵にアクセスする必要がある場合があります。

  • サポート リクエストを解決する: Google の社員は、契約上、サポートの義務を果たすためにデータを復号する必要がある場合があります。

  • システムの管理とトラブルシューティング: Google の担当者は、暗号鍵を使用して複雑なサポート リクエストや調査に必要な技術的なデバッグを行うオペレーションを開始できます。また、ストレージ障害やデータ破損を修正するためにアクセスが必要になる場合があります。

  • データの整合性とコンプライアンスを確保し、不正行為や不正使用から保護する: Google は以下の理由でデータを復号する必要がある場合があります。

    • データとアカウントの安全性とセキュリティの確保
    • Google Cloud 利用規約に準拠して Google サービスを使用していることを確認する。
    • 他のユーザーやお客様からの申し立て、または不正行為の兆候を調査する
    • Google Cloud サービスが、マネーロンダリング防止規制などの適用される規制要件に従って使用されていることを確認する。

  • システムの信頼性の維持: Google の担当者は、疑わしいサービス停止がご自身に影響を与えないかどうかを調査するためのアクセス権をリクエストできます。また、サービスの停止やシステム障害からのバックアップと復旧を確保するために、アクセス権がリクエストされる場合があります。

正当化コードの一覧については、Key Access Justifications の正当化理由コードをご覧ください。

鍵へのアクセスを管理する

Key Access Justifications は、Cloud KMS で管理する鍵または外部で管理する鍵がアクセスされるたびに理由を生成します。鍵が暗号操作に使用されると、サービスベースのアクセス(サポートされるサービスの場合)と API の直接アクセスの両方の理由が表示されます。

鍵プロジェクトが Key Access Justifications に登録されると、新しい鍵のすべての鍵アクセスの理由がすぐに届き始めます。既存の鍵については、24 時間以内にすべての鍵アクセスの理由が届き始めます。

Key Access Justifications の有効化

Key Access Justifications は Assured Workloads でのみ使用でき、Key Access Justifications を含むコントロール パッケージ用に構成された新しい Assured Workloads フォルダを作成すると、デフォルトで有効になります。詳細については、Assured Workloads の概要をご覧ください。

Key Access Justifications の除外

Key Access Justifications は、次の場合にのみ適用されます。

  • 暗号化されたデータに対するオペレーション: 顧客管理の鍵で暗号化される特定のサービス内のフィールドについては、サービスのドキュメントをご覧ください。
  • 保存データから使用中のデータへの移行: Google は使用中のデータに引き続き保護を適用しますが、Key Access Justifications は、保存データから使用中のデータへの移行のみを管理します。

次の Compute Engine と Persistent Disk の機能は、CMEK で使用する場合、除外されます。

Access Approval を使用した Key Access Justifications

カスタム署名鍵で Access Approval が有効になっているワークロードの場合、署名付きアクセス承認リクエストの処理にも Key Access Justification が適用されます。Access Approval リクエストは、関連付けられた鍵アクセスの関連付けられた理由が、鍵の Key Access Justifications ポリシーでも許可されている場合にのみ処理できます。お客様が Access Approval リクエストに署名すると、関連する理由が承認の署名リクエストに反映されます。

承認済みの署名付きアクセス承認リクエストから発生したすべてのお客様データへのアクセスは、承認リクエストにリンクされたアクセスの透明性ログに表示されます。

次のステップ