Audit Manager は、 Google Cloudでのコンプライアンス監査プロセスを簡素化するのに役立つコンプライアンス監査ソリューションです。監査マネージャーを使用すると、組み込みのフレームワークと、Compliance Manager または Assured Workloads フレームワーク(プレビュー)を使用して定義したカスタム フレームワークに対して監査を実行できます。
Audit Manager には次の機能があります。
- 職務分掌と責任を管理するための推奨事項を示す共有責任マトリックス。
- Google Cloudのコンプライアンス ドキュメント
- ワークロードのコンプライアンス コントロールを評価して、コンプライアンスの状態を把握するための自動コンプライアンス評価。
- コンプライアンス監査の証拠収集。
- ギャップを特定して、生成された違反を修正する。
監査マネージャーは、任意の Google Cloud プロジェクトまたはフォルダの評価を提供できます。
サポートされているフレームワーク
監査マネージャーは、次の組み込みフレームワークのクラウド コントロールとコントロールに照らし合わせてリソースを評価できます。
Security Command Center Premium または Enterprise のサブスクリプションを購入するか、Assured Workloads を有効にすると、次のようになります。
コンプライアンス マネージャーまたは Assured Workloads フレームワーク(プレビュー)を使用して作成したフレームワーク。
次の組み込みフレームワーク:
次の組み込みフレームワークは、Assured Workloads フレームワーク(プレビュー)でのみ使用できます。
古いフレームワークからの移行
2026 年 6 月 30 日より前に監査を実施した場合は、別のフレームワークを使用しました。これらのフレームワークは、監査の実行には使用できなくなりました。次の表は、以前のフレームワークを、コンプライアンス マネージャーまたは Assured Workloads フレームワーク(プレビュー)を使用してデプロイできるフレームワークにマッピングしています。
| 古いフレームワーク | 同等の Audit Manager フレームワーク | 同等のコンプライアンス マネージャーのフレームワーク | (プレビュー)同等の Assured Workloads フレームワーク |
|---|---|---|---|
| NIST 800-53 Revision 4 | — | NIST 800-53 Revision 5 | NIST 800-53 Revision 5 |
| Google 推奨の AI コントロール | — | —[1] | —[1] |
| SOC2 2017 | SOC2 2017 | SOC2 2017 | SOC2 2017 |
| CIS Controls v8 | — | CIS Critical Security Controls v8 | CIS Critical Security Controls v8 |
| PCI DSS 4.0 | — | PCI DSS v4.0.1 | PCI DSS v4.0.1 |
| Cloud Controls Matrix 4.0 | — | CSA Cloud Controls Matrix v4.0.11 | CSA Cloud Controls Matrix v4.0.11 |
| NIST CSF v1 | — | NIST サイバーセキュリティ フレームワーク 1.1 | NIST サイバーセキュリティ フレームワーク 1.1 |
| CIS Google Cloud Foundation Benchmark 2.0 | — | CIS GCP Foundations Benchmark v3.0 | CIS GCP Foundations Benchmark v3.0 |
| ISO 27001 2022 | — | ISO 27001:2022 | ISO 27001:2022 |
以前のフレームワークを使用して監査を実施した場合は、[評価を表示] ページと、レポートを保存した Cloud Storage バケットで監査レポートを引き続き表示できます。
1 Compliance Manager と Assured Workloads の両方のフレームワーク(プレビュー)に、Google おすすめの AI 活用の基本 - Gemini Enterprise Agent Platform の組み込みフレームワークが含まれています。このフレームワークは、以前の Google 推奨の AI コントロール フレームワークの代わりに使用できますが、環境の評価には異なるコントロールが使用されます。
カスタム フレームワーク
2026 年 6 月 30 日より前、Audit Manager にはカスタム フレームワークを作成できるプレビュー機能がありました。このプレビュー機能を使用してカスタム フレームワークを作成した場合は、カスタム フレームワークに対して監査を実行し、作成したレポートを表示できます。ただし、カスタム フレームワークの表示や編集はできません。
Audit Manager の組み込みフレームワークが環境に適用されない場合は、次のオプションを使用できます。
コンプライアンス マネージャーでカスタム フレームワークを作成します。コンプライアンス マネージャーには、組み込みのクラウド コントロールのライブラリが含まれています。必要に応じて、カスタム クラウド コントロールを作成できます。このフレームワークを作成したら、Audit Manager または Compliance Manager を使用して環境で監査を実行できます。
Assured Workloads フレームワーク(プレビュー)でカスタム フレームワークを作成します。Assured Workloads フレームワークの組み込みクラウド コントロールには、Compliance Manager のクラウド コントロール ライブラリと、規制ワークロードに固有の防止クラウド コントロールのライブラリが含まれています。必要に応じて、Assured Workloads フレームワークを使用してカスタム クラウド コントロールを作成することもできます。予防コントロールを含むフレームワークを作成した場合、Audit Manager を使用して環境で監査を実行することしかできません。
コントロールとクラウド コントロール
Audit Manager のフレームワークには、コントロールとクラウド コントロールが含まれています。次の点を考慮してください。
コントロールは、アセット保護、リスク軽減、ビジネス規制の目標を評価できる一般的な目標です。コントロールは、技術的なクラウド コントロールと技術的でないクラウド コントロールで構成できます。
クラウド コントロールは、 Google Cloud 環境の特定の構成をチェックするソフトウェア定義のコントロールです。ほとんどのクラウド コントロールは技術的なものです。たとえば、制御は環境を監査するための規制要件であり、クラウド制御はさまざまな API で Cloud Audit Logs が有効になっていることを確認するための特定のメカニズムです。
フレームワークは、特定の規制基準を満たすのに役立つコントロールとクラウド コントロールのコレクションです。たとえば、Audit Manager には ISO 27001 2022 のフレームワークが含まれています。クラウド コントロールと技術的なコントロールには、監査中に Audit Manager が確認して証拠を収集できる 1 つ以上のルールが含まれています。
コントロールとクラウド コントロールの監査方法
Audit Manager がコントロールまたはクラウド コントロールを監査する方法は、Audit Manager がコントロールまたはクラウド コントロールを技術的に評価できるかどうかによって異なります。次の点を考慮してください。
一部のコントロールまたはクラウド コントロールは、Audit Manager が検証のために行うことができる API 呼び出しがないため、手動レビューが必要です。たとえば、Google Cloudにないアクセス システムを確認する必要がある場合があります。コントロールまたはクラウド コントロールで手動による確認が必要な場合、Audit Manager は、確認を完了する必要があることを示すオブザベーションを作成します。技術的な証拠が生成されることがあります。コントロールまたはクラウド コントロールの状態が [省略可: 個別審査が必要] になっています。
一部のコントロールまたはクラウド コントロールは、Google Cloudの特定の値に直接適用されます。たとえば、クラウド制御では、Cloud Storage バケットの CMEK を有効にする必要があります。このシナリオでは、Audit Manager は API 呼び出しを行って特定の設定を確認できます。返される値は証拠です。Audit Manager は、証拠が想定されるルールを満たしているかどうかを評価します。監査マネージャーは、証拠と評価を含む観察結果を作成します。コントロールまたはクラウド コントロールの状態は次のいずれかになります。
Audit Manager が証拠をルールを満たしていると評価した場合、コントロールまたはクラウド コントロールの状態は「準拠」になります。
Audit Manager が証拠をルール違反と評価した場合、コントロールまたはクラウド コントロールの状態は [違反] になります。複数のルールを含むコントロールまたはクラウド コントロールの場合、いずれかのルールが失敗すると、状態は [違反] になります。
このプロセス中に Audit Manager で何らかのエラー(API 呼び出しのタイムアウトなど)が発生した場合、コントロールまたはクラウド コントロールの状態は [スキップ] になります。
監査マネージャーのワークフロー
Audit Manager の大まかなワークフローには、Audit Manager のアクセス権の設定と監査の管理が含まれます。
- Audit Manager のアクセス権を設定するには、Audit Manager 管理者(
roles/auditmanager.admin)である必要があります。また、監査対象のリソースを登録する必要があります。 - 監査を管理するには、管理者または監査担当者として次の操作を行います。
- 監査を実施する。
- 監査ステータスを取得します。
- Audit Manager の詳細なレポートを表示します。