Google Cloud でコンプライアンス監査を実行する

監査をスケジュールして実行し、サポートされているフレームワークに対してGoogle Cloud 組織を評価するために必要な証拠を収集します。

監査は長時間実行オペレーションであり、数時間かかることがあります。期間は、監査スコープ内のリソースの数によって異なります。監査スコープは、以前に登録した組織(プレビュー)、プロジェクト、またはフォルダです。

監査(プレビュー)を定期的に実行するようにスケジュールし、スケジュールされた監査の期間を指定できます。特定のフレームワークとリソースのスケジュールを作成できるのは、そのフレームワークとリソースの組み合わせに有効または一時停止中のスケジュールがまだ存在しない場合のみです。

始める前に

  • 次のいずれかの IAM ロールがあることを確認します。

    • 監査マネージャー管理者(roles/auditmanager.admin
    • Audit Manager 監査者(roles/auditmanager.auditor
    • コンプライアンス マネージャー閲覧者roles/cloudsecuritycompliance.viewer)(コンプライアンス マネージャーを使用して作成したフレームワークを監査する場合に必要)
  • 組織、プロジェクト、またはフォルダが監査に登録されていることを確認します。

監査を実行する

コンソール

  1. Google Cloud コンソールで、監査マネージャーの [Run assessment] ページに移動します。

    監査マネージャーに移動

  2. [リソースとリージョンを選択] セクションで、次の操作を行います。

    1. 監査が必要な組織(プレビュー)、フォルダ、またはプロジェクトを選択します。

    2. リソースの監査に使用するフレームワークを選択します。サポートされているフレームワークについては、サポートされているフレームワークをご覧ください。

    3. 監査評価を処理するロケーションを選択します。サポートされているロケーションの一覧については、Audit Manager のロケーションをご覧ください。

    4. [次へ] をクリックします。

  3. リソースの監査に使用するフレームワークを選択し、[次へ] をクリックします。サポートされているフレームワークについては、サポートされているフレームワークをご覧ください。

  4. 省略可: [評価プランを表示] セクションで、選択したフレームワークに基づく監査範囲に関する情報を含む ODS ファイルをダウンロードできます。ファイルをダウンロードするには、リンクをクリックして [次へ] をクリックします。

  5. [ストレージ バケットを選択] セクションで、監査レポートと証拠を保存するストレージ バケットを選択し、[完了] をクリックします。バケットが一覧に表示されない場合は、管理者にストレージ バケットへのリソースの登録を依頼してください。

  6. プレビュー)省略可: [スケジュール] セクションで、次のいずれかを設定します。

    • 監査の繰り返し頻度(毎日、毎月、毎四半期、毎年)。

    • 監査に含める期間。[終了しない] を選択すると、指定した開始日から監査が継続的に実行され、手動で停止するまで続行されます。

  7. 監査を開始するには、[監査を実行] または [スケジュールされた監査を実行] をクリックします。

    監査ステータスは、[評価を表示] ページで確認できます。

gcloud

省略可: 監査評価を生成する

実際の監査を実行する前に、選択したコンプライアンス フレームワークに基づく監査の詳細なタスク内訳を含む監査評価(またはスコープ)を生成できます。

gcloud audit-manager audit-scopes generate コマンドは、監査スコープを生成します。

後述のコマンドデータを使用する前に、次のように置き換えます。

  • RESOURCE_TYPE: リソースのタイプ。組織(プレビュー)、フォルダ、プロジェクトを指定できます。たとえば、foldersprojects です。
  • RESOURCE_ID: 組織(プレビュー)、プロジェクト、またはフォルダのリソース ID。例: 8767234
  • LOCATION: 監査マネージャー API エンドポイントの場所。使用可能なエンドポイントの一覧については、監査マネージャーのロケーションをご覧ください。例: us-central1
  • FRAMEWORK: 監査対象のフレームワークの ID。例: builtin-cis-v8。フレームワークの ID を確認するには、監査マネージャー の [評価を表示] ページをご覧ください。
  • AUDIT_REPORT_FORMAT: 出力監査レポートの形式。ODF 形式のみがサポートされます。AUDIT_REPORT_FORMAT_ODF
  • OUTPUT_DIRECTORY: 出力を保存する必要があるディレクトリ。例: reports
  • OUTPUT_FILENAME: 出力ファイルの名前。ファイル名にファイル拡張子を含めないでください。例:scopeReport

次のコマンドを実行します。

Linux、macOS、Cloud Shell

gcloud audit-manager audit-scopes generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --output-directory=OUTPUT_DIRECTORY \
    --output-file-name=OUTPUT_FILENAME

Windows(PowerShell)

gcloud audit-manager audit-scopes generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --output-directory=OUTPUT_DIRECTORY `
    --output-file-name=OUTPUT_FILENAME

Windows(cmd.exe)

gcloud audit-manager audit-scopes generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --output-directory=OUTPUT_DIRECTORY ^
    --output-file-name=OUTPUT_FILENAME

オンデマンド監査を実行する

gcloud CLI を使用して監査(プレビュー版)をスケジュールしたり、組織レベルのレポート(プレビュー版)を実行したりすることはできません。

gcloud audit-manager audit-reports generate コマンドは監査を実行します。

後述のコマンドデータを使用する前に、次のように置き換えます。

  • RESOURCE_TYPE: リソースのタイプ。組織(プレビュー)、フォルダ、プロジェクトを指定できます。たとえば、foldersprojects です。
  • RESOURCE_ID: 組織(プレビュー)、プロジェクト、またはフォルダのリソース ID。例: 8767234
  • LOCATION: 監査マネージャー API エンドポイントの場所。使用可能なエンドポイントの一覧については、監査マネージャーのロケーションをご覧ください。例: us-central1
  • FRAMEWORK: 監査対象のフレームワークの ID。例: builtin-cis-v8。フレームワークの ID を確認するには、監査マネージャー の [評価を表示] ページをご覧ください。
  • BUCKET_URI: Cloud Storage バケットの URI。例: gs://testbucketauditmanager
  • AUDIT_REPORT_FORMAT: 出力監査レポートの形式。ODF 形式のみがサポートされます。AUDIT_REPORT_FORMAT_ODF

次のコマンドを実行します。

Linux、macOS、Cloud Shell

gcloud audit-manager audit-reports generate \
    --RESOURCE_TYPE=RESOURCE_ID \
    --location=LOCATION \
    --compliance-framework=FRAMEWORK \
    --report-format=AUDIT_REPORT_FORMAT \
    --gcs-uri=BUCKET_URI

Windows(PowerShell)

gcloud audit-manager audit-reports generate `
    --RESOURCE_TYPE=RESOURCE_ID `
    --location=LOCATION `
    --compliance-framework=FRAMEWORK `
    --report-format=AUDIT_REPORT_FORMAT `
    --gcs-uri=BUCKET_URI

Windows(cmd.exe)

gcloud audit-manager audit-reports generate ^
    --RESOURCE_TYPE=RESOURCE_ID ^
    --location=LOCATION ^
    --compliance-framework=FRAMEWORK ^
    --report-format=AUDIT_REPORT_FORMAT ^
    --gcs-uri=BUCKET_URI

次のようなレスポンスが返されます。

done: false
name: projects/10398413/locations/987234/operations/operation-1726842525305-6228ddb4dca96-78a6db59-f9dd9a24

REST

省略可: 監査評価を生成する

実際の監査を実行する前に、選択したコンプライアンス フレームワークに基づく監査の詳細なタスク内訳を含む監査評価(またはスコープ)を生成できます。

リクエストのデータを使用する前に、次のように置き換えます。

  • RESOURCE_TYPE: リソースのタイプ。組織(プレビュー)、フォルダ、プロジェクトを指定できます。たとえば、foldersprojects です。
  • RESOURCE_ID: 組織(プレビュー)、プロジェクト、またはフォルダのリソース ID。例: 8767234
  • LOCATION: 監査マネージャー API エンドポイントの場所。使用可能なエンドポイントの一覧については、監査マネージャーのロケーションをご覧ください。例: us-central1
  • FRAMEWORK: 監査対象のフレームワークの ID。例: builtin-cis-v8。フレームワークの ID を確認するには、監査マネージャー の [評価を表示] ページをご覧ください。
  • AUDIT_REPORT_FORMAT: 出力監査レポートの形式。ODF 形式のみがサポートされます。AUDIT_REPORT_FORMAT_ODF

HTTP メソッドと URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate

リクエストの本文(JSON):


{
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

リクエストを送信するには、次のいずれかのオプションを選択します。

curl

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate"

PowerShell

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditScopesReport:generate" | Select-Object -Expand Content

次のような JSON レスポンスが返されます。

{

  "scope_report_contents" : "980u43nrf090834uhbkfehf......"
  "name" : "folders/8767234/locations/us-west"
}

レスポンスには次の情報が含まれます。

    scope_reports_contents フィールドは、コンテンツのバイト形式で、レビュー前に ODF 形式に変換する必要があります。

  • name: 該当するリソースの固有の文字列識別子。

オンデマンド監査を実行する

REST API を使用して監査実行(プレビュー)をスケジュールすることはできません。

リクエストのデータを使用する前に、次のように置き換えます。

  • RESOURCE_TYPE: リソースのタイプ。組織(プレビュー)、フォルダ、プロジェクトを指定できます。たとえば、foldersprojects です。
  • RESOURCE_ID: 組織(プレビュー)、プロジェクト、またはフォルダのリソース ID。例: 8767234
  • LOCATION: 監査マネージャー API エンドポイントの場所。使用可能なエンドポイントの一覧については、監査マネージャーのロケーションをご覧ください。例: us-central1
  • FRAMEWORK: 監査対象のフレームワークの ID。例: builtin-cis-v8。フレームワークの ID を確認するには、監査マネージャー の [評価を表示] ページをご覧ください。
  • BUCKET_URI: Cloud Storage バケットの URI。例: gs://testbucketauditmanager
  • AUDIT_REPORT_FORMAT: 出力監査レポートの形式。ODF 形式のみがサポートされます。AUDIT_REPORT_FORMAT_ODF

HTTP メソッドと URL:

POST https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate

リクエストの本文(JSON):


{
  "destination" : {
    "gcs_uri" : "BUCKET_URI"
  },
  "compliance_framework" : "FRAMEWORK"
  "report_format" : "AUDIT_REPORT_FORMAT"
}

リクエストを送信するには、次のいずれかのオプションを選択します。

curl

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate"

PowerShell

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://auditmanager.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/LOCATION/auditReport:generate" | Select-Object -Expand Content

次のような JSON レスポンスが返されます。

{
  "name": "organizations/834/projects/10398413/locations/987234/operations/098234",
  "done": false
}

レスポンスには次の情報が含まれます。

  • name: 監査評価オペレーション リクエストの一意の文字列識別子。この識別子は、監査評価プロセスの進行状況を追跡するために使用されます。例: operation/098234
  • done: プロセスがトリガーされたことを示す false に設定されるブール値のフラグ。監査評価が完了すると、true に設定されます。

スケジュールされた監査を更新する

定期的な監査は、一時停止、再開、停止できます。スケジュールを変更する場合は、既存のスケジュール設定された監査を削除してから、新しいスケジュール設定された監査を作成する必要があります。

コンソール

  1. Google Cloud コンソールで、Audit Manager の [監査管理] ページに移動します。

    監査マネージャーに移動

  2. [スケジュール] タブで、更新するスケジュール設定済みの監査を見つけます。

  3. 次のいずれかを行います。

    • 監査スケジュールを一時停止するには、 [スケジュールを一時停止] をクリックします。

    • 一時停止した監査を再開するには、 [スケジュールを再開] をクリックします。

    • スケジュール設定された監査を削除するには、 [スケジュールを停止] をクリックします。

次のステップ