このドキュメントでは、FedRAMP High と DoD 影響レベル 4(IL4)の要件に準拠して Gemini for Government をデプロイ、使用するための技術的なガイダンスを米国の連邦政府機関と DoD 部門向けに提供します。このドキュメントでは、認証境界に含まれるサービスと機能、およびコンプライアンス義務を果たすための手順について説明します。
Gemini for Government は、Assured Workloads を使用してコンプライアンス要件を支援します。Gemini for Government のすべてのリソースは、特定のコンプライアンス レジーム(FedRAMP High または IL4)用に構成された Assured Workloads フォルダ内にデプロイする必要があります。
コアプロダクトの依存関係
Gemini for Government は、複数のGoogle Cloud サービスに依存しています。次の表に、各サービスのコンプライアンス ステータスを示します。
| Google Cloud サービス | FedRAMP High のステータス | IL4 のステータス |
|---|---|---|
Gemini Enterprise |
承認済み |
承認済み |
Gemini Enterprise Agent Platform の生成 AI(旧称: Vertex AI の生成 AI) |
承認済み |
承認済み |
BigQuery |
承認済み |
承認済み |
Cloud Storage |
承認済み |
承認済み |
Looker(Google Cloud コア) |
承認済み |
送信済み |
承認済みのサービスと機能
次の表に示すのは、FedRAMP High と IL4 のデプロイで Gemini for Government 内で使用できるサービスと機能です。
| 機能 | FedRAMP High | IL4 |
|---|---|---|
次のモデル:
|
承認済み |
承認済み |
承認済み |
承認済み |
|
承認済み |
承認済み |
|
Cloud Storage や BigQuery などの承認済みデータストア |
承認済み |
承認済み |
承認済み |
承認済み |
|
ローカルマシンからのドキュメントのアップロード |
承認済み |
承認済み |
エンドユーザーによるモデルの選択 |
承認済み |
承認済み |
承認済み |
送信済み |
|
Agent Designerを使用したノーコード エージェントの作成 |
承認済み |
送信済み |
承認済み |
送信済み |
|
承認済み |
送信済み |
|
承認済み |
3PAO |
手動で無効にする必要がある未承認の機能
次のサービスと機能は、FedRAMP High または IL4 の認証を受けていません。ただし、Assured Workloads の制御パッケージによってブロックされることはなく、プロジェクトで使用できます。リスク評価の一環として、センシティブ データに対するサービスの利用状況と、利用可能な緩和コントロールを評価する必要がある場合があります。評価に基づいて、Gemini Enterprise のアプリケーション構成で、このリストにある機能を手動で無効にする必要がある場合があります。
| エージェントとギャラリー | |
|---|---|
| グラウンディング |
|
| 生成の特徴 | |
| ユーザー、セッション、UI の機能 | |
| その他の機能 |
暗黙的なコンテキスト キャッシュ保存の詳細については、Gemini Enterprise Agent Platform とゼロデータ保持をご覧ください。
無効にできない未承認の機能
Assured Workloads 管理パッケージでは、次のサービスと機能を使用できます。無効にすることはできません。これらの機能を使用する場合は、承認を付与する前に適切なリスク評価を実施し、サービスの使用が FedRAMP High または IL4 のデプロイに適していることを確認することをおすすめします。たとえば、データの機密性に関連してサービスの使用状況を評価できます。データ暗号化に基づく緩和コントロールを使用して、データアクセスを単独で制御できるかどうかを評価することもできます。
| エージェントとギャラリー |
これらのエージェントを利用不可にするには、セールスチームまたは Google Cloud の担当者にお問い合わせください。 |
|---|---|
| アナリティクスと依存機能 |
|
| データコネクタとデータストア |
|
| ユーザー、セッション、UI の機能 | |
| その他の機能 |
環境をデプロイする
コンプライアンス義務を満たす環境のデプロイを支援する手順は次のとおりです。
- Assured Workloads をデプロイします。
- FedRAMP High の Data Boundary または IL4 の Data Boundary を使用する Assured Workloads フォルダを作成します。
- このフォルダ内に Google Cloud プロジェクトを作成します。
- すべてのユーザーとサービス アカウントに必要な Identity and Access Management(IAM)権限があることを確認します。
- FedRAMP High または IL4 ネットワークを構成します。詳細については、 Google Cloudで FedRAMP と DoD に準拠したネットワークを構成するをご覧ください。
- Gemini Enterprise app を作成します。ロケーションとして [US Multi-region] を選択します。Assured Workloads のデータ所在地ポリシーでは、このオプションが適用されます。
Assured Workloads フォルダ内にある Google データソースに接続します。FedRAMP High と IL4 の承認済みデータストアは、Cloud Storage バケットと BigQuery データセットです。
承認済みのコンプライアンス機能を構成します。
手動で無効にする必要がある未承認の機能で説明されている未承認の機能を無効にします。
無効にできない未承認の機能を使用しないよう、担当者に説明します。