最小限のセキュリティ プラットフォームに関する次のガイドラインは、認証と認可のセキュリティ ピラーに沿ったものです。
ベーシック レベルのガイドライン
まず、次の認証と認可のガイドラインを実装します。
| 項目 | ID の信頼できる情報源を定義する |
|---|---|
| 説明 | マネージド ユーザー ID のプロビジョニングの信頼できる情報源を決定します。パターンには、Cloud Identity でのユーザー ID の作成、既存の ID プロバイダからの ID の同期、Workforce Identity 連携の使用などがあります。 |
| 関連情報 | |
| アイテム ID | MVSP-CO-1.4 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
|
| 項目 | 冗長な管理者アカウントを作成する |
|---|---|
| 説明 | 特権管理者または組織管理者が 1 人もいない。1 つ以上の(最大 20 個)バックアップ管理者アカウントを作成します。特権管理者または組織管理者が 1 人しかいない場合、ロックアウト シナリオが発生する可能性があります。また、1 人のユーザーがプラットフォームを変更する可能性があり、監視がない可能性があるため、リスクも高くなります。 |
| 関連情報 | |
| アイテム ID | MVSP-CO-1.7 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
コンプライアンス マネージャーのコントロール: |
| 項目 | 安全なパスワード ポリシーを適用する |
|---|---|
| 説明 | すべてのユーザー アカウントに安全で一意のパスワードを適用します。パスワード マネージャーの使用を検討してください。脆弱な認証情報や認証情報がないことは、悪意のあるユーザーが簡単に悪用できる一般的なパターンです。 |
| 関連情報 | |
| アイテム ID | MVSP-CO-1.9 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
|
| 項目 | 職務に基づくロールを使用する |
|---|---|
| 説明 | 職務機能に基づく Identity and Access Management(IAM)ロールを使用して、ユーザーに権限を割り当てます。職務機能は、管理者が職務機能に限定された一連の権限を提供できるようにする事前定義ロールです。これにより、生産性が向上し、権限の要求のやり取りが減ります。組織の要件に合わせて、事前定義ロールに基づいてカスタムロールを作成できます。 |
| 関連情報 | |
| アイテム ID | MVSP-CO-1.20 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
|
| 項目 | 外部サービス アカウント キーの作成をブロックする |
|---|---|
| 説明 |
|
| 関連情報 | |
| アイテム ID | MVSP-CO-1.17 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
コンプライアンス マネージャーのコントロール: |
中級レベルのガイドライン
基本的なガイドラインを実装したら、次の認証と認可のガイドラインを実装します。
| 項目 | グループ内の外部メンバーを制限する |
|---|---|
| 説明 | 組織全体のポリシーを設定して、外部メンバーが Google グループに追加されないようにします。 デフォルトでは、外部ユーザー アカウントを Cloud Identity のグループに追加できます。グループ オーナーが外部メンバーを追加できないように、共有設定を構成することをおすすめします。 この制限は、特権管理者アカウント、または Google グループ管理者権限を持つ他の代理管理者には適用されないことに注意してください。ID プロバイダからの連携は管理者権限で実行されるため、グループ共有設定はこのグループ同期には適用されません。ID プロバイダと同期メカニズムの管理機能を確認して、ドメイン以外のメンバーがグループに追加されないようにするか、グループ制限を適用することをおすすめします。 |
| 関連情報 | |
| アイテム ID | MVSP-CO-1.3 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
|
| 項目 | 1 日のセッションの長さを設定する |
|---|---|
| 説明 | Google Cloud サービスのセッション継続時間を設定して、少なくとも 1 日に 1 回は期限切れになるようにします。アカウントに長時間ログインしたままにしておくと、セキュリティ上のリスクが生じます。セッションの最大時間を適用すると、設定した時間が経過するとセッションが自動的に終了し、新しい安全なログインが強制されます。 この方法により、悪意のあるユーザーが盗んだパスワードを使用する機会が減り、アクセスが定期的に再検証されるようになります。 |
| 関連情報 | |
| アイテム ID | MVSP-CO-1.11 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
|
| 項目 | 管理対象外の一般ユーザー向けアカウントを修復する |
|---|---|
| 説明 | 管理対象外の一般ユーザー向けアカウントを許可しないでください。管理対象外の一般ユーザー向けアカウントを統合し、ドメインで管理対象外の一般ユーザー向けアカウントが作成されないようにするソリューションを検討します。 管理対象外の一般ユーザー アカウントは、入社、異動、退職(JML)プロセスで管理されないため、従業員が退職後もリソースにアクセスできるリスクが生じます。これらのアカウントは、ドメイン制限付き共有などの制御に関しても外部として扱われます。 |
| 関連情報 | |
| アイテム ID | MVSP-CO-1.5 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
|
| 項目 | 専用の管理者と複数の関係者による承認を適用する |
|---|---|
| 説明 | 特権管理者アカウントが日常業務のユーザー アカウントとは別になっていることを確認します。特権管理者アカウントは、重大な変更を行う場合にのみ使用される専用のアカウントである必要があります。セキュリティを強化するには、管理操作に対する複数の関係者による承認をオンにします。複数の関係者による承認を有効にすると、機密情報に関する操作を行う際に 2 人の管理者による承認が必要になるため、攻撃者が管理者アカウントを不正使用して他の管理者ユーザーをロックアウトするのを防ぐことができます。 |
| 関連情報 | |
| アイテム ID | MVSP-CO-1.8 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
|
| 項目 | すべての Google アカウントと Cloud Identity ユーザーに対して多要素認証を有効にする |
|---|---|
| 説明 | 特権管理者だけでなく、すべての Google アカウントと Cloud Identity ユーザーに対して多要素認証(MFA、2 段階認証プロセス(2SV)とも呼ばれます)を有効にします。特権管理者の MFA はデフォルトで有効になっています。パスワードだけでは十分なセキュリティ対策にならないことが多いため、MFA によって防御層が追加されます。 |
| 関連情報 | |
| アイテム ID | MVSP-CO-1.10 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
|
| 項目 | デフォルトの作成者ロールを取り消す |
|---|---|
| 説明 | 新しい組織のすべてのメンバーにデフォルトで付与されるドメイン全体のプロジェクト作成者ロールと請求先アカウント作成者ロールを削除します。 新しい組織では、ドメイン内のすべてのマネージド ユーザー ID にプロジェクト作成者と請求先アカウント作成者のロールが付与されます。これらのロールはスタートアップに便利ですが、この構成は本番環境を対象としていません。請求先アカウントの増加を放置すると、管理オーバーヘッドが増加し、複数の請求先アカウントにサービスを分割する際に技術的な問題が発生します。自由形式のプロジェクト作成を許可すると、ガバナンス規約に準拠しないプロジェクトが作成される可能性があります。 代わりに、これらのロールを削除し、新しいプロジェクトをリクエストして課金に関連付けるプロジェクト作成プロセスを確立します。 |
| 関連情報 | |
| アイテム ID | MVSP-CO-1.6 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
|
| 項目 | Privileged Access Manager を使用する |
|---|---|
| 説明 | Privileged Access Manager を使用して、特権アクセスを管理します。その他のすべてのアクセスについては、アクセス グループを使用し、グループ メンバーシップの有効期限を自動的に設定し、グループ メンバーシップの承認ワークフローを実装します。 最小権限モデルを使用すると、必要なリソースに対して必要なときにのみアクセス権を付与できます。既定のロールを使用すると、カスタムロールによるスプロールが軽減され、ロールのライフサイクルを管理する必要がなくなるため、使用が簡素化されます。 |
| 関連情報 | |
| アイテム ID | MVSP-CO-1.18 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
|
| 項目 | デフォルトのサービス アカウントに対する IAM ロールの自動付与を無効にする |
|---|---|
| 説明 | Google Cloud サービスが制限の緩すぎるロールを持つデフォルトのサービス アカウントを自動的に作成する場合、 デフォルトでは、一部のシステムで自動アカウントに過度に広範な権限が付与されるため、セキュリティ リスクが生じる可能性があります。たとえば、この制約を適用せずにデフォルトのサービス アカウントを作成すると、そのサービス アカウントにはプロジェクトの編集者ロール( |
| 関連情報 | |
| アイテム ID | MVSP-CO-1.14 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
コンプライアンス マネージャーのコントロール: |
| 項目 | サービス アカウント キーをローテーションする |
|---|---|
| 説明 | サービス アカウント キーを使用する必要がある場合は、少なくとも 90 日に 1 回はキーをローテーションしてください。 ローテーション間隔は、攻撃者がシステムにアクセスできる期間を制限します。ローテーション間隔がないと、攻撃者は永久にアクセスできます。可能な場合は、サービス アカウント キーの代わりに Workload Identity 連携の使用を検討してください。 |
| 関連情報 | |
| アイテム ID | MVSP-CO-1.15 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
コンプライアンス マネージャーのコントロール: |
| 項目 | Workload Identity 連携を使用する |
|---|---|
| 説明 | Workload Identity 連携を使用して、他のクラウドで実行されている CI/CD システムとワークロードが Google Cloudに対して認証できるようにします。Workload Identity 連携を使用すると、 Google Cloud の外部で実行されるワークロードをサービス アカウント キーなしで認証できます。Workload Identity 連携では、サービス アカウント キーやその他の有効期間の長い認証情報を使用しないため、認証情報の漏洩リスクを軽減できます。 |
| 関連情報 | |
| アイテム ID | MVSP-CO-1.16 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
|
上級レベルのガイドライン
中間のガイドラインを実装したら、次の認証と認可のガイドラインを実装します。
| 項目 | 特権管理者アカウントの自己復元をブロックする |
|---|---|
| 説明 | デフォルトでは、新規のお客様に対して特権管理者アカウントの自己復元は無効になっています。ただし、既存のお客様は、この設定がオンになっている可能性があります。この設定をオフにすると、スマートフォン、メールの不正使用、ソーシャル エンジニアリング攻撃によって、攻撃者が環境に対する特権管理者権限を取得することになるリスクを軽減できます。 特権管理者がアカウントにアクセスできなくなった場合に組織内の別の特権管理者に連絡できる内部プロセスを計画し、すべての特権管理者がサポートによる復元のプロセスに精通していることを確認します。 この機能を無効にするには、Google 管理コンソールでアカウントの復元設定に移動します。 |
| 関連情報 | |
| アイテム ID | MVSP-CO-1.2 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
|
| 項目 | 機密性の高いユースケースのアイドル セッション タイムアウトを設定する |
|---|---|
| 説明 | 機密性の高いユースケースでは、アイドル セッションのタイムアウトを 15 分に設定します。アイドル状態のセッションは、攻撃者が認証情報を盗むために使用する可能性があります。 |
| 関連情報 | |
| アイテム ID | MVSP-CO-1.12 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
|
| 項目 | 管理者に対してハードウェア セキュリティ キーを適用する |
|---|---|
| 説明 | 可能であれば、特権管理者または組織管理者にハードウェア セキュリティ キーを 2 つ目の要素として提供します。特権管理者アカウントは、高度な攻撃の最も価値の高い標的です。ハードウェア セキュリティ キーは、フィッシング耐性があるため、高いレベルの保護を提供します。ハードウェア セキュリティ キーは、最も重要な管理者に対するアカウントの乗っ取りに対して可能な限り強力な防御策であり、標準の MFA ポリシーを基盤として構築されています。 |
| 関連情報 | |
| アイテム ID | MVSP-CO-1.13 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
|
| 項目 | SSO 後の検証を有効にする |
|---|---|
| 説明 | 外部 ID プロバイダを使用している場合は、SSO 後の検証を設定します。 Google のログインリスク分析に基づく追加の制御レイヤを有効にします。この設定を適用すると、あるユーザーのログインが疑わしいと Google が判断した場合に、リスクがあるものとして、ログイン時に追加の本人確認が表示されることがあります。 |
| 関連情報 | |
| アイテム ID | MVSP-CO-1.1 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
|
| 項目 | プリンシパル アクセス境界ポリシーを有効にする |
|---|---|
| 説明 | プリンシパル アクセス境界(PAB)ポリシーを有効にして、プリンシパルのアクセスを制限し、フィッシングやデータ流出を防ぎます。組織の境界ポリシーを有効にして、外部のフィッシング攻撃を回避します。プリンシパル アクセス境界は、ID が侵害された攻撃の範囲を縮小することでセキュリティを強化します。また、外部からのフィッシング攻撃やその他のデータ漏洩攻撃を防ぐこともできます。 |
| 関連情報 | |
| アイテム ID | MVSP-CO-1.19 |
| マッピング |
関連する NIST-800-53 コントロール:
関連する CRI プロファイル コントロール:
|