ネットワークセキュリティガイドライン

最小限のセキュリティプラットフォームに関する次のガイドラインは、ネットワークセキュリティの柱に沿ったものです。

ベーシックレベルのガイドライン

まず、次のネットワークセキュリティガイドラインを実装します。

項目	デフォルトネットワークの作成をブロックする
説明	`compute.skipDefaultNetworkCreation` ブール値制約により、 Google Cloud プロジェクトの作成時にデフォルトのネットワークと関連リソースの作成がスキップされます。デフォルトネットワークは、内部通信パスを許可する IPv4 ファイアウォールルールが事前入力された自動モードの Virtual Private Cloud（VPC）ネットワークです。通常、この設定は本番環境で推奨されるセキュリティ対策ではありません。
関連情報	組織ポリシーの制約
アイテム ID	MVSP-CO-1-47
マッピング	関連する NIST-800-53 コントロール: SC-7 SC-8 関連する CRI プロファイルコントロール: PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4 コンプライアンスマネージャーのコントロール: Compute Engine インスタンスのデフォルトネットワークの作成を制限する

項目	限定公開の Google アクセスを有効にする
説明	すべてのサブネットでプライベート Google アクセスを有効にします。プライベート Google アクセスを有効にすると、サービスは外部 IP アドレスを持たないサービスにアクセスできます。 Google Cloud デフォルトでは、限定公開の Google アクセスは新しいリソースで有効になっていません。明示的に有効にするには、追加の手順が必要です。
関連情報	プライベート Google アクセスを構成する
アイテム ID	MVSP-CO-1.52
マッピング	関連する NIST-800-53 コントロール: SC-7 関連する CRI プロファイルコントロール: PR.AC-3.1 コンプライアンスマネージャーのコントロール: インスタンスで限定公開の Google アクセスを有効にする

中級レベルのガイドライン

基本ガイドラインを実装したら、次のネットワークセキュリティガイドラインを実装します。

項目	Cloud Armor ポリシーを使用する
説明	Cloud Load Balancing の背後で公開されているアプリケーションの場合は、Google Cloud Armor のデフォルトポリシーを使用するか、独自のポリシーを構成して、外部公開しているアプリケーションまたはサービスにレイヤ 3 からレイヤ 7 までのネットワーク保護を追加します。Cloud Armor セキュリティポリシーは、レイヤ 7 フィルタリングを提供することでアプリケーションを保護します。これらのポリシーは、一般的なウェブ攻撃やトラフィックを妨げる可能性のある他のレイヤ 7 属性のリクエストも確認し、トラフィックがロードバランシングされたバックエンドサービスまたはバックエンドバケットに到達する前にブロックします。各セキュリティポリシーは、レイヤ 3 からレイヤ 7 の属性を含む一連のルールで構成されています。
関連情報	Cloud Armor の概要
アイテム ID	MVSP-CO-1.49
マッピング	関連する NIST-800-53 コントロール: SC-7 関連する CRI プロファイルコントロール: PR.AC-3.1 コンプライアンスマネージャーのコントロール: DDoS イベントを緩和するセキュリティポリシーを定義する

項目	アウトバウンドトラフィックを制限する
説明	デフォルトではすべてのアクセスが許可されているため、外部ソースへのアクセスを制限します。下り（外向き）トラフィックが必要なパターンに合わせて、特定のファイアウォールルールを設定します。デフォルトでは、システムがインターネットへのアウトバウンド接続を行うことが許可されていることが多く、これはセキュリティ上のリスクと見なされる可能性があります。デフォルトで拒否ポリシーは、送信トラフィックをブロックし、既知の必要な宛先に対してのみ特定のルールを作成する必要があります。
関連情報	VPC ファイアウォールルール
アイテム ID	MVSP-CO-1.50
マッピング	関連する NIST-800-53 コントロール: SC-7 関連する CRI プロファイルコントロール: PR.AC-3.1 コンプライアンスマネージャーのコントロール: すべての下り（外向き）トラフィックを拒否するファイアウォールルールを適用する

項目	SSH ポートと RDP ポートへのインバウンドアクセスを制限する
説明	可能な場合は、特定のリソースとリソース範囲へのインバウンドアクセスのみを制限します。Identity-Aware Proxy（IAP）が構成されている場合は、上り（内向き）の SSH とリモートデスクトッププロトコル（RDP）のファイアウォールルールで、送信元として IAP IP 範囲を設定します。 SSH と RDP のファイアウォールルールが緩すぎると、ブルートフォース攻撃が可能になります。代わりに、SSH と RDP に Google Cloud Identity-Aware Proxy（IAP など）を使用します。
関連情報	TCP 転送での IAP の使用
アイテム ID	MVSP-CO-1.51
マッピング	関連する NIST-800-53 コントロール: SC-7 関連する CRI プロファイルコントロール: PR.AC-3.1 コンプライアンスマネージャーのコントロール: SSH ポートへのアクセスをブロックする RDP ポートへのアクセスをブロックする

上級レベルのガイドライン

中間のガイドラインを実装したら、次のネットワークセキュリティガイドラインを実装します。

項目	VPC Service Controls を有効にする
説明	VPC Service Controls を追加の保護レイヤとして有効にして、データ損失の可能性を防ぎます。 VPC Service Controls は、クラウドリソース、機密データ、ネットワークの周囲に隔離の境界を作成することで、データの引き出しを防ぐことができます。
関連情報	VPC Service Controls の概要サポートされているプロダクトと制限事項
アイテム ID	MVSP-CO-1.48
マッピング	関連する NIST-800-53 コントロール: SC-7 SC-8 関連する CRI プロファイルコントロール: PR.AC-3.1 コンプライアンスマネージャーのコントロール: VPC Service Controls でサービス境界を定義する

次のステップ

特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンスにより使用許諾されます。コードサンプルは Apache 2.0 ライセンスにより使用許諾されます。詳しくは、Google Developers サイトのポリシーをご覧ください。Java は Oracle および関連会社の登録商標です。

最終更新日 2026-03-04 UTC。