組織のガイドライン

最小限の実行可能なセキュリティ プラットフォームに関する次のガイドラインは、組織のセキュリティ ピラーに沿ったものです。

中級レベルのガイドライン

基本的なガイドラインを実装したら、次の組織のガイドラインを実装します。

項目

承認済みプリンシパルを制限する
説明

Google Cloud 環境で組織の ID のみが許可されるようにします。ドメインで制限された共有iam.allowedPolicyMemberDomains)または iam.managed.allowedPolicyMembers 組織のポリシー制約を使用して、プリンシパルを Identity and Access Management(IAM)ポリシーに追加できる Cloud Identity または Google Workspace のユーザー ID を 1 つ以上定義します。

これらの制約により、従業員が組織の管理外の外部アカウントにアクセス権を付与することを防ぐことができます。これらの外部アカウントは、多要素認証(MFA)やパスワード管理に関するセキュリティ ポリシーに準拠していません。この制御は、不正アクセスを防ぎ、信頼できる管理対象の企業 ID のみを使用できるようにするために不可欠です。
関連情報
アイテム ID MVSP-CO-1.21
マッピング

関連する NIST-800-53 コントロール:

  • AC-3
  • AC-17
  • AC-20

関連する CRI プロファイル コントロール:

  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

コンプライアンス マネージャーのコントロール:

上級レベルのガイドライン

中級ガイドラインを実装したら、次の組織ガイドラインを実装します。

項目

リソースのロケーションを制限する
説明

リソース ロケーション制限(gcp.resourceLocations)制約により、承認された Google Cloud リージョンのみがデータの保存に使用されるようにします。値はシステムに固有であり、組織のデータ所在地に関する承認済みリージョンのリストと一致します。

この制約により、組織はリソースとデータが特定の承認済み地理的リージョンでのみ作成および保存されるように強制できます。
関連情報
アイテム ID MVSP-CO-1.22
マッピング

関連する NIST-800-53 コントロール:

  • AC-3
  • AC-17
  • AC-20

関連する CRI プロファイル コントロール:

  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
項目

リソース サービスの使用を制限する
説明

gcp.restrictServiceUsage 制約により、承認済みの Google Cloud サービスのみが適切な場所で使用されるようにします。たとえば、本番環境のフォルダや機密性の高いフォルダには、データの保存を承認する Google Cloud サービスを制限します。サンドボックス フォルダは、より多くのサービスをリストに追加して承認して、それと同時に、データの引き出しを防ぐデータ セキュリティ コントロールを設定します。この値はシステムに固有のもので、特定のフォルダとプロジェクトの承認済みサービスと依存関係のリストと一致します。

この制約を使用すると、組織で承認済みサービスの許可リストを作成できるため、従業員が未審査のサービスを使用するのを防ぐことができます。
関連情報
アイテム ID MVSP-CO-1.23
マッピング

関連する NIST-800-53 コントロール:

  • AC-3
  • AC-17
  • AC-20

関連する CRI プロファイル コントロール:

  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1

コンプライアンス マネージャーのコントロール:

次のステップ