暗号化の指標を表示する

Cloud Key Management Service（Cloud KMS）には、保存データを保護する暗号鍵に関する指標が表示されます。これらの指標は、リソースがどのように保護されているか、鍵が推奨事項に準拠しているかどうかを示します。指標は主に、CMEK 統合サービスのリソースを保護するために使用される顧客管理の暗号鍵（CMEK）に重点を置いています。このガイドでは、プロジェクトの暗号化指標を表示する方法と、組織のセキュリティ ポスチャーにどのような意味があるかについて説明します。

CMEK を使用して のリソースを保護するための推奨事項について詳しくは、CMEK の使用に関するベスト プラクティスをご覧ください。 Google Cloud

始める前に

1. 暗号化指標の表示に必要な権限を取得するには、プロジェクトまたは親リソースに対する次の IAM ロールを付与するよう管理者に依頼してください。

   • Cloud KMS 暗号化ダッシュボード閲覧者 （roles/cloudkms.encryptionDashboardViewer）
   • CMEK の適用範囲の詳細を表示するには: クラウド アセット閲覧者 （roles/cloudasset.viewer）

   ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

   必要な権限は、カスタム ロールや他の事前定義 ロールから取得することもできます。

2. 組織が集中型鍵管理モデルを使用している場合、共有鍵プロジェクトに保存された鍵が他のプロジェクトのリソースを保護している場合は、Cloud KMS 組織サービス エージェント ロールを Cloud KMS 組織サービス エージェントに付与する必要があります。

   gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
       --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com \
       --role=roles/cloudkms.orgServiceAgent
     

   この手順をスキップすると、[暗号化の指標] ダッシュボード に不完全な情報が表示されることがあります。たとえば、PROJECT_A の暗号化指標を表示する場合、PROJECT_A の鍵で保護されている PROJECT_B のリソースは指標に含まれません。

暗号化の指標を表示する

暗号化の指標を表示する手順は次のとおりです。

1. コンソールで、 [**鍵管理**] ページに移動します。 Google Cloud

   Key Management に移動

2. [概要] タブをクリックし、[暗号化の指標] をクリックします。

3. プロジェクト ピッカーを使用してプロジェクトを選択します。ダッシュボードには、そのプロジェクトのリソースと鍵に関する次の暗号化指標が表示されます。

   • [このプロジェクトのリソース（保護タイプ別）] グラフと [サービス別のリソース保護タイプ] グラフには、CMEK の適用範囲の概要指標が表示されます。
   • [鍵使用に関する推奨事項への準拠] グラフには、鍵 の準拠に関する概要指標が表示されます。鍵の準拠に関する 詳細も表示できます。

4. 省略可: 各カテゴリの鍵のリストを表示するには、鍵を表示するセクションをクリックします。鍵のリストをフィルタリングするには、検索キーワードを [filter_list] [Filter] ボックスに入力し、 Enter キーを押します。

鍵の準拠に関する詳細を表示する

プロジェクト内の鍵のリストを表示し、準拠している推奨事項を確認する手順は次のとおりです。

1. [暗号化の指標] ページで、[鍵使用に関する推奨事項への準拠] グラフを見つけます。

2. 省略可: Cloud KMS Autokey で作成された鍵のみに絞り込むには、[Cloud KMS（Autokey）] タブをクリックします。手動で作成された鍵のみに絞り込むには、[Cloud KMS（手動）] タブをクリックします。

3. 鍵のリストを表示し、各推奨事項に準拠しているかどうかを確認するには、カテゴリを表すセクションをクリックし、[表示] をクリックします。

   [鍵使用に関する推奨事項への準拠] ページには、選択したプロジェクトの Cloud KMS 鍵が一覧表示され、各推奨事項に準拠 しているか準拠していない かが表示されます。推奨事項に対して鍵が **準拠** しているか**準拠していない** かの意味について詳しくは、このドキュメントの鍵の準拠をご覧ください。

4. 省略可: 鍵のリストをフィルタリングするには、 [filter_list] [Filter] ボックスに検索キーワードを入力し、 Enter キーを押します。たとえば、[粒度] の推奨事項に準拠 している鍵のみを表示するようにリストをフィルタできます。

暗号化の指標について

暗号化指標ダッシュボードは、Cloud Asset Inventory サービスを使用して、リソースと Cloud KMS 鍵に関する情報を収集します。ダッシュボードは、利用可能な最新のデータを使用して、オンデマンドで指標を計算します。

ダッシュボードには、CMEK の適用範囲と鍵の準拠という 2 つの主要な指標カテゴリが表示されます。どちらの指標にも、集計情報を含む概要ビューと、リソースまたは鍵の表形式のリストを含む詳細ビューが表示されます。

CMEK の適用範囲

[このプロジェクトのリソース（保護タイプ別）] グラフと [サービス別のリソース保護タイプ] グラフの CMEK の適用範囲の指標は、CMEK で保護されているリソースの数を示します。この指標は、CMEK 統合と Cloud KMS 鍵トラッキングがサポートされているリソースを対象としています。リソースは次のカテゴリに分類されます。

• Google 管理の暗号化: Google のデフォルトの 暗号化で保護されているリソース。
• Cloud KMS（手動）: 手動で作成して 管理する CMEK で保護されているリソース。
• Cloud KMS（Autokey）: Autokey サービスによってプロビジョニングされ、 割り当てられた CMEK で保護されているリソース。

CMEK の適用範囲の指標は、プロジェクト全体に対して表示され、保護対象リソースに関連付けられたサービスごとに分類されます。 この情報を使用して、選択したプロジェクトのリソースのうち、CMEK を使用できるにもかかわらず Google のデフォルトの暗号化を使用しているリソースの数を評価できます。

サポートされているリソースタイプの一覧については、 トラッキング対象のリソースタイプをご覧ください。

鍵の準拠

[鍵使用に関する推奨事項への準拠] グラフの鍵の準拠に関する指標は、Cloud KMS 鍵が次の推奨されるセキュリティ プラクティスに準拠しているかどうかを示します。

• ローテーション期間: 鍵に適切なローテーション期間が設定されている。
• 粒度: 鍵は、1 つのプロジェクトにあり、 1 つのサービスに属するリソースを保護する。
• 職掌分散: 鍵を使用した暗号化 と復号の権限を持つのはサービス アカウントのみ。
• 場所: 鍵は、同じクラウド ロケーションにあるリソースのみを保護する。

鍵の準拠に関する指標には、選択したプロジェクトのすべての Cloud KMS 対称暗号鍵が含まれます。CMEK 統合サービスのリソースの保護に使用されていない場合でも含まれます。これらの指標は、鍵バージョンではなく鍵に対して評価されます。 たとえば、アクティブな鍵バージョンがない鍵でも、これらの推奨事項の一部またはすべてに対して準拠 と表示されることがあります。

以降のセクションでは、これらのプラクティスについて詳しく説明します。

粒度

鍵の粒度 とは、鍵の使用目的の規模と範囲を指します。鍵は、1 つのリソースのみを保護する粒度の高い鍵と、多くのリソースを保護する粒度の低い鍵があります。粒度の低い鍵を使用すると、不正アクセスや誤ったデータ損失などのセキュリティ インシデントの影響が大きくなる可能性があります。

一般に、次の粒度戦略をおすすめします。

• 各鍵は、 us-central1 などの単一のロケーションのリソースを保護します。
• 各鍵は、 BigQuery などの単一のサービスまたはプロダクトのリソースを保護します。
• 各鍵は、単一の Google Cloud プロジェクトのリソースを保護します。

この推奨事項は、組織にとって理想的な粒度戦略ではない可能性があります。ほとんどの組織にとって、この戦略は、粒度の高い鍵を多数維持するオーバーヘッドと、多くのプロジェクト、サービス、リソース間で共有される粒度の低い鍵を使用する潜在的なリスクとのバランスが取れています。

Cloud KMS Autokey で作成された鍵は、この推奨事項に従います。

保護するリソースがすべて同じロケーション、サービス、プロジェクト内にある場合、プロジェクト内の各鍵は、この推奨事項に準拠 していると見なされます。保護するリソースが 2 つ以上のロケーション、サービス、プロジェクトにある場合、鍵は、この推奨事項に準拠していない と見なされます。

鍵がこの推奨事項に準拠していない場合は、鍵の粒度戦略の調整が組織に適しているかどうかを検討してください。 鍵の粒度に関する推奨事項について詳しくは、 鍵の粒度戦略を選択するをご覧ください。

場所

ほとんどの場合、CMEK 統合サービスで使用される Cloud KMS 鍵は、保護するリソースがあるリージョンまたはマルチリージョンとまったく同じリージョンまたはマルチリージョンに配置する必要があります。 Google Cloud ただし、一部のサービスでは、このルールが適用されません。

保護するリソースがすべて鍵と同じロケーション（us-central1 の鍵が us-central1 のリソースを保護するなど）にある場合、プロジェクト内の各鍵は、この推奨事項に準拠 していると見なされます。リージョン鍵は、同じ リージョン内のゾーンリソースを保護できます（us-central1 の鍵が us-central1a のリソースを保護するなど）。

異なるリージョンまたはマルチリージョンのリソースを保護する場合（us マルチリージョンの鍵が us-central1 リージョンの Compute Engine ディスクを保護するなど）、鍵は、この推奨事項に準拠していない と見なされます。

鍵がこの推奨事項に準拠していない場合は、リソースまたは鍵を移動または置き換えて、同じロケーションに配置することを検討してください。 ロケーションの詳細については、Cloud KMS のロケーションをご覧ください。

回転する

鍵を定期的にローテーションすることは、情報セキュリティの重要な側面です。たとえば、一部の標準では、特定のスケジュールで鍵をローテーションする必要があります。 機密性の高いワークロードを保護する鍵は、より頻繁にローテーションする必要がある場合があります。 Cloud KMS では、鍵の自動ローテーションを設定して、選択したスケジュールが確実に守られるようにできます。

ローテーション スケジュールが設定されている場合、プロジェクト内の各鍵は、この推奨事項に準拠 していると見なされます。自動鍵ローテーションが設定されていない場合、鍵は準拠していない と見なされます。

自動ローテーションを有効にするには、次のいずれかを行います。

• カスタム ローテーション スケジュールで新しい鍵を手動で作成します。
• 新しいリソースを作成するときに Cloud KMS Autokey を使用します。 Cloud KMS Autokey で作成された鍵のデフォルトのローテーション期間は 1 年ですが、鍵の作成後にローテーション期間を変更できます。
• 既存の鍵を更新してローテーション スケジュールを追加します。

職掌分散

職掌分散は、ユーザーや他のプリンシパルに過剰な権限を付与しないことを目的としたセキュリティ プラクティスです。Cloud KMS と CMEK 統合の場合、Cloud KMS 鍵を管理するユーザーは、その鍵を使用する権限を持たないようにする必要があります。また、鍵を使用してリソースを暗号化および復号するプリンシパルは、鍵に対する他の権限を持たないようにする必要があります。

次の両方に該当する場合、プロジェクト内の各鍵は、この推奨事項に準拠 していると見なされます。

• 保護対象リソースのサービス アカウントは、鍵に対する cloudkms.cryptoKeyVersions.useToEncrypt 権限と cloudkms.cryptoKeyVersions.useToDecrypt 権限を持つ唯一のプリンシパルです。
• 保護対象リソースのサービス アカウントには、roles/cloudkms.admin、roles/editor、roles/owner など、鍵に対する鍵管理権限を付与するロールがありません。

サービス アカウントに管理権限がある場合、または別のプリンシパルに暗号化または復号の権限がある場合、鍵は準拠していない と見なされます。

鍵がこの推奨事項に準拠していない場合は、鍵と他の Cloud KMS リソースの IAM ロールと権限を確認し、不要なロールと権限の付与を削除します。Cloud KMS ロールとそのロールに含まれる権限 の詳細については、権限とロールをご覧ください。Cloud KMS リソースの IAM ロールの表示と削除について詳しくは、IAM を使用したアクセス制御をご覧ください。

制限事項

[暗号化の指標] ダッシュボードには次の制限があります。

• ダッシュボードには、一度に 1 つのプロジェクトの指標が表示されます。
• ダッシュボードには、プロジェクトごとに 10,000 個のリソースまたは鍵の上限があります。プロジェクトに 10,000 個を超える鍵が含まれている場合、またはプロジェクト内の鍵が 10,000 個を超えるリソースを保護している場合は、部分的な指標のみが表示されます。
• ダッシュボードは、 Cloud Asset Inventory サービスのデータに依存しています。Cloud Asset Inventory のデータが古くなっている場合、ダッシュボードに不正確または不完全な情報が表示されることがあります。
• ダッシュボードでは、鍵の準拠と CMEK の適用範囲について、対称鍵のみが考慮されます。
• ダッシュボードでは、 鍵の使用状況トラッキングをサポートするリソースのみが考慮されます。
• 鍵の準拠に関する指標では、追跡可能なリソースを保護する CMEK としてアクティブに使用されている鍵、他のユースケースでアクティブに使用されている鍵、アクティブな鍵バージョンがない鍵が区別されません。たとえば、鍵の準拠データには、カスタム アプリケーションに使用される鍵が含まれる場合があります。
• 鍵の準拠データに、追跡できないリソースとカスタム アプリケーションを保護する鍵が含まれている場合、これらの鍵の準拠に関する詳細は正確でない可能性があります。たとえば、複数のプロジェクトの複数のカスタム アプリケーションで使用されている鍵は、実際にはそうでない場合でも、鍵の粒度に関する推奨事項に準拠 していると表示されることがあります。

次のステップ

• 鍵の使用状況トラッキングの詳細を確認する。
• 顧客管理の暗号鍵のベスト プラクティスについて確認する 。