Log Analytics を使用したデータセキュリティ

このドキュメントでは、ログ分析を使用している場合に、フィッシング、内部関係者による攻撃、外部エンティティによるデータ漏洩を防ぐのに役立つ Google Cloud の機能について説明します。また、ログ分析で使用できる 2 つのクエリエンジンと、クエリエンジンの選択によってクエリできるデータがどのように影響を受けるかについても説明します。

組織内アクセス制限

組織の制限を使用すると、承認済みの Google Cloud 組織内のリソースにのみアクセスできるようにプリンシパルを制限できます。組織の制限を構成することは、下り（外向き）プロキシを構成することと同じです。たとえば、組織の制限を使用すると、Log Analytics を使用する際に、組織が保存したデータが外部データと結合されるのを防ぐことができます。

詳細については、組織内アクセス制限を構成するをご覧ください。

VPC Service Controls

VPC Service Controls は、外部エンティティや内部エンティティによる意図しない操作や標的型攻撃を阻止します。これにより、Cloud Storage や BigQuery などの Google Cloud サービスでデータ漏洩が発生するリスクを最小限に抑えることができます。VPC Service Controls を使用すると、明示的に指定したサービスのリソースとデータを保護する境界を作成できます。

VPC Service Controls の境界は、Google Cloud リソースの周囲のセキュリティ境界です。境界内では自由に通信できますが、境界を越える Google Cloud サービスとの通信はデフォルトでブロックされます。インターネット上のサードパーティの API やサービスへのアクセスは、境界によってブロックされません。

VPC Service Controls の境界と Virtual Private Cloud ネットワークを混同しないでください。VPC Service Controls の境界はセキュリティ境界です。

詳細については、サービス境界を設定するをご覧ください。

Log Analytics クエリエンジンを選択する

ログ分析では、デフォルトのロギングエンジンまたは BigQuery エンジンで SQL クエリを実行できます。このセクションでは、この 2 つのオプションの違いについて説明します。

クエリエンジンを設定するには、[ログ分析] ページで [設定] メニューを使用します。

[ログ分析] に移動

デフォルトのクエリエンジンでクエリを実行する

デフォルトのクエリエンジンは、Google Cloud Observability によって管理されます。このエンジンを使用すると、次のクエリを実行できます。

次の表は、Cloud Logging が Identity and Access Management（IAM）ロールを使用して保存するデータへのアクセスを制御する方法の概要を示しています。

ログ分析でクエリされたソース	ソースデータを読み取るために必要な IAM ロール
`_Required` ログバケットに対する `_AllLogs` ビュー	`_Required` ログバケットを保存するプロジェクトに対するログ閲覧者（`roles/logging.viewer`）。
`_Default` ログバケットに対する `_AllLogs` ビュー	`_Default` ログバケットを保存するプロジェクトに対するプライベートログ閲覧者（`roles/logging.privateLogViewer`）。
`_Default` ログバケットに対する `_Default` ビュー	`_Default` ログバケットを保存するプロジェクトに対するログ閲覧者（`roles/logging.viewer`）。
カスタムログビュー（任意のログバケット）	プロジェクト内のすべてのログビューに対する読み取りアクセス権:プロジェクトに対するログビューアクセサー（`roles/logging.viewAccessor`）。プロジェクト内の特定のログビューへの読み取りアクセス権の場合: プロジェクトに対するログ表示アクセス者（`roles/logging.viewAccessor`）。ただし、付与を特定のログビューに制限する IAM 条件をロールに含めます。 ID のバインディングがログビューの IAM ポリシーに含まれている。
アナリティクスビュー	次のすべて: プロジェクトに対するオブザーバビリティ分析ユーザー（`roles/observability.analyticsUser`）。分析ビューによってクエリされるログビューへの読み取りアクセス権を提供する IAM ロール。

Logging のロールの詳細については、IAM によるアクセス制御をご覧ください。

BigQuery エンジンでクエリを実行する

BigQuery エンジンは、ログビューと他の BigQuery テーブルの結合を含むクエリを実行できます。ただし、このエンジンを使用するには、対応するログバケットにリンクされた BigQuery データセットを作成する必要があります。リンクされたデータセットは、共有データセットへのポインタとして機能する読み取り専用の BigQuery データセットです。

ログバケットにリンクされたデータセットを作成すると、そのデータのセキュリティ境界が BigQuery サービスを含むように拡張されます。つまり、BigQuery サービスは、リンクされたデータセットにクエリを発行することで、ログデータをクエリできるようになりました。

クエリエンジンを BigQuery に設定した場合、次のようになります。

関連付けられたログバケットにリンクされた BigQuery データセットが存在する場合、ログビューをクエリできます。ただし、Log Analytics サービスは、BigQuery エンジンに送信されるクエリを強化します。このため、BigQuery メタデータを表示すると、想定と異なる場合があります。
クエリが実行される前に、BigQuery IAM 権限がチェックされます。
BigQuery エンジンで実行するクエリには、BigQuery の料金が適用されます。

次の表に、BigQuery エンジンが IAM を使用してソースデータへのアクセスを制御する方法の概要を示します。

ログ分析でクエリされたソース	ソースデータを読み取るために必要な IAM ロール
`_Required` ログバケットに対する `_AllLogs` ビュー	次のすべて: `_Required` ログバケットのプロジェクトまたはリンクされたデータセットに対する BigQuery データ閲覧者（`roles/bigquery.dataViewer`）。 `logging.links.list` 権限を含む IAM ロール。
`_Default` ログバケットに対する `_AllLogs` ビュー	次のすべて: `_Default` ログバケットのプロジェクトまたはリンクされたデータセットに対する BigQuery データ閲覧者（`roles/bigquery.dataViewer`）。 `logging.links.list` 権限を含む IAM ロール。
`_Default` ログバケットに対する `_Default` ビュー	次のすべて: `_Default` ログバケットのプロジェクトまたはリンクされたデータセットに対する BigQuery データ閲覧者（`roles/bigquery.dataViewer`）。 `logging.links.list` 権限を含む IAM ロール。
カスタムログビュー（任意のログバケット）	次のすべて: ログバケットのプロジェクトまたはリンクされたデータセットに対する BigQuery データ閲覧者（`roles/bigquery.dataViewer`）。 `logging.links.list` 権限を含む IAM ロール。
アナリティクスビュー	サポートされていません。
ログビューと BigQuery テーブルの結合	次のすべて: ログバケットと他の BigQuery テーブルのプロジェクトまたはリンクされたデータセットに対する BigQuery データ閲覧者（`roles/bigquery.dataViewer`）。 `logging.links.list` 権限を含む IAM ロール。

リンクされた BigQuery データセットへのアクセスの管理については、BigQuery のアクセス制御をご覧ください。

Log Analytics を使用したデータ セキュリティ コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。