Observability Analytics によるデータ セキュリティ

このドキュメントでは、 Google Cloud オブザーバビリティ分析を使用している場合に、フィッシング、内部攻撃、または 外部エンティティによるデータの引き出しを防ぐのに役立つ 機能について説明します。また、オブザーバビリティ分析で使用できる 2 つのクエリエンジンと、クエリエンジンの選択によってクエリできるデータがどのように変わるかについても説明します。

組織内アクセス制限

組織内アクセス制限を使用すると、承認された組織のリソースにのみアクセスできるようにプリンシパルを制限できます。 Google Cloud 組織内アクセス制限を構成することは、下り（外向き）プロキシを構成することと同じです。たとえば、組織内アクセス制限を使用すると、オブザーバビリティ分析を使用している場合に、組織が保存したデータを外部データと組み合わせることを防ぐことができます。

詳細については、 組織内アクセス制限を構成するをご覧ください。

VPC Service Controls

VPC Service Controls は、外部エンティティ や内部エンティティによる意図しない操作や標的型攻撃を阻止します。これにより、 Google Cloud Cloud Storage や BigQuery などのサービスからのデータの引き出し のリスクを最小限に抑えることができます。VPC Service Controls を使用すると、明示的に指定したサービスのリソースとデータを保護する境界を作成できます。

VPC Service Controls の境界は、 Google Cloud リソースの周囲のセキュリティ境界です。境界内では自由に通信できますが、 デフォルトでは、境界を越えて Google Cloud サービスとの通信はブロックされます。 境界は、インターネット上のサードパーティ API やサービスへのアクセスをブロックしません。

VPC Service Controls の境界を Virtual Private Cloud ネットワークと混同しないでください。VPC Service Controls の境界はセキュリティ境界です。

詳細については、サービス境界を設定するをご覧ください。

オブザーバビリティ分析のクエリエンジンを選択する

オブザーバビリティ分析では、デフォルトの Logging エンジンまたは BigQuery エンジンで SQL クエリを実行できます。 このセクションでは、これら 2 つのオプションの違いについて説明します。

クエリエンジンを設定するには、[オブザーバビリティ分析] ページで、 [settings 設定] メニューを使用します。

[ログ分析] に移動

デフォルトのクエリエンジンでクエリを実行する

デフォルトのクエリエンジンは Google Cloud Observability によって管理されます。このエンジンを使用すると、次のクエリを実行できます。

• ログビュー
• 分析ビュー

次の表に、Cloud Logging が Identity and Access Management（IAM）ロールを使用して保存するデータへのアクセスを制御する方法の概要を示します。

オブザーバビリティ分析によってクエリされるソース	ソースデータを読み取るために必要な IAM ロール
_AllLogs ビュー _Required ログバケット	ログビューア（roles/logging.viewer） _Required ログバケットを保存するプロジェクトに対する。
_AllLogs ビュー _Default ログバケット	プライベート ログ閲覧者（roles/logging.privateLogViewer ） _Default ログバケットを保存するプロジェクトに対する
_Default ビュー _Default ログバケット	ログビューア（roles/logging.viewer） ログバケットを保存するプロジェクトに対する_Default。
カスタム ログビュー （任意のログバケット）	プロジェクト内のすべてのログビューへの読み取りアクセスの場合: ログ表示アクセス者（roles/logging.viewAccessor）プロジェクトに対する。 プロジェクト内の特定のログビューへの読み取りアクセスの場合: 次のいずれか プロジェクトに対するログ表示アクセス者（roles/logging.viewAccessor） 。ただし、特定のログビューへの付与を制限する IAM 条件をロールに含めます。 ID のバインディングがログビューの IAM ポリシーに含まれています。
分析ビュー	次のすべて: プロジェクトに対するオブザーバビリティ分析ユーザー（roles/observability.analyticsUser） 。 分析ビューによってクエリされるログビューへの読み取りアクセスを提供する IAM ロール。

Logging ロールの詳細については、 IAM を使用したアクセス制御をご覧ください。

BigQuery エンジンでクエリを実行する

BigQuery エンジンは、ログビューと他の BigQuery テーブルの結合を含むクエリを実行できます。ただし、このエンジンを使用するには、対応するログバケットにリンクされた BigQuery データセットを作成する必要があります。リンクされたデータセットは、読み取り専用の BigQuery データセットです。これは、共有データセットへのポインタとして機能します。

ログバケットにリンクされたデータセットを作成すると、そのデータのセキュリティ境界が BigQuery サービスを含むように拡張されます。 つまり、BigQuery サービスは、リンクされたデータセットにクエリを発行することで、ログデータをクエリできるようになります。

クエリエンジンを BigQuery に設定すると、次のようになります。

• 関連付けられたログバケットにリンクされた BigQuery データセットが存在する場合、ログビューをクエリできます。ただし、オブザーバビリティ分析サービスは、BigQuery エンジンに送信されるクエリを強化します。このため、BigQuery メタデータが表示される場合、予想と異なることがあります。

• クエリが実行される前に、 BigQuery IAM 権限 が確認されます。

• BigQuery エンジンで実行するクエリには、BigQuery の料金が適用されます。

次の表に、BigQuery エンジンが IAM を使用してソースデータへのアクセスを制御する方法の概要を示します。

オブザーバビリティ分析によってクエリされるソース	ソースデータを読み取るために必要な IAM ロール
_AllLogs ビュー _Required ログバケット	次のすべて: BigQuery データ閲覧者（roles/bigquery.dataViewer） _Required ログバケットのプロジェクトまたはリンクされたデータセットに対する 。 logging.links.list 権限を含む IAM ロール。
_AllLogs ビュー _Default ログバケット	次のすべて: BigQuery データ閲覧者（roles/bigquery.dataViewer） ログバケットのプロジェクトまたはリンクされたデータセットに対する _Default。 logging.links.list 権限を含む IAM ロール。
_Default ビュー _Default ログバケット	次のすべて: BigQuery データ閲覧者（roles/bigquery.dataViewer） ログバケットのプロジェクトまたはリンクされたデータセットに対する _Default。 logging.links.list 権限を含む IAM ロール。
カスタム ログビュー （任意のログバケット）	次のすべて: ログバケットのプロジェクトまたはリンクされたデータセットに対する BigQuery データ閲覧者（roles/bigquery.dataViewer） logging.links.list 権限を含む IAM ロール。
分析ビュー	対象外です。
BigQuery テーブルと結合されたログビュー	次のすべて: ログバケットと他の BigQuery テーブルのプロジェクトまたはリンクされたデータセットに対する BigQuery データ閲覧者（roles/bigquery.dataViewer ）。 logging.links.list 権限を含む IAM ロール。

リンクされた BigQuery データセットへのアクセスを管理する方法については、 BigQuery のアクセス制御をご覧ください。

次のステップ

• SQL クエリを保存して共有する。
• サンプル SQL クエリ。
• SQL クエリ結果をグラフ化する。