フレームワークを管理

Compliance Manager のフレームワークは、クラウド環境で組織のセキュリティ要件または規制要件を満たすのに役立つクラウド コントロールで構成されています。フレームワークの適用は 2 段階のプロセスです。まず、ビジネスのセキュリティとコンプライアンスの義務に沿ったクラウド コントロールを特定する必要があります。次に、これらのクラウド コントロールを含むフレームワークをGoogle Cloudの適切な組織、フォルダ、プロジェクトにデプロイします。このページでは、次の手順について説明します。

1. どの組み込みフレームワークが規制とセキュリティの要件に最も適しているかを評価します。独自のカスタム フレームワークを作成できますが、組み込みのフレームワークから始めることをおすすめします。

2. ビジネス要件にマッピングされる組み込みのクラウド コントロールを特定します。必要に応じて、カスタム クラウド コントロールを作成できます。

3. フレームワークを Google Cloud組織にデプロイするか、特定のフォルダとプロジェクトにデプロイするかを決定します。各組織、フォルダ、プロジェクトにデプロイできるフレームワークは 1 つのみです。Compliance Manager は、アプリ対応フォルダをサポートしています。

4. 既存のフレームワークをコピーして、要件に合わせて変更します。必要に応じて、カスタム フレームワークを作成できます。

5. 適切な組織、フォルダ、プロジェクトにフレームワークをデプロイします。

始める前に

• フレームワークの適用に必要な権限を取得するには、組織に対する次の IAM ロールを付与するよう管理者に依頼してください。

  • コンプライアンス マネージャー管理者（roles/cloudsecuritycompliance.admin）
  • 検出結果ダッシュボードを表示するには、コンプライアンス マネージャー閲覧者（roles/cloudsecuritycompliance.viewer）が必要です。
  • 組織のポリシーに基づくクラウド コントロールを含むフレームワークをデプロイするには、次のいずれかが必要です。
    • 組織のポリシー管理者（roles/orgpolicy.policyAdmin）
    • Assured Workloads 管理者（roles/assuredworkloads.admin）
    • Assured Workloads 編集者（roles/assuredworkloads.editor）
  • フレームワークのデプロイ中にフォルダを作成するには、次のいずれかが必要です。
    • フォルダ管理者（roles/resourcemanager.folderAdmin）
    • フォルダ作成者（roles/resourcemanager.folderCreator）
  • フレームワークのデプロイ中にプロジェクトを作成するには、次のすべてが必要です。
    • プロジェクト支払い管理者（roles/billing.projectManager）
    • プロジェクト作成者（roles/resourcemanager.projectCreator）
    • プロジェクト削除（roles/resourcemanager.projectDeleter）
  • アプリ対応フォルダ内のアプリケーションにデータ セキュリティ ポスチャー管理（DSPM）フレームワークを割り当てるには、次のすべてが必要です。 App Hub 閲覧者 （roles/apphub.viewer）

  ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

  組織のポリシーを使用してフレームワークをデプロイするロールには、必要な orgpolicy.policies.create、orgpolicy.policies.update、orgpolicy.policies.get の権限が含まれています。

  フレームワークを作成するロールには、必要な resourcemanager.folders.get、resourcemanager.folders.create、resourcemanager.folders.delete の権限が含まれています。

  プロジェクトを作成するロールには、必要な resourcemanager.projects.get、resourcemanager.projects.create、resourcemanager.projects.delete、resourcemanager.projects.createBillingAssignment 権限が含まれています。

  DSPM フレームワークをアプリケーションに割り当てるロールには、必要な apphub.locations.list、apphub.applications.list、apphub.applications.get の権限が含まれています。

  カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

フレームワークを表示する

組み込みフレームワークまたは作成済みの他のフレームワークの構成を表示する手順は次のとおりです。

1. Google Cloud コンソールで、[コンプライアンス] ページに移動します。

   [コンプライアンス] に移動

2. 組織を選択する。

3. 使用可能なすべてのフレームワークを表示するには、[構成] タブをクリックします。

   ダッシュボードには、利用可能なフレームワーク、簡単な説明、サポートされているプラットフォーム、フレームワークが適用されたリソースが表示されます。

4. 特定のフレームワークの詳細を表示するには、フレームワーク名をクリックします。

フレームワークを作成する

組織内、特定のフォルダ内、またはプロジェクト内のリソースに適用されるクラウド コントロールを特定したら、フレームワークを作成できます。カスタム フレームワークを作成するか、既存のフレームワークをコピーして変更できます。フレームワークをコピーすると、組み込みのクラウド コントロールの最新リリースが含まれます。

1. Google Cloud コンソールで、[コンプライアンス] ページに移動します。

   [コンプライアンス] に移動

2. 組織を選択する。

3. [構成] タブで、[カスタム フレームワークを作成] をクリックします。

4. 次のいずれかを行います。

   • 既存のフレームワークを使用するには、次の操作を行います。

     1. [既存のフレームワークから始める] を選択します。

     2. コピーするフレームワークを選択します。

     3. [追加] をクリックします。

   • カスタム フレームワークを作成するには、[新規作成] を選択します。

5. フレームワークの名前、固有識別子、説明を入力します。[続行] をクリックします。

   既存のフレームワークをコピーする場合は、既存のフレームワークに含まれていたクラウド コントロールのリストが表示されます。

6. 必要なクラウド コントロールを追加する手順は次のとおりです。

   • 既存のクラウド コントロールを追加するには、[クラウド コントロールを追加] をクリックします。必要なクラウド コントロールをすべて選択し、[追加] をクリックします。

     コントロールを追加するときは、コントロールのタイプ（検出、予防、監査）を確認します。環境のモニタリングと違反の検出に使用するフレームワークに、監査専用のコントロールを含めないでください。監査専用のコントロールを含むフレームワークをデプロイすることはできません。

   • カスタム クラウド コントロールを作成するには、[カスタム クラウド コントロールを作成] をクリックします。手順については、カスタム クラウド コントロールを作成するをご覧ください。

7. [続行] をクリックします。

8. クラウド コントロールに必要な追加のパラメータを追加します。

   たとえば、データアクセス ガバナンス クラウド コントロールなどのデータ セキュリティ ポスチャー管理（DSPM）クラウド コントロールを有効にする場合は、プリンシパルが使用する必要があるロケーションを指定します。データ セキュリティ ポスチャー管理の制御の詳細については、データアクセス ガバナンス クラウド コントロールをご覧ください。

9. [作成] をクリックします。

フレームワークをデプロイする

フレームワークを組織、フォルダ、プロジェクトにデプロイして、フレームワークのクラウド コントロールを使用してリソースを制御およびモニタリングできるようにします。各組織、フォルダ、プロジェクトに複数のフレームワークをデプロイできます。高度なデータ セキュリティ クラウド コントロールのみを含むフレームワークをデプロイする場合は、App Hub を使用して管理されるアプリ対応フォルダ内のアプリケーションにフレームワークをデプロイできます。

フォルダとプロジェクトは、 Google Cloud リソース階層を介してフレームワークを継承します。したがって、組織レベルとプロジェクト レベルでフレームワークをデプロイすると、両方のフレームワーク内のすべてのクラウド コントロールがプロジェクト内のリソースに適用されます。クラウド コントロールの定義に違いがある場合、プロジェクト内のリソースでは下位レベルのクラウド コントロールが使用されます。たとえば、クラウド コントロール ルールが組織レベルで許可に設定され、プロジェクト レベルで拒否に設定されている場合、プロジェクト レベルの拒否設定がプロジェクト内のリソースに適用されます。

ベスト プラクティスとして、ビジネス全体に適用できるクラウド コントロールを含むフレームワークを組織レベルでデプロイすることをおすすめします。必要に応じて、より厳格なフレームワークをフォルダやプロジェクトにデプロイできます。

1. Google Cloud コンソールで、[コンプライアンス] ページに移動します。

   [コンプライアンス] に移動

2. 組織を選択する。

3. [構成] タブで、デプロイするフレームワークの more_vert [その他の操作] > [リソースに適用] をクリックします。

4. 次のいずれかのオプションを選択します。

   • ドリフトのみをモニタリングするには、[モニタリング] を選択します。

   • ドリフトをモニタリングして違反を積極的に防止するには、[モニタリングと防止] を選択します。

5. フレームワークをデプロイするリソースを選択します。既存の組織、フォルダ、プロジェクトを選択できます。DSPM のみの場合、アプリケーションを選択して、DSPM の高度なクラウド コントロールのみを含むフレームワークをアプリケーションにデプロイできます。違反を積極的に防止することを選択した場合は、新しいフォルダまたはプロジェクトを作成して、フレームワークをデプロイできます。

6. 次のいずれかを行います。

   • [モニタリング] を選択した場合は、次の操作を行います。

     1. 情報を確認します。
     2. アプリ対応フォルダを選択し、フレームワークに高度な DSPM クラウド コントロールのみが含まれている場合は、モニタリングするアプリケーションを選択します。
     3. [Monitor] をクリックします。

   • [モニタリングと防止] を選択した場合は、次の操作を行います。

     1. [次へ] をクリックします。クラウド コントロールとモードを確認します。
     2. [続行] をクリックします。
     3. 表示された場合は、一部のクラウド コントロールに必要な追加情報を検証します。
     4. [次へ] をクリックします。
     5. 選択内容を確認し、[適用] をクリックします。

フレームワークをデプロイすると、環境で、定義したクラウド コントロールからのずれの有無をモニタリングできます。Security Command Center は、ドリフトのインスタンスを検出結果として報告します。この検出結果は、確認、フィルタ、解決できます。クラウド コントロールに関連する検出結果が表示されるまでに、フレームワークのデプロイ後約 6 時間かかることがあります。

カスタム フレームワークを編集する

フレームワークを作成した後、名前と説明の変更、クラウド コントロールの追加または削除、パラメータの更新を行うことができます。作成したフレームワークのみ編集できます。組み込みフレームワークは編集できません。

1. Google Cloud コンソールで、[コンプライアンス] ページに移動します。

   [コンプライアンス] に移動

2. 組織を選択する。

3. [構成] タブで、編集するフレームワークをクリックします。

4. [フレームワークの詳細] ページで、フレームワークがリソースに割り当てられていないことを確認します。必要に応じて、割り当てを削除します。

5. [アクション> 編集] をクリックします。

6. [Update framework details] ページで、必要に応じて名前と説明を変更します。[続行] をクリックします。

7. フレームワークに含まれるクラウド コントロールを変更する手順は次のとおりです。

   • 既存のクラウド コントロールを追加するには、[クラウド コントロールを追加] をクリックします。必要なクラウド コントロールをすべて選択し、[追加] をクリックします。

   • カスタム クラウド コントロールを作成するには、[カスタム クラウド コントロールを作成] をクリックします。手順については、カスタム クラウド コントロールを作成するをご覧ください。

   • クラウド コントロールを削除するには、クラウド コントロールを選択して [削除] をクリックします。

8. [続行] をクリックします。

9. クラウド コントロールに必要な追加のパラメータを追加します。

10. [保存] をクリックします。

デプロイされたフレームワークからリソースを削除する

デプロイされたフレームワークに割り当てた組織、フォルダ、プロジェクトを削除できます。リソースを削除すると、フレームワークはそのリソース階層のノードに関する結果を生成しなくなります。

リソースを削除すると、関連する検出結果の状態は 7 日後に Inactive に変わります。

1. Google Cloud コンソールで、[コンプライアンス] ページに移動します。

   [コンプライアンス] に移動

2. 組織を選択します。

3. [構成] タブで、リソースの割り当てを解除するフレームワークをクリックします。

4. [フレームワークの詳細] ページで、[アクション] > [リソース割り当ての管理] をクリックします。

5. [割り当てられたリソース] テーブルで、削除するリソースを見つけて、[delete 削除] をクリックします。

6. 確認メッセージが表示されたら、[割り当て解除] をクリックします。

フレームワークを新しいリリースに更新する

Google は、サービスで新しい機能がデプロイされたときや、新しいベスト プラクティスが導入されたときに、組み込みフレームワークの定期的な更新を公開します。

組み込みフレームワークのリリースは、[構成] タブのフレームワーク ダッシュボードまたはフレームワークの詳細ページで確認できます。

次の更新が行われると、コンソールとリリースノートで通知されます。

• 組み込みのクラウド コントロールがフレームワークに追加または削除される。
• 組み込みのクラウド コントロールが更新されます。

フレームワークを更新する手順は次のとおりです。

1. Google Cloud コンソールで、[コンプライアンス] ページに移動します。

   [コンプライアンス] に移動

2. 組織を選択する。

3. [構成] タブで、更新するフレームワークをクリックします。

4. [フレームワークの詳細] ページの [割り当てられたリソース] テーブルで、[更新ステータス] が [更新可能] となっている割り当てを確認します。

5. 変更を適用するには、次の操作を行います。

   1. リソースの割り当てを削除します。

   2. フレームワークをリソースに再デプロイして、コンプライアンス マネージャーがリソースの評価と検出結果の作成を再開できるようにします。

カスタム フレームワークを削除する

不要になったフレームワークを削除します。削除できるのは、自分で作成したフレームワークのみです。組み込みのフレームワークは削除できません。

1. Google Cloud コンソールで、[コンプライアンス] ページに移動します。

   [コンプライアンス] に移動

2. 組織を選択します。

3. [構成] タブで、リソースの割り当てを解除するフレームワークをクリックします。

4. [フレームワークの詳細] ページで、フレームワークがリソースに割り当てられていないことを確認します。必要に応じて、割り当てを削除します。

5. [アクション] > [削除] をクリックします。

6. [削除] ウィンドウで、メッセージを確認します。「Delete」と入力して、[確定] をクリックします。

次のステップ

• コンプライアンスのためにフレームワークをモニタリングする（プレビュー）。
• Compliance Manager で環境を監査する（プレビュー）。
• コンソールで検出結果を確認して管理する。