コンプライアンスのためにフレームワークをモニタリングする

リソースにフレームワークを適用すると、フレームワークに対する環境のコンプライアンスの状況を示すモニタリング ダッシュボードを表示できます。モニタリング ダッシュボードには、環境を関連する業界標準や規制要件にさらに適合させる方法に関するガイダンスも用意されています。モニタリング ダッシュボードを使用すると、複数のフレームワークに対するワークロードのコンプライアンスを時間の経過とともに評価できます。コンプライアンス スペシャリストとプライバシー チームは、ダッシュボードを使用して問題のモニタリング、追跡、助言を行うことができます。

コンプライアンス マネージャーの概要モニタリング ダッシュボードには、次の概要が表示されます。

• 適用されたフレームワークに対して環境が準拠しているかどうか。
• 現在の検出結果のリストと、それらを生成したフレームワーク。

詳細なフレームワーク ダッシュボードには、特定のデプロイされたフレームワークに関連する次の詳細が表示されます。

• 適用された制御に対して環境が準拠しているかどうか。コンプライアンスのスコアリングは、フレームワークの一部である規制管理のみに基づいています。フレームワークに規制管理（例: データ セキュリティとプライバシーの基本フレームワーク）が含まれていない場合、スコアリングはクラウド コントロールに基づいて行われます。
• 違反を修正する方法に関する情報。
• クラウド コントロールと規制管理間のマッピング情報。
• クラウド コントロールの責任共有ステータス。
• 現在のコンプライアンス ステータスと、コンプライアンス ステータスの経時的な傾向。
• レポートを CSV 形式でダウンロードする機能。
• フレームワークに関連する上位の検出結果のリスト。

始める前に

• フレームワークのモニタリングに必要な権限を取得するには、組織に対する Compliance Manager 閲覧者（roles/cloudsecuritycompliance.viewer）の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

  必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

• 適切な組織、フォルダ、プロジェクトに対して、モニタリングするフレームワークを適用します。

フレームワークをモニタリングする

1. コンソールでコンプライアンス ページに移動します。

   [コンプライアンス] に移動

2. 組織を選択します。

3. [モニタリング（新規）] をクリックします。

   概要ダッシュボードが表示されます。このダッシュボードには、適用されたフレームワークの概要と、関連する検出結果がないクラウド コントロールと規制管理の割合が表示されます。

4. フレームワークの詳細については、フレームワークをクリックします。

   [フレームワークの詳細] ページには、次の詳細が表示されます。

   • フレームワークが適用された日時（ユーザーのタイムゾーン）。
   • 適用されるフレームワークのリリース。複数のバージョンのフレームワークが適用されている場合にコンプライアンス マネージャーがスコアリングを評価する方法については、デプロイされたフレームワークの複数のリリースにわたるモニタリングをご覧ください。
   • フレームワークが適用される組織、フォルダ、プロジェクト。
   • 合格したコントロールの傾向を示すタイムライン。
   • フレームワーク内のコントロールの概要（規制管理とクラウド コントロール間のマッピングを含む）。[コントロール別の概要] テーブルには、[コントロール] 切り替えで規制管理が、[クラウド コントロール] 切り替えでクラウド コントロールが表示されます。クラウドのコントロール グループまたは規制管理がないフレームワークの場合、クラウド コントロール ID はグループとして扱われます。
   • クラウド コントロールに関連付けられている検出結果。

   このページで検出結果が更新されるまでには、しばらく時間がかかることがあります。検出結果の最新情報については、[検出結果] ページをご覧ください。検出結果の [概要] タブには、検出結果に関連する適用済みのフレームワークとクラウド コントロールが表示されます。

5. 以前の日付の情報を表示するには、日付選択ツールを使用します。

6. フレームワークに関するレポートをダウンロードするには、[レポートをダウンロード] をクリックします。レポートは CSV 形式でダウンロードされます。ファイル名は framework-name_yyyy-mm-dd.csv です。

デプロイされたフレームワークの複数のリリースにわたるモニタリング

シナリオによっては、組織で 1 つのフレームワークの複数のリリースが環境内のさまざまなプロジェクトやフォルダにデプロイされている場合があります。たとえば、あるフレームワークのリリース 5 をテスト プロジェクトにデプロイし、そのフレームワークのリリース 4 を本番環境プロジェクトに適用したままにすることができます。

このシナリオでは、コンプライアンス マネージャーは規制管理の合格スコアを集計して、時系列で合格した管理の概要ビューを作成します。フレームワークに規制管理が含まれていない場合、コンプライアンスのスコアリングはクラウド コントロールに基づいて行われます。集計ロジックは次のとおりです。

• コントロールがフレームワークの割り当てられたすべてのリリースで合格している場合、そのコントロールは合格と見なされます。
• フレームワークの割り当てられた 1 つ以上のリリースでコントロールが失敗した場合、そのコントロールは失敗と見なされます。

スコアは次のように計算されます。

TOTAL_UNIQUE_PASSING_CONTROLS / TOTAL_UNIQUE_CONTROLS = FRAMEWORK_SCORE

モニタリングの概要ダッシュボードには、集計されたフレームワークのスコアのみが表示されます。詳細なフレームワーク モニタリング ダッシュボードには、次の情報も表示されます。

• フレームワークの適用済みリリース

• [コントロールの概要] テーブルには次の情報が表示されます。

  • コントロールが含まれるフレームワークのリリース
  • 適用されているクラウド コントロールのリリース
  • コントロールのさまざまなリリースに関連する検出結果を確認する機能
  • 適用されたすべてのリリースのすべての固有のコントロール グループのリスト
  • コントロール グループごとに、すべてのクラウド コントロールと適用されたリリースのリスト

次のステップ

• 組織のセキュリティとコンプライアンスの目標に合致するカスタム フレームワークを作成する。
• 環境の監査レポートを作成する。