Google Cloud のコンプライアンス マネージャーを使うことで、組織のセキュリティや規制の要件を満たすように、Google Cloud 上のインフラストラクチャ、ワークロード、データを確認できます。コンプライアンス マネージャーを使用すると、次のことができます。
- Google Cloud 環境に準拠した安全な構成を定義してデプロイします。
- 環境がコンプライアンスとセキュリティの要件の評価レポートに準拠していることを示すダッシュボードを表示します。
- 証拠の収集やレポートの生成など、クラウド環境を監査します。
コンプライアンス マネージャーは、Google Cloud 組織内の複数のコンプライアンス プログラムとセキュリティ要件のサポートを評価できるソフトウェア定義の制御を使用します。
コンプライアンス マネージャーのコンポーネント
次の表に、コンプライアンス マネージャーのコンポーネントを示します。
| ルール | コンプライアンス、セキュリティ、プライバシーの要件を満たすことができるクラウド コントロール内の技術項目。ルールは、組織のポリシー、IAM ポリシー、クラウド設定、Common Expression Language(CEL)に基づく検出ロジックにすることができます。 |
|---|---|
| クラウド コントロール | 組織のセキュリティまたはコンプライアンスの意図を定義するために使用できる一連のルールと関連するメタデータ。コンプライアンス マネージャーには、組み込みのクラウド コントロールのライブラリが含まれており、独自のコントロールを作成することもできます。 クラウド コントロールのメタデータには、修復手順と検出結果の重大度が含まれます。 クラウド コントロールには次のモードがあります。
|
| 規制管理 | 業界で定義されたセキュリティまたは規制コンプライアンス要件。クラウド コントロールと規制管理間の関係マッピングでは、1 つ以上のクラウド コントロールが規制管理の要件を満たす方法を定義します。次の点を考慮してください。
|
| フレームワーク | セキュリティのベスト プラクティスや、FedRAMP や NIST などの業界定義の標準を表すクラウド制御と規制制御のコレクション。フレームワークには、クラウド コントロールと規制管理間のマッピングを含めることができます。 コンプライアンス マネージャーには、組み込みフレームワークのライブラリが含まれています。これらのフレームワークをカスタマイズすることも、独自のフレームワークを作成することもできます。 |
| フレームワークのデプロイ | フレームワークをデプロイする際に、そのフレームワークと組織、フォルダ、プロジェクトとの間に設定される関連付けのこと。 |
次の図式は、コンプライアンス マネージャーのコンポーネントを示しています。
組み込みフレームワーク
コンプライアンス マネージャーは、Google Cloudの組み込みフレームワークをサポートしています。これらのフレームワークはそのままデプロイすることも、特定のニーズに合わせてカスタマイズすることもできます。
Google Cloudのフレームワーク
次のフレームワークを使用できます。
- AI 保護
- Center for Information Security(CIS)Controls 8.0
- CIS Google Cloud Computing Platform 3.0
- CIS Kubernetes Benchmark v1.1.7
- Cloud Controls Matrix(CCM)4
- データ セキュリティとプライバシーの基本
- 国際標準化機構(ISO)27001、2022
- 米国国立標準技術研究所(NIST)800-53 R5
- NIST サイバーセキュリティ フレームワーク(CSF)1.1
- Security Essentials
コンプライアンス マネージャーを Security Command Center のサービスや機能とあわせて利用する
他の Security Command Center サービスと機能を有効にして、コンプライアンス マネージャーを有効にした同じ組織で使用できます。次の点を考慮してください。
ほとんどの Security Health Analytics 検出機能は、コンプライアンス マネージャーのクラウド コントロールとしても使用できます。詳細については、Security Health Analytics 検出機能とクラウド コントロールのマッピングをご覧ください。
ほとんどの Security Health Analytics 検出機能は、デフォルトでオンになっています。コンプライアンス マネージャーを有効にすると、特定の組み込みフレームワークがGoogle Cloud 組織に自動的に適用されます。必要に応じて、より多くのクラウド コントロールを含む追加のフレームワークをデプロイできます。
Security Health Analytics の検出機能を無効にすることができます。クラウド コントロールを無効にするには、そのコントロールを含むカスタム フレームワークからクラウド コントロールを削除するか、デプロイされた組み込みフレームワークの割り当てを解除する必要があります。
Security Health Analytics とコンプライアンス マネージャーの両方で検出結果が生成されます。ただし、Security Health Analytics は
securitycenter.googleapis.comAPI を使用して検出結果を生成し、コンプライアンス マネージャーはcloudsecuritycompliance.googleapis.comAPI を使用します。同じリソースで Security Health Analytics とコンプライアンス マネージャーを有効にすると、重複する検出結果が生成されることがあります。重複する検出結果は、Security Health Analytics 検出機能とコンプライアンス マネージャー クラウド コントロールの両方が同じ構成を確認する場合に発生します(たとえば、両方が特定のサービスで CMEK が有効になっているかどうかを確認する場合など)。検出結果ダッシュボードでは、重複する検出結果は異なるプロバイダ ID で表示されます。検出結果が重複しないようにするには、次のいずれかを行います。デプロイしたフレームワークに、環境に適用されるすべての Security Health Analytics 検出機能にマッピングされるクラウド コントロールが含まれている場合は、プロジェクトまたはフォルダの Security Health Analytics を無効にします。
フレームワークに必要な Security Health Analytics 検出機能が含まれていない場合は、重複する Security Health Analytics 検出機能の検出結果をミュートします。
セキュリティ ポスチャー サービスを使用してセキュリティ ポスチャーをデプロイした場合、コンプライアンス マネージャーを有効にすると、重複する検出結果が表示されることがあります。セキュリティ ポスチャーに一致するフレームワークのデプロイを検討し、ポスチャー デプロイを削除します。
コンプライアンス マネージャーは、Security Command Center のデータ所在地を有効にするときに指定するエンドポイントではなく、グローバル エンドポイントを使用します。ただし、環境の監査を行うロケーションを指定できます。詳細については、コンプライアンス マネージャーで環境を監査するをご覧ください。