このページは Cloud Translation API によって翻訳されました。

コンプライアンスマネージャーの概要

Google Cloud の Compliance Manager を使うことで、組織のセキュリティや規制の要件を満たすように、Google Cloud 上のインフラストラクチャ、ワークロード、データを確認できます。Compliance Manager では、次のことができます。

Google Cloud 環境に準拠した安全な構成を定義してデプロイします。
（プレビュー）環境がコンプライアンスとセキュリティの要件に準拠していることを示すダッシュボードを表示します。評価レポート。
（プレビュー）証拠の収集やレポートの生成など、クラウド環境を監査します。

Compliance Manager は、Google Cloud 組織内の複数のコンプライアンスプログラムとセキュリティ要件のサポートを評価できるソフトウェア定義の制御を使用します。

Compliance Manager のコンポーネント

次の表に、Compliance Manager のコンポーネントを示します。

ルール	コンプライアンス、セキュリティ、プライバシーの要件を満たすことができるクラウドコントロール内の技術項目。ルールは、組織のポリシー、IAM ポリシー、クラウド設定、Common Expression Language（CEL）に基づく検出ロジックにすることができます。
クラウドコントロール	組織のセキュリティまたはコンプライアンスの意図を定義するために使用できる一連のルールと関連するメタデータ。Compliance Manager には、組み込みのクラウドコントロールのライブラリが含まれており、独自のコントロールを作成することもできます。クラウドコントロールのメタデータには、修復手順と検出結果の重大度が含まれます。クラウドコントロールには次のモードがあります。検出: Compliance Manager は、モニタリング目的で定義されたリソースにクラウドコントロールを適用します。違反が検出され、アラートが生成されます。予防措置は自動的に実行されません。予防的: Compliance Manager は、定義されたリソースにクラウドコントロールを適用し、ルールを積極的に適用します。クラウド制御に違反するリソースアクティビティはブロックされ、ブロックされたアクションに対してアラートが生成されます。一部のクラウドコントロールは、機能するために追加情報の提供を必要とします。たとえば、ワークロードとリソースが特定のリージョンで実行されているかどうかを確認するクラウドコントロールを使用する場合は、クラウドコントロールの作成時に許可されるリージョンを指定する必要があります。監査: Compliance Manager は、このクラウドコントロールを使用して、コンプライアンス義務との整合性について環境を監査します。Compliance Manager はこのコントロールを使用して、コンプライアンス監査の証拠を収集し、ギャップを特定します。
規制管理	業界で定義されたセキュリティまたは規制コンプライアンス要件。クラウドコントロールと規制管理間の関係マッピングでは、1 つ以上のクラウドコントロールが規制管理の要件を満たす方法を定義します。次の点を考慮してください。 1 つのクラウド制御を複数の規制制御にマッピングできます。 1 つの規制制御を複数のクラウド制御にマッピングできます。
フレームワーク	セキュリティのベストプラクティスや、FedRAMP や NIST などの業界定義の標準を表すクラウド制御と規制制御のコレクション。フレームワークには、クラウドコントロールと規制管理間のマッピングを含めることができます。 Compliance Manager には、組み込みフレームワークのライブラリが含まれています。これらのフレームワークをカスタマイズすることも、独自のフレームワークを作成することもできます。
フレームワークのデプロイ	フレームワークをデプロイする際に、そのフレームワークと組織、フォルダ、プロジェクトとの間に設定される関連付けのこと。

次の図は、Compliance Manager のコンポーネントを示しています。

Compliance Manager のコンポーネント。

組み込みフレームワーク

Compliance Manager は、Google Cloudの組み込みフレームワークをサポートしています。これらのフレームワークはそのままデプロイすることも、特定のニーズに合わせてカスタマイズすることもできます。

Google Cloudのフレームワーク

次のフレームワークを使用できます。

Compliance Manager を Security Command Center のサービスや機能とあわせて利用する

他の Security Command Center サービスと機能を有効にして、Compliance Manager を有効にした同じ組織で使用できます。次の点を考慮してください。

ほとんどの Security Health Analytics 検出機能は、Compliance Manager のクラウドコントロールとしても使用できます。詳細については、Security Health Analytics 検出機能とクラウドコントロールのマッピングをご覧ください。
ほとんどの Security Health Analytics 検出機能は、デフォルトでオンになっています。コンプライアンスマネージャーを有効にすると、特定の組み込みフレームワークがGoogle Cloud 組織に自動的に適用されます。必要に応じて、より多くのクラウドコントロールを含む追加のフレームワークをデプロイできます。
Security Health Analytics の検出機能を無効にすることができます。クラウドコントロールを無効にするには、そのコントロールを含むカスタムフレームワークからクラウドコントロールを削除するか、デプロイされた組み込みフレームワークの割り当てを解除する必要があります。
Security Health Analytics と Compliance Manager の両方で検出結果が生成されます。ただし、Security Health Analytics は securitycenter.googleapis.com API を使用して検出結果を生成し、Compliance Manager は cloudsecuritycompliance.googleapis.com API を使用します。同じリソースで Security Health Analytics と Compliance Manager を有効にすると、重複した検出結果が生成されることがあります。重複する検出は、Security Health Analytics 検出機能と Compliance Manager クラウドコントロールの両方が同じ構成を確認する場合に発生します（たとえば、両方が特定のサービスで CMEK が有効になっているかどうかを確認する場合など）。検出結果ダッシュボードでは、重複する検出結果は異なるプロバイダ ID で表示されます。検出結果が重複しないようにするには、次のいずれかを行います。
- デプロイしたフレームワークに、環境に適用されるすべての Security Health Analytics 検出機能にマッピングされるクラウドコントロールが含まれている場合は、プロジェクトまたはフォルダの Security Health Analytics を無効にします。
- フレームワークに必要な Security Health Analytics 検出機能が含まれていない場合は、重複する Security Health Analytics 検出機能の検出結果をミュートします。
セキュリティポスチャーサービスを使用してセキュリティポスチャーをデプロイした場合、コンプライアンスマネージャーを有効にすると、重複する検出結果が表示されることがあります。セキュリティポスチャーに一致するフレームワークのデプロイを検討し、ポスチャーデプロイを削除します。
Compliance Manager は、Security Command Center のデータ所在地を有効にするときに指定するエンドポイントではなく、グローバルエンドポイントを使用します。ただし、環境の監査を行う場所を指定できます。詳細については、コンプライアンスマネージャーで環境を監査する（プレビュー）をご覧ください。

次のステップ

Compliance Manager を有効にする。