データ所在地の計画

データ所在地を使用すると、Security Command Center データの存在場所をより細かく制御できます。このドキュメントでは、Security Command Center でどのようにデータ所在地をサポートするかについての重要な情報を提供します。

このドキュメントで適用される用語の定義は次のとおりです。

• ロケーションは、データが存在するロケーションに対応する Google Cloud リージョンまたはマルチリージョンです。
• データという用語は、 Google Cloud一般サービス規約のデータ ロケーションの項目にある、「顧客データ」と同じ意味です。

データ所在地が有効になっている場合に Security Command Center リソースを操作する方法については、Security Command Center のリージョン エンドポイントをご覧ください。

サポートされているデータ ロケーション

このセクションでは、Security Command Center と関連サービスで使用できるデータ ロケーションについて説明します。

Security Command Center のデータ ロケーション

データ所在地を有効にすると、Security Command Center API は、データ ロケーションとして次のGoogle Cloud マルチリージョンをサポートします。

欧州連合（eu）

データは、欧州連合の加盟国内の任意の Google Cloud リージョンに存在します。

サウジアラビア王国（KSA）（sa）

データは、KSA の任意の Google Cloud リージョンに存在します。

米国（us）

データは米国の任意の Google Cloud リージョンに存在します。

スタンダード サービスティアまたはプレミアム サービスティアを使用している場合、エンタープライズ ティアにアップグレードしても、Security Command Center データのロケーションは変更されません。スタンダード ティアまたはプレミアム ティアで Security Command Center のデータ所在地を有効にしていない場合、エンタープライズ ティアにアップグレードしても有効にすることはできません。

Security Command Center のロケーションの詳細については、ロケーション別のプロダクト提供状況をご覧ください。

Security Command Center でサポートされていないデータ所在地のデフォルト ロケーションを指定する必要がある場合は、アカウント担当者または Google Cloud セールス スペシャリストにお問い合わせください。

Google SecOps データのロケーション

Google Security Operations の場合、データ所在地は常に有効になっています。Google SecOps データの保存場所を確認するには、Google SecOps のロケーションのリストをご覧ください。

Model Armor のデータ ロケーション

Model Armor では、データ所在地は常に有効になっています。

Model Armor API は、次のロケーションにリージョン エンドポイントを指定します。

ヨーロッパ

europe-west1: ベルギー 低 CO₂

europe-west2: ロンドン 低 CO₂ （保存時のデータ所在地のみをサポート）

europe-west3: フランクフルト

europe-west4: オランダ 低 CO₂

米国

us-central1: アイオワ 低 CO₂

us-east1: サウス カロライナ

us-east4: 北バージニア

us-west1: オレゴン 低 CO₂

アジア太平洋

asia-southeast1: シンガポール （保存時のデータ所在地のみをサポート）

asia-south1: ムンバイ （保存時のデータ所在地のみをサポート）

Model Armor API は、次のロケーションにマルチリージョン エンドポイントを指定します。

欧州連合

eu

米国

us

サポートされている機能とリリース ステージ

Security Command Center のエンタープライズ サービスティアでデータ所在地を有効にすると、次の機能は使用できません。

• 外部クラウド プロバイダ向けの Cloud Infrastructure Entitlement Management（CIEM）
• Mandiant Attack Surface Management

また、一般提供前サービス規約の pre-GA サービス規約の項目に記載されているように、データのロケーションの条項は、一般提供（GA）前の機能とサービスには適用されません。

データ所在地の要件

このセクションでは、Security Command Center と関連サービスでデータ所在地を使用するための要件について説明します。

Security Command Center の要件

Security Command Center のデータ所在地を有効にできるのは、組織で Security Command Center を初めて有効にする場合のみです。データ所在地を有効にした後は、無効にすることはできません。

データ所在地では Security Command Center v2 API を使用する必要があります。データ所在地が有効になっている場合、旧バージョンの Security Command Center API は使用できません。

Security Command Center を有効にするときにデータ所在地を有効にしない場合、Security Command Center はデータを特定のロケーションに制限せず、Google Cloud Platform 利用規約に沿って保存します。

Google SecOps の要件

Google SecOps では、データ所在地はデフォルトで有効になっています。Google SecOps のデータ所在地を無効にすることはできません。

Model Armor の要件

Model Armor では、データ所在地がデフォルトで有効になっています。Model Armor のデータ所在地を無効にすることはできません。

データ所在地が適用される方法とタイミング

Security Command Center のデータ所在地を有効にすると、Security Command Center のデータの一部は、次のいずれかの状態にある場合に、指定されたロケーション内に保持されます。

• 保存中
• 使用中
• 転送中

データ所在地を有効にしてデータのロケーションを選択すると、Security Command Center は次の処理を行います。

• 指定されたロケーションに存在するリソースの検出結果が作成されると、その検出結果は常にデータ ロケーションに配置されます。
• 別のロケーションに存在するリソースの検出結果が作成されると、検出結果は最終的に自分のデータ ロケーションに配置されます。ただし、検出結果は別のリージョンに一時的に存在する場合があります。
• データ ロケーションに特定のタイプの構成リソースを作成すると、それらのリソースはそのロケーションに存在します。
• Google Cloud一般サービス規約のデータ ロケーションの項目で定義されているように、Security Command Center が顧客データ以外のデータを保存する場合、Security Command Center は Google Cloud Platform 利用規約に沿ってデータを保存します。

データ所在地（保存時）

データは次の条件をすべて満たしている場合は保存中です。

• データがデータ所在地の制御の対象となるリソースタイプの場合。
• データにアクセスする必要があるオペレーションをリクエストしていない。
• 監査ログまたはアクセスの透明性ログを生成する方法でデータにアクセスされていない。

使用中のデータの所在地

データは次の条件をすべて満たしている場合は使用中です。

• データがデータ所在地の制御の対象となるリソースタイプの場合。
• Google Cloud がリクエストで開始されたオペレーションを完了している（アプリケーションが Security Command Center API を呼び出したなど）。または、監査ログやアクセスの透明性ログを生成するオペレーションを完了している。
• Google Cloud がデータの意味に関する知識が必要な方法でデータを操作することが可能である（たとえば、構成リソースの特定のフィールドを更新するなど）。これにはデータがメモリ内で暗号化されていない場合も含まれる。

送信中のデータの所在地

データは次の条件をすべて満たしている場合は転送中です。

• データがデータ所在地の制御の対象となるリソースタイプの場合。
• データが Google のネットワーク内で暗号化されて転送されている、または、Google のネットワーク内で転送するために暗号化されたデータがメモリ内にある。

Security Command Center のリソースとデータ所在地

次のリストでは、Security Command Center が Security Command Center リソースにデータ所在地の制御を適用する方法について説明します。リソースがここに一覧表示されていない場合、そのリソースはデータ所在地の制御の対象ではなく、Google Cloud Platform 利用規約に沿って保存されます。

BigQuery Export

BigQuery エクスポート構成はデータ所在地の制御の対象となります。リージョン エンドポイント を使用してこれらの構成リソースを作成し、管理します。

Security Command Center API は、BigQuery エクスポートの構成を BiqQueryExport リソースとして表します。

継続的エクスポート

継続的エクスポート構成はデータ所在地の制御の対象となります。リージョン エンドポイント を使用してこれらの構成リソースを作成し、管理します。

Security Command Center API は、継続的エクスポート構成を NotificationConfig リソースとして表します。

検出結果

検出結果はデータ所在地の制御の対象となります。

選択したデータ ロケーションに存在するリソースの検出結果が作成されると、その検出結果は常に同じロケーションに配置されます。

別のロケーションに存在するリソースの検出結果が作成されると、検出結果は最終的に選択したデータ ロケーションに配置されます。ただし、検出結果は作成時に別のリージョンに配置される場合があります。

検出結果をすべてデータ ロケーションに保持するには、常にそのロケーションにすべてのGoogle Cloud リソースを作成します。

Google SecOps のリソース

すべての Google SecOps リソースは、データ所在地の制御の対象となります。リージョン エンドポイント を使用してこれらの構成リソースを作成し、管理します。

Model Armor のリソース

すべての Model Armor リソースはデータ所在地の制御の対象となります。リージョン エンドポイント を使用してこれらの構成リソースを作成し、管理します。

ミュートルール

ミュートルールの構成はデータ所在地の制御の対象となります。リージョン エンドポイント を使用してこれらの構成リソースを作成し、管理します。

Security Command Center API は、ミュートルールの構成を MuteConfig リソースとして表します。

その他の Security Command Center のリソースと設定

有効になっているサービスやアクティブなティアを定義する設定など、ここに一覧表示されていない Security Command Center のリソースと設定は、データ所在地の制御の対象ではありません。このデータは、Google Cloud Platform 利用規約に沿って保存されます。

ロケーション内のデータを作成または表示する

データ所在地が有効になっている場合は、データ所在地の制御の対象となるデータを作成または表示するときにロケーションを指定する必要があります。Security Command Center は、作成する検出結果のロケーションを自動的に選択します。

一度に作成または表示できるデータのロケーションは 1 つのみです。たとえば、米国（us）のロケーションで検出結果を一覧表示した場合、欧州連合（eu）のロケーションの検出結果は表示されません。

データ所在地制御の対象となるデータを作成または表示する方法については、法域の Google Cloud コンソールについてとリージョン エンドポイントのツールをご覧ください。

次のステップ

• 組織で Security Command Center を有効にする方法を学習する。
• Security Command Center のリージョン エンドポイントの使用方法を確認する。
• Security Command Center を有効にして検出結果を BigQuery にストリーミングできるようにする。
• Security Command Center から Pub/Sub への継続的エクスポートを設定する。
• 検出結果のミュートルールを作成する。