このページは Cloud Translation API によって翻訳されました。

データ所在地の計画

データ所在地を使用すると、Security Command Center データの存在場所をより細かく制御できます。このドキュメントでは、Security Command Center でどのようにデータ所在地をサポートするかについての重要な情報を提供します。

このドキュメントでは、次の用語を使用します。

ロケーションは、データが存在するロケーションに対応する Google Cloud リージョンまたはマルチリージョンです。
データという用語は、 Google Cloud一般サービス規約のデータロケーションの項目にある、「顧客データ」と同じ意味です。

データ所在地が有効になっている場合に Security Command Center リソースを操作する方法については、Security Command Center のリージョンエンドポイントをご覧ください。

サポートされているデータのロケーション

このセクションでは、Security Command Center と関連サービスで使用できるデータロケーションについて説明します。

Security Command Center のデータロケーション

データ所在地を有効にすると、Security Command Center API は、データロケーションとして次のGoogle Cloud マルチリージョンをサポートします。

EU（eu: データは、欧州連合の加盟国内の任意の Google Cloud リージョンに存在します。
サウジアラビア王国（KSA）（sa）: データは、KSA の任意の Google Cloud リージョンに存在します。
米国（us）: データは米国の任意の Google Cloud リージョンに存在します。

スタンダードサービスティアまたはプレミアムサービスティアを使用している場合、エンタープライズティアにアップグレードしても、Security Command Center データのロケーションは変更されません。スタンダードティアまたはプレミアムティアで Security Command Center のデータ所在地を有効にしていない場合、エンタープライズティアにアップグレードしても有効にすることはできません。

Security Command Center のロケーションの詳細については、ロケーション別のプロダクト提供状況をご覧ください。

Security Command Center でサポートされていないデータ所在地のデフォルトロケーションを指定する必要がある場合は、アカウント担当者または Google Cloud セールススペシャリストにお問い合わせください。

Google SecOps データのロケーション

Google Security Operations の場合、データ所在地は常に有効になっています。Google SecOps データの保存場所を確認するには、Google SecOps のロケーションのリストをご覧ください。

Model Armor のデータロケーション

Model Armor では、データ所在地は常に有効になっています。

Model Armor API は、次のロケーションにリージョンエンドポイントを提供します。

欧州連合: europe-west4: オランダ低 CO₂
米国: us-central1: アイオワ低 CO₂; us-east1: サウスカロライナ; us-east4: 北バージニア; us-west1: オレゴン <0x0A
アジア太平洋: asia-southeast1: シンガポール（保存時のデータ所在地のみをサポート）

Model Armor API は、次のロケーションにマルチリージョンエンドポイントを提供します。

欧州連合: eu
米国: us

サポートされている機能

一般に、Security Command Center のデータ所在地を有効にすると、サービスティアに含まれるすべての機能を使用できます。選択した Security Command Center リソースのみがデータ所在地の制御の対象となります。

Security Command Center の Enterprise サービスティアでデータ所在地を有効にすると、次の機能は使用できません。

データ所在地の要件

このセクションでは、Security Command Center と関連サービスでデータ所在地を使用するための要件について説明します。

Security Command Center の要件

Security Command Center のデータ所在地を有効にできるのは、初めて組織で Security Command Center を有効にする場合のみです。データ所在地を有効にした後は、無効にすることはできません。

データ所在地には Security Command Center v2 API を使用する必要があります。データ所在地が有効になっている場合、旧バージョンの Security Command Center API は使用できません。

Security Command Center を有効にするときにデータ所在地を有効にしない場合、Security Command Center はデータを特定のロケーションに制限せず、Google Cloud Platform 利用規約に沿って保存します。

Google SecOps の要件

Google SecOps では、データ所在地がデフォルトで有効になっています。Google SecOps のデータ所在地を無効にすることはできません。

Model Armor の要件

Model Armor では、データ所在地はデフォルトで有効になっています。Model Armor のデータ所在地を無効にすることはできません。

データ所在地が適用される方法とタイミング

Security Command Center のデータ所在地を有効にすると、Security Command Center のデータの一部は、次のいずれかの状態にある場合に、指定されたロケーション内に保持されます。

保存時
使用中
移動中

データ所在地を有効にしてデータのロケーションを選択すると、Security Command Center は次の処理を行います。

指定されたロケーションに存在するリソースの検出結果が作成されると、その検出結果は常にデータロケーションに配置されます。
別のロケーションに存在するリソースの検出結果が作成されると、検出結果は最終的にデータロケーションに配置されます。ただし、検出結果は別のリージョンに一時的に存在する場合があります。
データロケーションに特定のタイプの構成リソースを作成すると、それらのリソースはそのロケーションに存在します。
Google Cloud 一般サービス規約のデータロケーションの項目で定義されているように、Security Command Center が顧客データ以外のデータを保存する場合、Security Command Center は Google Cloud Platform 利用規約に沿って、データを保存します。

データ所在地（保存時）

データは、次の条件をすべて満たしている場合は保存中です。

データは、データ所在地の制御の対象となるリソースタイプに関するものである。
データにアクセスする必要があるオペレーションをリクエストしていない。
監査ログまたはアクセスの透明性ログを生成する方法でデータにアクセスされていない。

使用中のデータの所在地

データは、次の条件をすべて満たしている場合は使用中です。

データは、データ所在地の制御の対象となるリソースタイプに関するものである。
Google Cloud は、リクエストで開始されたオペレーションを完了している（アプリケーションが Security Command Center API を呼び出したなど）。または、監査ログやアクセスの透明性ログを生成するオペレーションを完了している。
Google Cloud は、データの意味に関する知識が必要な方法でデータを操作することが可能である（たとえば、構成リソースの特定のフィールドを更新するなど）。これには、データがメモリ内で暗号化されていない場合も含まれる。

送信中のデータの所在地

データは、次の条件をすべて満たしている場合は転送中です。

データは、データ所在地の制御の対象となるリソースタイプに関するものである。
データが Google のネットワーク内で暗号化されて転送されている、または、Google のネットワーク内で転送するために暗号化されたデータがメモリ内にある。

Security Command Center のリソースとデータ所在地

次のリストでは、Security Command Center で Security Command Center リソースにデータ所在地の制御を適用する方法について説明します。リソースがここに記載されていない場合、そのリソースはデータ所在地の制御の対象ではなく、Google Cloud Platform 利用規約に沿って保存されます。

BigQuery エクスポート

BigQuery エクスポート構成はデータ所在地の制御の対象となります。リージョンエンドポイントを使用して、これらの構成リソースを作成し、管理します。

Security Command Center API は、BigQuery エクスポートの構成を BiqQueryExport リソースとして表します。

継続的エクスポート

継続的エクスポート構成はデータ所在地の制御の対象となります。リージョンエンドポイントを使用して、これらの構成リソースを作成し、管理します。

Security Command Center API は、継続的エクスポートの構成を NotificationConfig リソースとして表します。

検出

検出結果はデータ所在地の制御の対象となります。

選択したデータロケーションに存在するリソースの検出結果が作成されると、その検出結果は常に同じロケーションに配置されます。

別のロケーションに存在するリソースの検出結果が作成されると、検出結果は最終的に選択したデータロケーションに配置されます。ただし、検出結果は作成時に別のリージョンに配置される場合があります。

データロケーションにすべての検出結果を保持するには、常にそのロケーションにすべてのGoogle Cloud リソースを作成します。

Google SecOps のリソース

すべての Google SecOps リソースは、データ所在地の制御の対象となります。リージョンエンドポイントを使用して、これらの構成リソースを作成し、管理します。

Model Armor のリソース

すべての Model Armor リソースはデータ所在地の制御の対象となります。リージョンエンドポイントを使用して、これらの構成リソースを作成し、管理します。

ミュートルール

ミュートルールの構成はデータ所在地の制御の対象となります。リージョンエンドポイントを使用して、これらの構成リソースを作成し、管理します。

Security Command Center API は、ミュートルールの構成を MuteConfig リソースとして表します。

その他の Security Command Center のリソースと設定

有効になっているサービスやアクティブなティアを定義する設定など、ここに記載されていない Security Command Center のリソースと設定は、データ所在地の制御の対象ではありません。このデータは、Google Cloud Platform 利用規約に沿って保存されます。

ロケーション内のデータを作成または表示する

データ所在地が有効になっている場合は、データ所在地の制御の対象となるデータを作成または表示するときにロケーションを指定する必要があります。Security Command Center は、作成する検出結果のロケーションを自動的に選択します。

一度に 1 つのロケーションでのみデータを作成または表示できます。たとえば、米国（us）のロケーションで検出結果を一覧表示した場合、欧州連合（eu）のロケーションの検出結果は表示されません。

データ所在地管理の対象となるデータを作成または表示する方法については、法域の Google Cloud コンソールについてとリージョンエンドポイントのツールをご覧ください。

次のステップ

データ所在地を有効にして Security Command Center を有効にする方法を確認する。
Security Command Center のリージョンエンドポイントの使用方法を確認する。
Security Command Center を有効にして検出結果を BigQuery にストリーミングできるようにします。
Security Command Center から Pub/Sub への継続的エクスポートを設定します。
検出結果のミュートルールを作成します。