パートナーによる主権管理における責任の共有

このページでは、パートナーによる主権管理における責任の共有について説明します。 Google Cloudにおける責任の共有に関する一般的な情報については、 Google Cloudにおける責任と運命の共有をご覧ください。

データに対する責任の共有

お客様は、ビジネスのセキュリティと規制の要件、そして機密データやリソースを保護する要件を把握するエキスパートです。 Google Cloudでワークロードを実行する場合、機密データと各ワークロードを保護するために、 Google Cloud で構成する必要のあるセキュリティ コントロールを特定する必要があります。実装するセキュリティ コントロールを決定するには、次の要素を考慮する必要があります。

  • 法令遵守義務
  • 組織のセキュリティ基準とリスク管理計画
  • お客様とベンダーのセキュリティ要件

顧客データの保護は Google のすべてのインフラストラクチャ、プロダクト、スタッフ業務で最も重要な考慮事項です。 Google Cloud は、顧客データサービスデータなど、多くのデータタイプに対して強力なセキュリティを提供します。ただし、ワークロードが特定の規制要件を満たす必要がある場合や、高度なセキュリティ管理を必要とする国家標準の対象となる場合は、内部ポリシーがデフォルトの構成オプションと異なる場合があります。このような要件がある場合は、必要なレベルのコンプライアンスを維持し、チームがデータ管理とサイバー セキュリティ管理全般のベスト プラクティスを遵守できるように、追加のツールと手法を採用することをおすすめします。

責任共有のために Google Cloud とパートナーによる主権管理を構成する

次の領域は、パブリック クラウドのユーザーとしてのお客様の責任です。

  • コンプライアンス要件やセキュリティ要件が異なるデータの部分を把握します。ほとんどのクラウドのお客様は、一般的な商用セキュリティを必要とする IT インフラストラクチャを所有しています。また、一部のお客様は、より高いコンプライアンス要件を満たす必要がある医療データなどの特定のデータを所有しています。パートナーによる主権管理は、より高いコンプライアンス要件を満たすのに役立ちます。特定のアクセス要件または所在地要件がある機密データまたは規制対象データは、適切なパートナーによる主権管理のフォルダまたはプロジェクトに配置し、そのままにします。
  • Identity and Access Management(IAM)を構成して、適切な担当者が組織のコンテンツにアクセスし、変更できるようにします。
  • 個人データが公開されないように、組織階層を作成して整理します。
  • すべてのドキュメントを読んで、ベスト プラクティスを理解し、それに従っていることを確認します。
  • テクニカル サポート セッションやトラブルシューティング中に慎重に情報を共有し、準拠した Sovereign Controls by Partners フォルダの外部に機密データや規制対象データを配置または共有しないようにします。

機密データや規制対象データの範囲は、お客様またはお客様の顧客が対象となる規制などのさまざまな要因によって異なり、次のような要因が含まれます。

  • アカウント情報
  • 健康に関する情報
  • お客様またはユーザーの個人識別情報
  • カード所有者情報
  • ID 番号

責任共有モデルにおける Google の責任

Google とお客様の間の責任共有パートナーシップでは、Google がクラウド ビジネスを成功に導くための基本的な要素とインフラストラクチャに責任を負います。その一部は、お客様がGoogle Cloud を構成してデータを適切に保護する責任を負うことに依存しています。Google の責任の例を次に示します。

  • デフォルトの暗号化インフラストラクチャ制御を適用します。
  • 設定した IAM ポリシーを適用して、ワークロードの管理とデータアクセスを特定した ID に制限します。
  • 選択したコンプライアンス体制に関連付けられている、パートナーによるお客様が選択した Sovereign Controls を、構成したリソースの保護されたデータ型に対して構成して適用します。これには、データの保存場所や、適切なビジネス アクティビティの過程でお客様のデータにアクセスできる Google 社員に関する制限が含まれます。
  • 規制対象の業界と場所による影響を受けやすいデータに対して、パートナーによる主権管理を介して構成と制御を提供します。
  • フォルダとプロジェクトの階層全体でポリシーを構成できる組織のポリシーリソース設定を提供します。
  • アカウントやリソースへのアクセスに関する分析情報を提供する Policy Intelligence ツールを提供します。

ヨーロッパと EU に固有の構成

パートナーによる主権管理を使用する場合、お客様は Google Cloud で提供される GDPR 保証に加えて追加の技術的管理を利用でき、コンプライアンスの取り組みの一環としてデータ所在地とセキュリティ管理を調整できます。これらの制御には、次のものがあります。

  • データ所在地で説明されている EU データ境界。
  • 復処理者を含む、EU 地域内の EU 担当者へのルーティングをサポートします。
  • 管理アクセスのリクエストとアクセスの可視化。
  • ポリシー主導型のアクセス承認(主権管理のみ)。
  • データ暗号化と鍵管理のカスタム オプション。

機密データや規制対象データに推奨されない一般的なフィールドの例

規制対象のお客様と主権を有するお客様は、 Google Cloud サービスにデータを入力する際に注意することをおすすめします。技術的な制御で保護されていない可能性のある共通の入力フィールドや、パートナーによる主権管理の技術的な制御境界に含まれていない可能性のある共通の入力フィールドに、機密データや規制対象データを追加しないことが重要です。この方法は、規制要件を遵守し、機密情報や規制対象情報を保護するために必要です。お客様をサポートするため、さまざまな Google Cloud サービスで特に注意が必要な例のリストを作成しました。

機密データや規制対象データを次の一般的なフィールドに配置しないでください。

  • リソース名と ID
  • プロジェクトまたはフォルダの名前と ID
  • 説明フィールドまたはラベル
  • ログベースの指標
  • VM サイズと類似のサービス構成
  • URI またはファイルパス
  • タイムスタンプ
  • ユーザー ID
  • ファイアウォール ルール
  • セキュリティ スキャン構成
  • 顧客の IAM ポリシー

次のステップ