Spanner のセキュリティ、プライバシー、リスク、コンプライアンス

このドキュメントでは、 での Spanner のセキュリティをサポートするさまざまなコントロールの概要について説明します。また、コントロールの構成方法に関する詳細情報のリンク先も示します。 Google Cloud ネットワーク セキュリティ オプション、ポリシー、アクセス 管理などによるセキュリティ管理は、ビジネスリスクに対処し、ビジネスに適用されるプライバシーなどの規制 要件を満たすうえでも役立ちます。

Spanner のセキュリティ、プライバシー、リスク、コンプライアンスは、 責任共有 モデル を使用します。たとえば、Google は Spanner などの その他 Google Cloud のサービスが実行されるインフラストラクチャを保護し、サービスとリソースへのアクセスを管理するための 機能を提供します。Google によるインフラストラクチャの保護の詳細については、Google インフラストラクチャのセキュリティ設計の概要をご覧ください。

プロビジョニングされたサービス

Spanner の使用を始めるときに、次の API を有効にします。

• https://spanner.googleapis.com

詳細については、クイックスタート: コンソールを使用して Spanner でデータベースを作成しクエリを実行する Google Cloud をご覧ください。

に対する認証の管理 Google Cloud

Spanner インスタンスを作成して管理する管理者とデベロッパーは、自身の ID とアクセス権限を検証するため、 に対して認証を行う必要があります。 Google Cloud 各ユーザーに、Cloud Identity、Google Workspace、または Cloud Identity、Google Workspace と連携させた ID プロバイダによって管理される ユーザー アカウントを設定する必要があります。詳細については、Identity and Access Management の概要をご覧ください。

ユーザー アカウントを作成したら、シングル サインオンや 2 段階認証プロセスなどのセキュリティに関するベスト プラクティスを実装します。

リソース アクセスの認証 Google Cloud

Workforce Identity 連携を使用すると、 外部 ID プロバイダ（IdP）を使用してワークフォース ユーザーを認証し、 リソースにアクセスできるようにします。 Google Cloud ユーザーが リソースにプログラムでアクセスする必要があり、ユーザーの認証情報を OpenID Connect（OIDC）または Security Assertion Markup Language（SAML）をサポートする IdP に保存する場合は、Workforce Identity 連携を使用します。 Google Cloud

Workload Identity 連携を使用すると、外部 IdP を使用して、サービス アカウント キーを使用せずに、オンプレミスまたはマルチクラウドのワークロードに Google Cloud リソースへのアクセス権を付与できます。ID 連携は、Amazon Web Services（AWS）、Microsoft Entra ID、GitHub、Okta などの IdP で使用できます。

ID 連携に対する Spanner のサポートの詳細については、 連携 ID をサポートする サービスをご覧ください。

での認証の詳細については、認証をご覧ください。 Google Cloud

Identity and Access Management

管理者とデベロッパーの Identity and Access Management（IAM）ロールを大規模に管理するには、さまざまなユーザーロールとアプリケーションに個別の機能グループを作成することを検討してください。Spanner の管理に必要な IAM ロールまたは権限をグループに付与します。グループにロールを割り当てるときは、最小権限の原則やその他の IAM セキュリティのベスト プラクティスに従ってください。詳細については、Google グループの使用に関するベスト プラクティスをご覧ください。

IAM の設定の詳細については、 IAM の概要をご覧ください。

Spanner は IAM のきめ細かいアクセス制御をサポートしています。これにより、IAM プリンシパルを使用して、Spanner データベース、テーブル、列、ビューへのアクセスを制御できます。詳細については、きめ細かい アクセス制御についてをご覧ください。

Spanner サービス アカウント

Spanner を有効にすると、Google によってサービス アカウントが作成されます。サービス アカウントは特別なタイプの 非インタラクティブな Google アカウントです。通常はユーザーではなく、アプリケーションや Compute Engine インスタンスなどのコンピューティング ワークロードが使用します。アプリケーションはサービス アカウントを使用して Google API にアクセスします。

サービス エージェント

Spanner がユーザーに代わってリソースにアクセスできるようにするため、Google Cloud は サービス エージェントと呼ばれる特別なサービス アカウントを作成します。

Spanner を有効にすると、次の Spanner サービス エージェントが作成されます。

service-PROJECT_ID@gcp-sa-spanner.iam.gserviceaccount.com

Spanner のポリシー

Spanner に適用される事前定義された組織のポリシーには、次のものがあります。

• Spanner エディションを使用するインスタンスの作成を制限する（constraints/spanner.managed.restrictCloudSpannerEditions）

ポリシーの詳細については、Use organization policies for Spannerをご覧ください。

カスタムの組織のポリシーを使用して、 プロジェクト、フォルダ、組織レベルで Spanner の制限を構成できます。詳しくは、 カスタムロールの作成と管理をご覧ください。

ネットワーク セキュリティ

デフォルトでは、 Google Cloud サービスを含む Spanner インスタンスで、転送中のデータにデフォルトの保護が適用されます Google Cloud。デフォルトのネットワーク保護の詳細については、転送データの暗号化をご覧ください。

組織で必要に応じて、追加のセキュリティ管理を構成し、ネットワーク上のトラフィックと、ネットワークと企業ネットワーク間のトラフィックをさらに保護できます。 Google Cloud Google Cloud 次の点を考慮してください。

• Spanner は VPC Service Controls をサポートしています。 VPC Service Controls を使用すると、Google サービス内のデータの移動を制御し、コンテキスト ベースの境界セキュリティを設定できます。
• では Google Cloud、ネットワーク トポロジとして共有 VPCを使用することを検討してください。共有 VPC により、環境の分離を維持しながら、ネットワーク構成管理を一元化できます。
• Cloud VPN または Cloud Interconnect を使用して、企業ネットワークと Google Cloudの間の接続のセキュリティと 信頼性を最大化します。詳細については、Choosing a Network Connectivity プロダクトの選択をご覧ください。

ネットワーク セキュリティのベスト プラクティスの詳細については、ゼロトラストを実装すると ランディング ゾーンのネットワーク設計を決定するをご覧ください。 Google Cloud

アプリケーションの接続

アプリケーションと Spanner 間の接続を保護するには、 次の方法を使用します。

• サーバーレス VPC アクセス。Spanner を Cloud Run に直接接続します。
• Private Service Connect。Spanner のプライベート IP アドレスを使用して、 の別の VPC 内のマネージド アプリケーションに接続します。 Google Cloud この方法を使用して、トラフィックを に保持します Google Cloud。

外部 IP アドレスのないサービスへの接続を設定するオプションの詳細については、サービスのプライベート アクセスのオプションをご覧ください。

クライアント認証

Spanner には、クライアント用に次の認証方法が用意されています。

• IAM 認証

データ保護とプライバシー

Spanner は、 Google Cloud に保存されているデータを デフォルトの暗号化を使用して暗号化します。データの例を次に示します。

• テーブルと列の名前
• インデックス名
• データベース スキーマ
• テーブルに保存されたデータ

このデータにアクセスできるのは Spanner インスタンスのみです。

顧客管理の暗号鍵（CMEK）を有効にして、保存データを暗号化できます。CMEK では、鍵はソフトウェアで保護された鍵またはハードウェアで保護された鍵（Cloud HSM を使用）として Cloud Key Management Service（Cloud KMS） に保存されますが、管理はユーザーが行います。暗号鍵を自動的にプロビジョニングするには、Cloud KMS Autokey を有効にします。Autokey を有効にすると、デベロッパーは Cloud KMS から鍵をリクエストできます。サービス エージェントは、デベロッパーの意図に一致する鍵をプロビジョニングします。Cloud KMS Autokey を使用すると、鍵はオン デマンドで使用でき、一貫性があり、業界標準のプラクティスに準拠しています。

さらに、Spanner は Cloud External Key Manager（Cloud EKM）をサポートしているため、 の外部にある外部鍵マネージャーに鍵を保存できます。 Google Cloud詳細については、顧客管理の暗号鍵（CMEK）の概要をご覧ください。

データ処理の場所

Spanner は、データの所在地 に保存されているデータの をサポートしています Google Cloud。データ所在地では、リソース ロケーション制限ポリシーの制約を使用して、データを保存するリージョンを選択できます。Cloud Asset Inventory を使用して、Spanner リソースのロケーションを確認できます。

使用中のデータにデータ所在地が必要な場合は、 Assured Workloads を構成できます。詳細については、Assured Workloads とデータ 所在地をご覧ください。

データのプライバシー

データのプライバシーを保護するため、Spanner は 共通のプライバシー 原則に準拠しています。

Spanner は、顧客データのデータ処理者として機能します。Google は、請求、アカウント管理、不正行為の検出などの情報に対するデータ管理者としても機能します。詳しくは、Google Cloud プライバシー に関するお知らせをご覧ください。

監査ロギング

Spanner は、次の種類の監査ログを書き込みます。

• 管理アクティビティ監査ログ: メタデータまたは構成情報を書き込む ADMIN WRITE オペレーションが記録されます。

• データアクセス監査ログ: メタデータまたは構成情報を読み取る ADMIN READ オペレーションが記録されます。ユーザー提供のデータの読み取りまたは書き込みを行う DATA READ オペレーションと DATA WRITE オペレーションが記録されます。

• システム イベント監査ログ: リソースの構成を変更する 自動化 Google Cloud アクションを特定します。

詳細については、監査ロギングをご覧ください。

アクセスの透明性

アクセス承認とアクセスの透明性を使用すると、サービスをサポートする Google 社員による Spanner インスタンスへのアクセスを制御できます。アクセス承認では、Google 社員からのアクセス リクエストを確認した後、必要に応じてリクエストを承認または拒否できます。アクセスの透明性ログは、管理者がリソースにアクセスした際の分析情報を準リアルタイムで提供します。 Google Cloud

モニタリングとインシデント対応

Spanner のパフォーマンスとセキュリティをモニタリングするために、さまざまなツールを使用できます。 次の点を考慮してください。

• ログ エクスプローラを使用して、イベントログを表示して分析し、 カスタム指標とアラートを作成します。
• Cloud Monitoring ダッシュボードを使用して、Spanner のパフォーマンスをモニタリングします。詳細については、Spanner をモニタリングするをご覧ください。
• Security Command Center に クラウド コントロールとフレームワーク をデプロイして、Spanner に対する脆弱性と脅威（ 権限昇格など）を検出します。セキュリティ オペレーション センター（SOC）アナリストが検出結果に対応できるように、アラートと ハンドブックを設定できます。

認証とコンプライアンス

規制要件への対応は、お客様と Google の 責任の共有 です。

Spanner は、次のようなさまざまな認定を受けています。

• ISO 27001
• SOC 2
• HIPAA

が準拠しているさまざまな規制の枠組みと認証について詳しくは、 Google Cloud コンプライアンス リソース センターをご覧ください。

Spanner は Assured Workloads もサポートしています。これにより、規制、地域、主権の要件をサポートする Google 組織内の特定のフォルダにコントロールを適用できます。詳細については、 コントロール パッケージ別のサポート対象プロダクトをご覧ください。

次のステップ

• バックアップを有効にする。
• Google Threat Intelligence を使用して、ビジネスに対する外部脅威を追跡する。
• Spanner の Identity and Access Management の詳細を確認する。
• Spanner でのデータ暗号化の詳細を確認する。