このドキュメントでは、Cloud de Confiance by S3NSを使用するワークロードを実行する際に安全なエンタープライズ基盤を構築するためのベスト プラクティスとガイドラインについて説明します。安全なエンタープライズ基盤には、次の制御が含まれます。
認証と認可
このセクションでは、 Cloud de Confiance by S3NSでワークロードを実行する際の Identity and Access Management(IAM)と Cloud Identity のベスト プラクティスとガイドラインについて説明します。
デフォルトのサービス アカウントに対する IAM ロールの自動付与を無効にする
| Google コントロール ID | IAM-CO-4.1 |
|---|---|
| 実装 | 必須 |
| 説明 | Cloud de Confiance by S3NS サービスが制限の緩すぎるロールを持つデフォルトのサービス アカウントを自動的に作成する場合、 デフォルトでは、一部のシステムで自動アカウントに過度に広範な権限が付与されるため、セキュリティ リスクが生じる可能性があります。たとえば、この制約を適用せずにデフォルトのサービス アカウントを作成すると、そのサービス アカウントにはプロジェクトの編集者ロール( |
| 対象プロダクト |
|
| パス | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
| 演算子 | 次に一致 |
| 値 |
|
| 型 | ブール値 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
外部サービス アカウント キーの作成をブロックする
| Google コントロール ID | IAM-CO-4.2 |
|---|---|
| 実装 | 必須 |
| 説明 |
|
| 対象プロダクト |
|
| パス | constraints/iam.disableServiceAccountKeyCreation |
| 演算子 | 次に一致 |
| 値 |
|
| 型 | ブール値 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
サービス アカウント キーのアップロードをブロックする
| Google コントロール ID | IAM-CO-4.3 |
|---|---|
| 実装 | 必須 |
| 説明 |
|
| 対象プロダクト |
|
| パス | constraints/iam.disableServiceAccountKeyUpload |
| 演算子 | 次に一致 |
| 値 |
|
| 型 | ブール値 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
組織のポリシー管理者の職務分離を構成する
| Google コントロール ID | OPS-CO-6.1 |
|---|---|
| 実装 | 必須 |
| 説明 | Cloud de Confiance by S3NS 組織のセキュリティ ポスチャーに責任を負うグループに、組織のポリシー管理者(
roles/orgpolicy.policyAdmin)ロールを割り当てます。セキュリティ ポリシーに違反するリソースの作成を回避するため、このロールをプロジェクト オーナーに割り当てないでください。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
特権管理者アカウントで 2 段階認証プロセスを有効にする
| Google コントロール ID | CI-CO-6.1 |
|---|---|
| 実装 | 必須 |
| 説明 | Google では、特権管理者アカウントの 2 段階認証プロセス(2SV)に Titan セキュリティ キーを使用することを推奨しています。ただし、この方法が不可能なユースケースでは、別のセキュリティ キーを代わりに使用することをおすすめします。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
特権管理者組織部門に 2 段階認証プロセスを適用する
| Google コントロール ID | CI-CO-6.2 |
|---|---|
| 実装 | 必須 |
| 説明 | 特定の組織部門(OU)または組織全体に 2 段階認証プロセス(2SV)を適用します。特権管理者用の OU を作成し、その OU に 2 段階認証プロセスを適用することをおすすめします。 |
| 対象プロダクト |
Cloud Identity |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
メインの特権管理者専用のメールアドレスを作成する
| Google コントロール ID | CI-CO-6.4 |
|---|---|
| 実装 | 必須 |
| 説明 | 特定のユーザーに固有でないメールアドレスを、Cloud Identity のメインの特権管理者アカウントとして作成します。
|
| 対象プロダクト |
Cloud Identity |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
冗長な管理者アカウントを作成する
| Google コントロール ID | CI-CO-6.7 |
|---|---|
| 実装 | 必須 |
| 説明 | 特権管理者または組織管理者が 1 人もいない。1 つ以上の(最大 20 個)バックアップ管理者アカウントを作成します。特権管理者または組織管理者が 1 人しかいない場合、ロックアウト シナリオが発生する可能性があります。また、1 人のユーザーがプラットフォームを変更する可能性があり、監視がない可能性があるため、リスクも高くなります。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
Privileged Access Manager を使用する
| Google コントロール ID | GCVE-CO-3.2 |
|---|---|
| 実装 | 必須 |
| 説明 | Privileged Access Manager を使用して、特権アクセスを管理します。その他のアクセスについては、アクセス グループを使用し、グループ メンバーシップの有効期限を自動的に設定し、グループ メンバーシップの承認ワークフローを実装します。 最小権限モデルを使用すると、必要なリソースに対して必要な場合にのみアクセス権を付与できます。既定のロールを使用すると、カスタムロールによるスプロールが軽減され、ロールのライフサイクルを管理する必要がなくなるため、使用が簡素化されます。 |
| 対象プロダクト |
Identity and Access Management(IAM) |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
ID の信頼できる情報源を定義する
| 実装 | 必須 |
|---|---|
| 説明 | マネージド ユーザー ID のプロビジョニングの信頼できる情報源を決定します。パターンには、Cloud Identity でのユーザー ID の作成、既存の ID プロバイダからの ID の同期、Workforce Identity 連携の使用などがあります。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
安全なパスワード ポリシーを適用する
| 実装 | 必須 |
|---|---|
| 説明 | すべてのユーザー アカウントに安全で一意のパスワードを適用します。パスワード マネージャーの使用を検討してください。脆弱な認証情報や認証情報がないことは、悪意のあるユーザーが簡単に悪用できる一般的なパターンです。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
職務に基づくロールを使用する
| 実装 | 必須 |
|---|---|
| 説明 | 職務機能に基づく Identity and Access Management(IAM)ロールを使用して、ユーザーに権限を割り当てます。職務機能は、管理者が職務機能に限定された一連の権限を提供できるようにする事前定義ロールです。これにより、生産性が向上し、権限の要求のやり取りが減ります。組織の要件に合わせて、事前定義ロールに基づいてカスタムロールを作成できます。 |
| 対象プロダクト |
IAM |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
グループ内の外部メンバーを制限する
| 実装 | 必須 |
|---|---|
| 説明 | 組織全体のポリシーを設定して、外部メンバーが Google グループに追加されないようにします。 デフォルトでは、外部ユーザー アカウントを Cloud Identity のグループに追加できます。グループ オーナーが外部メンバーを追加できないように、共有設定を構成することをおすすめします。 この制限は、特権管理者アカウント、または Google グループの管理者権限を持つ他の代理管理者には適用されないことに注意してください。ID プロバイダからの連携は管理者権限で実行されるため、グループ共有設定はこのグループ同期には適用されません。ID プロバイダと同期メカニズムの管理機能を確認して、ドメイン以外のメンバーがグループに追加されないようにするか、グループ制限を適用することをおすすめします。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
1 日のセッションの長さを設定する
| 実装 | 必須 |
|---|---|
| 説明 | Cloud de Confiance by S3NS サービスのセッション継続時間を設定して、少なくとも 1 日に 1 回は期限切れになるようにします。アカウントに長時間ログインしたままにしておくと、セキュリティ上のリスクが生じます。セッション継続時間の最大値を適用すると、設定した時間が経過するとセッションが自動的に終了し、新しい安全なログインが強制されます。 この方法により、悪意のあるユーザーが盗んだパスワードを使用する機会が減り、アクセスが定期的に再確認されるようになります。 新規のお客様には、デフォルトのセッション継続時間 16 時間が自動的に適用されます。2023 年より前に Cloud de Confiance by S3NS 組織を作成したお客様は、再認証を必要としないデフォルト設定になっている場合があります。この設定を確認して、セッション継続時間が 1 ~ 24 時間の再認証ポリシーがあることを確認します。再認証ポリシーによって更新トークンが無効になり、ユーザーはパスワードまたはセキュリティ キーを使用して gcloud CLI を定期的に再認証する必要があります。 Cloud de Confiance by S3NS サービスのセッション継続時間は、Google Workspace サービス全体でログインするためのウェブ セッションを制御する Google サービスのセッション継続時間とは異なりますが、 Cloud de Confiance by S3NSの再認証は制御しません。Google Workspace サービスを使用する場合は、両方のセッション継続時間を設定します。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
管理対象外の一般ユーザー向けアカウントを修復する
| 実装 | 必須 |
|---|---|
| 説明 | 管理対象外の一般ユーザー向けアカウントを許可しないでください。管理対象外の一般ユーザー向けアカウントを統合し、ドメインで管理対象外の一般ユーザー向けアカウントが作成されないようにするためのソリューションを検討します。 管理対象外の一般ユーザー アカウントは、入社、異動、退職(JML)プロセスに則って管理されないため、従業員が退職した後もリソースにアクセスできるリスクが生じます。これらのアカウントは、ドメイン制限付き共有などの制御に関しても外部として扱われます。 |
| 対象プロダクト |
Cloud Identity |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
専用の管理者と複数の関係者による承認を適用する
| 実装 | 必須 |
|---|---|
| 説明 | 特権管理者アカウントが日常業務のユーザー アカウントとは別であることを確認します。特権管理者アカウントは、重大な変更を行う場合にのみ使用される専用のアカウントである必要があります。セキュリティを強化するには、管理操作に対する複数の関係者による承認をオンにします。複数の関係者による承認を有効にすると、機密情報に関する操作を行う際に 2 人の管理者による承認が必要になるため、攻撃者が管理者アカウントを不正使用して他の管理者ユーザーをロックアウトするのを防ぐことができます。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
すべての Google アカウントと Cloud Identity ユーザーに対して多要素認証を有効にする
| Google コントロール ID | CI-CO-6.1 |
|---|---|
| 実装 | 必須 |
| 説明 | 特権管理者だけでなく、すべての Google アカウントと Cloud Identity ユーザーに対して多要素認証(MFA、2 段階認証プロセス(2SV)とも呼ばれます)を有効にします。特権管理者の MFA はデフォルトで有効になっています。パスワードだけでは十分なセキュリティ対策にならないことが多いため、MFA によって防御層が追加されます。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
デフォルトの作成者ロールを取り消す
| 実装 | 必須 |
|---|---|
| 説明 | 新しい組織のすべてのメンバーにデフォルトで付与されるドメイン全体のプロジェクト作成者ロールと請求先アカウント作成者ロールを削除します。 新しい組織では、ドメイン内のすべてのマネージド ユーザー ID にプロジェクト作成者と請求先アカウント作成者のロールが付与されます。これらのロールは開始には便利ですが、この構成は本番環境を対象としていません。請求先アカウントの増加を放置すると、管理オーバーヘッドが増加し、複数の請求先アカウントにサービスを分割する際に技術的な影響が生じます。自由形式のプロジェクト作成を許可すると、ガバナンス規約に準拠しないプロジェクトが作成される可能性があります。 代わりに、これらのロールを削除し、新しいプロジェクトをリクエストして課金に関連付けるプロジェクト作成プロセスを確立します。 |
| 対象プロダクト |
IAM |
| パス | resourcemanager.organizations/iamPolicy.bindings |
| 演算子 | not_contains |
| 値 |
|
| 型 | 文字列 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
サービス アカウント キーをローテーションする
| 実装 | 必須 |
|---|---|
| 説明 | サービス アカウント キーを使用する必要がある場合は、少なくとも 90 日に 1 回はキーをローテーションしてください。 ローテーション間隔により、攻撃者がシステムにアクセスできる期間が制限されます。ローテーション間隔がないと、攻撃者は永久にアクセスできます。可能な場合は、サービス アカウント キーの代わりに Workload Identity 連携の使用を検討してください。 |
| 対象プロダクト |
IAM |
| パス | constraints/iam.serviceAccountKeyExpiryHours |
| 演算子 | <= |
| 値 |
|
| 型 | 文字列 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
Workload Identity 連携を使用する
| 実装 | 必須 |
|---|---|
| 説明 | Workload Identity 連携を使用して、他のクラウドで実行されている CI/CD システムとワークロードが Cloud de Confiance by S3NSに対して認証できるようにします。Workload Identity 連携を使用すると、 Cloud de Confiance の外部で実行されるワークロードをサービス アカウント キーなしで認証できます。Workload Identity 連携は、サービス アカウント キーやその他の有効期間の長い認証情報を回避することで、認証情報の漏洩リスクを軽減します。 |
| 対象プロダクト |
IAM |
| パス | iam.googleapis.com/WorkloadIdentityPool |
| 演算子 | 設定されている |
| タイプ | 文字列 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
特権管理者アカウントの自己復元をブロックする
| Google コントロール ID | CI-CO-6.3 |
|---|---|
| 実装 | 必須 |
| 説明 | デフォルトでは、新規のお客様に対して特権管理者アカウントの自己復元は無効になっています。ただし、既存のお客様は、この設定がオンになっている可能性があります。この設定をオフにすると、スマートフォン、メールの不正使用、ソーシャル エンジニアリング攻撃によって、攻撃者が環境に対する特権管理者権限を取得することになるリスクを軽減できます。 特権管理者がアカウントにアクセスできなくなった場合に組織内の別の特権管理者に連絡できる内部プロセスを計画し、すべての特権管理者がサポートによる復元のプロセスに精通していることを確認します。 この機能を無効にするには、Google 管理コンソールでアカウントの復元設定に移動します。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
機密性の高いユースケースのアイドル セッション タイムアウトを設定する
| 実装 | 必須 |
|---|---|
| 説明 | 機密性の高いユースケースでは、アイドル セッションのタイムアウトを 15 分に設定します。アイドル状態のセッションは、攻撃者が認証情報を盗むために使用する可能性があります。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
管理者に対してハードウェア セキュリティ キーを適用する
| 実装 | 必須 |
|---|---|
| 説明 | 可能であれば、特権管理者または組織管理者にハードウェア セキュリティ キーを 2 つ目の要素として提供します。特権管理者アカウントは、高度な攻撃の最も価値の高い標的です。ハードウェア セキュリティ キーは、フィッシング耐性があるため、高いレベルの保護を提供します。ハードウェア セキュリティ キーは、最も重要な管理者に対するアカウントの乗っ取りを防ぐうえで最も強力な防御策であり、標準の MFA ポリシーを基盤としています。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
SSO 後の検証を有効にする
| 実装 | 必須 |
|---|---|
| 説明 | 外部 ID プロバイダを使用している場合は、SSO 後の検証を設定します。 Google のログインリスク分析に基づいて、追加の制御レイヤを有効にします。この設定を適用すると、あるユーザーのログインが疑わしいと Google が判断した場合に、リスクがあるものとして、ログイン時に追加の本人確認が表示されることがあります。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
プリンシパル アクセス境界ポリシーを有効にする
| 実装 | 必須 |
|---|---|
| 説明 | プリンシパル アクセス境界(PAB)ポリシーを有効にして、プリンシパルのアクセスを制限し、フィッシングやデータ流出を防ぎます。組織のプリンシパル アクセス境界ポリシーを有効にして、外部のフィッシング攻撃を回避します。PAB は、ID が侵害された攻撃の範囲を縮小することでセキュリティを強化します。また、外部のフィッシング攻撃やその他のデータ漏洩攻撃を防ぐのにも役立ちます。 |
| 対象プロダクト |
IAM |
| パス | iam.googleapis.com/PrincipalAccessBoundaryPolicy |
| 演算子 | 設定されている |
| タイプ | 文字列 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
タグを実装して、IAM ポリシーと組織のポリシーを効率的に割り当てる
| Google コントロール ID | IAM-CO-6.1 |
|---|---|
| 実装 | 推奨 |
| 説明 | タグを使用すると、リソースのアノテーションを作成できます。場合によっては、リソースに特定のタグが付加されているかどうかに基づいて、条件付きでポリシーの許可や拒否を行うことができます。タグと条件付きポリシー適用を使用して、リソース階層全体にわたり、きめ細かい制御を行います。 |
| 対象プロダクト |
Resource Manager |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
IAM に対するリスクの高い変更を監査する
| Google コントロール ID | IAM-CO-7.1 |
|---|---|
| 実装 | 推奨 |
| 説明 | Cloud Audit Logs を使用して、組織管理者や特権管理者などのリスクの高いロールがアカウントに付与されるなど、リスクの高いアクティビティをモニタリングします。このタイプのアクティビティに関するアラートを設定します。 |
| 対象プロダクト |
Cloud Audit Logs |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
Cloud Identity のマネージド ユーザー アカウントの Cloud Shell へのアクセスをブロックする
| Google コントロール ID | CI-CO-6.8 |
|---|---|
| 実装 | 推奨 |
| 説明 | Cloud de Confiance by S3NSへの過剰なアクセス権を付与しないようにするには、Cloud Identity のマネージド ユーザー アカウントに対する Cloud Shell へのアクセスをブロックします。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
Google コンソールのコンテキストアウェア アクセスを構成する
| Google コントロール ID | IAM-CO-8.2 |
|---|---|
| 実装 | 省略可 |
| 説明 | コンテキストアウェア アクセスを使用すると、ユーザー ID、アクセス元の地域、デバイスのセキュリティ状況、IP アドレスなどの属性に基づいて、アプリケーションに対する詳細なアクセス制御セキュリティ ポリシーを設定できます。コンテキストアウェア アクセスを使用して、 Cloud de Confiance コンソール(https://console.cloud.google.com/)と Google 管理コンソール(https://admin.cloud.google.com)へのアクセスを制限することをおすすめします。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
特権管理者アカウントの自己復元をブロックする
| Google コントロール ID | CI-CO-6.3 |
|---|---|
| 実装 | 省略可 |
| 説明 | 攻撃者は自己復元プロセスを使用して、特権管理者のパスワードを再設定する可能性があります。シグナリング システム 7(SS7)攻撃、SIM スワップ攻撃、その他のフィッシング攻撃に関連するセキュリティ リスクを軽減するため、この機能をオフにすることをおすすめします。この機能を無効にするには、Google 管理コンソールでアカウントの復元設定に移動します。
|
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
使用していない Google サービスをオフにする
| Google コントロール ID | CI-CO-6.6 |
|---|---|
| 実装 | 省略可 |
| 説明 | 通常は、使用しないサービスをオフにすることをおすすめします。
|
| 対象プロダクト |
Cloud Identity |
| パス | http://admin.google.com > Apps > Additional Google Services |
| 演算子 | 設定 |
| 値 |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
組織
このセクションでは、 Cloud de Confiance by S3NSでワークロードを実行する際の組織のポリシー サービスと Resource Manager のベスト プラクティスとガイドラインについて説明します。
Google API でサポートされる TLS バージョンを制限する
| Google コントロール ID | COM-CO-1.1 |
|---|---|
| 実装 | 必須 |
| 説明 | Cloud de Confiance は複数の TLS プロトコル バージョンをサポートしています。コンプライアンス要件を満たすため、古い TLS バージョンを使用しているクライアントからの handshake リクエストを拒否する場合があります。 このコントールを構成するには、TLS バージョンを制限( 組織のポリシー階層の評価の動作により、TLS バージョン制限は、指定されたリソースノードのほかに、そのすべての子フォルダとプロジェクトに適用されます。たとえば、組織で TLS バージョン 1.0 を拒否すると、その組織の子孫であるすべての子でも拒否されます。 子リソースの組織のポリシーを更新すると、継承された TLS バージョン制限をオーバーライドできます。たとえば、組織のポリシーが組織レベルで TLS 1.0 を拒否する場合、そのフォルダに別の組織のポリシーを設定することで子フォルダの制限を解除できます。フォルダに子がある場合、ポリシーの継承により、フォルダのポリシーが各子リソースにも適用されます。 TLS バージョンを TLS 1.3 のみに制限するには、このポリシーを設定して TLS バージョン 1.2 も制限します。このコントールは、 Cloud de Confiance by S3NS内でホストするアプリケーションに実装する必要があります。たとえば、組織レベルで次のように設定します。
|
| 対象プロダクト |
すべて。組織のポリシー サービスによって管理 |
| パス | gcp.restrictTLSVersion |
| 演算子 | == |
| 値 |
|
| 型 | 文字列 |
| コンプライアンス マネージャーのコントロール ID | RESTRICT_LEGACY_TLS_VERSIONS |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
承認済みプリンシパルを制限する
| Google コントロール ID | COM-CO-4.1 |
|---|---|
| 実装 | 必須 |
| 説明 | Cloud de Confiance by S3NS 環境で組織の ID のみが許可されるようにします。ドメインで制限された共有( これらの制約により、従業員が組織の管理外の外部アカウントにアクセス権を付与することを防ぐことができます。これらのアカウントは、多要素認証(MFA)やパスワード管理に関するセキュリティ ポリシーに準拠していません。この制御は、不正アクセスを防ぎ、信頼できる管理対象の企業 ID のみを使用できるようにするために不可欠です。 |
| 対象プロダクト |
|
| パス | constraints/iam.allowedPolicyMemberDomains |
| 演算子 | 次に一致 |
| 値 |
|
| 型 | リスト |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
リソース サービスの使用を制限する
| Google コントロール ID | RM-CO-4.1 |
|---|---|
| 実装 | 必須 |
| 説明 |
この制約を使用すると、組織で承認済みサービスの許可リストを作成できるため、従業員が審査されていないサービスを使用するのを防ぐことができます。 |
| 対象プロダクト |
|
| パス | constraints/gcp.restrictServiceUsage |
| 演算子 | 次に一致 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
リソースのロケーションを制限する
| Google コントロール ID | RM-CO-4.2 |
|---|---|
| 実装 | 必須 |
| 説明 | リソース ロケーション制限( この制約により、組織は、リソースとデータが特定の承認済み地理的リージョンでのみ作成および保存されるように強制できます。 |
| 対象プロダクト |
|
| パス | constraints/gcp.resourceLocations |
| 演算子 | 次に一致 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
ネットワーキング
このセクションでは、 Cloud de Confiance by S3NSでワークロードを実行する際の Virtual Private Cloud(VPC)と Cloud DNS のベスト プラクティスとガイドラインについて説明します。
デフォルト ネットワークの作成をブロックする
| Google コントロール ID | VPC-CO-6.1 |
|---|---|
| 実装 | 必須 |
| 説明 |
デフォルト ネットワークは、内部通信パスを許可する IPv4 ファイアウォール ルールが事前入力された自動モードの Virtual Private Cloud(VPC)ネットワークです。通常、この設定は本番環境で推奨されるセキュリティ対策ではありません。 |
| 対象プロダクト |
|
| パス | constraints/compute.skipDefaultNetworkCreation |
| 値 |
|
| 型 | ブール値 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
DNS Security Extensions を有効にする
| Google コントロール ID | DNS-CO-6.1 |
|---|---|
| 実装 | 必須 |
| 説明 | DNSSEC(Domain Name System Security Extensions)は、ドメイン名のルックアップに対するレスポンスを認証するドメイン ネーム システム(DNS)の機能です。これらのルックアップに対するプライバシー保護は行いませんが、DNS リクエストに対するレスポンスの改ざんや汚染を防ぎます。 Cloud DNS 内の次の場所で DNSSEC を有効にします。
|
| 対象プロダクト |
Cloud DNS |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
限定公開の Google アクセスを有効にする
| Google コントロール ID | GCVE-CO-1.5 |
|---|---|
| 実装 | 必須 |
| 説明 | すべてのサブネットでプライベート Google アクセスを有効にします。 プライベート Google アクセスを有効にすると、サービスは外部 IP アドレスを持たないサービスにアクセスできます。 Cloud de Confiance by S3NS デフォルトでは、プライベート Google アクセスは新しいリソースで有効になっていません。明示的に有効にするには、追加の手順が必要です。 |
| 対象プロダクト |
Virtual Private Cloud(VPC) |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
サービス プロデューサーのプライベート サービス アクセスを有効にする
| Google コントロール ID | GCVE-CO-1.6 |
|---|---|
| 実装 | 必須 |
| 説明 | プライベート サービス アクセスを有効にして、Google Cloud VMware Engine レガシー ネットワークなどのサービスと Cloud SQL などのサービス プロデューサーの間にプライベート ネットワークを作成します。 Cloud de Confiance by S3NS プライベート サービス アクセスを使用すると、ワークロード ネットワーク接続をインターネットに不必要に公開することを回避できます。 |
| 対象プロダクト |
Virtual Private Cloud(VPC) |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
IPv6 を無効にする(必要な場合を除く)
| 実装 | 必須 |
|---|---|
| 説明 | 特に必要な場合を除き、IPv6 外部サブネットの作成を無効にします。攻撃対象領域を減らすには、アクティブに管理されていないシステムやネットワークで IPv6 を無効にすることを検討してください。多くの組織では、IPv4 のセキュリティ管理とモニタリングが成熟していますが、ツールとポリシーが IPv6 に完全に拡張されていないため、脅威に対する大きな盲点が生じる可能性があります。デュアルスタック ネットワークを実行すると、運用が複雑になり、効果的に管理してトラブルシューティングを行うには、特定の構成と専門知識が必要になります。したがって、IPv6 の明確なビジネス ドライバがない場合は、IPv6 を無効にすることで環境を簡素化し、確立された IPv4 セキュリティ体制で一貫してすべてのトラフィックをフィルタリングできます。 |
| 対象プロダクト |
Compute Engine |
| パス | constraints/compute.disableVpcExternalIpv6 |
| 演算子 | 次に一致 |
| 値 |
|
| 型 | ブール値 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
アウトバウンド トラフィックを制限する
| 実装 | 必須 |
|---|---|
| 説明 | デフォルトではすべてのアクセスが許可されているため、外部ソースへのアクセスを制限します。下り(外向き)トラフィックの想定されるパターンに対して、特定のファイアウォール ルールを設定します。 デフォルトでは、システムがインターネットへのアウトバウンド接続を行うことが許可されていることが多く、これはセキュリティ上のリスクと見なされる可能性があります。デフォルト拒否ポリシーは送信トラフィックをブロックし、既知の必要な宛先に対してのみ特定のルールを作成する必要があります。 |
| 対象プロダクト |
Cloud Next Generation Firewall |
| パス | cloudasset.assets/assetType |
| 演算子 | == |
| 値 |
|
| 型 | 文字列 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
SSH ポートと RDP ポートへの上り(内向き)アクセスを制限する
| 実装 | 必須 |
|---|---|
| 説明 | 可能な場合は、特定のリソースとリソース範囲へのインバウンド アクセスのみを制限します。Identity-Aware Proxy(IAP)が構成されている場合は、上り(内向き)の SSH とリモート デスクトップ プロトコル(RDP)のファイアウォール ルールの送信元を IAP IP 範囲に設定します。 SSH と RDP のファイアウォール ルールが緩すぎると、ブルート フォース攻撃が可能になります。代わりに、SSH と RDP に Cloud de Confiance by S3NS ID 認識プロキシ(IAP など)を使用します。 |
| 対象プロダクト |
IAP |
| パス | cloudasset.assets/assetType |
| 演算子 | == |
| 値 |
|
| 型 | 文字列 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
VPC Service Controls を有効にする
| 実装 | 必須 |
|---|---|
| 説明 | VPC Service Controls を追加の保護レイヤとして有効にして、データ損失の可能性を防ぎます。 VPC Service Controls は、クラウド リソース、センシティブ データ、ネットワークの周囲に隔離の境界を作成することで、データの引き出しを防ぐことができます。 サービス境界により、侵害された認証情報の有用性が制限されます。これは、環境の外部にある攻撃者が制御するエンドポイントから発信された制限付きサービスへのリクエストが、境界によってブロックされるためです。 |
| 対象プロダクト |
VPC Service Controls |
| パス | accesscontextmanager.accessPolicies.servicePerimeters/perimeterType |
| 演算子 | == |
| 値 |
|
| 型 | 文字列 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
Cloud Armor ポリシーを使用する
| 実装 | 必須 |
|---|---|
| 説明 | Cloud Load Balancing の背後で公開されているアプリケーションの場合は、Google Cloud Armor のデフォルト ポリシーを使用するか、独自のポリシーを構成して、外部に公開されているアプリケーションやサービスにレイヤ 3 からレイヤ 7 までのネットワーク保護を追加します。Cloud Armor セキュリティ ポリシーは、レイヤ 7 フィルタリングを提供することでアプリケーションを保護します。これらのポリシーは、一般的なウェブ攻撃やトラフィックを妨げる可能性のある他のレイヤ 7 属性のリクエストも確認し、トラフィックがロード バランシングされたバックエンド サービスまたはバックエンド バケットに到達する前にブロックします。各セキュリティ ポリシーは、レイヤ 3 からレイヤ 7 の属性を含む一連のルールで構成されています。 |
| 対象プロダクト |
Cloud Armor |
| パス | compute.backendServices/securityPolicy |
| 演算子 | 設定されている |
| タイプ | 文字列 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
Access Context Manager のアクセス ポリシーでサービス スコープの制限を有効にする
| Google コントロール ID | COM-CO-8.1 |
|---|---|
| 実装 | 生成 AI のユースケースに推奨 |
| 説明 | すべてのサービス境界について、 Cloud de Confiance コンソールで境界のタイプが標準に設定されていることを確認します。 |
| 対象プロダクト |
|
| パス | accesscontextmanager.accessPolicies.servicePerimeters/perimeterType |
| 演算子 | == |
| 値 |
|
| 型 | 文字列 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
VPC Service Controls サービス境界内の API を制限する
| Google コントロール ID | COM-CO-8.2 |
|---|---|
| 実装 | 生成 AI のユースケースに推奨 |
| 説明 | サービス境界ごとに、Access Context Manager を使用して、境界が API を保護していることを確認します。 |
| 対象プロダクト |
|
| パス | accesscontextmanager.accessPolicies.servicePerimeters/status.restrictedServices |
| 演算子 | Anyof |
| 値 |
|
| 型 | 文字列 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
ゾーン DNS を使用する
| Google コントロール ID | DNS-CO-4.1 |
|---|---|
| 実装 | 省略可 |
| 説明 |
|
| 対象プロダクト |
組織のポリシー |
| パス | constraints/compute.setNewProjectDefaultToZonalDNSOnly |
| 演算子 | = |
| 値 |
|
| 型 | ブール値 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
ロギング、モニタリング、アラート
このセクションでは、 Cloud de Confiance by S3NS でのロギングと監査サービスのベスト プラクティスとガイドライン、Cloud Billing などのサービスのアラートの構成について説明します。
Cloud Identity から監査ログを共有する
| Google コントロール ID | CI-CO-6.5 |
|---|---|
| 実装 | 必須 |
| 説明 | Cloud Identity を使用している場合は、Cloud Identity から Cloud de Confiance by S3NSに監査ログを共有します。 Google Workspace または Cloud Identity の管理アクティビティ監査ログは通常、 Cloud de Confiance 環境のログとは別に Google 管理コンソールで管理および表示されます。これらのログには、ユーザーのログイン イベントなど、 Cloud de Confiance 環境に関連する情報が含まれています。 すべてのソースからのログを一元管理するために、Cloud Identity 監査ログを Cloud de Confiance 環境と共有することをおすすめします。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
監査ログを使用する
| Google コントロール ID | COM-CO-7.3 |
|---|---|
| 実装 | 必須 |
| 説明 | Cloud de Confiance サービスは、 Cloud de Confiance リソースで誰がいつどこで何をしたかを調べるために、監査ログエントリを書き込みます。 組織レベルで監査ロギングを有効にします。 Cloud de Confiance 組織の設定に使用するパイプラインを使用して、ロギングを構成できます。 |
| 対象プロダクト |
Cloud Audit Logs |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
VPC Flow Logs を有効にする
| Google コントロール ID | COM-CO-7.4 |
|---|---|
| 実装 | 必須 |
| 説明 | VPC Flow Logs は、VM インスタンスで送受信されたネットワーク フローのサンプルを記録します(Google Kubernetes Engine(GKE)ノードとして使用されたインスタンスを含む)。サンプルは通常、VPC ネットワーク フローの 50% 以下です。 VPC フローログを有効にすると、サブネット内のすべての VM に対して Logging を有効にすることになります。 ただし、Logging に書き込まれる情報の量は削減されます。 各 VPC サブネットで VPC Flow Logs を有効にします。プロジェクトの作成に使用するパイプラインを使用して、ロギングを構成できます。 |
| 対象プロダクト |
Virtual Private Cloud |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
ファイアウォール ルール ロギングを有効にする
| Google コントロール ID | COM-CO-7.5 |
|---|---|
| 実装 | 必須 |
| 説明 | デフォルトでは、ファイアウォール ルールはログを自動的に書き込みません。ファイアウォール ルール ロギングを使用すると、ファイアウォール ルールの効果を監査、検証、分析できます。このロギングを使用すると、たとえば、トラフィックを拒否するように指定されたファイアウォール ルールが意図したとおりに機能しているかどうかを確認できます。ロギングは、特定のファイアウォール ルールによって影響を受ける接続の数を判別する場合にも役立ちます。 各ファイアウォール ルールに対してロギングを有効にします。ファイアウォールの作成に使用するパイプラインを使用して、ロギングを構成できます。 |
| 対象プロダクト |
Virtual Private Cloud |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
管理者アクティビティの監査を有効にする
| Google コントロール ID | COM-CO-7.1 |
|---|---|
| 実装 | 必須 |
| 説明 | デフォルトでは、 Cloud de Confiance が有効になっており、特権アカウントの主要な管理者アクティビティの監査を無効にすることはできません。 管理アクティビティの監査ログには、リソースの構成やメタデータを変更する API 呼び出しやその他の操作に関するログエントリが含まれます。これらのログは、たとえば、ユーザーが VM インスタンスを作成したときや IAM 権限を変更したときに記録されます。 管理アクティビティ監査ログには、組織、フォルダ、プロジェクトのレベルで組織のポリシー制約の作成、変更、削除に関するログエントリが含まれます。 管理アクティビティの監査ログは必ず記録されます。構成、除外、無効化はできません。Cloud Logging API を無効にしても、管理アクティビティ監査ログは生成されます。 組織でこれらのアラートをモニタリングするポリシーと手順を設定し、管理者アクティビティのモニタリングに関するエンタープライズ アクセス ポリシーに従ってアクションまたはアラートを生成することをおすすめします。 |
| 対象プロダクト |
Cloud Audit Logs |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
セキュリティに関する公開情報を購読する
| Google コントロール ID | GKE-CO-1.8 |
|---|---|
| 実装 | 必須 |
| 説明 | Cloud de Confiance by S3NS サービスのセキュリティに関する公開情報通知に登録して、脆弱性と軽減策に関するアラートを受け取ります。 Cloud de Confiance by S3NS サービス(GKE など)に関連するセキュリティ情報が利用可能になると、サービスはそれらのイベントに関する通知を構成済みの Pub/Sub トピックにメッセージとして公開できます。これらの通知を Pub/Sub サブスクリプションで受信し、サードパーティ サービスと統合して、受信したい通知タイプをフィルタできます。 |
| 対象プロダクト |
すべて |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
重要な連絡先グループを構成する
| 実装 | 必須 |
|---|---|
| 説明 | 重要な通知がモニタリング対象のグループ エイリアスまたはメーリング リストに届くように、重要な連絡先を構成します。 Google は、セキュリティに関する重大なアラート(アカウントの不正使用の可能性など)を、重要な連絡先として登録されているメールアドレスに送信します。この目的で個人のメールアドレスを使用すると、その人が不在の場合や退職した場合にアラートを見逃す可能性があります。モニタリング対象のグループのメールアドレスを使用すると、これらの緊急性の高いアラートが迅速に対応できるアクティブなチームに確実に配信されます。 |
| 対象プロダクト |
Resource Manager |
| パス | essentialcontacts.googleapis.com/Contact |
| 演算子 | 設定されている |
| タイプ | 文字列 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
請求の異常をモニタリングする
| 実装 | 必須 |
|---|---|
| 説明 | Cloud Billing の請求異常機能を使用して、想定される費用の急増や偏差を追跡します。 クラウドの請求額が突然予想外に跳ね上がった場合、セキュリティ侵害の可能性が高いことを示しています。予期しない請求額の急増は、アクセス権を取得した攻撃者が不正なアクティビティにリソースを使用していることが原因で発生することがあります。 課金異常検出を有効にすると、この不審なアクティビティを自動的に検出できる重要な早期警告システムが提供されます。 |
| 対象プロダクト |
Cloud Billing |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
長期保存のためにログをログシンクにエクスポートする
| 実装 | 必須 |
|---|---|
| 説明 | セキュリティ モニタリング ソリューションのログをエクスポートするログシンクを作成し、要件を満たすように保持期間を設定します。 デフォルトのログ保持期間は、PCI や HIPAA などのコンプライアンス規制で義務付けられている 1 ~ 7 年の要件を満たすのに十分でないことがよくあります。 特定の法的義務と規制義務を遵守するには、ログを長期保存場所にエクスポートするログシンクを作成することが不可欠です。ログシンクを使用すると、高度な脅威検出のために、ログを一元的なセキュリティ モニタリング システムに送信することもできます。 |
| 対象プロダクト |
Cloud Logging |
| パス | logging.googleapis.com/LogSink/disabled |
| 演算子 | 次に一致 |
| 値 |
|
| 型 | ブール値 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
データアクセス監査ログを有効にする
| Google コントロール ID | COM-CO-7.2 |
|---|---|
| 実装 | 特定のユースケースで推奨 |
| 説明 | Cloud de Confiance by S3NS 環境でデータにアクセスしたユーザーを追跡するには、データアクセス監査ログを有効にします。これらのログには、ユーザーデータの読み取り、作成、変更を行う API 呼び出しと、リソース構成の読み取りを行う API 呼び出しが記録されます。 生成 AI モデルと機密データに対してデータアクセス監査ログを有効にすることを強くおすすめします。これにより、情報を読み取ったユーザーを監査できます。データアクセス監査ログを使用するには、特権管理者のログインなどの特定のアクティビティに対して独自のカスタム検出ロジックを設定する必要があります。 データアクセス監査ログのボリュームは大きなものになる可能性があります。データアクセス ログを有効にすると、 Cloud de Confiance プロジェクトに対して追加のログ使用量の費用が発生する可能性があります。 |
| 対象プロダクト |
Cloud Audit Logs |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
請求アラートを構成する
| Google コントロール ID | CB-CO-6.1 |
|---|---|
| 実装 | 推奨 |
| 説明 | Cloud Billing の予算を作成して、 Cloud de Confiance by S3NS のすべての料金を 1 か所でモニタリングすることで、想定外の請求が発生する事態を回避します。予算額を設定したら、プロジェクトごとに予算アラートしきい値のルールを設定して、メール通知をトリガーします。これらの通知は、予算に対する費用の追跡に役立ちます。Cloud Billing の予算を使用して、費用管理のレスポンスを自動化することもできます。 |
| 対象プロダクト |
Cloud Billing |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
アクセスの透明性ログを有効にする
| Google コントロール ID | COM-CO-7.7 |
|---|---|
| 実装 | 省略可 |
| 説明 | 標準ログには組織のユーザーが行った操作が表示されますが、アクセスの透明性ログには Google サポート スタッフがアカウントにアクセスしたときに行った操作が表示されます。通常、このアクセスはサポート リクエストに応じてのみ行われます。アクセスの透明性ログは、すべてのアクセスに関する完全で検証可能な監査証跡を提供します。これは、厳格なコンプライアンスとデータガバナンスの要件を満たすために不可欠です。 アクセスの透明性は組織レベルで有効にできます。 |
| 対象プロダクト |
アクセスの透明性 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
詳細な分析用に課金データをエクスポートする
| Google コントロール ID | CB-CO-6.2 |
|---|---|
| 実装 | 省略可 |
| 説明 | 請求の詳細な分析を行うには、 Cloud de Confiance by S3NS 課金データを BigQuery または JSON ファイルにエクスポートします。たとえば、指定した BigQuery データセットに使用量、費用の見積もり、料金など、1 日分の詳細なデータを自動的にエクスポートできます。これにより、BigQuery から Cloud Billing データにアクセスして、詳細な分析を行うことが可能になります。また、データポータルなどのツールを使用してデータを可視化することもできます。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
鍵とシークレットの管理
このセクションでは、Cloud de Confiance by S3NSでワークロードを実行する際の Cloud Key Management Service と Secret Manager のベスト プラクティスとガイドラインについて説明します。
Cloud de Confianceで保存データを暗号化する
| Google コントロール ID | COM-CO-2.1 |
|---|---|
| 実装 | 必須(デフォルト) |
| 説明 | Cloud de Confiance のすべてのデータは、デフォルトで NIST 承認済みのアルゴリズムを使用して保存時に暗号化されます。 |
| 対象プロダクト |
Cloud de Confiance デフォルト |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
暗号化と復号に NIST 承認済みのアルゴリズムを使用する
| Google コントロール ID | COM-CO-2.4 |
|---|---|
| 実装 | 必須 |
| 説明 | Cloud Key Management Service(Cloud KMS)が NIST 承認済みのアルゴリズムのみを使用して、環境内の機密鍵を保存していることを確認します。このコントールにより、NIST 承認済みのアルゴリズムとセキュリティのみを使用して、安全な鍵の使用が保証されます。 組織のポリシーに準拠していないアルゴリズムを削除します。 |
| 対象プロダクト |
Cloud KMS |
| パス | cloudkms.projects.locations.keyRings.cryptoKeys/versionTemplate.algorithm |
| 演算子 | in |
| 値 |
|
| 型 | 文字列 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
Cloud KMS 鍵の目的を設定する
| Google コントロール ID | COM-CO-2.5 |
|---|---|
| 実装 | 必須 |
| 説明 | Cloud KMS 鍵の目的を |
| 対象プロダクト |
Cloud KMS |
| パス | cloudkms.projects.locations.keyRings.cryptoKeys/purpose |
| 演算子 | == |
| 値 |
|
| 型 | 文字列 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
安全な BigQuery データ ウェアハウスに適切な CMEK 設定がされていることを確認する
| Google コントロール ID | COM-CO-2.6 |
|---|---|
| 実装 | 必須 |
| 説明 | 保護レベルは暗号オペレーションをどのように行うかを表します。顧客管理の暗号鍵(CMEK)を作成した後に、保護レベルを変更することはできません。サポートされている保護レベルは次のとおりです。
|
| 対象プロダクト |
|
| パス | cloudkms.projects.locations.keyRings.cryptoKeys/primary.protectionLevel |
| 演算子 | in |
| 値 |
|
| 型 | 文字列 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
暗号鍵を 90 日ごとにローテーションする
| Google コントロール ID | COM-CO-2.7 |
|---|---|
| 実装 | 必須 |
| 説明 | Cloud KMS 鍵のローテーション期間が 90 日に設定されていることを確認します。一般的なベスト プラクティスは、セキュリティ キーを定期的にローテーションすることです。このコントロールは、HSM サービスで作成された鍵のローテーションを強制します。 このローテーション期間を作成するときは、鍵マテリアルの作成、削除、変更を安全に処理するための適切なポリシーと手順も作成して、情報を保護し、可用性を確保できるようにします。この期間が、鍵のローテーションに関する企業ポリシーに準拠していることを確認します。 |
| 対象プロダクト |
Cloud KMS |
| パス | cloudkms.projects.locations.keyRings.cryptoKeys/rotationPeriod |
| 演算子 | <= |
| 値 |
|
| 型 | int32 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
シークレットの自動ローテーションを設定する
| Google コントロール ID | SM-CO-6.2 |
|---|---|
| 実装 | 必須 |
| 説明 | シークレットを自動的にローテーションし、不正使用が発生した場合は緊急時のローテーション手順を使用します。
|
| 対象プロダクト |
Secret Manager |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
マネージド暗号化戦略を作成する
| 実装 | 必須 |
|---|---|
| 説明 | Autokey、Cloud External Key Manager(Cloud EKM)、またはその両方で Cloud Key Management Service(Cloud KMS)を使用して、暗号化管理戦略を作成します。この戦略により、組織は独自の暗号鍵を使用して管理し、特定の要件を満たすことができます。独自の暗号鍵を使用すると、鍵を無効にしてデータへのアクセスを直ちにブロックする機能など、データアクセスに対する詳細な監査可能な制御が可能になります。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
Pub/Sub メッセージに CMEK を使用する
| Google コントロール ID | PS-CO-6.1 |
|---|---|
| 実装 | 推奨 |
| 説明 | Pub/Sub で顧客管理の暗号鍵(CMEK)を有効にすると、Pub/Sub がメッセージの保護に使用する暗号鍵をより詳細に制御できます。アプリケーション レイヤでは、Pub/Sub が受信メッセージを受信すると、Pub/Sub が受信メッセージを個別に暗号化します。Pub/Sub は、サブスクリプションにメッセージをパブリッシュする前に、トピック用に生成された最新のデータ暗号鍵(DEK)を使用してメッセージを暗号化します。Pub/Sub は、メッセージをサブスクライバーに配信する直前に復号します。Pub/Sub は Cloud de Confiance by S3NS サービス アカウントを使用して Cloud Key Management Service にアクセスします。サービス アカウントはプロジェクトごとに Pub/Sub によって内部的に維持されます。サービス アカウントのリストには表示されません。
|
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
顧客管理の暗号鍵のロケーションを制限する
| Google コントロール ID | COM-CO-2.2 |
|---|---|
| 実装 | 推奨 |
| 説明 | CMEK 用の KMS CryptoKey を提供できるプロジェクトを制限する( この制約を変更するには、管理者に組織ポリシー管理者( 独自の鍵の持ち込みなど、第 2 の保護レイヤを追加する場合は、この制約を変更して、有効になっている CMEK の鍵名を表します。 プロダクトの詳細:
|
| 対象プロダクト |
|
| パス | constraints/gcp.restrictCmekCryptoKeyProjects |
| 演算子 | notexists |
| 値 |
|
| 型 | 文字列 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
Cloud de Confiance サービスに CMEK を使用する
| Google コントロール ID | COM-CO-2.3 |
|---|---|
| 実装 | 推奨 |
| 説明 | 鍵オペレーションを Google Cloud-powered encryption keys よりも細かく制御する必要がある場合は、顧客管理の暗号鍵(CMEK)を使用できます。これらの鍵は、Cloud KMS を使用して作成および管理されます。鍵は、ソフトウェア鍵として、HSM クラスタまたは外部の鍵管理システムに保存します。 Cloud KMS の暗号化と復号の割合は、割り当ての対象になります。 Cloud Storage の詳細 Cloud Storage で、個々のオブジェクトに CMEK を使用するか、バケットに追加されたすべての新しいオブジェクトで CMEK がデフォルトで使用されるように Cloud Storage バケットを構成します。CMEK を使用すると、オブジェクトはバケットに保存されるときに Cloud Storage によって鍵で暗号化されます。オブジェクトがリクエスト元に提供されるときに、Cloud Storage によって自動的に復号されます。 Cloud Storage で CMEK を使用する場合、次の制限が適用されます。
|
| 対象プロダクト |
|
| パス | constraints/gcp.restrictNonCmekServices |
| 演算子 | == |
| 値 |
|
| 型 | 文字列 |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
シークレットを自動的に複製する
| Google コントロール ID | SM-CO-6.1 |
|---|---|
| 実装 | 推奨 |
| 説明 | ワークロードに特定のロケーション要件がない限り、自動レプリケーション ポリシーを選択してシークレットを複製します。自動ポリシーは、ほとんどのワークロードの可用性とパフォーマンスのニーズを満たしています。ワークロードに特定のロケーション要件がある場合は、API を使用して、シークレットの作成時にレプリケーション ポリシーのロケーションを選択できます。
|
| 対象プロダクト |
Secret Manager |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
セキュリティ ポスチャーと分析
このドキュメントでは、 Cloud de Confiance by S3NSでワークロードを実行する際の Security Command Center のベスト プラクティスとガイドラインについて説明します。
組織レベルで Security Command Center を有効にする
| Google コントロール ID | SCC-CO-6.1 |
|---|---|
| 実装 | 必須 |
| 説明 | 追加の構成を回避するため、組織レベルで Security Command Center を有効にします。Security Command Center を使用しない場合は、別のポスチャー管理ソリューションを有効にする必要があります。
|
| 対象プロダクト |
Security Command Center |
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |
Security Command Center からアラートを構成する
| Google コントロール ID | SCC-CO-7.1 |
|---|---|
| 実装 | 推奨 |
| 説明 | Security Command Center からのアラートにより、組織の可視性が向上し、 Cloud de Confiance by S3NS サービスの問題が通知されるため、適切な対応を取ることができます。Cloud Logging でアラートを設定すると、Security Command Center サービス エージェント(
service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com)に関連するエラーの通知を受け取ることができます。 |
| 対象プロダクト |
|
| 関連する NIST-800-53 コントロール |
|
| 関連する CRI プロファイル コントロール |
|
| 関連情報 |