暗号化の指標を表示する

Cloud Key Management Service(Cloud KMS)には、保存データを保護する暗号鍵に関する指標が表示されます。これらの指標は、リソースがどのように保護されているか、鍵が推奨事項に準拠しているかどうかを示しています。指標は、CMEK 統合サービスのリソースを保護するために使用される顧客管理の暗号鍵(CMEK)に重点を置いています。このガイドでは、プロジェクトの暗号化指標を表示する方法と、組織のセキュリティ対策にどのような意味があるかを把握する方法について説明します。

CMEK を使用して Cloud de Confianceのリソースを保護するための推奨事項については、CMEK の使用に関するベスト プラクティスをご覧ください。

始める前に

  1. 暗号化指標を表示するために必要な権限を取得するには、プロジェクトまたは親リソースに対する Cloud KMS 閲覧者 roles/cloudkms.viewer)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

    必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

  2. Cloud KMS 組織のサービス エージェントのロールを Cloud KMS 組織のサービス エージェントに付与します。

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.s3ns-system.iam.gserviceaccount.com \
    --role=roles/cloudkms.orgServiceAgent

    この手順をスキップすると、暗号化指標ダッシュボードに不完全な情報が表示される可能性があります。たとえば、PROJECT_A の暗号化指標を表示する場合、PROJECT_A の鍵で保護されている PROJECT_B のリソースは指標に含まれません。

暗号化の指標を表示する

暗号化指標を表示する手順は次のとおりです。

  1. Cloud de Confiance コンソールで、[鍵管理] ページに移動します。

    [鍵管理] に移動

  2. [概要] タブをクリックし、[暗号化指標] をクリックします。

  3. プロジェクト選択ツールを使用してプロジェクトを選択します。ダッシュボードには、そのプロジェクトのリソースと鍵の次の暗号化指標が表示されます。

    • [このプロジェクトのリソース(保護タイプ別)] グラフと [サービス別のリソース保護タイプ] グラフには、CMEK カバレッジの概要指標が表示されます。
    • [鍵使用に関する推奨事項への準拠] グラフには、鍵の準拠に関する概要指標が表示されます。鍵の準拠に関する詳細も確認できます。

キーの準拠に関する詳細を表示する

プロジェクト内のキーのリストを表示し、どの推奨事項に沿っているかを確認する手順は次のとおりです。

  1. [暗号化指標] ページで、[鍵使用に関する推奨事項への準拠] グラフを見つけます。

  2. 省略可: Cloud KMS Autokey で作成された鍵のみに焦点を当てるには、[Cloud KMS(Autokey)] タブをクリックします。手動で作成された鍵のみを表示するには、[Cloud KMS(手動)] タブをクリックします。

  3. キーのリストを表示し、各推奨事項に沿っているかどうかを確認するには、カテゴリを表すセクションをクリックし、[表示] をクリックします。

    [鍵使用に関する推奨事項への準拠] ページには、選択したプロジェクトの Cloud KMS 鍵が一覧表示され、各推奨事項に準拠しているかどうかが [準拠] または [準拠していない] で示されます。鍵が推奨事項に対して調整済みまたは未調整であることの意味については、このドキュメントの鍵の調整をご覧ください。

  4. 省略可: キーのリストをフィルタリングするには、[filter_list] の [フィルタ] ボックスに検索キーワードを入力し、Enter キーを押します。たとえば、リストをフィルタして、粒度の推奨事項と整合しているキーのみを表示できます。

暗号化の指標について

暗号化指標ダッシュボードは、Cloud Asset Inventory サービスを使用して、リソースと Cloud KMS 鍵に関する情報を収集します。ダッシュボードは、使用可能な最新のデータを使用してオンデマンドで指標を計算します。

ダッシュボードには、CMEK カバレッジとキー アライメントという 2 つの主要な指標カテゴリが表示されます。どちらの指標にも、集計情報を含む概要ビューと、リソースまたはキーの表形式のリストを含む詳細ビューが表示されます。

CMEK の適用範囲

[このプロジェクトのリソース(保護タイプ別)] グラフと [サービス別のリソース保護タイプ] グラフの CMEK カバレッジ指標は、CMEK で保護されているリソースの数を示しています。この指標は、CMEK 統合と Cloud KMS 鍵の追跡がサポートされているリソースを対象としています。リソースは次のカテゴリに分類されます。

  • Google 管理の暗号化: Google のデフォルトの暗号化で保護されているリソース。
  • Cloud KMS(手動): 手動で作成して管理する CMEK によって保護されるリソース。
  • Cloud KMS(Autokey): Autokey サービスによってプロビジョニングおよび割り当てられた CMEK によって保護されているリソース。

CMEK カバレッジ指標は、プロジェクト全体に対して表示され、保護された各リソースに関連付けられたサービスごとに分類されます。この情報を使用して、選択したプロジェクト内のリソースのうち、CMEK を使用できるにもかかわらず Google のデフォルトの暗号化を使用しているリソースの数を評価できます。

サポートされているリソースタイプの一覧については、追跡対象のリソースタイプをご覧ください。

キーの調整

[鍵使用に関する推奨事項への準拠] グラフの鍵の準拠指標は、Cloud KMS 鍵が次の推奨されるセキュリティ対策に準拠しているかどうかを示します。

  • ローテーション期間: 鍵に適切なローテーション期間が設定されている。
  • 粒度: 鍵は、1 つのプロジェクトにあり、1 つのサービスに属するリソースを保護します。
  • 職務の分離: 鍵を使用して暗号化と復号を行う権限を持つのはサービス アカウントのみです。
  • ロケーション: 鍵は、同じクラウド ロケーションにあるリソースのみを保護します。

鍵の整合性指標には、選択したプロジェクト内のすべての Cloud KMS 対称暗号鍵が含まれます。CMEK 統合サービスでリソースの保護に使用されていない場合でも含まれます。これらの指標は、鍵バージョンではなく鍵に対して評価されます。たとえば、アクティブな鍵バージョンがない鍵でも、これらの推奨事項のいずれかまたはすべてについて「準拠」と表示されることがあります。

以降のセクションでは、これらの各プラクティスについて詳しく説明します。

粒度

キーの粒度とは、キーの使用目的の規模と範囲を指します。鍵は、1 つのリソースのみを保護する粒度の高いものもあれば、多くのリソースを保護する粒度の低いものもあります。粒度の低い鍵を使用すると、不正アクセスや偶発的なデータ損失などのセキュリティ インシデントの影響が大きくなる可能性があります。

一般に、次の粒度戦略をおすすめします。

  • 各鍵は、単一のロケーション(us-central1 など)のリソースを保護します。
  • 各鍵は、単一のサービスまたはプロダクト(BigQuery など)のリソースを保護します。
  • 各鍵は、単一の Cloud de Confiance プロジェクト内のリソースを保護します。

この推奨事項は、組織にとって理想的な粒度戦略ではない可能性があります。ほとんどの組織にとって、この戦略は、粒度の高い鍵を多数維持するオーバーヘッドと、多くのプロジェクト、サービス、リソース間で共有される粒度の低い鍵を使用する潜在的なリスクとの間で、適切なバランスを提供します。

プロジェクト内の各キーは、保護するリソースがすべて同じロケーション、サービス、プロジェクト内にある場合、この推奨事項に準拠していると見なされます。保護するリソースが 2 つ以上のロケーション、サービス、プロジェクトに存在する場合、キーはこの推奨事項に沿っていないと見なされます。

鍵がこの推奨事項に沿っていない場合は、鍵の粒度戦略の調整が組織に適しているかどうかを検討してください。鍵の粒度に関する推奨事項の詳細については、鍵の粒度戦略を選択するをご覧ください。

場所

ほとんどの場合、CMEK 統合サービスで使用される Cloud KMS 鍵は、保護するリソースが配置されている Cloud de Confiance リージョンまたはマルチリージョンと完全に同じである必要があります。ただし、一部のサービスではこのルールに例外が認められています。

プロジェクト内の各鍵は、保護するリソースがすべて鍵と同じロケーションにある場合(us-central1 のリソースを保護する us-central1 の鍵など)、この推奨事項に沿っていると見なされます。リージョン鍵は、同じリージョン内のゾーンリソースを保護できます。たとえば、us-central1a のリソースを保護する us-central1 の鍵などです。

別のリージョンまたはマルチリージョンのリソースを保護している鍵は、この推奨事項に沿っていないと見なされます。たとえば、us-central1 リージョンの Compute Engine ディスクを保護している us マルチリージョンの鍵などです。

キーがこの推奨事項に沿っていない場合は、リソースまたはキーを同じロケーションに移動または置き換えることを検討してください。ロケーションの詳細については、Cloud KMS のロケーションをご覧ください。

回転する

鍵を定期的にローテーションすることは、情報セキュリティの重要な側面です。たとえば、特定のスケジュールで鍵をローテーションすることが求められる標準もあります。機密性の高いワークロードを保護する鍵は、より頻繁にローテーションする必要がある場合があります。Cloud KMS では、鍵の自動ローテーションを設定して、選択したスケジュールが確実に実行されるようにすることができます。

プロジェクト内の各キーにローテーション スケジュールが設定されている場合、そのキーはこの推奨事項に沿っていると見なされます。鍵が自動鍵ローテーション用に設定されていない場合、鍵は調整されていないと見なされます。

自動ローテーションを有効にするには、次のいずれかを行います。

職掌分散

職務の分離は、ユーザーや他のプリンシパルに過剰な権限を付与しないことを目的としたセキュリティ プラクティスです。Cloud KMS と CMEK 統合のコンテキストでは、Cloud KMS 鍵を管理するユーザーには、それらの鍵を使用する権限が付与されていません。また、鍵を使用してリソースを暗号化および復号するプリンシパルには、鍵に対する他の権限が付与されていません。

次の両方が当てはまる場合、プロジェクト内の各鍵は、この推奨事項に沿っていると見なされます。

  • 保護されたリソースのサービス アカウントは、鍵に対する cloudkms.cryptoKeyVersions.useToEncrypt 権限と cloudkms.cryptoKeyVersions.useToDecrypt 権限を持つ唯一のプリンシパルです。
  • 保護されたリソースのサービス アカウントに、roles/cloudkms.adminroles/editorroles/owner などの鍵の管理権限を付与するロールがありません。

サービス アカウントに管理権限がある場合、または別のプリンシパルに暗号化または復号権限がある場合、キーは調整されていないと見なされます。

鍵がこの推奨事項に沿っていない場合は、鍵と他の Cloud KMS リソースの IAM ロールと権限を確認し、不要なロールと権限の付与を削除します。Cloud KMS のロールと、そのロールに含まれる権限の詳細については、権限とロールをご覧ください。Cloud KMS リソースの IAM ロールの表示と削除の詳細については、IAM を使用したアクセス制御をご覧ください。

制限事項

暗号化指標ダッシュボードには次の制限があります。

  • ダッシュボードには、一度に 1 つのプロジェクトの指標が表示されます。
  • ダッシュボードには、プロジェクトあたり 10,000 個のリソースまたは鍵の上限があります。プロジェクトに 10,000 個を超える鍵が含まれている場合、またはプロジェクト内の鍵が 10,000 個を超えるリソースを保護している場合は、一部の指標のみが表示されます。
  • このダッシュボードは、Cloud Asset Inventory サービスのデータに依存しています。Cloud Asset Inventory のデータが古い場合、ダッシュボードに不正確または不完全な情報が表示されることがあります。
  • ダッシュボードでは、鍵の調整と CMEK のカバレッジについて対称鍵のみが考慮されます。
  • ダッシュボードでは、鍵の使用状況トラッキングをサポートするリソースのみが考慮されます。
  • キーの整合性指標では、追跡可能なリソースを保護する CMEK としてアクティブに使用されているキー、他のユースケースでアクティブに使用されているキー、アクティブなキー バージョンがないキーが区別されません。たとえば、キーの整合性データには、カスタム アプリケーションで使用されるキーが含まれている場合があります。
  • キーの調整データに、追跡不可能なリソースとカスタム アプリケーションを保護するキーが含まれている場合、これらのキーの調整の詳細が正確でない可能性があります。たとえば、複数のプロジェクトの複数のカスタム アプリケーションで使用されている鍵は、実際にはそうでない場合でも、鍵の粒度に関する推奨事項に沿って [調整済み] と表示されることがあります。

次のステップ