Google Cloud Well-Architected Framework のセキュリティ、プライバシー、コンプライアンスの柱では、セキュリティ、プライバシー、コンプライアンスの要件を満たすクラウド ワークロードを設計、デプロイ、運用するうえで役立つ推奨事項について説明します。
このドキュメントは、さまざまなセキュリティ プロフェッショナルとエンジニアのニーズを満たす貴重な分析情報を提供する目的で作成されています。次の表に、このドキュメントの対象読者を示します。
| オーディエンス | このドキュメントの内容 |
|---|---|
| 最高情報セキュリティ責任者(CISO)、ビジネス ユニット リーダー、IT マネージャー | クラウドで優れたセキュリティを確立して維持し、セキュリティ分野の包括的なビューを確保して、セキュリティ投資に関する十分な情報に基づいた意思決定を行うための一般的なフレームワーク。 |
| セキュリティ アーキテクトとセキュリティ エンジニア | ソリューションがセキュリティ、効率性、スケーラビリティを重視して設計されるように、設計フェーズと運用フェーズで行う主なセキュリティ対策。 |
| DevSecOps チーム | 包括的なセキュリティ制御を組み込み、安全で信頼性の高いインフラストラクチャを実現する自動化を計画するためのガイダンス。 |
| コンプライアンス担当者、リスク管理担当者 | コンプライアンス義務を満たすための安全保護対策を備えた、構造化されたリスク管理アプローチに沿った主なセキュリティ推奨事項。 |
Google Cloud ワークロードがセキュリティ、プライバシー、コンプライアンスの各要件を満たすようにするには、組織内のすべての関係者が協力的なアプローチを採用する必要があります。また、クラウド セキュリティはお客様と Google の間で共有される責任であることを認識する必要があります。詳細については、 Google Cloudにおける責任と運命の共有をご覧ください。
この柱の推奨事項は、コア セキュリティ原則にグループ化されています。各原則ベースの推奨事項は、組織にとって重要となる可能性があるクラウド セキュリティの重点分野の 1 つ以上にマッピングされます。各推奨事項では、組織のセセキュリティ ポスチャーを改善するうえで役立つGoogle Cloud のプロダクトや機能の使用と構成に関するガイダンスがハイライト表示されています。
基本原則
この柱の推奨事項は、次のセキュリティの基本原則にグループ化されています。この柱の原則はどれも重要です。組織やワークロードの要件によっては、特定の原則を優先させることができます。
- 安全性を重視した設計を実装する: アプリケーションとインフラストラクチャの初期設計フェーズから、クラウド セキュリティとネットワーク セキュリティの考慮事項を組み込みます。Google Cloud には、この原則を適用するためのアーキテクチャ ブループリントと推奨事項が用意されています。
- ゼロトラストを実装する: 「決して信用するな、常に検証せよ」のアプローチを使用します。リソースへのアクセスは、信頼の継続的な検証に基づいて許可されます。 Google Cloudは、Chrome Enterprise Premium や Identity-Aware Proxy(IAP)などのプロダクトを通じてこの原則をサポートしています。
- シフトレフト セキュリティを実装する: ソフトウェア開発ライフサイクルの早い段階でセキュリティ管理を実装します。システムを変更する前にセキュリティ上の欠陥が生じるのを防ぎます。システムの変更が commit された後、セキュリティ バグを早期に、迅速かつ確実に検出して修正します。 Google Cloud は、Cloud Build、Binary Authorization、Artifact Registry などのプロダクトを通じてこの原則をサポートしています。
- 先制的なサイバー防御を実装する: 脅威インテリジェンスなどの堅牢な基本的対策を実装して、セキュリティに対するプロアクティブなアプローチを採用します。このアプローチにより、脅威の検出と対応をより効果的に行うための基盤を構築できます。Google Cloudの階層化されたセキュリティ管理へのアプローチは、この原則に沿っています。
- AI を安全かつ責任を持って使用する: AI システムを責任を持って安全に開発してデプロイします。この原則の推奨事項は、Well-Architected Framework の AI と ML の視点と Google の セキュア AI フレームワーク(SAIF)のガイダンスに沿っています。
- セキュリティに AI を使用する: AI 機能を使用し、Gemini in Security と全体的なプラットフォーム セキュリティ機能を通じて、既存のセキュリティのシステムとプロセスを改善します。AI をツールとして使用して、復旧作業の自動化を促進し、セキュリティ対策を確実にして他のシステムのセキュリティを強化します。
- 規制、コンプライアンス、プライバシーのニーズを満たす: 業界固有の規制、コンプライアンス標準、プライバシー要件に準拠します。 Google Cloud は、Assured Workloads、組織ポリシー サービス、コンプライアンス リソース センターなどのプロダクトを通じて、これらの義務への対応を支援します。
組織のセキュリティに関する考え方
クラウドの導入と運用を成功させるには、セキュリティを重視する組織の考え方が不可欠です。この考え方は組織の文化に深く根付いており、前述のコア セキュリティ原則に沿った実践に反映されている必要があります。
組織のセキュリティに関する考え方では、システム設計時にセキュリティを考慮し、ゼロトラストを前提として、開発プロセス全体を通じてセキュリティ機能を組み込むことが強調されます。この考え方では、サイバー防衛対策についても事前に検討し、AI を安全に使用してセキュリティを確保し、規制、プライバシー、コンプライアンスの各要件も考慮します。これらの原則を採用することで、脅威に事前に対処し、貴重なアセットを保護して、責任を持ってテクノロジーを使用するように支援するセキュリティ重視の文化を組織で育むことができます。
クラウド セキュリティの重点分野
このセクションでは、アプリケーション、システム、データのセキュリティを計画、実装、管理する際に重点を置くべき領域について説明します。この柱の各原則の推奨事項は、これらの重点分野の 1 つ以上に関連しています。このドキュメントの残りの部分では、推奨事項で対応するセキュリティの重点分野を明記し、さらに明確に詳細な背景を明らかにしています。
| 重点分野 | アクティビティとコンポーネント | 関連する Google Cloud のプロダクト、機能、ソリューション |
|---|---|---|
| インフラストラクチャのセキュリティ |
|
|
| Identity and Access Management |
|
|
| データセキュリティ |
|
|
| AI と ML のセキュリティ |
|
|
| セキュリティ運用(SecOps) |
|
|
| アプリケーションのセキュリティ |
|
|
| クラウドのガバナンス、リスク、コンプライアンス |
|
|
| ロギング、監査、モニタリング |
|
寄稿者
著者:
- Wade Holmes | グローバル ソリューション ディレクター
- Hector Diaz | クラウド セキュリティ アーキテクト
- Carlos Leonardo Rosario | Google Cloud セキュリティ スペシャリスト
- John Bacon | パートナー ソリューション アーキテクト
- Sachin Kalra | グローバル セキュリティ ソリューション マネージャー
その他の寄稿者:
- Anton Chuvakin | CISO オフィス、セキュリティ アドバイザー
- Daniel Lees | クラウド セキュリティ アーキテクト
- Filipe Gracio, PhD | カスタマー エンジニア兼 AI / ML スペシャリスト
- Gary Harmson | プリンシパル アーキテクト
- Gino Pelliccia | プリンシパル アーキテクト
- Jose Andrade | カスタマー エンジニア兼 SRE スペシャリスト
- Kumar Dhanagopal | クロス プロダクト ソリューション デベロッパー
- Laura Hyatt | カスタマー エンジニア兼 FSI
- Marwan Al Shawi | パートナー カスタマー エンジニア
- Nicolas Pintaux | カスタマー エンジニア、アプリケーション モダナイゼーション スペシャリスト
- Noah McDonald | クラウド セキュリティ コンサルタント
- Osvaldo Costa | ネットワーキング スペシャリスト カスタマー エンジニア
- Radhika Kanakam | Google Cloud Well-Architected Framework プログラム リード
- Samantha He | テクニカル ライター
- Susan Wu | アウトバウンド プロダクト マネージャー