Zenn
🌊

Google Cloud環境のコンプライアンス準拠を省力化するAudit Manager

に公開
Security
Google Cloud
tech

こんにちは、第二開発部所属の松島です。
本記事では Google Cloud の機能の一つである、Audit Manager について紹介したいと思います。

Audit Manager とは?

Audit Manager は Google Cloud 環境に対し、各種設定値がコンプライアンス基準に沿ったものになっているかをチェックしてくれる機能です。
これを利用することで、効率よくコンプライアンス準拠状況を確認することができます。

無料の Free tier と有料の Premium tier があります。
対応するコンプライアンス基準、フレームワークが異なっており、メジャーなフレームワークの多くが Premium で利用可能となっています。
詳細は下記リンクを参照ください。

https://cloud.google.com/products/audit-manager/pricing?hl=en

なお、Premium tier は金額や、SCC Enterprise に付属していることから、現時点では大規模な組織向けの機能だと推測されます。

動かしてみる

説明だけだとどんなものかイメージがつかないと思いますので、早速実際に動かしてみたいと思います。

0. 下準備

Audit Manager の監査レポートを出力する GCS バケットを作成しておきます。
趣旨から外れるため、これの詳細な手順は省略します。

1. Audit Managerの有効化

まずは Audit Manager を有効化していきます。「Enroll for Audit」から設定を開始します。

setup1

事前に作成しておいた GCS バケットを監査レポートの出力先として設定し、「ENROLL」をクリックします。

setup2

これでこのプロジェクトが監査の対象として登録されました。

2. 監査の実行

次に実際に監査を実行してみましょう。

execute1

監査の対象となる場所と、使用するフレームワークを選択します。無料版では「SOC2 2017」と「Google Recommended AI Controls」が利用可能です。今回はSOC2を選択します。

execute2

execute3

execute4

「監査を実行」をクリックすると監査が開始されますが、対象プロジェクトの数やプロジェクトの規模によって完了までに時間がかかります。

execute5

なお、設定途中で表示される「plan」は .ods 形式でダウンロード可能で、このファイルには行われる監査の詳細が記載されています。
下記の例では、Cloud SQL インスタンスに対して行われる監査内容と、対象となるリソース数が確認できます。

plan

3. 監査結果の確認

監査が完了すると、結果が表示されます。

result1

「Violations」を確認すると、コンプライアンス基準に違反している項目が表示されます。

result2

個別の検出事項を確認すると、対象リソースと現在の設定値、そして期待される設定値の条件確認することができます。

result3

あとは期待値とのギャップを解消する形で設定変更を行なっていけば、効率よくフレームワークへの準拠を進めることができます。

所感

Audit Manager は、操作が容易なため、コンプライアンス準拠に向けた初期のギャップ分析ツールとして非常に有用だと感じました。

一方で、検出事項の結果及び期待される設定値がややわかりにくい感があるため、生成 AI を活用して内容を整理するなど、工夫が必要かもしれません。

また、重要な注意点として、このツールは、あくまで準拠していない項目を特定するための手段であり、コンプライアンスの保証を提供するものではないことを認識しておく必要があります。
フレームワークの要求事項には、大概の場合単純な設定値だけでなく、運用ルールなども含まれているため、準拠のための一部の作業を効率化できるような位置付けと捉えるべきだと考えられます。

補足:SCCとの使い分け

Google Cloud には、Security Command Center (SCC)というセキュリティ管理サービスがあり、そちらもコンプライアンス違反を確認する機能を備えています。

SCC はセキュリティ上の脆弱な設定に関する検出事項を特定のコンプライアンスフレームワークの要求事項にマッピングする形で違反を検出します。

一方、Audit Manager は、コンプライアンスフレームワークの要求事項に対して、Google Cloud の設定が準拠しているかどうかを直接評価します。
そのため、Audit Manager の方がより直接的にコンプライアンス要求への対応状況をチェックする分、基準への準拠を目的とする場合は優位だと考えられます。

組織の状況に応じて、SCC と Audit Manager を併用することで、セキュリティとコンプライアンスの両面から効果的に管理することが可能になります。

おわりに

大規模な Google Cloud 組織で特定のコンプライアンス基準に準拠したいプロジェクトが多くあるような場合、Audit Manager は特に有用だと考えられます。
SCC Enterprise を利用されている方々は、特に厳しいコンプライアンス基準への適合を要求される環境を保持していることが多いかと思いますので、ぜひ Audit Manager をお試しください。

Discussion