これらの設定と機能を組み合わせることで、さまざまなコンプライアンス要件に対応することができます。ただし、Impact Level 4(IL4)やその他の標準に照らしてコンプライアンス要件を評価する責任はお客様にあります。
本記事では、Google Workspace 管理者が IL4 セキュリティ管理の遵守をサポートするために有効にすべき推奨設定と機能の概要について説明します。IL4 要件を満たすために必要な追加機能について詳しくは、eMASS の IL4 ドキュメントをご覧ください。
Google Workspace と IL4
クラウド セキュリティは、業界内では、お客様とクラウド サービス プロバイダ(CSP)が共有する責任として認識されています。Google Workspace 自体は、米国連邦政府およびクラウドのセキュリティとプライバシーに関する国際基準で求められるセキュリティ管理を維持しています。たとえば、Google Workspace は IL4 および FedRAMP High の認可を維持しているほか、ISO 27017、27018、27001 に対する認証を取得し、AICPA Service Organization Control(SOC)標準に対する監査も受けています。詳しくは、Google Workspace のコンプライアンス サービスとレポートをご覧ください。
Google Workspace は、IL4 境界内で運用する必要がある米国国防総省(DOD)のお客様向けに、IL4 を遵守するための管理機能を提供しています。
IL4 の遵守をサポートするには、Google Workspace Enterprise Plus エディションと Assured Controls Plus が必要です。
Enterprise Plus の Assured Controls Plus には、DOD のお客様が IL4 の遵守をサポートし、独自の運用承認(ATO)を発行できるようにする組み込みのセキュリティ管理と機能が含まれています。IL4 の遵守をサポートする Google Workspace の主な機能には、地理的に以下を制御できる機能が含まれます。
- データ リージョンを使用してデータを米国に制限
- Assured Controls アクセス管理を使用して、Google スタッフによるサポート対応を米国の Google サポートチーム メンバーに制限
以降のセクションでは、IL4 ポリシーの要件に対応するために使用できる機能とコントロールについて説明します。
IL4 の対象となるサービス
IL4 境界内に収まっていることが義務づけられているユーザーには、IL4 の認定要件を満たすサービスへのアクセス権のみを付与できます。詳しくは、Google Workspace ユーザー向けにサービスを有効または無効にするをご覧ください。
現在 IL4 認証の対象となっているサービス:
- Gmail
- Google カレンダー
- Google Chat
- Google ドキュメント
- Google ドライブ
- Google フォーム
- Google Meet
- Google スプレッドシート
- Google スライド
データのロケーション(米国)
Google は、Google Workspace サービスをホストするデータセンターを米国大陸部(CONUS)で所有、運用しています。
Google は、暗号化された Google Workspace の保存済みプライマリ データを、指定された地理的な保管場所(米国またはヨーロッパ)に保存できます。IL4 境界を維持する必要があるユーザーの場合は、[米国] を選択します。
DOD のお客様は、ベスト プラクティスとして、すべてのユーザーにデータ リージョン ポリシーを設定する必要があります。Enterprise Plus、Education Plus、Education Standard のエディションでは、組織部門または設定グループに対してデータ リージョンを設定できます。データ リージョンとデータの地理的な保管場所の選択について詳しくは、データ リージョン: データの地理的な保管場所を選択するをご覧ください。
Assured Controls
Assured Controls は、DOD のお客様が IL4 コンプライアンス要件をサポートするために必要なアドオンです。このアドオンを使用すると、クラウド サービス プロバイダのアクセスを詳細に制御できます。アクセス管理を使用すると、Google スタッフによるサポート対応を米国の Google サポートチーム メンバーのみに地理的に制限できます。IL4 の遵守をサポートするには、このアドオンを使用して、Google サポート担当者を米国の担当者に地理的に制限する必要があります。
アクセスの透明性
Google Workspace のアクセスの透明性は、Google のサポート スタッフが行った操作を組織が把握できるように設計された機能です。DOD のお客様は、アクセスの透明性ログをモニタリングして、データへのアクセスを追跡し、確認する必要があります。
データ損失防止(DLP)
Google Workspace のデータ損失防止(DLP)は、組織の Google Workspace 環境内の機密情報の不正な共有、漏洩、盗難を防ぐように設計された一連のツールとプロセスです。DLP ポリシーを設定して、データの送信をブロックする、管理者に通知する、コンテンツをレビューのために隔離するなど、機密データに関連する自動アクションを実行できます。
DOD のお客様は、組織内で機密情報がどのように処理されるかをモニタリングおよび管理するために、DLP を設定する必要があります。
シングル サインオン
Google Workspace のシングル サインオン(SSO)は、ユーザーが 1 組の認証情報で複数のアプリケーションやサービスにアクセスできるようにするための Google の認証プロセスです。
DOD のお客様は、強力な認証プロトコルを実装および適用し、承認された担当者のみが管理対象の非機密情報(CUI)にアクセスできるようにする必要があります。
Google Vault
Google Vault は、組織が Google Workspace アプリケーション内のデータを管理、保持、検索、書き出しできる、情報ガバナンスと電子情報開示のためのツールです。
DOD のお客様は、IL4 標準を遵守して CUI を適切に保持、アクセス、モニタリングできるように、保持機能と電子情報開示機能を設定する必要があります。
さらにサポートが必要な場合
詳しくは、Google の営業担当者または販売代理店にお問い合わせください。