セキュリティとデータアクセス方針
このページでは次の内容を説明します。
-
DoiT プラットフォームがどの顧客データにアクセスするのか、その理由、データの保存内容と方法
-
DoiT コンソールで特定の機能を有効にするために必要な権限
プライバシーとデータ保護
保存する内容
DoiT プラットフォームの機能に必要なデータのみを保存します。
- Cloud Billing exports — 請求のコア機能に必須。BigQuery に保存
- ユーザー情報 — DoiT プラットフォームのコア機能に必須。Firestore に保存
- DoiT コンソールで作成された資産(Invoices、Billing Profiles など)— DoiT プラットフォームのコア機能に必須。Firestore に保存
- 契約 — DoiT プラットフォームのコア機能に必須。Google Cloud Storage に保存
- サービスアカウントキー — BigQuery Intelligence に必須。Firestore に保存し、KMS で暗号化
データの取り扱いと保存方法
当社が取り扱うすべてのデータは、HTTPS(TLS)などの業界標準プロトコルで送信時に暗号化されます。
当社が保存するすべてのデータは、保存時に暗号化されます。
- Google BigQuery — Google 管理の暗号鍵と Advanced Encryption Standard(AES)を使用
- Google Firestore — Google 管理の暗号鍵と AES を使用
- Google Cloud Storage — Google 管理の暗号鍵と AES を使用
- サービスアカウントキー — Google Cloud KMS で暗号化し、Google Secret Manager に保存
データにアクセスできる者
アカウントマネージャーやサポートエンジニアなどの顧客対応ロールの DoiT 従業員は、DoiT プラットフォーム内のお客様のデータにアクセスできます。少数の中核的な DoiT プラットフォーム開発者チームは、基盤ストレージ内のデータに直接アクセスできます。
サービスアカウントキーは、バックエンドシステムが Google Cloud から関連データを取得するためにのみ使用します。KMS キーへのアクセス権を持つのは、少数の中核的な DoiT プラットフォーム開発者チームのみです。
サードパーティ
以下に記載する DoiT プラットフォームのコア機能に必要な例外を除き、当社はお客様のデータを第三者に提供しません。
- DoiT Platform Support — 当社はエキスパートへ問い合わせシステムのバックエンドとして Zendesk を使用しています。問い合わせ関連データは Zendesk に保存され、Zendesk API を使用して取得されます [1]。
- Payments — 当社は決済に Stripe を使用しています。すべての決済関連データ(クレジットカードまたは銀行口座などの詳細)は Stripe プラットフォームに保存され、Stripe API を通じて使用されます [2]。
コンプライアンス
当社の製品は、セキュリティ・プライバシー・コンプライアンス管理に関する独立した検証を定期的に受け、国際基準に基づく認証を取得しています。当社はカバレッジの拡大に継続的に取り組んでいます。
- EU および GDPR 準拠 — 当社は欧州経済領域に顧客を有し、General Data Protection Regulation(GDPR)に準拠してデータを取り扱っています [3]。
- SOC 2 および SOC 3 は、American Institute of Certified Public Accountants(AICPA)の Auditing Standards Board が策定した Trust Services Criteria(TSC)に基づくレポートです。本レポートは、セキュリティ・可用性・処理の完全性・機密性・プライバシーに関連する組織の情報システムを評価します。
- ISO/IEC 27001 は、情報セキュリティマネジメントシステム(ISMS)の要件を定義し、ベストプラクティスのセットを規定し、情報リスクの管理に役立つセキュリティ管理策を詳述しています。
DoiT プラットフォームの ISO/IEC 27001 および SOC 2/3 の認証書は、trust.doit.com からリクエストできます。
外部参照
- [1]: Zendesk Privacy and Data Protection
- [2]: Stripe Global Privacy Policy
- [3]: EU Data Protection page
Ava のセキュリティコンプライアンス
Ava は、お客様データの機密性・完全性・可用性を確保するため、最高水準のセキュリティ対策で設計された生成 AI チャットボットです。
GenAI 組織サブスクリプション
当社の組織は GenAI のエンタープライズサブスクリプションを契約しており、追加のセキュリティ層とコントロールを提供します。
- 強化されたセキュリティ対策:エンタープライズ加入者専用の追加のセキュリティプロトコル。
- 専用データハブ:Ava が処理するすべてのデータはプライベートで安全なデータハブに保存され、権限のない第三者がアクセスまたは漏えいすることはありません。加えて、当社は GenAI による学習目的でデータを提出することは決してありません。
顧客データの取り扱い
請求データ
Cloud Analytics(クラウド分析)レポートの生成にあたって:
- 認証要件:請求データには、当社の安全な認証システムでログインした顧客のみがアクセス・生成できます。
- API セキュリティ:当社は既存の Cloud Analytics API を活用しており、データが安全に処理され、権限のないユーザーに侵害・アクセスされないようにしています。
顧客コンテキストと資産管理
顧客固有のコンテキスト・資産・一般情報について:
- ベクターデータベースの使用:顧客の利用状況と関連性に基づき、ベクターデータベースを使用して顧客データを安全に保存・埋め込みします。
- データの分離:強固なフィルタリング機構により、各顧客のデータを分離し、他の顧客が互いのデータにアクセス・閲覧できないようにします。
これらのセキュリティ実践に従うことで、Ava はすべての顧客データを最高水準のセキュリティで取り扱い、不正アクセスを防止し、あらゆるオペレーションにおけるデータの完全性を維持します。
機能の権限
Google Cloud
コア機能
以下は、DoiT プラットフォームに必要な最小限の読み取り専用権限です。
アクセスレベル: Organization・Project
Google Cloud のリソース階層に関する情報を取得し、請求と相関させるための権限:
resourcemanager.projects.get
compute.addresses.list
compute.disks.get
compute.disks.list
compute.images.get
compute.images.list
compute.instances.get
compute.instances.list
compute.projects.get
compute.regions.get
compute.regions.list
compute.snapshots.get
compute.snapshots.list
compute.zones.get
compute.zones.list
compute.commitments.get
compute.commitments.list
Google Cloud API(例:Recommender API)のステータスを確認し(必要に応じて有効化する)ための権限:
serviceusage.services.enable
serviceusage.services.get
serviceusage.services.list
serviceusage.services.use
アクセスレベル: Organization のみ
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.projects.list
アクセスレベル: Project のみ
resourcemanager.projects.getIamPolicy
Ava 閲覧のみ
アクセスレベル: Organization・Project
「Ava へのアクセス権限の付与」 に基づき、特定の選択した組織またはプロジェクトに対して、環境全体のデータを露出させることなく、コンテキスト化された詳細なインサイトを安全に生成するために必要な権限。
compute.instanceGroups.get
compute.instanceGroupManagers.get
compute.routers.gets
compute.machineTypes.get
bigquery.tables.get
bigquery.tables.list
bigquery.datasets.get
bigquery.jobs.get
bigquery.jobs.list
bigquery.jobs.listAll
bigquery.capacityCommitments.get
bigquery.capacityCommitments.list
bigquery.reservations.get
bigquery.reservations.list
bigquery.reservationAssignments.list
bigquery.reservationAssignments.search
storage.buckets.get
storage.buckets.list
storage.buckets.getIamPolicy
storage.objects.getIamPolicy
cloudsql.instances.get
cloudsql.instances.list
dns.resourceRecordSets.list
cloudfunctions.functions.get
cloudfunctions.functions.list
cloudfunctions.operations.get
cloudfunctions.operations.list
cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.operations.get
cloudbuild.operations.list
pubsub.topics.get
pubsub.topics.list
pubsub.subscriptions.get
pubsub.subscriptions.list
pubsub.schemas.get
pubsub.schemas.list
logging.logs.list
logging.sinks.get
logging.sinks.list
logging.exclusions.get
logging.exclusions.list
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
monitoring.groups.get
monitoring.groups.list
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.services.get
monitoring.services.list
monitoring.slos.get
monitoring.slos.list
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
cloudasset.assets.listResource
cloudasset.assets.searchAllResources
cloudasset.operations.list
securitycenter.assets.get
vpcaccess.connectors.get
vpcaccess.connectors.list
vpcaccess.operations.get
vpcaccess.operations.list
iam.roles.get
iam.roles.list
iam.serviceAccounts.get
iam.serviceAccounts.list
iam.workloadIdentityPools.get
iam.workloadIdentityPools.list
iam.workloadIdentityPoolProviders.get
iam.workloadIdentityPoolProviders.list
errorreporting.errorEvents.list
BigQuery Intelligence
アクセスレベル: Organization のみ
BigQuery Intelligence は、プロジェクト横断でログを監視・分析するために、組織レベルで監査ログシンクを作成します。プロジェクトレベルのシンクからのログ取得はサポートしていません。
これらの権限により、BigQuery Intelligence はダッシュボードにリソース名とともにコストおよび最適化の推奨事項を表示するため、プロジェクト・データセット・テーブルの_構造_にアクセスできます。これらの権限はいずれも、お客様の BigQuery データそのものへのアクセスを許可するものではありません。
BigQuery Intelligence の権限は、いくつかのカテゴリにグループ化されています。
BigQuery Intelligence
BigQuery 環境でコスト最適化の推奨事項を取得するために必要な権限:
| 権限 | 説明 |
|---|---|
bigquery.datasets.create | 空のデータセットを新規作成します。 |
bigquery.datasets.get | データセットのメタデータと権限を取得します。 |
bigquery.tables.get | テーブルのメタデータを取得します。 |
bigquery.tables.list | テーブルおよびそのメタデータを一覧表示します。 |
bigquery.jobs.get | あらゆるジョブのデータとメタデータを取得します。 |
bigquery.jobs.list | すべてのジョブを一覧表示し、任意のユーザーが送信したジョブのメタデータを取得します。他のユーザーが送信したジョブの詳細とメタデータは編集されています。 |
bigquery.jobs.listAll | すべてのジョブを一覧表示し、任意のユーザーが送信したジョブのメタデータを取得します。 |
bigquery.jobs.create | プロジェクト内でジョブ(クエリを含む)を実行します。 |
bigquery.routines.list | ルー��チンおよびそのメタデータを一覧表示します。 |
bigquery.routines.get | ルーチンの定義とメタデータを取得します。 |
logging.sinks.create | Cloud Logging で新しいシンクを作成します。 |
logging.sinks.get | Cloud Logging のシンクに関する情報を取得します。 |
BigQuery Intelligence Editions
Google BigQuery のエディションで BigQuery Intelligence を動作させるために追加で必要な権限。
| 権限 | 説明 |
|---|---|
bigquery.capacityCommitments.list | プロジェクト内の現在のすべてのキャパシティコミットメントについて INFORMATION_SCHEMA.CAPACITY_COMMITMENTS ビュー をクエリします。 |
bigquery.capacityCommitments.get | プロジェクト内のキャパシティコミットメントを取得します。 |
bigquery.reservations.list | プロジェクト内のすべてのスロット予約の一覧について INFORMATION_SCHEMA.RESERVATIONS ビュー をクエリします。 |
bigquery.reservations.get | スロット予約の詳細を取得します。 |
bigquery.reservationAssignments.list | プロジェクト内のすべての予約割り当てについて INFORMATION_SCHEMA.ASSIGNMENTS ビュー をクエリします。 |
bigquery.reservationAssignments.search | 指定したプロジェクト、フォルダ、または組織の予約割り当てを検索します。 |
BigQuery Intelligence Insights
追加の BigQuery Intelligence のインサイトを取得するために必要な権限。
| 権限 | 説明 |
|---|---|
recommender.bigqueryCapacityCommitmentsInsights.getrecommender.bigqueryCapacityCommitmentsInsights.listrecommender.bigqueryCapacityCommitmentsRecommendations.getrecommender.bigqueryCapacityCommitmentsRecommendations.list | コスト最適なコミットメントスロットの推奨事項へアクセスします。 |
recommender.bigqueryMaterializedViewInsights.getrecommender.bigqueryMaterializedViewInsights.listrecommender.bigqueryMaterializedViewRecommendations.getrecommender.bigqueryMaterializedViewRecommendations.list | マテリアライズドビューの推奨事項へアクセスします。 |
recommender.bigqueryPartitionClusterRecommendations.getrecommender.bigqueryPartitionClusterRecommendations.listrecommender.bigqueryTableStatsInsights.getrecommender.bigqueryTableStatsInsights.list | パーティションおよびクラスタの推奨事項へアクセスします。 |
Cloud Diagrams
アクセスレベル: 組織・プロジェクト
Google Cloud 環境向けに Cloud Diagrams を作成するために必要な権限。
cloudasset.assets.listResource
cloudasset.assets.searchAllResources
compute.instanceGroups.get
compute.instanceGroupManagers.get
compute.routers.get
dns.resourceRecordSets.list
Google Cloud Rightsizing
アクセスレベル: 組織のみ
組織全体の Google Compute Engine インスタンスに対して Rightsizing の推奨事項を提供するために必要な権限:
recommender.computeInstanceMachineTypeRecommendations.list
compute.instances.list
Rightsizing の推奨事項を実装するために必要な権限:
compute.instances.setMachineType
compute.instances.stop
compute.instances.start
Insights from BigQuery export
GCP Recommender の BigQuery エクスポートからのインサイトを得るためにデータセットを接続する際に必要な権限は以下のとおりです。
アクセスレベル: プロジェクト
| 権限 | 説明 |
|---|---|
bigquery.jobs.create | プロジェクト内でジョブ(クエリを含む)を実行します。 |
アクセスレベル: データセット
| 権限 | 説明 |
|---|---|
bigquery.tables.get | テーブルのメタデータを取得します。 |
bigquery.tables.list | テーブルおよびそのメタデータを一覧表示します。 |
bigquery.tables.getData | テーブルデータを取得します。この権限はテーブルデータのクエリに必須です。 |
Kubernetes core
次の目的のために必要な権限:
- 実行可能な推奨事項のために DoiT のインサイトが Kubernetes クラスタと連携できるようにする
- Kubernetes Intelligence を利用するために GKE クラスタをオンボードする
Google Kubernetes Engine (GKE): API permissionsも参照してください。
アクセスレベル: 組織・プロジェクト
| 権限 | 説明 |
|---|---|
container.clusters.get | 特定の GKE クラスタに関する情報を取得します。 |
container.clusters.list | 特定のプロジェクト内のすべての GKE クラスタを一覧表示します。 |
container.clusters.connect | GKE クラスタに接続します。これは Kubernetes API サーバーに接続するために必要です。Authenticate to the Kubernetes API serverも参照してください。 |
Real-time anomalies – GCE
Google Compute Engine 向けの DoiT のリアルタイム コスト アノマリー検知では、ほぼリアルタイムでコストスパイクを監視するために次の権限が必要です。
アクセスレベル: 組織
| 権限 | 説明 |
|---|---|
logging.sinks.create | ログシンクを作成します。 |
logging.sinks.get | ログシンクが正しく構成されているかを確認します。 |
logging.sinks.update | 構成ミスが検出された場合にログシンクを更新します。 |
compute.machineTypes.get | コスト アノマリー検知の評価用にインスタンスのマシンタイプ メタデータを取得します。 |
Real-time anomalies – BigQuery
BigQuery 向けの DoiT のリアルタイム コスト アノマリー検知では、ほぼリアルタイムでコストスパイクを監視するために次の権限が必要です。
アクセスレベル: プロジェクト
| 権限 | 説明 |
|---|---|
bigquery.jobs.create | プロジェクト内でジョブ(クエリを含む)を実行します。この権限はスロット予約のアノマリー検知に必須です。 |
bigquery.jobs.get | ジョブのステータスやメタデータなど、特定のジョブに関する情報を返します。 |
bigquery.jobs.list | 指定したプロジェクトで自分が開始したすべてのジョブを一覧表示します。 |
bigquery.jobs.listAll | 指定したプロジェクト内のすべてのユーザーにわたるすべてのジョブを一覧表示します。 |
bigquery.reservations.get | 特定の BigQuery スロット予約リソース�の構成と詳細を返します。 |
bigquery.reservations.list | 指定したプロジェクト内のすべての BigQuery スロット予約と関連メタデータを一覧表示します。 |
monitoring.timeSeries.list | メトリクスの時系列データを返します。 |
monitoring.metricDescriptors.get | メトリクス自体に関する情報(メトリック記述子)を返します。 |
Amazon Web Services
以下のセクションでは、AWS アカウントに必要な権限を一覧で示します。
Core functionality
以下は、DoiT Platform の機能に必要な最小限の読み取り専用権限です。これらの権限は、AWS アカウントの請求データおよびセキュリティポスチャへのアクセスに必須です(cross-account AWS IAM Role も参照)。
| Permission | Description |
|---|---|
arn:aws:iam::aws:policy/SecurityAudit | AWS マネージドポリシー。Security Audit テンプレートにより、セキュリティ構成メタデータの読み取りアクセスが付与されます。 |
arn:aws:iam::aws:policy/AWSSavingsPlansReadOnlyAccess | AWS マネージドポリシー。コスト削減プランのサービスへの読み取り専用アクセスを付与します。 |
arn:aws:iam::aws:policy/job-function/Billing | AWS マネージドポリシー。請求、コスト、支払い方法、予算、レポートの管理に対するフル権限を付与します。 |
Ava read-only
特定アカウントに対して、文脈化された詳細なインサイトを安全に生成するために Ava に必要な権限は、Latest AWS Cloud Formation Stack template for support に記載されています(Ava 参照)。
AWS quota monitoring
AWS Quotas を監視 するために必要な権限(プロアクティブな監視用):
support:DescribeTrustedAdvisorCheckSummaries
support:DescribeTrustedAdvisorCheckRefreshStatuses
support:DescribeTrustedAdvisorChecks
support:DescribeSeverityLevels
support:RefreshTrustedAdvisorCheck
support:DescribeSupportLevel
support:DescribeCommunications
support:DescribeServices
support:DescribeIssueTypes
support:DescribeTrustedAdvisorCheckResult
trustedadvisor:DescribeNotificationPreferences
trustedadvisor:DescribeCheckRefreshStatuses
trustedadvisor:DescribeCheckItems
trustedadvisor:DescribeAccount
trustedadvisor:DescribeAccountAccess
trustedadvisor:DescribeChecks
trustedadvisor:DescribeCheckSummaries
Cloud Diagrams
Cloud Diagrams は、AWS アカウントの AWS クラウドインフラのダイアグラムを生成します。
| Permission | Description |
|---|---|
apigateway:GET | 特定のゲートウェイを取得します。 |
ec2:SearchTransitGatewayRoutes | 指定したトランジットゲートウェイルートテーブル内のルートを検索します。 |
eks:ListTagsForResource | Amazon EKS リソースのタグを一覧表示します。 |
eks:ListFargateProfiles | 指定したリージョンの AWS アカウントで、指定したクラスタに関連付けられている AWS Fargate プロファイルを一覧表示します。 |
eks:DescribeFargateProfile | AWS Fargate プロファイルを削除します。 |
elasticfilesystem:DescribeTags | ファイルシステムに関連付けられているタグを返します。 |
glacier:ListTagsForVault | ボールトに付与されたすべてのタグを一覧表示します。 |
glacier:GetVaultNotifications | ボールトに設定された通知構成サブリソースを取得します。 |
glue:GetConnections | Data Catalog から接続定義の一覧を取得します。 |
glue:GetCrawler | 指定したクローラのメタデータを取得します。 |
glue:GetDatabase | 指定したデータベースの定義を取得します。 |
health:DescribeEventDetails | 指定した 1 つ以上のイベントに関する詳細情報を返します。 |
networkmanager:Get* | ネットワークパフォーマンスデータを取得します。 |
networkmanager:List* | ネットワークパフォーマンスデータを一覧表示します。 |
ram:GetResourceSharest* | 自分が所有する、または共有を受けているリソース共有の詳細を取得します。 |
wafv2:GetLoggingConfiguration | 指定した Web ACL の LoggingConfiguration を返します。 |
wafv2:GetRuleGroup | 指定した RuleGroup を取得します。 |
waf:GetLoggingConfiguration | 指定した Web ACL の LoggingConfiguration を返します。 |
waf-regional:GetLoggingConfiguration | 指定した Web ACL の LoggingConfiguration を返します。 |
eks:ListAccessPolicies | 利用可能なアクセスポリシーを一覧表示します。 |
eks:ListAccessEntries | クラスタのアクセスエントリを一覧表示します。 |
eks:DescribeCluster | Amazon EKS クラスタを記述します。 |
eks:ListClusters | 指定した AWS リージョンの AWS アカウントにある Amazon EKS クラスタを一覧表示します。 |
Cost Optimization Hub insights
DoiT Insights が AWS Cost Optimization Hub API と連携するには、次の権限が必要です。
| Permission | Description |
|---|---|
cost-optimization-hub:ListRecommendations | 推奨事項リストを返します。 |
Kubernetes core
EKS クラスターをオンボードして Kubernetes Intelligence を使用する ために必要な権限。
| Permission | Description |
|---|---|
eks:ListAccessPolicies | 利用可能なアクセスポリシーを一覧表示します。 |
eks:ListAccessEntries | クラスタのアクセスエントリを一覧表示します。 |
eks:DescribeCluster | Amazon EKS クラスタを記述します。 |
eks:ListClusters | 指定した AWS リージョンの AWS アカウントにある Amazon EKS クラスタを一覧表示します。 |
PerfectScale for Spot
PerfectScale for Spot は、コストと使用状況に基づき Auto Scaling Groups を分析し、オンデマンド EC2 インスタンスをスポット インスタンスに置き換えるための推奨事項を提示します。
ec2:Describe*
ec2:CreateLaunchTemplate
ec2:CreateLaunchTemplateVersion
ec2:ModifyLaunchTemplate
ec2:RunInstances
ec2:TerminateInstances
ec2:CreateTags
ec2:DeleteTags
ec2:CreateLaunchTemplateVersion
ec2:CancelSpotInstanceRequests
autoscaling:CreateOrUpdateTags
autoscaling:UpdateAutoScalingGroup
autoscaling:Describe*
autoscaling:AttachInstances
autoscaling:BatchDeleteScheduledAction
autoscaling:BatchPutScheduledUpdateGroupAction
cloudformation:ListStacks
cloudformation:Describe*
iam:PassRole
events:PutRule
events:PutTargets
events:PutEvents
リアルタイムのアノマリー
DoiT の AWS 向けリアルタイムコストアノマリー検知 では、コストのスパイクをほぼリアルタイムで監視するために次の権限が必要です。
| 権限 | 説明 |
|---|---|
ec2:DescribeImages | AWS アカウントが所有するプライベートイメージ内の EC2 インスタンス属性情報を取得するために必要です。 |
kms:Decrypt | KMS キーで暗号化された暗号文を復号します。 |
s3:GetBucketLocation | IAM ロールを自動作成 する場合のみ必須です。バケットが存在する地域を返します。 |
s3:GetBucketNotification | バケットの通知設定を返します。 |
s3:GetObject | Amazon S3 からオブジェクトを取得します。 |
s3:ListBucket | Amazon S3 の ListObjectsV2 オペレーションの使用を許可します。詳細は Policies and permissions in Amazon S3 を参照してください。 |
s3:PutBucketNotification | IAM ロールを自動作成 する場合のみ必須です。バケットに対して指定したイベントの通知を有効にします。 |
ec2:DescribeInstances | EC2 インスタンスを記述します。 |
Security Hub のインサイト
DoiT の インサイト が AWS Security Hub API と連携するには、次の権限が必要です。
| 権限 | 説明 |
|---|---|
securityhub:GetFindings | 指定した条件に一致する検出結果の一覧を返します。 |
Trusted Advisor のインサイト
DoiT の インサイト が AWS Trusted Advisor API と連携するには、次の権限が必要です。
| 権限 | 説明 |
|---|---|
trustedadvisor:GetRecommendation | 特定�のグローバルな推奨事項を取得します。 |
trustedadvisor:ListRecommendations | フィルタ可能なグローバルな推奨事項の一覧を返します。 |
trustedadvisor:ListRecommendationResources | グローバルな推奨事項に関連するリソースを一覧表示します。 |
Microsoft Azure
DoiT の インサイト には次の権限が必要です。詳しくは Azure テナントを接続 を参照してください。
| 権限 | 説明 |
|---|---|
| Management Group/Reader | 既存の管理グループ階層設定を一覧表示します。 |