GCP セキュリティベストプラクティス 20 選｜ゼロトラスト・CMEK・VPC SC・SCC (2026)

GCP の本番セキュリティに必須のベストプラクティスを 20 項目に整理しました。 IAM・暗号化・ネットワーク・運用・コンプライアンスの 5 カテゴリで、ゼロトラスト時代の標準的な実装パターンです。

IAM (5 項目)

Basic Role (Owner/Editor/Viewer) 禁止: 本番では Predefined Role + Custom Role に切替
Workload Identity Federation: SA キー作成を完全停止
Google Group ベース IAM: 個人ユーザー直接付与禁止 (退職時の漏れ防止)
SA Impersonation: 一時的に他 SA の権限借用 (キー不要)
Privileged Access Manager (PAM): 特権ロール Just-in-time + 承認

暗号化・鍵管理 (4 項目)

CMEK 全サービス適用: GCS / BQ / Compute / Spanner / Pub/Sub 等
Cloud HSM / EKM: 金融・医療・規制業界の必須要件
鍵自動ローテーション: 90 日推奨
Confidential Computing: VM / GKE のメモリも暗号化 (使用中暗号化)

ネットワーク (4 項目)

VPC Service Controls: BigQuery / GCS 等の API レイヤを Perimeter で保護
Private Google Access + Restricted VIP: 外部 IP 不要で Google API 利用
Cloud Armor (Plus / Enterprise): WAF + DDoS + Adaptive Protection
Hierarchical Firewall Policy: 組織 / フォルダレベルで最低限の規則強制

ゼロトラスト (3 項目)

Identity-Aware Proxy (IAP): Web / SSH を OAuth + Context 認証ゲート
BeyondCorp Enterprise: Endpoint Verification + Context-Aware Access 統合
Chrome Enterprise Premium: ブラウザ層 DLP + Threat Prevention

運用・監視 (2 項目)

Cloud Audit Logs 全有効化: Data Access Logs を含めて BQ にエクスポート + 長期保管
Security Command Center Enterprise: SIEM (Chronicle) + 脅威検知統合

コンプライアンス (2 項目)

Assured Workloads: HIPAA / FedRAMP / EU Sovereign 等の規制対応を自動化
Sensitive Data Protection (旧 DLP): PII 自動検知 + マスキング + Tokenization

Organization Policy 必須設定例

# 1. SA キー作成禁止
constraints/iam.disableServiceAccountKeyCreation = true

# 2. 信頼ドメイン制限
constraints/iam.allowedPolicyMemberDomains = ["example.com"]

# 3. VM 外部 IP 制限
constraints/compute.vmExternalIpAccess = DENY

# 4. リソースリージョン制限
constraints/gcp.resourceLocations = ["asia-northeast1", "asia-northeast2"]

# 5. Uniform Bucket-level Access 強制
constraints/storage.uniformBucketLevelAccess = true

# 6. Shielded VM 強制
constraints/compute.requireShieldedVm = true

# 7. OS Login 強制
constraints/compute.requireOsLogin = true

セキュリティ製品マップ (2026)

カテゴリ	製品
ID	Cloud Identity / Workspace
IAM	IAM、PAM、Workload Identity Federation
鍵	Cloud KMS、Cloud HSM、Cloud EKM
ネットワーク	Cloud Armor、VPC SC、Cloud IDS
ゼロトラスト	IAP、BeyondCorp Enterprise、Chrome Enterprise Premium
SIEM / 脅威検知	Security Command Center Enterprise (旧 SCC + Chronicle + Mandiant 統合)
データ保護	Sensitive Data Protection (旧 DLP)、Confidential Computing
コンプライアンス	Assured Workloads、Access Transparency、Customer Lockbox

ゼロトラスト統合アーキ

Cloud Identity で SSO + 2FA + FIDO2 必須
Endpoint Verification でデバイス状態収集
Access Context Manager で Access Level 定義
IAP で Web / SSH をゲート
VPC SC で BQ / GCS の API 持ち出し防止
Cloud Armor で外部公開 WAF + DDoS
SCC Enterprise で全体可視化 + 脅威検知
Chronicle SIEM で全 Log 集約 + 検出

GCP セキュリティで最優先に対応すべきは？

1. Basic Role (Owner/Editor) 廃止 + Predefined Role 化、2. Service Account キー禁止 + Workload Identity、3. VPC SC + CMEK、4. Cloud Audit Logs 全有効化、5. Security Command Center Enterprise 導入。

Security Command Center は必須？

本番運用は強く推奨。Standard 無料、Premium が SCC Enterprise (2024 統合)。多くの脅威検知・コンプライアンスチェックを統合提供。

Zero Trust 実装の起点は？

Cloud Identity + Endpoint Verification + IAP + Context-Aware Access + VPC Service Controls の組み合わせ。BeyondCorp Enterprise (Chrome Enterprise Premium) が統合パッケージ。

Service Account キーは絶対に作らない？

Workload Identity Federation で代替可能なら作らない。Organization Policy <code>constraints/iam.disableServiceAccountKeyCreation</code> で組織全体で禁止強制。

暗号化は何種類ある？

Google Default (自動)、CMEK (Customer-managed)、CSEK (Customer-supplied)、Cloud HSM、Cloud EKM (外部 HSM)、Confidential Computing (使用中暗号化)。

PII / 機密データ取り扱いは？

Sensitive Data Protection (旧 DLP) で検知 + マスキング、CMEK で暗号化、VPC SC で持ち出し防止、Audit Log で全アクセス記録。

コンプライアンス対応は？

ISO 27001 / 27017 / 27018 / 27701、SOC 2/3、PCI DSS、HIPAA BAA、FedRAMP、GDPR 等に対応。Assured Workloads で規制対応を自動化。

DDoS 対策は？

Google Front End (GFE) で L3/L4 DDoS は自動緩和、Cloud Armor (Standard / Plus / Enterprise) で L7 + WAF + Adaptive Protection。

この記事で学んだ内容を問題で確認しましょう

16,000問以上の問題で実力チェック

GCP 試験対策ページを見る

この記事の著者

NicheeLab編集部

データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。

GCP セキュリティベストプラクティス 20 選｜ゼロトラスト・CMEK・VPC SC・SCC