ここでは、Google Workspace 管理者が FedRAMP High セキュリティ管理の遵守をサポートするために適用できる設定と機能の概要を示します。
Google Workspace の設定
クラウド セキュリティは、業界内では、お客様とクラウド サービス プロバイダ(CSP)が共有する責任として認識されています。Google Workspace の一部は、クラウドのセキュリティとプライバシーに関する米国連邦政府の基準および国際基準に準拠しています。たとえば、Google Workspace は FedRAMP HIGH 認証を維持しており、ISO 27017、27018、27001 に対する認定と、AICPA Service Organization Control(SOC)標準に対する監査を受けています。詳しくは、Google Workspace のコンプライアンス サービスとレポートをご覧ください。
Google Workspace は、米国連邦政府のお客様と、FedRAMP High 境界内での運営が義務付けられている他の機関に対して、FedRAMP High への準拠要件を提供しています。
FedRAMP High の対象となるエディションとサービス:
- Google Workspace Enterprise Plus エディションと Enterprise Standard エディション
- Google Workspace Business Plus エディションと Business Standard エディション
- 政府および行政機関向け Google Workspace サービス
Google Workspace Business エディションと Google Workspace Enterprise エディションにはセキュリティ管理機能と機能セットが組み込まれており、政府機関のお客様は FedRAMP High の要件を満たして、独自の権限で運営を管理できます。Google Workspace には、お客様が規制要件を満たせるよう、データ リージョンとクライアントサイド暗号化(Enterprise エディションで利用可能)も用意されています。
以降のセクションでは、FedRAMP High ポリシーの要件に対応するために使用できる機能とコントロールについて説明します。
FedRAMP High の対象となるサービス
FedRAMP High 境界内に収まっていることが義務づけられているユーザーには、FedRAMP High の認定要件を満たすサービスへのアクセス権のみを付与します。Google Workspace でサービスを有効または無効にする方法をご確認ください。
FedRAMP High 認定の対象となるサービス:
- カレンダー
- Docs
- ドライブ
- フォーム
- Gmail
- Google Chat
- Google Meet
- Keep
- 新しい Google サイト
- スプレッドシート
- スライド
- Vault
データのロケーション(米国)
Google は、Google Workspace サービスをホストする次のデータセンターを米国本土(CONUS)で所有、運用しています。
- サウス カロライナ州バークレー郡
- アイオワ州カウンシル ブラフス
- ジョージア州ダグラス郡
- アラバマ州ジャクソン郡
- ノースカロライナ州レノア
- オクラホマ州メイズ郡
- テネシー州モンゴメリー郡
- オレゴン州ダラス
Google は、暗号化された Google Workspace のプライマリ保存データを、米国またはヨーロッパに保存できます。FedRAMP High 境界を維持する必要があるユーザーの場合は、米国を選択します。
公共機関の場合は、すべてのユーザーにデータ リージョン ポリシーを設定することをおすすめします。Enterprise Plus、Education Plus、Education Standard をご利用の場合は、組織部門または設定グループに対してデータ リージョンを設定できます。詳しくは、データ リージョンとデータの地理的な保管場所を選択するをご覧ください。
データ リージョンは、Gmail、カレンダー、ドライブ、ドキュメント、スプレッドシート、スライドのユーザー インデックスにも対応しています。データ リージョン ポリシーの詳細
Assured Controls
Assured Controls はオプションのアドオンです。Google Workspace はこのアドオンを使用することにより、組織にクラウド サービス プロバイダのアクセスを詳細に制御する許可を与えることができます。アクセス管理を使用すると、Google スタッフによるサポート対応を Google サポートチーム内の米国人メンバーに限定できるので、公共部門などの規制の厳しい業種には特に有用です。
詳しくは、Google の営業担当者または Carahsoft までお問い合わせください。