チェックリストの概要
2026年3月6日、Google Cloudは「Google Cloud recommended security checklist」(Minimum Viable Secure Platform / MVSP)を公開しました。Google CloudのOffice of the CISOと各分野の専門家が策定した60のセキュリティコントロールを、6つのドメインと3段階の実装レベルに整理したチェックリストです。
MVSP(Minimum Viable Secure Product)の考え方に基づき、「最低限ここまでやればセキュリティのベースラインが確保できる」という明確な出発点を提供することを目的としています。
公開の背景
Google Cloudの2025年版「Threat Horizons Report」によれば、クラウド環境の侵害原因は脆弱な認証情報(47%)と設定ミス(29%)で全体の約76%を占めています。つまり、高度な攻撃手法よりも「基本的な設定の不備」が最大のリスクです。
このチェックリストは、組織がクラウド環境の基本設定を確実に行い、AI時代のイノベーションに安全な基盤を提供することを目指しています。早期アクセスを得た組織からは「1回のセッションでセキュリティベースラインを強固にできた」というフィードバックが寄せられています。
3段階の実装レベル
| レベル | 対象 | 内容 |
|---|---|---|
| Basic | Google Cloudを利用するすべての組織 | 基本的なセキュリティ原則に基づく最低限のコントロール。規模や用途を問わず推奨 |
| Intermediate | 基礎を超えたセキュリティが必要な組織 | 追加のセキュリティコントロールで防御を強化 |
| Advanced | より高度なセキュリティが求められる組織 | 高度なコントロールで包括的な防御を実現 |
段階的に適用することが推奨されており、まずBasicを全て実装し、次にIntermediate、Advancedと進めます。
6つのドメインと主な対策
① 認証・認可(Authentication and Authorization)
Google Cloudへのアクセス制御に関するコントロールです。
- MFA(多要素認証)の全ユーザー適用
- サービスアカウントキーの最小化と定期ローテーション
- IAMの最小権限原則の適用
- 組織ポリシーによるドメイン制限
② 組織リソース管理(Organization Resource Management)
Google Cloudの組織構造と管理に関するコントロールです。
- 組織ノードの設定と階層構造の設計
- フォルダ・プロジェクトの命名規則と管理
- 組織ポリシーの一括適用
③ インフラストラクチャリソース管理(Infrastructure Resource Management)
コンピューティング、ストレージ等のインフラに関するコントロールです。
- 公開IPアドレスの最小化
- OS・ソフトウェアの自動パッチ適用
- コンテナイメージのセキュリティスキャン
④ データ保護(Data Protection)
データの暗号化、アクセス制御、保持に関するコントロールです。
- 保存時の暗号化(デフォルトで有効だが、CMEKの検討)
- Cloud Storageバケットの公開アクセス禁止
- 機密データの分類とDLPの適用
⑤ ネットワークセキュリティ(Network Security)
VPC、ファイアウォール、アクセス経路に関するコントロールです。
- VPCファイアウォールルールの最小化(デフォルト拒否)
- Private Google Accessの有効化
- VPC Service Controlsによるデータ境界の設定
⑥ 監視・ログ・アラート(Monitoring, Logging, and Alerting)
セキュリティイベントの検知と対応に関するコントロールです。
- Cloud Audit Logsの有効化と長期保存
- Security Command Centerの有効化
- アラートポリシーの設定(異常なIAM変更、ファイアウォール変更等)
4つの設計原則
このチェックリストは以下の4原則で設計されています。
| 原則 | 内容 |
|---|---|
| Simple(シンプル) | アーキテクチャに依存しない、普遍的に有効なアクションに絞った |
| Scalable(スケーラブル) | Basic→Intermediate→Advancedの3段階で組織の成長に合わせて拡張 |
| Automatable(自動化可能) | GitHubでTerraformコードを提供。チェックリストの設定を即座にデプロイ可能 |
| AI-ready(AI対応) | AI(特にエージェントAI)を安全に導入するための基盤コントロールを含む |
特に「Automatable」の原則に基づき、GitHubリポジトリでTerraformコードが公開されており、Infrastructure as Code(IaC)で一括適用が可能です。
Azure / Microsoft 365との対応関係
Google Cloud MVSPの各ドメインは、Microsoft環境では以下の機能に対応します。マルチクラウド環境で両方を利用する企業の参考にしてください。
| Google Cloud MVSP | Microsoft Azure / M365 の対応機能 |
|---|---|
| MFA・IAM最小権限 | Entra ID MFA、条件付きアクセス、PIM |
| 組織ポリシー | Azure Policy、管理グループ |
| インフラパッチ管理 | Intune(Windows Update管理)、Azure Update Manager |
| データ暗号化・DLP | BitLocker、Azure Storage暗号化、Microsoft Purview DLP |
| ネットワークセキュリティ | NSG、Azure Firewall、Private Endpoint |
| 監視・ログ・アラート | Microsoft Sentinel、Defender XDR、統合監査ログ |
| Security Command Center | Microsoft Defender for Cloud |
クラウドベンダーが異なっても、セキュリティの基本原則(MFA、最小権限、暗号化、ログ監視)は共通です。
中小企業が取るべきアクション
Google Cloudを利用している中小企業は、まずBasicレベルのコントロールから着手しましょう。
- 今日できること:全ユーザーのMFA有効化、Cloud Audit Logsの確認、公開バケットの確認
- 1週間以内:IAMの権限レビュー、VPCファイアウォールルールの確認、Security Command Centerの有効化
- 1ヶ月以内:Basicレベルの全コントロールを適用し、Intermediateの計画を策定
Google CloudとMicrosoft 365の両方を利用している場合は、両環境でMFA、最小権限、ログ監視の3つを統一的に適用することが最優先です。
まとめ
Google Cloudの推奨セキュリティチェックリスト(MVSP)は、60コントロール・6ドメイン・3段階で構成されたクラウドセキュリティのベースラインです。クラウド侵害の76%が「認証情報の脆弱さ」と「設定ミス」に起因するという事実に基づき、基本設定の確実な実施を重視しています。Terraformコードによる自動化も可能で、実用性の高いチェックリストです。