Cloud Asset Inventory

解決する課題

プロジェクトやリソースが増えるほど、「いまどんなリソースがどこにあり、誰がどんな権限を持っているか」を正確に把握するのが難しくなります。Cloud Asset Inventory は、組織横断の資産台帳としてこの問いに答えます。

どのプロジェクトに何のリソースがあるか分からない → 組織・フォルダ・プロジェクト配下の資産を一括で一覧・検索
誰がどのリソースにアクセスできるか追えない → リソース構成だけでなく IAM ポリシーの状態も資産として保持
設定変更や権限変更にいつ気づくか不安 → 変更をリアルタイムに通知し、過去の状態も**タイムトラベル（特定時点の状態取得）**で振り返れる
監査やコンプライアンスで「ある時点の構成」を証明したい → 任意の過去時点のスナップショットや変更履歴を取得できる

AWS でいえば、リソース構成の記録・変更追跡・準拠評価を担う AWS Config に近いサービスと考えると理解しやすいです（Config の「ルールによる準拠評価」までは含まず、棚卸し・検索・変更追跡が中核という違いはあります）。

主要概念と用語

アセット（資産）: 監視対象の1単位。リソースのメタデータ（リソースアセット）と、リソースに紐づく IAM ポリシー（IAM ポリシーアセット）の両方を含む。組織ポリシーやアクセスポリシーも対象になり得る
リソースアセット: VM・バケット・データセットなど Google Cloud リソースの構成情報。リソースの種別は compute.googleapis.com/Instance のような形式のアセットタイプで表される
IAM ポリシーアセット: リソースに付与された IAM バインディング（誰にどのロールが付いているか）。これ自体を資産として一覧・検索できる点が重要
スコープ: 操作の対象範囲。組織・フォルダ・プロジェクトのいずれかを指定し、その配下を横断して扱う
エクスポート（Export）: 現在の資産スナップショットを Cloud Storage や BigQuery に一括出力する操作
フィード（Feed）: 資産の作成・更新・削除をほぼリアルタイムに検知し、Pub/Sub へ通知する仕組み（変更監視の中核）
検索（Search）: アセットタイプやラベル、IAM の付与先などを条件に資産を横断検索する機能
タイムトラベル / 履歴: 過去の特定時点の状態や、一定期間の変更履歴を取得する機能

仕様・制限・クォータ

組織レベルで使うのが基本。スコープに組織・フォルダ・プロジェクトを指定し、その配下を横断して資産を扱う
資産はリソース構成と IAM ポリシーの両方を対象にする。単なるリソース一覧ではなく、権限の状態まで台帳化できる点が特徴
過去の状態は無制限に遡れるわけではない。タイムトラベルや変更履歴で参照できる期間には上限があり、長期保管が必要ならエクスポートで外部に蓄積する
エクスポート先は Cloud Storage と BigQuery。大量・継続的な分析には BigQuery が向く
フィードの通知は Pub/Sub 経由。条件（アセットタイプやスコープ）に合致した変更だけを流せる
API の呼び出しやエクスポートにはクォータがあり、対応するアセットタイプも随時拡張される。具体的な遡及期間・クォータ数値・対応タイプは変動するため、最新は公式ドキュメントで確認する

内部の仕組み

Cloud Asset Inventory は「集める・一覧する・変更を知らせる」をメタデータ層で回し続けます。

メタデータの収集: 組織配下のリソース構成と IAM ポリシーを継続的に取り込み、横断検索できる資産台帳として最新化する。ここで扱うのは構成メタデータであり、リソースの中身のデータではない
検索とエクスポート: 蓄積した台帳に対し、アセットタイプや IAM 付与先などの条件で検索したり、現在のスナップショットを Cloud Storage・BigQuery に一括出力したりする
履歴の保持: 状態の移り変わりを記録し、特定時点のスナップショット取得や期間内の変更履歴参照を可能にする
変更のリアルタイム通知: フィードを設定すると、対象資産の作成・更新・削除を検知して Pub/Sub に通知し、下流の自動処理（監査・チケット起票・自動修復）へつなぐ

台帳化されるのは構成と権限

Cloud Asset Inventory が記録するのは、リソースの「構成メタデータ」と「IAM ポリシー」です。バケットの中身やデータベースの行といった実データは対象外です。だからこそ組織横断で軽量に棚卸し・検索でき、AWS Config のような構成追跡の役割を担えます。

設計パターン / ベストプラクティス

組織スコープで使う: プロジェクト単位ではなく組織・フォルダを起点にし、横断で死角をなくす
BigQuery に定期エクスポートして分析: スナップショットを BigQuery に出し、SQL で「公開バケットの一覧」「広域ロールが付いた資産」などを継続的に洗い出す
フィードで重要変更を即検知: 公開設定の変更や強い IAM ロールの付与など、影響の大きい変更をフィードで Pub/Sub に流し、通知や自動対応につなぐ
IAM の棚卸しに活用: 「誰がどのリソースに何の権限を持つか」を IAM ポリシーアセットの検索で定期点検し、過剰権限を削る
監査証跡として履歴を残す: 監査やインシデント調査に備え、過去時点の状態を取得できるようにし、長期分はエクスポートで保全する
Security Command Center などと役割分担: 資産の棚卸し・変更追跡は本サービス、設定ミスや脅威の評価は SCC、操作ログの記録は Cloud Audit Logs に任せる

運用・監視

変更通知を運用に組み込む: フィードからの Pub/Sub 通知を Cloud Functions などで受け、設定ドリフトの検知・通知・自動修復のパイプラインにする
定期スナップショットで差分管理: BigQuery への定期エクスポートを起点に、前回との差分や望ましくない構成の出現を継続監視する
検索で日々の棚卸し: 新規リソースや特定ラベルの資産を検索で素早く把握し、放置リソースやタグ漏れを是正する
Cloud Audit Logs と突き合わせる: 「いつ何が変わったか」を本サービスで、「誰が変えたか」を監査ログで確認し、調査を完結させる
アクセス権限を最小化: 資産情報は組織の構成と権限の地図そのもの。閲覧・エクスポートの権限を IAM で絞る

コスト

基本的な資産の一覧・検索やフィードによる通知は、多くのケースで追加料金を意識せず使えますが、エクスポートや履歴・分析を本格的に行う場合は連携先のコストが主になります。具体的には、BigQuery へエクスポートして分析・長期保管する際の取り込み・保管・クエリ料、Cloud Storage への出力時の保管料、フィード通知を流す Pub/Sub の料金などが別途かかります。API 呼び出しやエクスポートの規模が大きいと相応の負荷・コストになるため、必要なアセットタイプとスコープに絞るのが基本です。具体的な金額や課金単位は変動するため、最新は公式の料金ページで確認してください。

項目	課金の考え方	備考
一覧・検索・フィード設定	基本的に軽量	資産の棚卸しと変更通知の中核機能
BigQuery エクスポート	別途課金	取り込み・保管・クエリ料が連携先で発生
Cloud Storage 出力	別途課金	スナップショット保管のストレージ料
Pub/Sub 通知	別途課金	フィードの変更通知メッセージ量に応じる

セキュリティ

資産情報そのものが機微: どこに何があり誰に権限があるかの地図であり、攻撃者には格好の情報。閲覧・エクスポート権限を IAM で最小化する
IAM ポリシーの可視化に活用: 過剰権限・想定外の付与先を検索で見つけ、最小権限の維持に使う
変更検知でドリフトを抑える: 公開化や強権限付与といった危険な変更をフィードで即検知し、是正までの時間を短くする
記録するのは構成と権限のみ: 実データは対象外。データ保護自体は暗号化や DLP、アクセス制御など別の仕組みで担う

棚卸しと評価・修復は別物

Cloud Asset Inventory は資産を「一覧・検索・追跡」しますが、設定ミスの良し悪しを判定したり自動で直したりはしません。設定ミスや脅威の評価は Security Command Center、操作の記録は Cloud Audit Logs が担います。本サービスはそれらの土台となる正確な資産台帳を提供する役割だと押さえてください。

Well-Architected の観点

セキュリティ: リソース構成と IAM ポリシーを組織横断で台帳化し、過剰権限や危険な変更を検索・通知で継続的に可視化する。最小権限の維持や監査証跡の確保を、正確な資産情報という土台から支える
運用: 棚卸し・検索・エクスポート・リアルタイム通知を備え、設定ドリフトの検知や自動修復、構成分析の運用パイプラインに組み込める。BigQuery や Pub/Sub と連携して継続監視を仕組み化できる

試験で問われるポイント

頻出

Cloud Asset Inventory は「組織横断のリソースと IAM の台帳」。リソース構成だけでなく IAM ポリシーも資産として扱う点が定番の論点
AWS との対応: 構成の記録・変更追跡を担う AWS Config に相当する。棚卸し・検索・変更追跡が中核という性格を覚える
現在だけでなく過去: タイムトラベルや変更履歴で過去時点の状態を取得でき、監査に使える点
エクスポート先は Cloud Storage と BigQuery、変更通知は Pub/Sub のフィードという連携先を問う問題
役割分担: 設定ミス・脅威の評価は Security Command Center、操作の記録は Cloud Audit Logs。Asset Inventory は「何があるか」の台帳という線引き
組織・フォルダ・プロジェクトのスコープを指定して配下を横断する点

観点	Cloud Asset Inventory（GCP）	AWS の相当サービス
位置づけ	リソースと IAM の組織横断台帳	AWS Config（構成の記録・追跡）
対象	リソース構成と IAM ポリシー	リソース構成と関連設定
変更追跡	履歴・タイムトラベルで過去時点を取得	構成タイムラインとスナップショット
リアルタイム通知	フィードで Pub/Sub へ通知	設定変更を EventBridge 等へ通知
エクスポート	Cloud Storage・BigQuery へ出力	S3 配信・スナップショット出力
準拠評価	範囲外（SCC が担当）	Config Rules で準拠評価まで実施

ハンズオン / CLI例

# API を有効化
gcloud services enable cloudasset.googleapis.com

# プロジェクト配下の Compute インスタンスを一覧（アセットタイプで絞る）
gcloud asset list \
  --project=my-project \
  --asset-types="compute.googleapis.com/Instance"

# 現在の資産スナップショットを BigQuery へエクスポート
gcloud asset export \
  --project=my-project \
  --content-type=resource \
  --bigquery-table="projects/my-project/datasets/asset_inventory/tables/snapshot" \
  --output-bigquery-force

# IAM ポリシーを横断検索（特定ロールの付与先を棚卸し）
gcloud asset search-all-iam-policies \
  --scope=organizations/ORGANIZATION_ID \
  --query="policy:roles/owner"

# 変更をリアルタイム通知するフィードを作成（Pub/Sub へ）
gcloud asset feeds create iam-change-feed \
  --project=my-project \
  --asset-types="compute.googleapis.com/Instance" \
  --content-type=iam-policy \
  --pubsub-topic="projects/my-project/topics/asset-changes"

Cloud Asset Inventory

解決する課題

主要概念と用語

仕様・制限・クォータ

内部の仕組み

設計パターン / ベストプラクティス

運用・監視

コスト

セキュリティ

Well-Architected の観点

試験で問われるポイント

関連サービス・比較

ハンズオン / CLI例

Cloud Asset Inventoryを実務で読む

解決すること

比較で見る軸

導入後に効く点

先に潰すリスク

判断チェックリスト

次に確認する観点