クラウド環境を保護するには、Identity and Access Management アカウントの不正使用を防ぐ必要があります。特権ユーザー アカウントが侵害されると、攻撃者はクラウド環境を変更できるため、あらゆる規模の組織を保護するには、潜在的な侵害を検出することが不可欠です。組織のセキュリティを維持するため、Google Cloud は IAM ユーザー アカウントによって実行された機密性の高いアクションをログに記録し、アドバイザリ通知を通じて組織管理者に直接通知します。
機密性の高いアクションとは、不正使用されたアカウントを使用して悪意のある行為者が実行した場合に、組織に重大な悪影響を及ぼす可能性があるアクションです。 Google Cloud これらのアクション自体は、必ずしも組織に対する脅威を表すものではなく、アカウントが不正使用されていることを示すものでもありません。ただし、ユーザーが正当な目的で操作を行ったことをご確認ください。
機密アクションの通知を受け取るユーザー
Google Cloud は、セキュリティ上の理由から、組織レベルの重要な連絡先にメール通知を送信して、機密性の高いアクションを組織に通知します。重要な連絡先が構成されていない場合、メール通知は、組織レベルで組織管理者 IAM ロールを持つすべてのアカウントに送信されます。
オプトアウト
組織で機密性の高いアクションの通知を受け取らない場合は、これらの通知をオプトアウトできます。詳細については、通知を構成するをご覧ください。デリケートな操作の通知をオプトアウトすると、アドバイザリ通知によって配信される通知にのみ影響します。デリケートなアクション ログは常に生成され、通知の無効化の影響を受けません。Security Command Center を使用している場合、Sensitive Actions 通知をオプトアウトしても Sensitive Actions Service は影響を受けません。
Sensitive Actions の仕組み
Google Cloud は、組織の管理アクティビティ監査ログをモニタリングして、機密性の高いアクションを検出します。機密性の高いアクションが検出されると、 Google Cloud は、アクティビティが発生したリソースの Sensitive Actions Service プラットフォーム ログにアクションを書き込みます。 Google Cloud は、アドバイザリ通知によって配信される通知にもイベントを含めます。
通知頻度
組織で機密性の高いアクションが初めて検出されると、最初のアクションと、その後 1 時間以内に発生した他のアクションを含むレポートが届きます。最初のレポートの後、組織内の新しい機密性の高いアクションに関するレポートは、30 日間に 1 回まで届きます。組織で機密性の高いアクションが長期間発生しなかった場合、次に機密性の高いアクションが検出されたときに 1 時間レポートが届くことがあります。
機密アクションが生成されない場合
Google Cloud は、アクションを実行するプリンシパルがユーザー アカウントの場合にのみ、機密性の高いアクションを報告します。サービス アカウントによって実行されたアクションは報告されません。Google は、エンドユーザーの認証情報にアクセスし、それを使用してクラウド環境で望ましくないアクションを実行する攻撃者から保護するために、この機能を開発しました。これらのアクションの多くはサービス アカウントの一般的な動作であるため、これらの ID に対してログとアドバイザリ通知は生成されません。
管理アクティビティ監査ログを特定のリージョン(global リージョン以外)に配置するように構成している場合、機密性の高いアクションは検出できません。たとえば、特定のリソース内の _Required ログバケットにストレージ リージョンを指定している場合、そのリソースのログで機密性の高いアクションをスキャンすることはできません。
管理アクティビティ監査ログを顧客管理の暗号鍵で暗号化するように構成している場合、ログをスキャンして機密性の高いアクションを検出することはできません。
Security Command Center の機密性の高いアクション
Security Command Center を使用している場合は、Sensitive Actions Service から検出結果として機密性の高いアクションを受け取ることができます。
機密情報に関する操作ログとアドバイザリ通知は、組織内のアカウントの動作を把握するための 1 つの手段ですが、Security Command Center は、より複雑で大規模なワークロードや環境を保護するセキュリティ チームに、追加の分析情報と管理機能を提供します。センシティブ アクションは、全体的なセキュリティ モニタリング戦略の一部としてモニタリングすることをおすすめします。
Security Command Center の詳細については、以下をご覧ください。
料金
アドバイザリ通知の機密性の高いアクションに関する通知は、追加料金なしで提供されます。Cloud Logging の Sensitive Actions ログには、Logging の料金に従って取り込みと保存の費用が発生します。機密性の高いアクション ログエントリの量は、組織内のユーザー アカウントが機密性の高いアクションを実行する頻度によって異なります。通常、このようなアクションは一般的ではありません。
機密情報に関する操作の種類
Google Cloud は、次の種類の機密性の高いアクションについて通知します。
Sensitive Roles Added
オーナー(roles/owner)または編集者(roles/editor)の IAM ロールを持つプリンシパルが組織レベルで付与されました。これらのロールは、組織全体で多数のアクションを許可します。
Billing Admin Removed
組織レベルで請求先アカウント管理者(roles/billing.admin)IAM ロールが削除されました。このロールを削除すると、ユーザーが可視化できなくなり、攻撃者が検出されないままになるメカニズムが提供されます。
Organization Policy Changed
組織レベルで組織のポリシーが作成、更新、削除されました。このレベルの組織のポリシーは、組織のすべてのGoogle Cloud リソースのセキュリティに影響する可能性があります。
Project-level SSH Key Added
プロジェクト レベルの SSH 認証鍵が、以前にそのような鍵がなかったプロジェクトに追加されました。 Google Cloud プロジェクト レベルの SSH 認証鍵を使用すると、プロジェクト内のすべての仮想マシン(VM)へのアクセス権を付与できます。
GPU Instance Created
GPU が搭載された VM が、そのプロジェクトで最近 GPU インスタンスを作成していないユーザーによってプロジェクトに作成されました。GPU を使用する Compute Engine インスタンスは、暗号通貨マイニングなどのワークロードをホストできます。
Many Instances Created
特定のプロジェクトでユーザーが複数の VM インスタンスを作成しました。大量の VM インスタンスは、暗号通貨マイニングやサービス拒否攻撃などの予期しないワークロードに使用できます。
Many Instances Deleted
特定のプロジェクトのユーザーによって複数の VM インスタンスが削除されました。インスタンスを大量に削除すると、ビジネスに支障をきたす可能性があります。
次のステップ
- 通知を表示する方法を確認する。
- 機密性の高いアクションに関する通知に対応する方法を学習する。
- 詳しくは、通知のオプトインとオプトアウトをご覧ください。