Google Cloud の保護を強化: Security Command Center の 4 つの新機能

Tim Knudsen
Director, Product Management, Security Command Center
Greg Smith
Product Marketing, Security Command Center
※この投稿は米国時間 2025 年 6 月 5 日に、Google Cloud blog に投稿されたものの抄訳です。
昨今のクラウド環境では、セキュリティ チームには表面的な可視性だけでなく、クラウド ワークロードの安全性を確保するための、実用的な分析情報が必要です。パブリック API を介して利用できるデータに依存するサードパーティのクラウド セキュリティ ツールとは異なり、Security Command Center(SCC)は Google Cloud に直接組み込まれています。そのため、クラウド ワークロードの安全性を比類のないレベルで可視化し、必要に応じて修正をオーケストレートできます。
Google はこの独自の優位性を活かして Security Command Center の機能をさらに強化し、お客様の Google Cloud 環境を保護します。ここでは、セキュリティ チームがこうした作業を効率的に行えるように設計された 4 つの新機能をご紹介します。
脆弱性管理を簡素化: Compute Engine と GKE 向けのエージェントレス スキャンを導入
ソフトウェアの脆弱性を悪用する手法は、サイバー攻撃の初期感染ベクトルとしてよく見られます。M-Trends 2025 によると、初期感染ベクトルの 33% は脆弱性を利用した不正プログラムを起因としています。
セキュリティ チームにとって、こうした脆弱性を事前に特定して修復することは極めて重要ですが、従来のエージェントベースのソフトウェア スキャンでは、大きなオーバーヘッドとデプロイの煩雑さが生じる可能性があります。
このたび、Google Compute Engine および Google Kubernetes Engine(GKE)向けの脆弱性スキャンという優れた代替手段を Security Command Center に追加しました。この方法では、各アセットにソフトウェアをデプロイして管理する必要はありません。現在プレビュー版で利用可能なこの新機能により、仮想マシン インスタンス、GKE Kubernetes オブジェクト、GKE クラスタのソフトウェアと OS の脆弱性を追加料金なしで検出できます。
エージェントレス脆弱性スキャンには、主に 3 つのメリットがあります。
-
運用オーバーヘッドの削減: エージェントのデプロイ、構成、更新、パフォーマンスへの潜在的な影響を排除し、セキュリティ ワークフローを簡素化します。
-
カバレッジの拡大: エージェントのインストールが困難な場合や制限されている場合、また攻撃者によって不正な VM がプロビジョニングされた場合でも、仮想マシン(VM)をスキャンします。
-
データ所在地の維持: スキャン結果とデータについて、お客様が設定した Google Cloud 環境の境界を尊重します。


Security Command Center には脆弱性の詳細情報が表示されます。
また Security Command Center は、数十億ものユーザーの保護と、数十万時間にもおよぶインシデント調査から得られた Google Threat Intelligence のデータを活用して脆弱性レポートを拡充します。分析情報では、特定された脆弱性の影響と悪用可能性が特定されます。この情報はその後、集計されます。全体的な検出結果は、セキュリティ チームが脅威の詳細状況と、修復する脆弱性の優先順位を把握するのに役立つ視覚的なヒートマップで示されます。


Security Command Center の脆弱性ヒートマップ。
Artifact Analysis とのインテグレーションでコンテナ イメージの脆弱性を検出
昨今のクラウドネイティブな世界では、コンテナ イメージが最新のアプリケーションの構成要素となっています。これらのイメージに既知のソフトウェア脆弱性が存在しないのを確認することは、最前線の防御策として極めて重要です。このたび、Security Command Center で、コンテナ イメージの脆弱性スキャンがサポートされるようになりました。これは、Google Cloud の Artifact Analysis サービスからの結果を統合することで実現します。
Security Command Center Enterprise のお客様は、Artifact Registry のスキャンを追加料金なしでご利用いただけます。これにより、コンテナ イメージが GKE クラスタ、Cloud Run、App Engine にデプロイされたときに、そのコンテナ イメージの脆弱性に関するアラートを受け取ることができます。この機能は SCC Enterprise サブスクリプションに含まれるため、追加料金なしで脆弱性を管理できます。
このサービスの中核は、自動統合によって実現されています。イメージは Artifact Registry に保存されてから、Artifact Analysis によってスキャンされ、オペレーティング システムとソフトウェア パッケージの両方で既知の脆弱性が特定されます。
Artifact Registry でスキャンされたイメージは、GKE クラスタ、Cloud Run ジョブやサービス、App Engine インスタンスにデプロイされたコンテナ イメージ バージョンに関連付けられ、その脆弱性データが直接リンクされます。これにより、Security Command Center のリスク ダッシュボードに表示される検出結果が、アクティブなデプロイに関連するものになります。


Security Command Center には、Cloud Run イメージの既知の脆弱性が表示されます。
このインテグレーションにより、セキュリティ チームは、デプロイされたコンテナ イメージの潜在的な脆弱性を他のすべての Google Cloud のセキュリティ検出結果とともに直接確認できるほか、仮想レッドチームを使用して、不正使用から生じる可能性のあるより広範なリスクを発見できます。この統合ビューにより、リスク評価が簡素化され、修正が効率化されます。また、アラート疲労やツールの無秩序な増加を軽減するのにも役立ちます。
Security Command Center と Artifact Analysis のインテグレーションは、一般提供が開始されています。
サーバーレス アプリケーションを保護: Cloud Run の脅威検出
Google Cloud Run のようなサーバーレス コンピューティング プラットフォームを使用すると、基盤となるインフラストラクチャを管理することなく、アプリケーションやウェブサイトを構築できます。
このたび、Security Command Center に Cloud Run サービスとジョブの脅威検出を統合し、そのプレビュー版の提供を開始しました。この機能では、Cloud Run のデプロイを継続的に分析して潜在的な悪意のあるアクティビティを検出する 16 種類の特殊な検出機能を採用しています。検出範囲には以下が含まれます。サードパーティのプロダクトではどれも実現できないものです。
-
行動分析: 予期しないバイナリの実行、既知の悪意のある URL への接続、リバースシェルの確立の試みなどのアクティビティを特定できます。
-
悪意のあるコードの検出: ランタイムで使用される既知の悪意のあるバイナリやライブラリを検出できます。
-
NLP を活用した分析: 自然言語処理(NLP)手法を使用して、Bash コードや Python コードの実行パターンを分析し、悪意の兆候を検出します。
-
コントロール プレーンのモニタリング: Google Cloud Audit Logs(具体的には IAM システム イベントのログと管理アクティビティのログ)を分析して、潜在的なセキュリティ脅威を特定します。たとえば、Cloud Run ジョブで実行された既知のクリプトマイニング コマンドや、Cloud Run サービスの IAM ポリシーを変更するために使用されたデフォルトの Compute Engine サービス アカウントなどが該当します。これらは、悪用後の権限昇格の試みを示している可能性があります。
この多層的な検出戦略により、コードの実行からコントロール プレーンのアクティビティに至るまで、Cloud Run アプリケーションを標的とする潜在的な脅威を包括的に可視化できます。
基本的なログ分析でネットワークの異常を検出
Security Command Center は Google Cloud インフラストラクチャに組み込まれているため、ログソースに直接アクセスして分析し、異常なアクティビティや悪意のあるアクティビティを検出できます。たとえば、こうした内部ネットワーク トラフィックを分析することで、既知の不正な IP アドレス(Google Threat Intelligence によって不審または悪意があるとフラグ付けされた疑わしいパブリック IP)への接続を自動的に検出できます。
一般提供が開始されたこの組み込み機能は、明確なメリットをもたらします。サードパーティのクラウド セキュリティ プロダクトでは、同様のネットワーク分析情報を得るために、VPC フローログの取り込み、保存、分析という手間のかかる複雑なプロセスを行う必要があります(多くの場合、追加費用もかかります)が、Security Command Center ではこの重要な分析機能がネイティブに提供されるため、ログをエクスポートする必要がありません。
次のステップ
Security Command Center の機能を評価し、サブスクリプション オプションを確認するには、Google Cloud の営業担当者または Google Cloud 認定パートナーまでお問い合わせください。Security Command Center を有効にする方法についてはこちらをご確認ください。
Security Command Center ユーザー コミュニティに参加して、プロダクト ニュースや技術的なアドバイスを得ることもできます。
-Security Command Center、プロダクト管理担当ディレクター、Tim Knudsen
-Security Command Center、プロダクト マーケティング、Greg Smith