新しいアセットクエリで Security Command Center のアセット インベントリ管理を簡素化

※この投稿は米国時間 2023 年 5 月 5 日に、Google Cloud blog に投稿されたものの抄訳です。

Google Cloud をご利用のお客様は、環境の拡大に合わせてクラウドのリソースとポリシーを管理する必要があります。大規模なお客様の場合、Google Cloud 環境で保有するアセット数は数百万にも上ります。拡大する環境を保護するには、クラウド アセットの発見、モニタリング、保護を支援するツールが必要です。そこで、Google Cloud のセキュリティおよびリスク管理ソリューションである Security Command Center（SCC）に、新しいアセットクエリ機能を追加しました。この機能により、IT チームとセキュリティ チームは、大規模で複雑な環境のアセットを簡単に識別できます。

SCC のユーザーは、SQL のようなクエリを実行して、アセットの場所や構成についての詳細情報を得ることができるようになります。これには、リソースの種類、リソースの関係、オペレーティング システムの構成、組織ポリシーのメタデータに基づくアセットの列挙が含まれます。アセットクエリは、コンピューティング、ネットワーク、ストレージなど、275 以上の Google Cloud アセットタイプのほぼリアルタイムのメタデータ ストア上で実行されます。

アセットクエリを簡単に実行できる仕組み

クエリを簡単に実行できるようにするため、アセットクエリをフルマネージド機能にして、最小限のセットアップで済むようにしました。SCC のユーザーはシンプルなクエリをすぐに作成できます。これにより、アセットデータのエクスポート、Big Query などのデータ ウェアハウスの構成といった作業や、手動でのクエリ オペレーションを必要とする高価なサードパーティ ツールを使用する必要がなくなります。

次に、クエリの作成に慣れていないユーザーのために、以下のような環境や対策に関する一般的な質問に対応できるよう、構築済みクエリのライブラリを追加しました。

• 一般公開されているストレージ バケットはどれか？

• まだ使用されている古いユーザー管理サービス アカウント キーはどれか？

• プロジェクトにデプロイされている特定のタイプのアセットはいくつあるか？

また、環境内のアセット間の関係も簡単に確認できるようにしました。たとえば、ユーザーは 1 回のクエリで、定義された App Engine アプリケーションを構成するサービスを発見したり、特定の GKE クラスタに特定のノードがあるかどうかをすばやく判断したりすることができます。

Google Cloud アセットの履歴を確認する

IT チームとセキュリティ チームは、現在のクラウド アセットの正確なインベントリに加え、何がいつ変更されたかなど、クラウド環境の履歴を確認する機能を必要としています。アセットクエリを使用すると、SCC のユーザーは過去 35 日間のどの時点でもインベントリ ステータスをすばやく表示し、指定した期間（最大 7 日間）に発生した変更を確認できます。たとえば、次のような変更です。

• 昨日の午後 2 時に、組織が us-east リージョンで保有していた VM インスタンスはいくつか？

• 過去 5 日間に、us-west リージョンの VM で発生した構成の変更は何か？

クエリの結果は、シンプルな CSV ファイル形式でエクスポートしたり、BigQuery にエクスポートしたりすることで、社内の関係者と簡単に共有できます。

Security Command Center のプレミアム ティアで利用可能になったアセットクエリ機能の詳細については、https://cloud.google.com/asset-inventory/docs/query-assets をご覧ください。SCC の利用を開始するには、Google Cloud 営業担当者にお問い合わせください。