Security Command Center Enterprise ティアを有効にする

Security Command Center Enterprise ティアは、高度なセキュリティ運用、機密データ保護や Assured OSS などの他の Google Cloud プロダクトとの統合、マルチクラウド サポート、リスク分析などのセキュリティ強化機能を提供します。Enterprise ティアの機能の詳細については、Security Command Center の概要をご覧ください。

Enterprise ティアのアクティベーション プロセスは、Google Cloud コンソールの設定ガイドを使用して完了します。最初の必須タスクの後、追加のタスクを完了して、組織に必要なオプション機能を設定できます。

料金とサブスクリプションの取得については、Security Command Center の料金をご覧ください。

別のティアで Security Command Center を有効にする手順については、組織で Security Command Center Standard ティアまたはプレミアム ティアを有効にするをご覧ください。

始める前に

以下のタスクを完了してから、このページの残りのタスクを完了してください。

組織の作成

Security Command Center には、ドメインに関連付けられた組織リソースが必要です。組織をまだ作成していない場合は、組織の作成と管理をご覧ください。

権限を設定する

このセクションでは、Security Command Center の設定に必要な Identity and Access Management のロールと、付与方法について説明します。

  1. 組織に次のロールがあることを確認します。 Organization Admin, Cloud Asset Owner, Security Center Admin, Security Admin, Create Service Accounts, and Chronicle Service Admin.

    ロールを確認する

    1. Google Cloud コンソールの [IAM] ページに移動します。

      [IAM] に移動
    2. 組織を選択します。

    3. [プリンシパル] 列で、自分のメールアドレスを含む行を見つけます。

      自分のメールアドレスがその列にない場合、ロールは割り当てられていません。

    4. 自分のメールアドレスを含む行の [ロール] 列で、ロールのリストに必要なロールが含まれているかどうかを確認します。

    ロールを付与する

    1. Google Cloud コンソールの [IAM] ページに移動します。

      [IAM] に移動
    2. 組織を選択します。
    3. [ アクセスを許可] をクリックします。
    4. [新しいプリンシパル] フィールドに、自分のメールアドレスを入力します。
    5. [ロールを選択] リストでロールを選択します。
    6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
    7. [保存] をクリックします。

詳細については、Security Command Center のロールをご覧ください。

組織のポリシーを確認する

組織のポリシーがドメイン別に ID を制限するように設定されている場合は、次の点を考慮してください。

  • 許可されたドメイン内のアカウントで Google Cloud コンソールにログインする必要があります。
  • サービス アカウントは、許可されたドメイン内にあるか、ドメイン内のグループのメンバーである必要があります。この要件により、ドメインで制限された共有が有効な場合に、@*.gserviceaccount.com サービス アカウントを使用するサービスがリソースにアクセスできるようになります。

組織のポリシーがリソース使用量を制限するように設定されている場合は、securitycenter.googleapis.com が許可されていることを確認します。

管理プロジェクトを作成する

Security Command Center Enterprise には、セキュリティ運用と Mandiant の統合を可能にするために、管理プロジェクトと呼ばれるプロジェクトが必要です。

以前に Google SecOps を有効にした場合は、既存の管理プロジェクトを使用できます。それ以外の場合は、新しく作成します。プロジェクトのロールと API を確認します。

  1. Google Cloud コンソールでプロジェクトの選択ページに移動します。

    プロジェクト セレクタに移動

  2. Google Cloud プロジェクトを選択または作成します。

  3. Cloud Asset、Cloud Pub/Sub、Cloud Resource Manager、Compute Engine、Policy Analyzer、Recommender API を有効にします。

    API を有効にする

  4. プロジェクトに次のロールがあることを確認します。 Service Usage 管理者、サービス アカウントの作成、サービス アカウント トークン作成者、Chronicle サービス管理者、Chronicle SOAR 管理者、サービス アカウント キー管理者、サービス アカウント管理者。

    ロールを確認する

    1. Google Cloud コンソールの [IAM] ページに移動します。

      [IAM] に移動
    2. プロジェクトを選択します。

    3. [プリンシパル] 列で、自分のメールアドレスを含む行を見つけます。

      自分のメールアドレスがその列にない場合、ロールは割り当てられていません。

    4. 自分のメールアドレスを含む行の [ロール] 列で、ロールのリストに必要なロールが含まれているかどうかを確認します。

    ロールを付与する

    1. Google Cloud コンソールの [IAM] ページに移動します。

      [IAM] に移動
    2. プロジェクトを選択します。
    3. [ アクセスを許可] をクリックします。
    4. [新しいプリンシパル] フィールドに、自分のメールアドレスを入力します。
    5. [ロールを選択] リストでロールを選択します。
    6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
    7. [保存] をクリックします。

Google Security Operations のアクセスコードを取得する

Google SecOps のインスタンスがすでにある場合は、有効化時にアクセスコードを使用して Security Command Center Enterprise ティアを接続できます。アクセスコードを取得するには、Google Cloud セールスにお問い合わせください。

通知の連絡先を構成する

セキュリティ管理者が重要な通知を受信できるように、重要な連絡先を構成します。手順については、通知の連絡先の管理をご覧ください。

Security Command Center Enterprise ティアを初めて有効にする

  1. Google Cloud コンソールで、Security Command Center の [リスクの概要] ページに移動します。

    Security Command Center に移動

  2. Security Command Center Enterprise ティアを有効にする組織が表示されていることを確認します。

  3. [Security Command Center Enterprise スタートガイド] ページで、[Enterprise を有効にする] をクリックします。このオプションでは、Security Command Center Enterprise ティアに含まれるすべてのサービス(Google Security Operations や Mandiant など)にサービス アカウントとロールが自動的に作成されます。これらのオプションを表示するには、[サービス アカウントと権限を表示] をクリックします。

    [Security Command Center Enterprise スタートガイド] ページが表示されない場合は、Google Cloud セールスに連絡して、サブスクリプションの利用資格が有効になっていることを確認します。

  4. 管理プロジェクトを選択し、[次へ] をクリックします。

  5. [API を有効にする] をクリックし、[次へ] をクリックします。

  6. 次のいずれかを行います。

    • Google SecOps インスタンスを有効にしている場合は、[はい、既存の Chronicle インスタンスに接続します] を選択して、アクセスコードを貼り付けます。
    • Google SecOps がない場合は、[いいえ、新しい Chronicle インスタンスを作成します] を選択します。連絡先情報と会社情報を入力し、Google SecOps を有効にするリージョンを選択します。このリージョンは Google SecOps にのみ使用され、その他の Security Command Center 機能には使用されません。

  7. [Activate] をクリックします。[リスクの概要] ページに戻り、プロビジョニングのステータスが表示されます。セキュリティ運用の機能の準備が整い、検出結果が利用可能になるまでに時間がかかることがあります。

Google Cloud コンソールの設定ガイドを使用して、追加機能を構成できます。

Security Command Center の追加機能を構成する

Google Cloud コンソールの設定ガイドは、6 つの手順と追加の構成に関する推奨事項で構成されています。Security Command Center を有効にするときに、最初の 2 つの手順を完了します。残りの手順と推奨事項は、組織の必要に応じて、時間の経過とともに完了してください。

  1. Google Cloud コンソールで、Security Command Center の [リスクの概要] ページに移動します。

    [概要] に移動

  2. [設定] > [ティアの詳細] に移動します。

  3. Security Command Center Enterprise ティアを有効にした組織が表示されていることを確認します。

  4. [設定ガイドを表示] をクリックします。

  5. Amazon Web Services(AWS)も使用していて、Security Command Center を AWS に接続して脆弱性とリスク評価を行う場合は、[手順 3: Amazon Web Services(AWS)の統合を設定する] をクリックします。手順については、脆弱性の検出とリスク評価を行うために AWS に接続するをご覧ください。

  6. セキュリティ運用を実行するユーザーとグループを追加するには、[手順 4: ユーザーとグループを設定する] をクリックします。手順については、IAM を使用して SecOps 機能へのアクセスを制御するをご覧ください。

  7. セキュリティ オーケストレーション、自動化、レスポンス(SOAR)を構成するには、[手順 5: 統合を構成する] をクリックします。Google Security Operations インスタンスの設定によっては、ユースケースがすでにインストールされている場合があります。インストールされていない場合は、アカウント担当者または Google Cloud セールスにお問い合わせください。チケット発行システムと統合するには、Security Command Center Enterprise とチケット発行システムを統合するをご覧ください。

  8. セキュリティ情報およびイベント管理(SIEM)へのデータの取り込みを構成するには、手順 6: ログの取り込みを構成するをご覧ください。手順については、脅威を検出するために SecOps を AWS に接続するをご覧ください。

  9. Google Cloud 組織内の機密データをモニタリングするには、[機密データの保護の設定] をクリックします。機密データの検出は、サービスティアに関係なく、Security Command Center とは別に課金されます。検出用のサブスクリプションを購入しない場合、使用量(スキャンされたバイト数)に基づいて課金されます。詳細については、機密データの保護に関するドキュメントの検出の料金をご覧ください。手順については、機密データの検出を有効にするをご覧ください。

  10. コード セキュリティを強化するには、[コード セキュリティを設定する] をクリックします。手順については、コード セキュリティのために Assured OSS と統合するをご覧ください。

次のステップ