このページでは、Google Cloud プロジェクトで Security Command Center のスタンダード ティアまたはプレミアム ティアを有効にする方法について説明します。
組織全体で Security Command Center を有効にするには、次のいずれかをご覧ください。
- 組織で Security Command Center のスタンダード ティアまたはプレミアム ティアを有効にする
- Security Command Center のエンタープライズ ティアを有効にする
前提条件
プロジェクトで Security Command Center を有効にするには、次の前提条件を満たしている必要があります。
- 前提条件を読み、Security Command Center のプロジェクト レベルでの有効化と組織レベルでの有効化にどのような違いがあるのかを確認してください。
- 組織に関連付けられた Google Cloud プロジェクトが必要です。
- ユーザー アカウントには、必要な権限を含む Identity and Access Management(IAM)ロールを付与する必要があります。
- プロジェクトが、ドメインによって ID を制限する組織のポリシーを継承している場合は、ユーザーとサービス アカウントが許可されたドメイン内に存在している必要があります。
- Container Threat Detection を使用する場合は、Google Kubernetes Engine クラスタが Container Threat Detection をサポートしている必要があります。
前提条件の情報
Security Command Center のプロジェクト レベルでの有効化と組織レベルでの有効化の違いについては、プロジェクト レベルでの Security Command Center の有効化の概要をご覧ください。
プロジェクト レベルの有効化でサポートされていないサービスと Security Command Center の検出結果については、プロジェクト レベルでの有効化のサービスの制限をご覧ください。
プロジェクト要件
プロジェクトで Security Command Center を有効にするには、プロジェクトが組織に関連付けられている必要があります。プロジェクトを作成する必要がある場合は、プロジェクトの作成と管理をご覧ください。
このタスクに必要な IAM ロール
Security Command Center を設定するには、Security Command Center を有効にするプロジェクトのユーザー アカウントに次の IAM ロールを付与する必要があります。
- セキュリティ センター管理者
roles/securitycenter.admin - セキュリティ管理者
roles/iam.securityAdmin - 必要な Security Command Center サービス アカウントがまだ組織レベルのアクティベーションで存在していない場合は、サービス アカウント
roles/iam.serviceAccountCreatorを作成します。
詳細については、Security Command Center のロールをご覧ください。
組織のポリシーを確認する
プロジェクトが、ドメインによって ID を制限する組織のポリシーを継承する場合は、次の要件を満たす必要があります。
- 許可されたドメイン内のアカウントで Google Cloud コンソールにログインする必要があります。
- サービス アカウントは、許可されたドメイン内にあるか、ドメイン内のグループのメンバーである必要があります。この要件により、ドメインで制限された共有が有効な場合に、
@*.gserviceaccount.comサービスによるリソースへのアクセスを許可できます。
Container Threat Detection のソフトウェア バージョンを確認する
Google Kubernetes Engine(GKE)で Container Threat Detection を使用する場合は、クラスタがサポート対象バージョンの GKE にあり、正しく構成されていることを確認します。詳細については、Container Threat Detection の使用をご覧ください。
プロジェクトでの有効化のシナリオ
このページでは、次の有効化シナリオについて説明します。
- 組織で Security Command Center を有効にしたことがない場合、プロジェクトで Security Command Center のプレミアム ティアまたはスタンダード ティアを有効にします。
- 組織でスタンダード ティアを使用している場合に、プロジェクトで Security Command Center プレミアム ティアを有効にします。
- 組織で期限切れのプレミアム ティア サブスクリプションを使用している場合に、プロジェクトで Security Command Center のプレミアム ティアを有効にします。
組織が Security Command Center を使用しているかどうかに応じて、プロジェクトで Security Command Center を有効にする方法が異なります。
組織で Security Command Center を使用していない場合は、Google Cloud コンソールに一連の設定ページが表示されます。
組織で Security Command Center を使用している場合は、[設定] ページの [ティアの詳細] タブを使用して、プロジェクトで Security Command Center プレミアムを有効にします。
組織で Security Command Center がすでに有効になっているかどうかを確認する
Security Command Center が組織ですでにアクティブになっているかどうかによって、プロジェクトで Security Command Center を有効にする方法が異なります。
組織で Security Command Center がすでに有効になっているかどうかを確認するには、次の手順を完了します。
Google Cloud コンソールで Security Command Center の [概要] ページに移動します。
プロジェクト セレクタのプルダウン リストから、Security Command Center を有効にするプロジェクトの名前をクリックします。
プロジェクトを選択すると、次のいずれかのページが開きます。
- 組織で Security Command Center が有効になっている場合、Security Command Center ダッシュボードが開きます。
- 組織で Security Command Center が有効になっていない場合は、[Security Command Center の設定] ページが開き、そこからプロジェクトの有効化プロセスを開始できます。
組織で Security Command Center がすでに有効になっている場合は、現在アクティブになっているサービスティアを確認します。
Security Command Center の [設定] ページを開きます。
[設定] ページで、[ティアの詳細] をクリックします。[ティア] ページが開きます。
[ティア] 行に、プロジェクトが継承しているサービスティアが表示されます。
プロジェクトで Security Command Center を有効にするには、親組織での Security Command Center の状態に応じて次の操作を行います。
組織で Security Command Center が有効になっているときにプロジェクトで有効にする
組織で Security Command Center がすでに有効になっている場合、プロジェクト レベルで有効にする必要があるサービスティアはプレミアム ティアのみです。これは、プロジェクトでスタンダード ティアの使用を継承するためです。
各ティアに含まれる機能については、Security Command Center のティアをご覧ください。
組織で Security Command Center が有効になっている場合は、Google Cloud コンソールでプロジェクトを選択して、Security Command Center の [設定] ページでプレミアム ティアを選択し、プロジェクト レベルでの有効化プロセスを開始します。
[設定] ページで [ティアの詳細] タブを開きます。
プロジェクトの選択ページが開き、[ティアの詳細] ページが表示されます。
プロジェクトを選択します。[ティアの詳細] ページが開きます。
[ティアの詳細] ページで、次のいずれかのオプションをクリックします。
- プロジェクトのティアを管理
- プレミアムを取得
[ティアの管理] ページが開きます。
[ティアの管理] ページで、[プレミアム] を選択します。
[次へ] をクリックします。[サービス] ページが開きます。
[サービス] ページで、リストされているサービスの左側にあるメニューから次のいずれかの値を選択して、必要に応じて組み込みサービスをオンまたはオフにします。
- 継承(デフォルト エントリ)
- 有効にする
- 無効にする
これで Security Command Center の有効化が完了しました。初期スキャンが完了するまで待ちます。
組織で Security Command Center が有効でないときにプロジェクトで有効にする
組織で Security Command Center を使用していない場合、Google Cloud コンソールには、プロジェクトで Security Command Center を有効にする一連の設定ページが表示されます。
ステップ 1: ティアを選択する
組織で Security Command Center が有効になっていない場合、Google Cloud コンソールで Security Command Center ダッシュボードを開くと、[Security Command Center の設定] ページが表示されます。ティアを選択して有効化プロセスを開始します。
Security Command Center には、スタンダード、プレミアム、エンタープライズの 3 つのティアがあります。選択したティアによって、使用できる機能と、Security Command Center の使用料金が決まります。エンタープライズ ティアは、組織レベルでのみ有効にできます。詳細については、Security Command Center のエンタープライズ ティアを有効にするをご覧ください。
各ティアに含まれる機能については、Security Command Center のティアをご覧ください。
ティアを選択して Security Command Center の有効化プロセスを開始する手順は次のとおりです。
Google Cloud コンソールで Security Command Center の [概要] ページに移動します。
プロジェクト セレクタのプルダウン リストから、Security Command Center を有効にするプロジェクトの名前をクリックします。
プロジェクトを選択すると、[Security Command Center の設定] ページが開きます。ここでティアを選択して有効化プロセスを開始します。Security Command Center のダッシュボードが表示されたら、組織またはプロジェクトで Security Command Center が有効になっています。
必要なサービスに応じて、プレミアム ティアまたはスタンダード ティアを選択します。
[次へ] をクリックします。[サービスの選択] ページが開きます。
次のセクションでは、プロジェクトで有効にする組み込みサービスを選択します。
ステップ 2: サービスを選択する
[サービスの選択] ページには、Security Command Center のすべての組み込みサービスが表示されます。
[サービス] ページで、リストされているサービスの左側にあるメニューから次のいずれかの値を選択して、必要に応じて組み込みサービスをオンまたはオフにします。
- 継承
- 有効にする
- 無効にする
有効化プロセスが完了したら、有効にするサービスのドキュメントを参照して、サービスで必要となる追加手順を確認します。
[次へ] をクリックします。[ロールの付与] ページが開きます。
ステップ 3: サービス エージェントを構成する
Security Command Center を初めて有効にすると、Google Cloud が Security Command Center とその検出サービス用の IAM サービス エージェントを自動的に作成します。
以下の手順で説明するように、Security Command Center とその検出サービスが機能を実行するために必要な権限を与える IAM ロールをこれらのサービス エージェントに付与します。
プロジェクト レベルで Security Command Center を有効にしており、組織で Security Command Center がまだ有効になっていない場合は、次のプロジェクト レベルのサービス エージェントが作成されます。
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com。このサービス アカウントにsecuritycenter.serviceAgentIAM ロールを付与します。service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com。このサービス アカウントにroles/containerthreatdetection.serviceAgentIAM ロールを付与します。
PROJECT_NUMBER の部分にはプロジェクト番号が含まれます。
サービス エージェントに IAM ロールを付与する手順は次のとおりです。
必要に応じて、[ロールの付与] ページで [許可を確認] をクリックして、付与するロールと権限を確認します。
[ロールを付与] をクリックすると、必要なロールが自動的に付与されます。
ロールを手動で付与する場合は、次の手順を完了します。
- [別の方法: 手動によるロールの付与(gcloud)] をクリックします。
- gcloud CLI コマンドをコピーします。
- Google Cloud コンソールのツールバーで「Cloud Shell をアクティブにする」をクリックします。
- 表示されたターミナル ウィンドウで、コピーした gcloud CLI コマンドを貼り付けて Enter キーを押します。
[次へ] をクリックします。[設定の完了] ページが開きます。
ステップ 4: 有効化を確認する
次の手順に沿って Security Command Center の有効化を完了します。
- [設定の完了] ページで、[完了] をクリックします。
設定が完了すると、Security Command Center が初期アセット スキャンを開始します。その後、ダッシュボードを使用して、プロジェクト全体の Google Cloud のセキュリティとデータリスクを確認し、修正できます。
一部のサービスでスキャンが開始されるまでに時間がかかる場合があります。通常、個々のプロジェクトのサービスの遅延やスキャン レイテンシは組織と比べて短くなりますが、レイテンシの理由は組織の場合とほぼ同じです。組織に適用されるレイテンシの詳細については、Security Command Center のレイテンシの概要で有効化プロセスの詳細をご覧ください。
すべての有効化シナリオで、組み込みサービスを最適化してテストする
Security Command Center を有効にした後、サービスのドキュメントを参照して、サービスをさらにテストまたは最適化できるかどうかを確認します。
たとえば、Event Threat Detection は Google Cloud によって生成されたログに依存します。一部のログは常時有効になっているため、Event Threat Detection を有効にするとすぐにスキャンを開始できます。他のログ(データアクセス監査ログなど)は、Event Threat Detection がスキャンを開始する前に有効にする必要があります。詳細については、ログのタイプと有効化の要件をご覧ください。
組み込みサービスのテストと使用については、次のページをご覧ください。
- Container Threat Detection を使用する
- Event Threat Detection を使用する
- Rapid Vulnerability Detection を使用する
- Security Health Analytics を使用する
- Virtual Machine Threat Detection を使用する
- Web Security Scanner を使用する
次のステップ
Security Command Center とその組み込みサービスの詳細を確認する。
- Security Command Center のダッシュボードを使用して、アセット、検出結果、脆弱性を確認する方法を学習する。
- Google Cloud のセキュリティ ソースについて学習する。
- Security Command Center にセキュリティ ソースを追加する方法を学習する。