このページでは、Security Command Center の Standard ティアまたはPremium ティアを組織で有効にする方法について説明します。組織に Security Command Center がすでに設定されている場合は、Security Command Center の使用のガイドをご覧ください。
Security Command Center には、Standard、Premium、Enterprise の 3 つのサービスティアがあります。選択したティアによって、使用できる機能と、Security Command Center の使用料金が決まります。Enterprise ティアを有効にするには、Security Command Center Enterprise ティアを有効にするをご覧ください。
Security Command Center Premium ティアを組織レベルで有効にするには、Google Cloud コンソールでセルフサービスの従量課金制料金オプションを選択します。
Security Command Center を初めて有効にする際に、データ所在地の制御を有効にできます。有効にした後は、データ所在地の制御を有効または無効に切り替えることはできません。詳細については、データ所在地のサポートをご覧ください。
各ティアで使用できる Security Command Center の組み込みサービスの詳細については、Security Command Center のティアをご覧ください。
Security Command Center の使用に関連する費用については、料金ページをご覧ください。
プロジェクトでのみ Security Command Center を有効にする場合は、プロジェクトで Security Command Center を有効にするをご覧ください。
前提条件
Security Command Center を有効にするには、組織、適切な Identity and Access Management(IAM)権限、適切な組織のポリシーが必要です。
組織を作成する
Security Command Center には、ドメインに関連付けられた組織リソースが必要です。組織をまだ作成していない場合は、組織の作成と管理をご覧ください。
権限を設定する
Security Command Center を設定するには、次の IAM ロールが必要です。
- 組織の管理者
roles/resourcemanager.organizationAdmin
- セキュリティ センター管理者
roles/securitycenter.admin
- セキュリティ管理者
roles/iam.securityAdmin
- サービス アカウントを作成する
roles/iam.serviceAccountCreator
Security Command Center のロールの詳細を確認する。
組織のポリシーを確認する
組織ポリシーがドメイン別に ID を制限するように設定されている場合:
- 許可されたドメイン内のアカウントで Google Cloud コンソールにログインする必要があります。
- サービス アカウントは、許可されたドメイン内にあるか、ドメイン内のグループのメンバーである必要があります。この要件により、ドメインで制限された共有が有効な場合に、
@*.gserviceaccount.com
サービス アカウントを使用するサービスがリソースにアクセスできるようになります。
組織のポリシーがリソース使用量を制限するように設定されている場合は、securitycenter.googleapis.com
が許可されていることを確認します。
組織での有効化のシナリオ
このページでは、次の有効化シナリオについて説明します。
- Security Command Center をまだ有効にしていない組織で Security Command Center のプレミアム ティアまたはスタンダード ティアを有効にする。
- スタンダード ティアを使用している組織で Security Command Center のプレミアム ティアを有効にする。
- 期限切れの Premium ティア サブスクリプションを使用している組織で、従量課金制の料金オプションに変更します。
組織で Security Command Center を初めて有効にする
組織で Security Command Center を初めて有効にするには、Google Cloud コンソールのガイド付きの有効化プロセスに沿ってサービスティアを選択し、データ所在地の制御を有効にし、必要な検出サービスを有効にします。次に、リソースまたはアセットを選択して、必要なサービス アカウントをモニタリングし権限を付与します。
組織レベルで Security Command Center のプレミアム ティアを有効にするには、次の手順を行います。
Google Cloud コンソールで Security Command Center に移動します。
Security Command Center を有効にする組織を選択し、[選択] をクリックします。
[Security Command Center の設定] ウィンドウが開きます。
[階層の選択] で、ティアを選択します。
[次へ] をクリックします。[サービスの選択] ページが開きます。
省略可: 次のオプションを選択して、Security Command Center のデータ所在地のコントロールを有効にします。
[データ所在地] で [データ所在地を有効にする] を選択します。
データ所在地が有効になっている場合、Security Command Center サービスが Security Command Center でサポートされているデータ ロケーションにあるリソースでセキュリティの問題を検出すると、Security Command Center は、検出結果の検出結果レコードを、影響を受けるリソースが配置されている Security Command Center のロケーションに自動的に保存します。
[デフォルトのロケーションを選択] フィールドで、Security Command Center がサポートしているロケーションにないか、メタデータでロケーションを指定していないリソースの検出結果を保存するデフォルトの Security Command Center のロケーションを選択します。
[サービス] セクションで、必要な組み込みの Security Command Center サービスを有効にします。有効になっている各サービスは、サポートされているすべてのリソースをスキャンし、組織全体の検出結果をレポートします。サービスを無効にするには、サービス名の横にあるリストをクリックし、[無効] を選択します。
スタンダード ティアが有効になっている場合は、プレミアム ティアを有効にする前にプレミアム サービスの有効化を構成できます。この構成は、後で組織のプレミアム ティアを有効にするまで適用されません。
特定のサービスに関する注意事項は、次のとおりです。
Container Threat Detection を正しく機能させるには、クラスタがサポートされているバージョンの Google Kubernetes Engine(GKE)上にあり、GKE クラスタが正しく構成されていることを確認してください。詳細については、Container Threat Detection の使用をご覧ください。
Event Threat Detection は、Google Cloud が生成したログを利用します。Event Threat Detection を使用するには、組織、フォルダ、プロジェクトのログを有効にします。
異常検出の結果は、自動的に Security Command Center に表示されます。異常検出は、Security Command Center サービスを構成するの手順に沿って、オンボーディング後に無効にできます。
一覧表示されていませんが、プレミアム ティアを選択すると、セキュリティ対策サービスが自動的に有効になります。
[ロールを付与] で、Security Command Center のサービス エージェントに必要な IAM ロールを付与します。
サービス エージェントにロールを付与することで、Security Command Center とその検出サービスが機能を実行するために必要な権限を付与します。
サービス アカウント名の形式は次のとおりです。
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
このサービス エージェントに
roles/securitycenter.serviceAgent
IAM ロールを付与します。service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
このサービス エージェントに
roles/containerthreatdetection.serviceAgent
IAM ロールを付与します。
サービス エージェントには、
ORGANIZATION_ID
の代わりに組織の数値 ID が含まれています。ロールを追加するには、[ロールを付与] をクリックします。
ロールを手動で付与する場合は、次の手順を完了します。
- [手動によるロールの付与] セクションを開き、gcloud CLI コマンドをコピーします。
- Google Cloud コンソールのツールバーで「Cloud Shell をアクティブにする」をクリックします。
- 表示されたターミナル ウィンドウで、コピーした gcloud CLI コマンドを貼り付けて Enter キーを押します。
これらのロールに関連付けられた権限については、アクセス制御をご覧ください。
[設定の完了] で情報を確認し、[完了] をクリックします。
設定が完了すると、Security Command Center が初期アセット スキャンを開始します。その後、Google Cloud コンソールを使用して、プロジェクト全体の Google Cloud のセキュリティとデータリスクを確認し、修正できます。
一部のプロダクトでは、スキャンの開始に時間がかかる場合があります。有効化プロセスの詳細については、Security Command Center のレイテンシの概要をご覧ください。
各サービスのドキュメントで、サービスをさらにテストまたは最適化できるかどうかを確認してください。
たとえば、Event Threat Detection は Google Cloud によって生成されたログに依存します。一部のログは常時有効になっているため、Event Threat Detection を有効にするとすぐにスキャンを開始できます。多くのデータアクセス監査ログなど、他のログは、Event Threat Detection でスキャンする前に有効にする必要があります。詳細については、ログのタイプと有効化の要件をご覧ください。
組み込みサービスのテストと使用については、次のページをご覧ください。
スタンダード ティアからプレミアム ティアにアップグレードする
Security Command Center スタンダード ティアから Security Command Center プレミアム ティアにアップグレードするには、次の手順を完了します。サブスクリプションを使用する場合は、まず Google Cloud の営業担当者にお問い合わせください。
組織で Security Command Center のプレミアム ティアが提供する脅威検出とセキュリティ対策を必要としている場合は、このタスクを完了します。
Google Cloud コンソールで Security Command Center に移動します。
Security Command Center のプレミアム ティアにアップグレードする組織を選択し、[選択] をクリックします。
Security Command Center ページで、[プレミアムを入手] をクリックします。
[ティアを変更] で、[プレミアム] が選択されていることを確認します。[次へ] をクリックします。
[サービスの確認] で、必要なサービスを有効にします。
[ティアを更新] をクリックします。
Premium ティアのサブスクリプション オプションから従量課金制オプションに変更する
サブスクリプションを使用して Security Command Center Premium ティアを有効にした場合は、サブスクリプションが期限切れになる前に、従量課金制で Security Command Center を登録できます。この登録により、組織は Security Command Center のプレミアム ティアに中断なくアクセスできます。この料金の変更は、サブスクリプションの有効期限が切れた後に適用されます。
Google Cloud コンソールで Security Command Center に移動します。
料金オプションを変更する組織を選択し、[選択] をクリックします。
Security Command Center の [概要] ページで、[設定] をクリックします。[設定] ページが開き、[サービス] タブが表示されます。
[設定] ページで、[ティアの詳細] をクリックします。[ティア] ページが開きます。
[ティアの管理] をクリックします。
[ティアを変更] ページで、[プレミアム] が選択されていることを確認し、[次へ] をクリックします。
[サービスの確認] ページで、有効にしたサービスを確認し、[ティアを更新] をクリックします。
従量課金制オプションを Premium ティアから Standard ティアにダウングレードする
Security Command Center Premium ティアの従量課金制オプションから Security Command Center Standard ティアに変更するには、次の手順を行います。サブスクリプションをご利用の場合、デフォルトでは、サブスクリプションの有効期限が切れると自動的にスタンダード ティアにダウングレードされます。
Security Command Center のスタンダード ティアにダウングレードすると、プレミアム ティアのサービスと機能にアクセスできなくなります。この変更を行う前に、組織のセキュリティ リスク プロファイルに悪影響を与えないことを確認してください。
Security Command Center スタンダード ティアは無料ですが、間接的な費用が発生する可能性があります。詳細については、Security Command Center に関連する間接的な費用をご覧ください。
このタスクの完了後に組織レベルでプレミアム ティアにアップグレードすると、プレミアム ティア サービスの構成が復元されます。
Google Cloud コンソールで Security Command Center に移動します。
Security Command Center のティアをダウングレードする組織を選択し、[選択] をクリックします。
Security Command Center の [概要] ページで、[設定] をクリックします。[設定] ページが開き、[サービス] タブが表示されます。
[設定] ページで、[ティアの詳細] をクリックします。[ティア] ページが開きます。
[ティアの管理] をクリックします。
[ティアを変更] ページで、[スタンダード] が選択されていることを確認し、[次へ] をクリックします。
[サービスの確認] ページで、有効にしたサービスを確認し、[ティアを更新] をクリックします。
Premium ティアの有効化をプロジェクト レベルから組織レベルに変更する
プロジェクト レベルの有効化から組織レベルの有効化に切り替えるには、組織で Security Command Center を初めて有効にするで説明されている有効化プロセスを実行します。
以下の料金変更が適用されます。
- 組織レベルでの有効化には、Security Command Center のプレミアム ティアの使用が含まれます。
- Security Command Center の組織レベルの有効化のための料金規約が、有効な料金規約になります。料金は、使用量が発生したプロジェクトに対して報告されます。
組織レベルでの有効化に変更する場合は、プロジェクト レベルで Security Command Center を有効にしたときに作成された Security Command Center サービス アカウントを削除しないでください。サービス アカウントを削除すると、特定の Security Health Analytics 検出機能が正しく機能しなくなる場合があります。
プレミアム ティアで費用をモニタリングする
Security Command Center のプレミアム ティアに関連する費用をモニタリングするには、Cloud Billing を使用します。課金データを BigQuery にエクスポートして詳細に分析したり、予算に支出アラートを設定できます。詳細については、費用をモニタリングするをご覧ください。
次のステップ
- Security Command Center を構成する方法を学習する。
- Google Cloud コンソールで Security Command Center を使用する方法を確認する。
- Security Command Center の検出結果を操作する方法を学習します。
- Google Cloud のセキュリティ ソースについて学習します。