このページでは、Security Command Center のスタンダード ティアまたはプレミアム ティアを組織で有効にする方法について説明します。組織に Security Command Center がすでに設定されている場合は、Security Command Center の使用のガイドをご覧ください。
Security Command Center には、スタンダード、プレミアム、エンタープライズの 3 つのサービスティアがあります。選択したティアによって、使用できる機能と、Security Command Center の使用料金が決まります。 エンタープライズ ティアを有効にするには、Security Command Center のエンタープライズ ティアを有効にするをご覧ください。
Security Command Center のプレミアム ティアを組織レベルで有効にするには、Google Cloud コンソールでセルフサービス、従量制料金オプションを選択します。
Security Command Center を初めて有効にする際に、データ所在地の制御を有効にできます。有効にした後は、データ所在地の制御を有効または無効に切り替えることはできません。詳細については、データ所在地のサポートをご覧ください。
各ティアで使用できる Security Command Center の組み込みサービスの詳細については、Security Command Center のティアをご覧ください。
Security Command Center の使用に関連する費用については、料金ページをご覧ください。
プロジェクトでのみ Security Command Center を有効にする場合は、プロジェクトで Security Command Center を有効にするをご覧ください。
前提条件
Security Command Center を有効にするには、組織、適切な Identity and Access Management(IAM)権限、適切な組織のポリシーが必要です。
組織を作成する
Security Command Center には、ドメインに関連付けられた組織リソースが必要です。組織をまだ作成していない場合は、組織の作成と管理をご覧ください。
権限を設定する
Security Command Center を設定するには、次の IAM ロールが必要です。
- 組織の管理者
roles/resourcemanager.organizationAdmin - セキュリティ センター管理者
roles/securitycenter.admin - セキュリティ管理者
roles/iam.securityAdmin - サービス アカウントの作成
roles/iam.serviceAccountCreator
詳細については、Security Command Center のロールをご覧ください。
組織のポリシーを確認する
組織のポリシーがドメイン別に ID を制限するように設定されている場合は、次のことが必要です。
- 許可されたドメイン内のアカウントで Google Cloud Console にログインする必要があります。
- サービス アカウントは、許可されたドメイン内にあるか、ドメイン内のグループのメンバーである必要があります。この要件により、ドメインで制限された共有が有効な場合に、
@*.gserviceaccount.comサービス アカウントを使用するサービスによるリソースへのアクセスを許可できます。
組織のポリシーがリソース使用量を制限するように設定されている場合は、securitycenter.googleapis.com が許可されていることを確認します。
組織での有効化のシナリオ
このページでは、次の有効化シナリオについて説明します。
- Security Command Center をまだ有効にしていない組織で Security Command Center のプレミアム ティアまたはスタンダード ティアを有効にする。
- スタンダード ティアを使用している組織で Security Command Center のプレミアム ティアを有効にする。
- 期限切れのプレミアム ティア サブスクリプションを使用している組織で、従量制料金オプションに変更する。
組織で Security Command Center を初めて有効にする
組織で Security Command Center を初めて有効にするには、Google Cloud コンソールのガイド付きの有効化プロセスに沿ってサービスティアを選択し、データ所在地の制御を有効にし、必要な検出サービスを有効にします。次に、リソースまたはアセットを選択して、必要なサービス アカウントをモニタリングし権限を付与します。
組織レベルで Security Command Center のプレミアム ティアを有効にするには、次の手順を行います。
Google Cloud コンソールで [Security Command Center] に移動します。
[組織] リストで、Security Command Center を有効にする組織を選択して、[選択] をクリックします。
[Security Command Center の設定] ウィンドウが開きます。
[階層の選択] で、ティアを選択します。
[次へ] をクリックします。[サービスの選択] ページが開きます。
省略可: 次のオプションを選択して、Security Command Center のデータ所在地のコントロールを有効にします。
[データ所在地] で [データ所在地を有効にする] を選択します。
データ所在地が有効になっている場合、Security Command Center サービスが、Security Command Center でサポートされているデータのロケーションにあるリソースでセキュリティの問題を検出すると、検出結果のレコードは Security Command Center の同じロケーションに自動的に保存されます。
[デフォルトのロケーションを選択] フィールドで、Security Command Center がサポートしているロケーションにないか、メタデータでロケーションを指定していないリソースの検出結果を保存するデフォルトの Security Command Center のロケーションを選択します。
[サービス] セクションで、必要な組み込みの Security Command Center サービスを有効にします。有効になっている各サービスは、サポートされているすべてのリソースをスキャンし、組織全体の検出結果をレポートします。サービスを無効にするには、サービス名の横にあるリストをクリックし、[無効] を選択します。
スタンダード ティアが有効になっている場合は、プレミアム ティアを有効にする前にプレミアム サービスの有効化を構成できます。この構成は、後で組織のプレミアム ティアを有効にするまで適用されません。
特定のサービスに関する注意事項は、次のとおりです。
Container Threat Detection を正しく機能させるには、クラスタがサポートされているバージョンの Google Kubernetes Engine(GKE)上にあり、GKE クラスタが正しく構成されていることを確認してください。詳細については、Container Threat Detection の使用をご覧ください。
Event Threat Detection は、Google Cloud が生成したログを利用します。Event Threat Detection を使用するには、組織、フォルダ、プロジェクトのログを有効にします。
異常検出の結果は、自動的に Security Command Center に表示されます。異常検出は、Security Command Center の構成の手順に沿って、オンボーディング後に無効にできます。
一覧表示されていませんが、プレミアム ティアを選択すると、セキュリティ対策サービスが自動的に有効になります。
[ロールを付与] で、必要な IAM ロールを Security Command Center のサービス エージェントに付与します。
サービス エージェントにロールを付与することで、Security Command Center とその検出サービスが機能を実行するために必要な権限を付与します。
サービス アカウント名の形式は次のとおりです。
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com。このサービス アカウントに
securitycenter.serviceAgentIAM ロールを付与します。service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com。このサービス アカウントに
roles/containerthreatdetection.serviceAgentIAM ロールを付与します。
サービス アカウントには、
ORGANIZATION_IDの代わりに組織の数値 ID が含まれています。ロールを追加するには、[ロールを付与] をクリックします。
ロールを手動で付与する場合は、次の手順を完了します。
- [手動によるロールの付与] セクションを開き、gcloud CLI コマンドをコピーします。
- Google Cloud コンソールのツールバーで「Cloud Shell をアクティブにする」をクリックします。
- 表示されたターミナル ウィンドウで、コピーした gcloud CLI コマンドを貼り付けて Enter キーを押します。
これらのロールに関連付けられた権限について確認するには、アクセス制御をご覧ください。次のいずれかの項目を入力します。
[設定の完了] で情報を確認し、[完了] をクリックします。
設定が完了すると、Security Command Center が初期アセット スキャンを開始します。その後、Google Cloud コンソールを使用して、プロジェクト全体の Google Cloud のセキュリティとデータリスクを確認し、修正できます。
一部のプロダクトでは、スキャンの開始に時間がかかる場合があります。有効化プロセスの詳細については、Security Command Center のレイテンシの概要をご覧ください。
各サービスのドキュメントで、サービスをさらにテストまたは最適化できるかどうかを確認してください。
たとえば、Event Threat Detection は Google Cloud によって生成されたログに依存します。一部のログは常時有効になっているため、Event Threat Detection を有効にするとすぐにスキャンを開始できます。多くのデータアクセス監査ログなど、他のログは、Event Threat Detection でスキャンする前に有効にする必要があります。詳細については、ログのタイプと有効化の要件をご覧ください。
組み込みサービスのテストと使用については、次のページをご覧ください。
スタンダード ティアからプレミアム ティアにアップグレードする
Security Command Center スタンダード ティアから Security Command Center プレミアム ティアにアップグレードするには、次の手順を完了します。サブスクリプションを使用する場合は、まず Google Cloud の営業担当者にお問い合わせください。
組織で Security Command Center のプレミアム ティアが提供する脅威検出とセキュリティ対策を必要としている場合は、このタスクを完了します。
Google Cloud コンソールで [Security Command Center] に移動します。
[組織] リストで、Security Command Center のプレミアム ティアにアップグレードする組織を選択し、[選択] をクリックします。
Security Command Center ページで、[プレミアムを取得] をクリックします。
[ティアを変更] で、[プレミアム] が選択されていることを確認します。[Next] をクリックします。
[サービスの確認] で、必要なサービスを有効にします。
[ティアを更新] をクリックします。
プレミアム ティアのサブスクリプション オプションから従量制オプションに変更する
サブスクリプションを使用して Security Command Center のプレミアム ティアを有効にした場合は、サブスクリプションが期限切れになる前に、従量課金制で Security Command Center を登録できます。この登録により、Security Command Center のプレミアム ティアが提供するセキュリティ機能が失われることはありません。この料金の変更は、サブスクリプションの有効期限が切れた後に適用されます。
Google Cloud コンソールで [Security Command Center] に移動します。
[組織] リストで、料金オプションを変更する組織を選択し、[選択] をクリックします。
Security Command Center の [概要] ページで、[設定] をクリックします。[設定] ページが開き、[サービス] タブが表示されます。
[設定] ページで、[ティアの詳細] をクリックします。[ティア] ページが開きます。
[ティアの管理] をクリックします。
[ティアを変更] ページで、[プレミアム] が選択されていることを確認し、[次へ] をクリックします。
[サービスの確認] ページで、有効にしたサービスを確認し、[ティアを更新] をクリックします。
従量制オプションをプレミアム ティアからスタンダード ティアにダウングレードする
Security Command Center のプレミアム ティアの従量制支払いオプションから Security Command Center のスタンダード ティアに変更するには、次の手順を完了します。サブスクリプションをご利用の場合、デフォルトでは、サブスクリプションの有効期限が切れると自動的にスタンダード ティアにダウングレードされます。
Security Command Center のスタンダード ティアにダウングレードすると、プレミアム ティアのサービスと機能にアクセスできなくなります。この変更を行う前に、組織のセキュリティ リスク プロファイルに悪影響を与えないことを確認してください。
Security Command Center スタンダード ティアは無料ですが、間接的な費用が発生する可能性があります。詳細については、Security Command Center に関連する間接的な費用をご覧ください。
このタスクの完了後に組織レベルでプレミアム ティアにアップグレードすると、プレミアム ティア サービスの構成が復元されます。
Google Cloud コンソールで [Security Command Center] に移動します。
[組織] リストで、Security Command Center のティアをダウングレードする組織を選択し、[選択] をクリックします。
Security Command Center の [概要] ページで、[設定] をクリックします。[設定] ページが開き、[サービス] タブが表示されます。
[設定] ページで、[ティアの詳細] をクリックします。[ティア] ページが開きます。
[ティアの管理] をクリックします。
[ティアを変更] ページで、[スタンダード] が選択されていることを確認し、[次へ] をクリックします。
[サービスの確認] ページで、有効にしたサービスを確認し、[ティアを更新] をクリックします。
プレミアム ティアの有効化をプロジェクト レベルから組織レベルに変更する
プロジェクト レベルの有効化から組織レベルの有効化に切り替えるには、組織で Security Command Center を初めて有効にするで説明されている有効化プロセスを実行します。
以下の料金変更が適用されます。
- 組織レベルでの有効化には、Security Command Center のプレミアム ティアの使用が含まれます。
- Security Command Center の組織レベルの有効化の料金規約が有効な料金規約になります。料金は、使用量が発生したプロジェクトに対して報告されます。
組織レベルでの有効化に変更する場合は、プロジェクト レベルで Security Command Center を有効にしたときに作成された Security Command Center サービス アカウントを削除しないでください。サービス アカウントを削除すると、特定の Security Health Analytics 検出機能が正しく機能しなくなる場合があります。
プレミアム ティアで費用をモニタリングする
Security Command Center のプレミアム ティアに関連する費用をモニタリングするには、Cloud Billing を使用します。課金データを BigQuery にエクスポートして詳細に分析したり、予算に支出アラートを設定できます。詳細については、費用をモニタリングするをご覧ください。
次のステップ
- Security Command Center の構成方法を確認する。
- Google Cloud コンソールで Security Command Center を使用する方法を確認する。
- Security Command Center の検出結果を操作する方法を学習する。
- Google Cloud のセキュリティ ソースについて学習する。