Security Command Center は、さまざまなティア(スタンダード、プレミアム、エンタープライズ)で有効にできます。スタンダード ティアまたはプレミアム ティアを選択した場合は、組織全体(組織レベルでの有効化)または個々のプロジェクト(プロジェクト レベルでの有効化)で Security Command Center を有効にできます。エンタープライズ ティアを選択した場合は、組織レベルでのみ Security Command Center を有効にできます。
有効化プロセスはティアによって異なります。また、プロジェクト レベルで Security Command Center を有効にすると、Security Command Center のアクセス スコープが狭くなるため、特定の検出モジュールとサービス統合が使用できなくなります。
組織レベルでの有効化の概要
Security Command Center を組織レベルで有効にすると、Security Command Center がすべてのフォルダでリソースとアセットにアクセスしてスキャンするため、ビジネスを完全に保護できます。このため、組織レベルでの有効化がベスト プラクティスとなります。
適切な IAM 権限があれば、Google Cloud コンソールで組織のスタンダード ティアを有効にできます。
組織でプレミアム ティアを有効にするには、従量課金制料金を使用します。従量課金制料金の場合、Security Command Center の料金は Google Cloud サービスの使用量に基づいて費用が発生します。使用量は、組織内のプロジェクトに関連付けられた請求先アカウントに請求されます。適切な IAM 権限を使用すると、 Google Cloud コンソールで従量課金制オプションを使用するプレミアム ティアを有効にできます。
組織でエンタープライズ ティアを有効にするには、Google Cloud 営業またはGoogle Cloud パートナーからサブスクリプションを購入する必要があります。
エンタープライズ ティアまたはプレミアム ティアの料金オプションの詳細については、料金をご覧ください。
スタンダード ティアまたはプレミアム ティアを有効にする
スタンダード ティアとプレミアム ティアでは、 Google Cloud コンソールを使用して Security Command Center を有効にして構成します。有効化の手順については、組織で Security Command Center のスタンダード ティアまたはプレミアム ティアを有効にするをご覧ください。
データ所在地を有効にする場合は、代わりに法域の Google Cloud コンソールを使用する必要があります。法域の Google Cloud コンソールにアクセスする方法については、法域の Google Cloud コンソールについてをご覧ください。
エンタープライズ ティアを有効にする
エンタープライズ ティアでは、 Google Cloud コンソールを使用して Security Command Center を有効にして構成します。
データ所在地を有効にする場合は、代わりに法域の Google Cloud コンソールを使用します。有効化の手順については、Security Command Center エンタープライズ ティアを有効にするをご覧ください。
スタンダード サービスティアまたはプレミアム サービスティアを使用している場合、エンタープライズ ティアにアップグレードしても、Security Command Center データのロケーションは変更されません。スタンダード ティアまたはプレミアム ティアで Security Command Center のデータ所在地を有効にしていない場合、エンタープライズ ティアにアップグレードしても有効にすることはできません。
プロジェクト レベルでの有効化の概要
個々のプロジェクトで Security Command Center を有効にすると、最も重要なプロジェクトに対してのみ Security Command Center を使用できます。Security Command Center の使用料金は、そのプロジェクトのリソース使用量に基づいて決まります。
プロジェクト レベルで有効化を行う場合、適切な IAM 権限があれば、 Google Cloud コンソールで Security Command Center のスタンダード ティアまたはプレミアム ティアを自分で有効にできます。事前に営業担当者に問い合わせる必要はありません。
プロジェクト レベルの有効化の場合、プレミアム ティアの料金はプロジェクト内の特定の Google Cloud リソースの使用量に基づいており、従量課金制モデルに従ってプロジェクトに課金されます。
プロジェクト レベルで Security Command Center を有効にすると、Security Command Center のログ、データ、その他のリソースへのアクセス権は、有効になっているプロジェクトに限定されます。そのため、プロジェクトの外部にあるデータを必要とするサービスは利用できないか、検出結果の完全なセットを生成できません。プロジェクト レベルで有効にした場合に利用できない検出結果とサービスの詳細については、プロジェクト レベルで有効にした場合に利用可能な機能をご覧ください。
Security Command Center をプロジェクト レベルで有効にしている場合、データ所在地はサポートされません。
組織レベルでスタンダード ティアを有効にしてプロジェクト レベルの有効化を最適化する
プロジェクト レベルで有効にしたプレミアム ティアを最適化するには、組織レベルで Security Command Center のスタンダード ティアを有効にすることをおすすめします。
組織レベルでスタンダード ティアを有効にすると、複数のプロジェクト レベルでの有効化をグローバルに管理できます。また、組織レベルでの有効化が必要なスタンダード ティアの検出モジュールとサービス統合をプロジェクトでも利用できるようになります。
詳細については、組織レベルでの有効化が必要なスタンダード ティアの機能をご覧ください。
プロジェクト レベルで有効にする場合
通常、次のような場合にプロジェクトで Security Command Center を有効にします。
- 組織でどのティアの Security Command Center も使用していない。この場合、プロジェクトでスタンダード ティアまたはプレミアム ティアの Security Command Center を有効にできます。
- 組織でスタンダード ティアを使用している。この場合は、組織内のすべてのプロジェクトでスタンダード ティアを使用できるため、1 つのプロジェクトでのみプレミアム ティアを有効にできます。
- この組織はプレミアム ティアを使用していますが、特定のプロジェクトにのみ Security Command Center プレミアム ティアが必要になります。この場合、プロジェクト レベルでプレミアム ティアを有効にするには、組織レベルの有効化をスタンダード ティアにダウングレードする必要があります。組織レベルのサブスクリプションをご利用の場合、この変更はサブスクリプションの有効期限が切れた後にのみ適用されます。
現在の有効化の種類を確認する
Security Command Center の有効化タイプによって、Security Command Center がプロジェクト レベル、組織レベル、階層、料金オプションで有効になっているかどうかが決まります。
Google Cloud コンソールでプロジェクトを開いたときに、Security Command Center が有効になっているレベル(プロジェクト レベルまたは組織レベル)はすぐにわかりません。これは、プロジェクトでは親組織からの Security Command Center の使用がすぐに継承されないためです。
Security Command Center がすでに有効になっているかどうかを判断し、Security Command Center の現在の有効化タイプを確認するには、次の手順を完了します。
Google Cloud コンソールで、Security Command Center に移動します。
確認する組織またはプロジェクトを選択します。
Security Command Center が組織またはプロジェクトで有効になっている場合は、Security Command Center の [概要] ページが表示されます。どちらも有効になっていない場合は、[Security Command Center の設定] ページが表示されます。有効化の手順については、組織で Security Command Center を有効にするまたはプロジェクトで Security Command Center を有効にするをご覧ください。
[設定] ページに移動します。次のいずれかを行います。
- Security Command Center Standard または Premium で、[設定] ボタンを選択します。
- Security Command Center Enterprise で、ナビゲーションの [SCC 設定] を選択します。
[設定] ページで、[ティアの詳細] タブを選択します。
[ティアの詳細] タブで、[ティア] と [請求ステータス] の行を調べて、有効化の種類を確認します。
ティア: 組織またはプロジェクトのティア(エンタープライズ、プレミアムまたはスタンダード)が表示されます。組織がエンタープライズ ティアまたはプレミアム ティアに設定されている場合、すべてのプロジェクトは自動的にエンタープライズ ティアまたはプレミアム ティアを継承し、 Google Cloud コンソールには、この継承を説明するバナーが表示されます。組織がエンタープライズ ティアまたはプレミアム ティアに設定されている場合、プロジェクト レベルで、組織のティアをスタンダード ティアにダウングレードしたときに使用されるプロジェクトのティアが表示されます。
請求行: 次のいずれか
有効:プレミアム ティアの料金で、組織またはプロジェクトの従量課金制オプションが使用されていることを示します。
一時停止:エンタープライズ ティアまたはプレミアム ティアが組織レベルで有効になっており、このプロジェクトに継承されていることを示します。
有効期限: 組織レベルのエンタープライズ ティアまたはプレミアム ティアの有効化でサブスクリプションを使用していることを示します。
請求行が表示されていない場合は、組織またはプロジェクトでスタンダード ティアが有効になっていることを示します。プロジェクトは、組織からスタンダード ティアを継承できます。
Google Cloud コンソールの [ティアの管理] ボタンの上にあるテキストには、利用可能なティアと有効化オプションについて説明しています。
- アドオン: 他の Google Cloud プロダクトのサブスクリプションを通じて付与された Security Command Center アドオンが表示されます。これらのアドオンは、関連するプレミアム ティアの限定された数のサービスと検出モジュールに自動的にアクセス権を付与します。
Security Command Center の起動日時を表示する
Security Command Center の起動日時を確認するには、Cloud Logging クエリを使用します。このクエリは、ログの保持期間内にアクティベーションが完了している場合の結果を返します。
- Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。
- Security Command Center を有効にした組織を選択します。
- 次のクエリを実行します。
protoPayload.serviceName="securitycenter.googleapis.com" protoPayload.request.securityHealthAnalyticsSettings.serviceEnablementState="ENABLED"