デフォルトでは、Security Command Center はお客様のコンテンツを保存時に暗号化します。暗号化は Security Command Center が行うため、ユーザー側での操作は必要ありません。このオプションは、Google のデフォルトの暗号化と呼ばれます。
暗号鍵を管理する場合は、Cloud KMS の顧客管理の暗号鍵(CMEK)を、Security Command Center などの CMEK 統合サービスで使用できます。Cloud KMS 鍵を使用すると、保護レベル、ロケーション、ローテーション スケジュール、使用とアクセスの権限、暗号境界を制御できます。 Cloud KMS を使用すると、鍵の使用状況を追跡すること、監査ログを表示すること、鍵のライフサイクルを管理することが可能です。 データを保護する対称鍵暗号鍵(KEK)は Google が所有して管理するのではなく、ユーザーが Cloud KMS でこれらの鍵を制御および管理します。
CMEK を使用してリソースを設定した後は、Security Command Center リソースへのアクセスは、Google のデフォルトの暗号化を使用する場合と同様です。暗号化オプションの詳細については、顧客管理の暗号鍵(CMEK)をご覧ください。
職掌分散をサポートし、鍵へのアクセスを詳細に制御するには、他の Google Cloud リソースを含まない別のプロジェクト内で鍵を作成し、管理することをおすすめします。
Security Command Center で CMEK を使用するには、組織で Security Command Center を有効にするときに CMEK を構成する必要があります。プロジェクト レベルでの有効化中に CMEK を構成することはできません。詳細については、組織で Security Command Center Standard または Premium を有効にするをご覧ください。
Security Command Center で CMEK を使用すると、プロジェクトで Cloud KMS 暗号リクエストの割り当てが消費されることがあります。CMEK で暗号化されたインスタンスは、Security Command Center でデータを読み書きするときに割り当てを消費します。 CMEK 鍵を使用する暗号化と復号の処理は、ハードウェア(Cloud HSM)鍵または外部(Cloud EKM)鍵を使用する場合にのみ、Cloud KMS の割り当てに影響します。 詳細については、Cloud KMS の割り当てをご覧ください。CMEK は、Security Command Center と Security Command Center API で次のデータを暗号化します。
- 検出結果
- 通知構成
- BigQuery エクスポート
- ミュートの構成
始める前に
Security Command Center の CMEK を設定する前に、次の操作を行います。
Google Cloud CLI をインストールして初期化します。
-
Install the Google Cloud CLI.
-
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Cloud KMS が有効になっている Google Cloud プロジェクトを作成します。これがキー プロジェクトです。
正しいロケーションにあるキーリングを作成します。キーリングのロケーションは、Security Command Center を有効にする予定のロケーションと一致している必要があります。各 Security Command Center のロケーションに対応するキーリングのロケーションを確認するには、このドキュメントのキーのロケーションのセクションにある表をご覧ください。キーリングの作成方法の詳細については、キーリングを作成するをご覧ください。
キーリングに Cloud KMS 鍵を作成します。キーリングに鍵を作成する方法の詳細については、鍵を作成するをご覧ください。
Cloud Security Command Center サービス アカウントにデータの暗号化と復号に必要な権限があることを確認するには、Cloud KMS 鍵に対する Cloud KMS CryptoKey の暗号化/復号 (roles/cloudkms.cryptoKeyEncrypterDecrypter)IAM ロールを Cloud Security Command Center サービス アカウントに付与するよう管理者に依頼してください。
管理者は、カスタムロールや他の事前定義ロールを使用して、Cloud Security Command Center サービス アカウントに必要な権限を付与することもできます。
鍵の場所
Cloud KMS 鍵のロケーションは、Security Command Center を有効にしたロケーションに対応している必要があります。次の表を使用して、どの Cloud KMS 鍵のロケーションがどの Security Command Center のロケーションに対応しているかを確認します。
| Security Command Center のロケーション | Cloud KMS 鍵のロケーション |
|---|---|
eu |
europe |
global |
us |
sa |
me-central2 |
us |
us |
Security Command Center を有効にするときにデータ所在地を有効にしない場合は、Security Command Center のロケーションに global を使用し、Cloud KMS 鍵のロケーションに us を使用します。データ所在地について詳しくは、データ所在地に関する計画をご覧ください。
制限事項
有効にする組織に Security Command Center を含むプロジェクトが 1 つ以上ある場合、その組織の Security Command Center に CMEK を使用することはできません。
Security Command Center を有効にした後は、Cloud KMS 鍵を変更したり、Google-owned and Google-managed encryption key に切り替えたりすることはできません。
キーをローテーションすると、Security Command Center で新しいキー バージョンが使用されます。ただし、一部の Security Command Center 機能では、30 日間は古い鍵が引き続き使用されます。
Security Command Center 用に CMEK を設定する
Security Command Center で CMEK を使用するには:
- 組織の Security Command Center の設定時に、[サービスの選択] ページの [データ暗号化] で、[データ暗号鍵管理ソリューションを変更する(省略可)] を選択します。[暗号化] オプションが開きます。
- [Cloud KMS 鍵] を選択します。
- プロジェクトを選択します。
- キーを選択します。有効化する組織に属していないプロジェクトを含め、任意の Google Cloud プロジェクトから鍵を選択できます。互換性のあるロケーションの鍵のみがリストに表示されます。Security Command Center の CMEK のキーのロケーションの詳細については、キーのロケーション セクションの表をご覧ください。
ロールを付与して Security Command Center の設定を完了すると、Security Command Center は選択した Cloud KMS 鍵を使用してデータを暗号化します。
CMEK 構成を確認する
Security Command Center の CMEK が正常に設定されたことを確認するには:
- Security Command Center で、[設定] を選択します。
- [Tier Detail] タブに移動します。
- [設定の詳細 > データ暗号化] で、Security Command Center の CMEK が設定されている場合、鍵の名前は [データ暗号化] の後にリンクとして表示されます。
料金
Security Command Center Standard と Premium で CMEK を有効にするための追加料金は発生しませんが、Security Command Center が CMEK を使用してデータの暗号化と復号を行う場合、Cloud KMS で料金が発生します。詳細については、Cloud KMS の料金をご覧ください。
Security Command Center へのアクセス権を復元する
CMEK が有効になっている場合、Security Command Center サービス アカウントが機能するには、Cloud KMS 鍵へのアクセス権が必要です。CMEK に対するサービス アカウントの権限を取り消したり、CMEK を無効にしたり、CMEK の破棄をスケジュールしたりしないでください。これらのアクションを行うと、次の Security Command Center の機能がすべて停止します。
- 検出結果
- 継続的エクスポートの構成
- BigQuery エクスポート
- ミュートルール
Cloud KMS 鍵が使用できない状態で Security Command Center を使用しようとすると、Security Command Center にエラー メッセージが表示されるか、API で FAILED_PRECONDITION エラーが発生します。
Cloud KMS 鍵が原因で Security Command Center の機能が失われる原因は次のとおりです。
- サービス アカウントの鍵に対する Cloud KMS CryptoKey の暗号化/復号ロールが取り消された可能性があります。鍵が取り消された後に Security Command Center へのアクセスを復元できます。
- Cloud KMS 鍵が無効になっている可能性があります。鍵が無効になった後、Security Command Center へのアクセスを復元できます。
- 鍵の破棄がスケジュール設定されている可能性があります。鍵の破棄がスケジュールされた後に Security Command Center へのアクセスを復元できます。
鍵が取り消された後に Security Command Center へのアクセス権を復元する
Security Command Center で鍵へのアクセス権を復元するには、鍵に対する Cloud KMS CryptoKey の暗号化/復号のロールを Cloud Security Command Center サービス アカウントに付与します。
gcloud kms keys add-iam-policy-binding KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--member=serviceAccount:service-org-ORG_NUMBER@security-center-api.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
次のように置き換えます。
- KEY_RING: Cloud KMS 鍵のキーリング
- LOCATION: Cloud KMS 鍵のロケーション
- KEY_NAME: Cloud KMS 鍵の名前
- ORG_NUMBER: 組織番号
鍵が無効になった後に Security Command Center へのアクセス権を復元する
無効になっている鍵を有効にする方法については、鍵バージョンを有効にするをご覧ください。
鍵の破棄がスケジュール設定された後に Security Command Center へのアクセス権を復元する
破棄がスケジュール設定されている鍵を復元する方法については、鍵バージョンの破棄と復元をご覧ください。
鍵を破棄すると、復元できなくなり、Security Command Center へのアクセスを復元することもできなくなります。