Security Command Center を使用すると、共通のセキュリティ標準とベンチマーク(総称してセキュリティ標準)で Google Cloud 上のリソースのコンプライアンスを評価、改善、報告できます。
コンプライアンスを評価する
Google Cloud コンソールの [コンプライアンス] ページで、使用中のクラウド環境が特定のセキュリティ標準をどの程度遵守しているかを一目で確認できます。
[コンプライアンス] ページには、Security Command Center でサポートされているすべてのセキュリティ標準と、各標準の遵守状況が表示されます。
遵守状況は、遵守している特定の標準の推奨事項またはコントロールの数で測定され、Security Command Center がその標準で評価するコントロールの総数に対する割合として表示されます。Security Command Center で特定のコントロールに脆弱性や構成ミス(総称して脆弱性)が検出されなかった場合、そのコントロールは合格コントロールです。
Security Command Center の脆弱性検出サービス(Security Health Analytics や Web Security Scanner など)は、サービスの検出機能と標準のコントロールとのベスト エフォート マッピングに基づいてコントロールをモニタリングします。
特定の標準のコンプライアンスを評価する
各標準の [コンプライアンスの詳細] ページを開くと、Security Command Center が標準に対してチェックするコントロール、各コントロールで検出された違反の数、標準のコンプライアンス レポートをエクスポートするオプションがさらに詳細に確認できます。
[コントロール] などの列ヘッダーをクリックすると、ルールのリストを並べ替えることができます。リストの並べ替えは、コントロールの番号で行われます。ルールが複数のコントロールに対応している場合、コントロール番号で並べ替えると、コントロール番号が最も小さいルールが並べ替えられます。
特定のルールまたはコントロールに対応するアクティブな Security Command Center の検出結果を表示するには、[ルール] 列でルール名をクリックします。[検出結果] ページが開き、ルールに対応する検出結果のカテゴリでフィルタリングされた検出結果が表示されます。
Security Command Center がコンプライアンス管理をサポートする方法の概要については、コンプライアンスの管理とモニタリングをご覧ください。
コンプライアンス違反に関する検出結果を確認する
各コントロールの個々の検出結果を表示するには、[コンプライアンスの詳細] ページでルール名をクリックします。[検出結果] ページが開き、コントロールの検出結果が表示されます。
特定の検出結果の詳細(問題の修正方法に関する推奨事項など)を表示するには、[検出結果] ページで [カテゴリ] 列の名前をクリックします。
検出結果の修正の詳細については、Security Health Analytics の検出結果の修正と Web Security Scanner の検出結果の修正をご覧ください。
コンプライアンスに関するレポート
特定のコンプライアンス標準の [コンプライアンスの詳細] ページで、標準のコンプライアンス レポートを CSV ファイルとしてエクスポートできます。
レポートには、[コンプライアンスの詳細] ページに表示される情報が含まれており、各標準コントロール、それに対応する Security Command Center ルールと検出結果カテゴリとの間の明確なリンクが提供されます。各検出結果カテゴリの重大度も含まれます。
レポートは、指定した日付における特定の標準に対するクラウド環境の適用状況を示すポイントインタイムのスナップショットです。
Security Command Center のコンプライアンス レポートはコンプライアンス監査に代わるものではありませんが、コンプライアンス ステータスの維持と早期の違反検出に役立ちます。
コンプライアンス レポートの範囲を設定する
Security Command Center は、Google Cloud コンソールのページ上部で選択したプロジェクト、フォルダ、または組織にコンプライアンス レポートの範囲を自動的に設定します。たとえば、Google Cloud コンソール ビューがプロジェクトに設定されている場合、コンプライアンス レポートにはそのプロジェクトの検出結果のみが含まれます。
組織レベルで Security Command Center が有効で、ビューが組織に設定されている場合、コンプライアンス レポートには組織全体(組織に含まれるすべてのプロジェクト)の検出結果が表示されます。プロジェクト レベルで Security Command Center が有効で、組織またはフォルダを選択した場合、[コンプライアンス] ページは表示されません。
コンプライアンス レポートをエクスポートする
特定のコンプライアンス標準に関する違反の検出結果を集約した CSV レポートをエクスポートするには、次の手順を行います。
Google Cloud コンソールで、[コンプライアンス] ページに移動します。
Google Cloud コンソールのプロジェクト セレクタを使用して、コンプライアンス レポートを表示するプロジェクト、フォルダ、または組織を選択します。
[コンプライアンス] ページで、レポートが必要な標準を見つけます。
標準名の横にある [詳細を表示] をクリックします。[コンプライアンスの詳細] ページが開きます。
[コンプライアンスの詳細] ページで、[レポートをエクスポート] をクリックします。[コンプライアンス レポートをエクスポート] ページが開きます。
[コンプライアンス レポートをエクスポート] ページで、レポートが必要な日付を選択します。レポートは、その日のコンプライアンスのスナップショットです。
[エクスポート] をクリックします。レポートは、CSV ファイルでワークステーションにダウンロードされます。
検出機能と検出結果をコンプライアンス コントロールにマッピングする方法
Security Health Analytics や Web Security Scanner などの Security Command Center の検出サービスでは、検出モジュール(検出機能)を使用して、クラウド環境の脆弱性と構成ミスを確認します。
脆弱性が検出されると、検出機能は検出結果を生成します。 検出結果は、脆弱性などのセキュリティに関する問題の記録であり、次のような情報が含まれます。
- 脆弱性の説明
- コントロールをコンプライアンスに適合させる脆弱性に対処するための推奨事項
- 検出結果に対応するコントロールの数値 ID
- 脆弱性を修正するための推奨手順
通常、一定のコントロールは自動化できないものの、他の理由による場合もあるため、標準のコントロールが必ずしも Security Command Center の検出結果にマッピングできるわけではありません。したがって、Security Command Center が確認するコントロールの総数は、通常、標準が定義するコントロールの総数より少なくなります。
CIS は、Security Command Center の検出機能と、サポートされている各バージョンの CIS Google Cloud Foundations Benchmark とのマッピングを確認して認定します。追加のコンプライアンス マッピングは参考用として含まれています。
Security Health Analytics と Web Security Scanner の検出結果、およびサポートされている検出機能とコンプライアンス標準との間のマッピングについては、脆弱性の検出結果をご覧ください。
サポートされている標準とベンチマーク
Security Command Center は、さまざまなセキュリティ標準のコントロールにマッピングされる検出機能でコンプライアンスをモニタリングします。
サポートされている各セキュリティ標準について、Security Command Center はコントロールのサブセットを確認します。確認されたコントロールについては、合格した数が Security Command Center に表示されます。合格していないコントロールについては、コントロールが不合格になったことを説明する検出結果のリストが Security Command Center に表示されます。
CIS は、Security Command Center の検出機能と、サポートされている各バージョンの CIS Google Cloud Foundations Benchmark とのマッピングを確認して認定します。追加のコンプライアンス マッピングは参考用として含まれています。
Security Command Center は、定期的に、新しいベンチマークのバージョンと標準のサポートを追加します。古いバージョンは引き続きサポートされますが、最終的には非推奨になります。入手可能な最新のサポート対象ベンチマークまたは標準の使用をおすすめします。
セキュリティ ポスチャー サービスを使用すると、組織のポリシーと Security Health Analytics の検出機能をビジネスに適用される標準とコントロールにマッピングできます。セキュリティ ポスチャーを作成した後は、ビジネスのコンプライアンスに影響を与える可能性がある環境の変更をモニタリングできます。
コンプライアンス管理の詳細については、セキュリティ標準のコンプライアンスを評価して報告するをご覧ください。
Google Cloud でサポートされているセキュリティ標準
Security Command Center は、Google Cloud の検出機能を、以下の 1 つ以上のコンプライアンス標準にマッピングします。
- Center for Information Security(CIS)Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0、v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix(CCM)4
- HIPAA(医療保険の相互運用性と説明責任に関する法律)
- ISO 27001、2022、2013
- NIST 800-53 R5 および R4
- NIST CSF 1.0
- OWASP トップ 10(2021 および 2017)
- PCI DSS 4.0 および 3.2.1
- System and Organization Controls(SOC)2 2017 年 Trusted Services Criteria(TSC)
AWS でサポートされているセキュリティ標準
Security Command Center は、Amazon Web Services(AWS)の検出機能を以下の 1 つ以上のコンプライアンス標準にマッピングします。
- CIS Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 および 3.2.1
- SOC 2 2017 TSC