データとインフラストラクチャのセキュリティの概要

このページでは、Security Command Center に適用されるデータとインフラストラクチャのセキュリティについて説明します。

データ処理

Security Command Center に登録すると、 Google Cloud は使用している Google Cloud サービスに関連する次の情報を処理します。

  • Google Cloudリソースに関連付けられた構成とメタデータ
  • Identity and Access Management(IAM)ポリシーとユーザーの構成とメタデータ
  • Google Cloudレベルの API アクセス パターンと使用量
  • Google Cloud 組織の Cloud Logging のコンテンツ
  • サービスの設定やセキュリティの検出結果を含む Security Command Center のメタデータ

Security Command Center は、スキャンまたはモニタリングの対象に構成したクラウドログとアセットに関連するデータ(テレメトリーや他のデータを含む)を処理して、検出結果とサービスの改善を行います。

Security Command Center は、新たな脅威や進化する脅威からアセットを保護するために、構成ミスのあるアセット、ログの不正使用の兆候、攻撃ベクトルに関連するデータを分析します。これには、サービスモデル、お客様の環境を強化するための推奨事項、サービスの有効性と品質、ユーザー エクスペリエンスの改善が含まれる場合もあります。サービス改善の目的ではデータを処理せずに、サービスを使用する場合は、Google Cloud サポートに連絡してオプトアウトできます。オプトアウトすると、セキュリティ テレメトリーに依存する特定の機能が利用できなくなる場合があります。たとえば、環境に合わせて調整された検出機能や、サービス構成を組み込むサービスの改善などです。

保存中のデータと、内部システム間を転送中のデータは暗号化されます。さらに、Security Command Center のアクセス制御は、医療保険の相互運用性と説明責任に関する法律(HIPAA)や他の Google Cloudコンプライアンス提案遵守しています。

機密データの制限

組織の管理者やその他の特権ユーザーが Security Command Center にデータを追加する際に考慮すべき注意事項があります。

Security Command Center を使用すると、特権ユーザーはGoogle Cloud リソースとスキャンによって生成された検出結果に説明情報を追加できます。サービスを使用する際に機密データを知らないうちに送信してしまうこともあります(検出結果に顧客名やアカウント番号を追加するなど)。データを保護するため、アセットに名前やアノテーションを付ける際に機密情報を追加しないようにすることをおすすめします。

さらにセキュリティを強化するため、Security Command Center を機密データ保護と統合できます。Sensitive Data Protection は、クレジット カード番号、社会保障番号、 Google Cloud 認証情報などのセンシティブ データと個人情報を検出、分類、マスキングします。

情報の量によっては、機密データ保護のコストが高額になる場合があります。機密データの保護のコストを抑えるベスト プラクティスに従ってください。

リソースの管理などの Security Command Center の設定のガイダンスについては、Security Command Center の最適化をご覧ください。

データの保持

Security Command Center で処理されるデータはキャプチャされ、検出結果に保存されます。これにより、組織、フォルダ、プロジェクト内のリソースとアセットに存在する脅威、脆弱性、構成ミスを特定できます。検出結果には、検出の状態とプロパティを毎日キャプチャした一連の日次スナップショットが含まれます。

Premium ティアと Enterprise ティアでは、Security Command Center は検出結果のスナップショットを 13 か月間保存します。Standard ティアの Security Command Center は、検出結果のスナップショットを 35 日間保存します。保持期間が経過すると、検出結果のスナップショットとそれらのデータは Security Command Center データベースから削除され、復元できなくなります。 これにより、検出結果のスナップショットが削減され、検出結果の履歴と時系列変化を表示する機能が制限されます。

検出結果は、該当する保持期間内のスナップショットが 1 つ以上含まれている限り、Security Command Center に保持されます。検出結果とそのすべてのデータをさらに長い期間保持するには、別の保管場所にエクスポートします。詳細については、Security Command Center データのエクスポートをご覧ください。

すべてのティアで、 Google Cloudから組織が削除されると、保持期間の例外が適用されます。組織が削除されると、組織とそのフォルダとプロジェクトから派生したすべての検出結果は、Google Cloud でのデータ削除に記載された保持期間内に削除されます。

Security Command Center が組織内の 1 つ以上のプロジェクトで有効になっているが、組織全体では有効になっていない場合、個々のプロジェクトの検出結果は、プレミアム ティアでは 13 か月間、スタンダードでは 35 日間保持されます。Enterprise ティアでは、プロジェクト レベルの有効化はサポートされていません。 プロジェクトを削除しても、プロジェクトの検出結果は同時に削除されません。削除されたプロジェクトを含む組織の監査のために保持されます。保持期間は、削除されたプロジェクトでアクティブだったティアによって異なります。Premium ティアの場合は 13 か月、Standard ティアの場合は 35 日です。

プロジェクトを削除するときに、そのプロジェクトのすべての検出結果を同時に削除する必要がある場合は、Cloud カスタマーケアに連絡すれば、プロジェクト内のすべての調査結果を早期に削除できます。

インフラストラクチャのセキュリティ

Security Command Center は、Google の自社ユーザー向けのサービスや企業向けのサービスで使用されているインフラストラクチャ上に構築されています。Google のインフラストラクチャの多層セキュリティは、 Google Cloud内のすべてのサービス、データ、通信、オペレーションを保護するように設計されています。

Google インフラストラクチャのセキュリティの詳細については、Google インフラストラクチャのセキュリティ設計の概要をご覧ください。

次のステップ