データとインフラストラクチャのセキュリティの概要

このページでは、Security Command Center に適用されるデータとインフラストラクチャのセキュリティについて説明します。

データ処理

Security Command Center に登録すると、Google Cloud は使用している Google Cloud サービスに関連する次の情報を処理します。

  • Google Cloud リソースに関連付けられた構成とメタデータ
  • Identity and Access Management(IAM)ポリシーとユーザーの構成とメタデータ
  • Google Cloud レベルの API アクセス パターンと使用量
  • Google Cloud 組織向けの Cloud Logging のコンテンツ
  • サービスの設定やセキュリティの検出結果を含む Security Command Center のメタデータ

Security Command Center は、スキャンまたはモニタリングの対象に構成したクラウドログとアセットに関連するデータ(テレメトリーや他のデータを含む)を処理して、検出結果とサービスの改善を行います。

Security Command Center は、新たな脅威や進化する脅威からアセットを保護するために、構成ミスのあるアセット、ログの不正使用の兆候、攻撃ベクトルに関連するデータを分析します。これには、サービスモデル、お客様の環境を強化するための推奨事項、サービスの有効性と品質、ユーザー エクスペリエンスの改善が含まれる場合もあります。サービス改善の目的ではデータを処理せずに、サービスを使用する場合は、Google Cloud サポートに連絡してオプトアウトできます。オプトアウトすると、セキュリティ テレメトリーに依存する特定の機能が利用できなくなる場合があります。たとえば、環境に合わせて調整された検出機能や、サービス構成を組み込むサービスの改善などです。

保存中のデータと、内部システム間を転送中のデータは暗号化されます。さらに、Security Command Center のアクセス制御は、医療保険の相互運用性と説明責任に関する法律(HIPAA)や他の Google Cloud のコンプライアンス状況遵守しています。

機密データの制限

組織の管理者やその他の特権ユーザーが Security Command Center にデータを追加する際に考慮すべき注意事項があります。

Security Command Center を使用すると、特権ユーザーは Google Cloud リソースとスキャンによって生成された検出結果に説明情報を追加できます。サービスを使用する際に機密データを知らないうちに送信してしまうこともあります(検出結果に顧客名やアカウント番号を追加するなど)。データを保護するため、アセットに名前やアノテーションを付ける際に機密情報を追加しないようにすることをおすすめします。

さらにセキュリティを強化するため、Security Command Center を機密データ保護と統合できます。機密データ保護は、クレジット カード番号、社会保障番号、Google Cloud 認証情報などの機密データと個人情報を検出、分類、マスキングします。

情報の量によっては、機密データ保護のコストが高額になる場合があります。機密データの保護のコストを抑えるベスト プラクティスに従ってください。

リソースの管理などの Security Command Center の設定のガイダンスについては、Security Command Center の最適化をご覧ください。

データの保持

Security Command Center で処理されるデータはキャプチャされ、検出結果に保存されます。これにより、組織、フォルダ、プロジェクト内のリソースとアセットに存在する脅威、脆弱性、構成ミスを特定できます。検出結果レコードが更新されるたびに、検出の状態とプロパティをキャプチャした一連のスナップショットが検出結果に保存されます。

Security Command Center では、検出結果のスナップショットを 13 か月間保存します。13 か月を過ぎると、検出結果のスナップショットとそれらのデータは Security Command Center データベースから削除され、復元できなくなります。これにより、検出結果のスナップショットが削減され、検出結果の履歴と時系列変化を表示する機能が制限されます。

検出結果は、13 か月未満のスナップショットが 1 つ以上含まれている限り、Security Command Center に保持されます。検出結果とそのすべてのデータをさらに長い期間保持するには、別の保管場所にエクスポートします。詳細については、Security Command Center データのエクスポートをご覧ください。

組織が Google Cloud から削除された場合、13 か月間の保持期間の例外が適用されます。組織が削除されると、組織とそのフォルダとプロジェクトから派生したすべての検出結果が、組織の削除から 30 日以内に削除されます。

Security Command Center が組織内の 1 つ以上のプロジェクトで有効になっていて、組織全体では有効になっていない場合、個々のプロジェクトの検出結果は 13 か月間保持されます。プロジェクトを削除しても、プロジェクトの検出結果は同時に削除されません。削除されたプロジェクトを含む組織の監査のため 13 か月間保持されます。

プロジェクトを削除するときに、そのプロジェクトのすべての検出結果を同時に削除する必要がある場合は、Cloud カスタマーケアに連絡すれば、プロジェクト内のすべての調査結果を早期に削除できます。

インフラストラクチャのセキュリティ

Security Command Center は、Google の自社ユーザー向けのサービスや企業向けのサービスで使用されているインフラストラクチャ上に構築されています。Google のインフラストラクチャの多層セキュリティは、Google Cloud 内のすべてのサービス、データ、通信、オペレーションを保護するように設計されています。

Google インフラストラクチャのセキュリティの詳細については、Google インフラストラクチャのセキュリティ設計の概要をご覧ください。

次のステップ