Security Command Center は、さまざまなセキュリティ標準のコントロールにマッピングされた検出機能でコンプライアンスをモニタリングします。
サポートされている各セキュリティ標準について、Security Command Center はコントロールのサブセットを確認します。確認されたコントロールについては、合格した数が Security Command Center に表示されます。合格していないコントロールについては、コントロールが不合格になったことを説明する検出結果のリストが Security Command Center に表示されます。
CIS は、Security Command Center の検出機能と、サポートされている各バージョンの CIS Google Cloud Foundations Benchmark とのマッピングを確認して認定します。追加のコンプライアンス マッピングは参考用として含まれています。
Security Command Center は、定期的に、新しいベンチマークのバージョンと標準のサポートを追加します。古いバージョンは引き続きサポートされますが、最終的には非推奨になります。入手可能な最新のサポート対象ベンチマークまたは標準の使用をおすすめします。
セキュリティ ポスチャー サービスを使用すると、組織のポリシーと Security Health Analytics の検出機能をビジネスに適用される標準とコントロールにマッピングできます。セキュリティ ポスチャーを作成した後は、ビジネスのコンプライアンスに影響を与える可能性がある環境の変更をモニタリングできます。
サポートされているセキュリティ標準
Google Cloud
Security Command Center は、Google Cloud の検出機能を、以下の 1 つ以上のコンプライアンス標準にマッピングします。
- Center for Information Security(CIS)Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0、v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix(CCM)4
- HIPAA(医療保険の相互運用性と説明責任に関する法律)
- 国際標準化機構(ISO)27001、2022、2013
- 米国国立標準技術研究所(NIST)800-53 R5 および R4
- NIST CSF 1.0
- Open Web Application Security Project(OWASP)トップ 10(2021 および 2017)
- Payment Card Industry データ セキュリティ基準(PCI DSS)4.0 および 3.2.1
- System and Organization Controls(SOC)2 2017 年 Trusted Services Criteria(TSC)
AWS
Security Command Center は、Amazon Web Services(AWS)の検出機能を以下の 1 つ以上のコンプライアンス標準にマッピングします。
検出機能と検出結果をコンプライアンス コントロールにマッピングする方法
Security Health Analytics や Web Security Scanner などの Security Command Center の検出サービスでは、検出モジュール(検出機能)を使用して、クラウド環境の脆弱性と構成ミスを確認します。
脆弱性が検出されると、検出機能は検出結果を生成します。 検出結果は、脆弱性などのセキュリティに関する問題の記録であり、次のような情報が含まれます。
脆弱性の説明
コントロールをコンプライアンスに適合させる脆弱性に対処するための推奨事項
検出結果に対応するコントロールの数値 ID
脆弱性を修正するための推奨手順
通常、一定のコントロールは自動化できないものの、他の理由による場合もあるため、標準のコントロールが必ずしも Security Command Center の検出結果にマッピングできるわけではありません。したがって、Security Command Center が確認するコントロールの総数は、通常、標準が定義するコントロールの総数より少なくなります。
CIS は、Security Command Center の検出機能と、サポートされている各バージョンの CIS Google Cloud Foundations Benchmark とのマッピングを確認して認定します。追加のコンプライアンス マッピングは参考用として含まれています。
Security Health Analytics と Web Security Scanner の検出結果、サポートされている検出機能とコンプライアンス標準のマッピングについては、脆弱性の検出結果をご覧ください。
コンプライアンスを評価する
Google Cloud コンソールの [コンプライアンス] ページで、使用中のクラウド環境が特定のセキュリティ標準をどの程度遵守しているかを一目で確認できます。 各セキュリティ基準には、選択したスコープ(組織、フォルダ、プロジェクト レベル)で合格点を受けた構成要素のコントロールの割合が表示されます。
Security Command Center が有効になっている場所は、表示内容に影響します。
プロジェクト レベル: 有効になっているプロジェクトのコンプライアンス統計情報のみを表示できます。Google Cloud コンソールで、プロジェクトが属するフォルダまたは組織に切り替えると、[コンプライアンス] ページは表示されません。
組織レベル: Google Cloud コンソールで有効な組織に切り替えると、[コンプライアンス] ページに、フォルダやプロジェクトを含む組織全体のコンプライアンス統計情報が表示されます。
その組織内の個々のフォルダとプロジェクトのコンプライアンス統計情報を表示するには、Google Cloud コンソールでそのリソースレベルに切り替えます。
コンプライアンス レポートは毎日生成されます。レポートは 24 時間前のものになる可能性があり、生成に失敗した場合はレポートが存在しない可能性があります。
特定の標準に対するコンプライアンスを評価する
Google Cloud コンソールで、[コンプライアンス] ページに移動します。
コンプライアンスを表示するプロジェクト、フォルダ、または組織を選択します。
標準カードのいずれかで [詳細を表示] をクリックして、[コンプライアンスの詳細] ページを開きます。
このページでは、次のことができます。
特定の日付における、選択した標準に対するコンプライアンスを表示します。
詳細を表示するコンプライアンス標準を切り替えます。
コンプライアンスの詳細に関するレポートを CSV ファイルにエクスポートします。
傾向グラフでコンプライアンスの進捗状況を時系列で追跡できます。
セキュリティ標準コントロールを開いて、構成要素のルールとルールの重大度を確認します。
ルールをクリックして、ポリシーに準拠していないリソースの検出結果を表示し、必要に応じて問題を修正します。検出結果の修正の詳細については、Security Health Analytics の検出結果の修正と Web Security Scanner の検出結果の修正をご覧ください。