このページでは、Google Cloud で脆弱性と脅威を一元的に報告するサービスである Security Command Center の概要について説明します。Security Command Center は、セキュリティとデータの対象領域を評価し、アセット インベントリとディスカバリを提供します。構成ミス、脆弱性、脅威を特定することにより、セキュリティ体制を強化し、リスクを軽減して修正するのに役立ちます。
Security Command Center は、Event Threat Detection や Security Health Analytics などのサービスを使用して、環境内のセキュリティ問題を検出します。これらのサービスは、Google Cloud のログとリソースをスキャンして、脅威の兆候、ソフトウェアの脆弱性、構成ミスを探します。サービスはソースとも呼ばれます。詳細については、セキュリティ ソースをご覧ください。
これらのサービスは、脅威、脆弱性、構成ミスを検出すると検出結果を出力します。検出結果とは、Google Cloud 環境で検出された個々の脅威、脆弱性、構成ミスのレポートまたは記録のことです。検出結果には、検出された問題、影響を受ける Google Cloud リソース、問題への対処に関するガイダンスが含まれます。
Google Cloud コンソールの Security Command Center には、Security Command Center サービスによって返されるすべての検出結果の統合ビューが表示されます。Google Cloud コンソールでは、検出結果のクエリ、検出結果のフィルタリング、無関係な検出結果のミュートなどを行うことができます。
Security Command Center の有効化レベル
Security Command Center は、個別のプロジェクト(プロジェクト レベルでの有効化)または組織全体(組織レベルでの有効化)で有効にできます。
Security Command Center の有効化の詳細については、Security Command Center の有効化の概要をご覧ください。
Security Command Center のサービスティア
Security Command Center には、スタンダードとプレミアムの 2 つのサービスティアがあります。
選択したティアによって、Security Command Center で使用できる組み込みサービスが異なります。
Security Command Center のサービスティアについてご不明な点がある場合は、アカウント担当者または Google Cloud の営業担当者までお問い合わせください。
Security Command Center のティアの使用に関連する費用については、料金をご覧ください。
スタンダード サービスティア
スタンダード ティアには、以下のサービスと機能が含まれます。
-
Security Health Analytics: スタンダード ティアの Security Health Analytics は、Google Cloud のマネージド脆弱性評価スキャン機能を提供します。このスキャンでは、Google Cloud アセットの最も重大な脆弱性と構成ミスを自動的に検出できます。スタンダード ティアの Security Health Analytics には、次の検出タイプが含まれます。
Dataproc image outdated
Legacy authorization enabled
MFA not enforced
Non org IAM member
Open ciscosecure websm port
Open directory services port
Open firewall
Open group IAM member
Open RDP port
Open SSH port
Open Telnet port
Public bucket ACL
Public Compute image
Public dataset
Public IP address
Public log bucket
Public SQL instance
SSL not enforced
Web UI enabled
- Web Security Scanner のカスタム スキャン: スタンダード ティアの Web Security Scanner は、ファイアウォールの背後にない公開 URL と IP アドレスにデプロイされたアプリケーションのカスタム スキャンをサポートしています。スキャンでは、すべてのプロジェクトに対して手動で構成、管理、実行され、OWASP トップ 10 のカテゴリの一部がサポートされます。
- Security Command Center のエラー: Security Command Center には、Security Command Center とそのサービスの正常な動作を妨げる構成エラーの検出と修復のガイダンスが用意されています。
- 継続的エクスポート機能。新しい検出結果の Pub/Sub へのエクスポートを自動的に管理します。
-
統合された Google Cloud サービスにアクセスします。これには、次のサービスが含まれます。
- 機密データ保護は、機密データを検出、分類、保護します。
- Google Cloud Armor。脅威から Google Cloud のデプロイを保護します。
- 異常検出。プロジェクトと仮想マシン(VM)インスタンスのセキュリティ異常(漏洩された認証情報や暗号通貨マイニングなど)を特定します。
- Policy Controller では、Kubernetes クラスタにプログラム可能なポリシーを適用し、利用できます。
- BigQuery との統合。分析のために検出結果を BigQuery にエクスポートします。
- Forseti Security、Google Cloud のオープンソース セキュリティ ツールキット、サードパーティのセキュリティ情報およびイベント管理(SIEM)アプリケーションと統合します。
- Security Command Center を組織レベルで有効にすると、組織レベル、フォルダレベル、プロジェクト レベルでユーザーに IAM ロールを付与できます。
プレミアム サービスティア
プレミアム ティアには、スタンダード ティアのすべてのサービスと機能に加え、次のサービスや機能が含まれます。
- 攻撃パス シミュレーションは、潜在的な攻撃者が高価値リソースに到達するための経路を特定することで、脆弱性や構成ミスの検出結果を特定、優先順位付けするのに役立ちます。シミュレーションでは、攻撃の発生可能性スコアを計算して、それらのリソースを露出する検出結果に攻撃の発生可能性スコアを割り当てます。インタラクティブな攻撃パスを使用すると、考えられる攻撃パスを可視化し、パス、関連する検出結果、影響を受けるリソースに関する情報を提供できます。
-
脆弱性の検出結果には、Mandiant が提供する CVE 評価が含まれており、修復の優先順位付けに役立ちます。
コンソールの [概要] ページの [上位の CVE の検出結果] セクションには、Mandiant が評価した脆弱性の検出結果が悪用可能性と潜在的な影響ごとにグループ化されて表示されます。 [検出結果] ページでは、CVE ID で検出結果をクエリできます。
詳細については、CVE の影響と脆弱性悪用可能性による優先順位付けをご覧ください。
- Event Threat Detection は、脅威インテリジェンス、ML、その他の高度な方法で Cloud Logging と Google Workspace をモニタリングし、マルウェア、暗号通貨のマイニング、データの引き出しなどの脅威を検出します。組み込みの Event Threat Detection 検出機能の完全なリストについては、Event Threat Detection のルールをご覧ください。Event Threat Detection カスタム検出機能を作成することもできます。カスタム検出ルールの作成に使用できるモジュール テンプレートについては、Event Threat Detection のカスタム モジュールの概要をご覧ください。
- Container Threat Detection は、次のコンテナ ランタイム攻撃を検出します。
- 追加されたバイナリの実行
- 追加されたライブラリの読み込み
- 実行: 追加された悪意のあるバイナリが実行された
- 実行: 追加された悪意のあるライブラリが読み込まれた
- 実行: 組み込まれた悪意のあるバイナリが実行された
- 実行: 変更された悪意のあるバイナリが実行された
- 実行: 変更された悪意のあるライブラリが読み込まれた
- 悪意のあるスクリプトの実行
- リバースシェル
- 予期しない子シェル
- Sensitive Actions Service は、Google Cloud の組織、フォルダ、プロジェクトで悪意のある行為者によって行われ、ビジネスに被害を及ぼす可能性のあるアクションを検出します。
- Virtual Machine Threat Detection は、VM インスタンスで実行され、悪質な可能性のあるアプリケーションを検出します。
-
プレミアム ティアの Security Health Analytics には、次の機能が含まれています。
- すべての Security Health Analytics 検出機能に対するマネージド脆弱性スキャン
- 業界の多くのベスト プラクティスのモニタリング
- コンプライアンス モニタリングSecurity Health Analytics の検出機能は、一般的なセキュリティ ベンチマークのコントロールにマッピングされています。
- カスタム モジュールのサポート。独自の Security Health Analytics 検出機能を作成できます。
プレミアム ティアの Security Health Analytics は、業界標準のコンプライアンスを管理するで説明されている標準をサポートしています。
- プレミアム ティアの Web Security Scanner には、スタンダード ティアのすべての機能と、OWASP トップ 10 のカテゴリに対応する追加の検出項目が含まれます。Web Security Scanner では、自動的に構成されるマネージド スキャンも行われます。
Google Cloud アセット全体のコンプライアンス モニタリング。
一般的なセキュリティ ベンチマークとセキュリティ標準のコンプライアンスを測定するために、Security Command Center の脆弱性スキャナの検出機能は、一般的なセキュリティ標準コントロールにマッピングされています。
標準のコンプライアンスの確認、遵守していないコントロールの特定、レポートのエクスポートなどを行うことができます。詳細については、セキュリティ標準のコンプライアンスを評価して報告するをご覧ください。
- 拡張アセット モニタリングが必要になった場合は、追加の Cloud Asset Inventory 割り当てをリクエストできます。
- Rapid Vulnerability Detection は、ネットワークとウェブ アプリケーションをスキャンして、脆弱な認証情報、不完全なソフトウェアのインストール、悪用される可能性が高いその他の重大な脆弱性を検出します。
- Security Posture サービスを使用すると、Google Cloud のセキュリティの全体的なステータスを定義、評価、モニタリングできます。Security Posture サービスは、固定料金のサブスクリプションを購入し、組織レベルで Security Command Center のプレミアム ティアを有効にしたお客様のみが、Security Command Center のプレミアム ティアでご利用いただけます。セキュリティ対策サービスは、従量制の課金やプロジェクト レベルのアクティベーションをサポートしていません。
- Secured Landing Zone のサービスは、Security Command Center のプレミアム ティアでのみ有効にできます。このサービスを有効にすると、デプロイされているブループリントのリソースにポリシー違反がある場合に検出結果が表示され、対応するアラートが生成されて、自動修復アクションが選択的に実行されます。
- VM Manager の脆弱性レポート
- VM Manager を有効にすると、このサービスでは、脆弱性レポート(プレビュー版)からの検出結果を Security Command Center に自動的に書き込みます。このレポートによって、Compute Engine 仮想マシンにインストールされているオペレーティング システムの脆弱性が特定されます。詳細については、VM Manager をご覧ください。
セキュリティ対策を強化する
Security Command Center は Cloud Asset Inventory と連携して、Google Cloud のインフラストラクチャとリソース(アセット)を完全に可視化します。組み込みサービス(Security Health Analytics、Event Threat Detection、Container Threat Detection、Web Security Scanner)は、アセット、ウェブ アプリケーション、Cloud Logging ストリーム、Google Workspace ログ、Google グループを継続的にモニタリングしてスキャンする約 200 の検出モジュールを使用します。
Security Command Center は、Google の脅威インテリジェンス、ML、Google Cloud アーキテクチャに関する独自の分析情報を活用して、脆弱性、構成ミス、脅威、コンプライアンス違反をほぼリアルタイムで検出します。セキュリティに関する検出結果、攻撃の発生可能性スコア、コンプライアンス レポートは、リスクのトリアージと優先順位付けに役立ち、検出結果に対処するための検証済みの修正手順とエキスパートによるヒントを提供します。
次の図は、Security Command Center のコアサービスとオペレーションを示しています。
アセット、データ、サービスの広範なインベントリ
Security Command Center は、新しいアセット、変更されたアセット、削除されたアセットに関するデータを Cloud Asset Inventory から取り込み、クラウド環境内のアセットを継続的にモニタリングします。Security Command Center は、Google Cloud アセットの大規模なサブセットをサポートします。ほとんどのアセットでは、IAM や組織のポリシーを含む構成の変更がほぼリアルタイムで検出されます。組織またはプロジェクトの変更内容をすばやく確認し、次のような質問に答えることができます。
- 所有しているプロジェクトの数と新規プロジェクトの数
- デプロイ済みまたは使用中の Google Cloud リソース(Compute Engine 仮想マシン(VM)、Cloud Storage バケット、App Engine インスタンスなど)。
- デプロイの履歴
- 次のカテゴリの整理、アノテーション、検索、選択、フィルタリング、並べ替えを行う方法:
- アセットとアセット プロパティ
- セキュリティ マーク(Security Command Center でアセットや検出結果にアノテーションを付けられるようにするマーク)
- 期間
Security Command Center は、サポートされているアセットの現在の状態を常に把握しています。Google Cloud Console または Security Command Center API で、検出スキャンの履歴を確認して、アセットを時点間で比較できます。仮想マシンやアイドル状態の IP アドレスなど、活用されていないアセットを探すこともできます。
AI で生成されたサマリー
Security Command Center プレミアムを使用している場合、Security Command Center には、Security Command Center が Vulnerability
クラスと Misconfiguration
クラス用に生成する各検出結果と、シミュレートされた各攻撃パスの説明が動的に生成されます。
サマリーは自然言語で作成されているため、検出結果とそれに付随する可能性のある攻撃パスをすばやく把握して対処できます。
サマリーは、Google Cloud コンソールの次の場所に表示されます。
- 個々の検出結果の名前をクリックすると、検出結果の詳細ページの上部にサマリーが表示されます。
- Security Command Center Premium で検出結果に攻撃の発生可能性スコアがある場合、攻撃パスのスコアをクリックしてから [AI サマリー] をクリックすると、攻撃パスの右側に概要を表示できます。
必要な IAM 権限
AI の概要を表示するには、必須の IAM 権限が必要です。
検出結果には、securitycenter.findingexplanations.get
IAM 権限が必要です。この権限を含む最も厳しい IAM 事前定義ロールは、セキュリティ センターの検出閲覧者(roles/securitycenter.findingsViewer
)です。
攻撃パスの場合は、securitycenter.exposurepathexplan.get
IAM 権限が必要です。この権限を含む最も厳しい IAM 事前定義ロールは、セキュリティ センター露出経路閲覧者(roles/securitycenter.exposurePathsViewer
)です。
Google Cloud コンソールでは、これらの権限をプレビュー中にカスタム IAM ロールに追加できません。
カスタムロールに権限を追加するには、Google Cloud CLI を使用します。
Google Cloud CLI を使用してカスタムロールに権限を追加する方法については、カスタムロールの作成と管理をご覧ください。
セキュリティに関する実用的な分析情報
Security Command Center の組み込みサービスと統合サービスは、アセットとログを継続的にモニタリングし、セキュリティ侵害インジケーターや既知の脅威、脆弱性、構成ミスと一致する構成の変更を検出します。インシデントのコンテキストを提供するため、検出結果は次のソースの情報で拡充されます。
- Security Command Center の検出結果と、それらに含まれる攻撃パスを理解して対処する際に役立つ AI 生成のサマリー。詳細については、AI で生成されるサマリーをご覧ください。
- Security Command Center Premium では、脆弱性の検出に、CVE スコア、その潜在的な影響、悪用される可能性など、対応する CVE エントリからの情報が含まれます。
- Chronicle: Event Threat Detection の検出結果を取り込み、脅威を調査し、統合されたタイムラインで関連するエンティティをピボット分析する Google Cloud サービスです。
- VirusTotal は、悪意のある可能性のあるファイル、URL、ドメイン、IP アドレスに関するコンテキストを提供する、Alphabet 社のサービスです。
- MITRE ATT&CK フレームワーク: クラウド リソースに対する攻撃の手法を解明し、修復するためのガイダンスを提供します。
- Cloud Audit Logs(管理アクティビティ ログとデータアクセス ログ)
新しい検出結果がほぼリアルタイムで通知されるため、セキュリティ チームはデータを収集し、脅威を特定して、ビジネス上の損害や損失が生じる前に推奨事項に対処できます。
セキュリティ対策と堅牢な API を一元管理することで、次のことができるようになります。
- 次のことを確認する。
- 一般に公開されている静的 IP アドレス
- VM で実行されているイメージ
- VM が暗号通貨マイニングなどの不正なオペレーションに使用されている証拠の有無
- 追加または削除されたサービス アカウント
- ファイアウォールの構成
- 個人を特定できる情報(PII)または機密データを含むストレージ バケット。この機能には、機密データ保護との統合が必要です。
- クロスサイト スクリプティング(XSS)の脆弱性に対して脆弱なクラウド アプリケーション
- インターネットに公開されている Cloud Storage バケット
- アセットを保護するために、次の対策を行う。
- アセットの構成ミスとコンプライアンス違反に関する検証済みの修正手順を実装する。
- Google Cloud と Palo Alto Networks などのサードパーティ プロバイダの脅威インテリジェンスを組み合わせて、コストのかかるコンピューティング レイヤの脅威に対する企業の保護体制を強化する。
- 適切な IAM ポリシーが適用されていることを確認し、ポリシーが誤って構成されたときや予期せず変更されたときにアラートを受け取る。
- Google Cloud のリソースや、ハイブリッドまたはマルチクラウドのリソースに関する、独自のソースまたはサードパーティのソースからの検出結果を統合する。詳細については、サードパーティのセキュリティ サービスの追加をご覧ください。
- Google Workspace 環境の脅威と Google グループの安全でない変更に対応する。
Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与できます。検出結果、アセット、セキュリティ ソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。
ID とアクセスの構成ミス
Security Command Center を使用すると、Google Cloud での ID の検出とアクセスの構成ミスを簡単に特定して解決できます。ID とアクセスのセキュリティの問題の管理は、クラウド インフラストラクチャ資格管理(CIEM)と呼ばれることもあります。
Security Command Center の構成ミスの検出結果では、正しく構成されていないプリンシパル アカウント(identities)、またはGoogle Cloud のリソースに対する過剰であるか機密性の高い IAM 権限(access)が付与されているプリンシパル アカウントを特定します。
最も重要度の高い ID とアクセスの検出結果は、Google Cloud コンソールの Security Command Center の [概要] ページの下部にある [ID とアクセスの検出結果] パネルで確認できます。
Google Cloud コンソールの [脆弱性] ページでは、関連する脆弱性検出機能または脆弱性カテゴリを表示するクエリ プリセット(定義済みクエリ)を選択できます。それぞれのカテゴリについて、アクティブな検出結果の数が表示されます。
クエリのプリセットの詳細については、クエリのプリセットを適用するをご覧ください。
業界標準のコンプライアンスを管理する
Security Command Center は、さまざまなセキュリティ標準のコントロールにマッピングされた検出機能でコンプライアンスをモニタリングします。
サポートされている各セキュリティ標準について、Security Command Center はコントロールのサブセットを確認します。確認されたコントロールについては、合格した数が Security Command Center に表示されます。合格していないコントロールについては、コントロールが不合格になったことを説明する検出結果のリストが Security Command Center に表示されます。
CIS は、Security Command Center の検出機能と、サポートされている各バージョンの CIS Google Cloud Foundations Benchmark とのマッピングを確認して認定します。追加のコンプライアンス マッピングは参考用として含まれています。
Security Command Center は、定期的に、新しいベンチマークのバージョンと標準のサポートを追加します。古いバージョンは引き続きサポートされますが、最終的には非推奨になります。入手可能な最新のサポート対象ベンチマークまたは標準の使用をおすすめします。
セキュリティ ポスチャー サービスを使用すると、組織のポリシーと Security Health Analytics の検出機能をビジネスに適用される標準とコントロールにマッピングできます。セキュリティ ポスチャーを作成した後は、ビジネスのコンプライアンスに影響を与える可能性がある環境の変更をモニタリングできます。
コンプライアンス管理の詳細については、セキュリティ標準のコンプライアンスを評価して報告するをご覧ください。
Google Cloud でサポートされているセキュリティ標準
Security Command Center は、Google Cloud の検出機能を、以下の 1 つ以上のコンプライアンス標準にマッピングします。
- Center for Information Security(CIS)Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0、v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix(CCM)4
- HIPAA(医療保険の相互運用性と説明責任に関する法律)
- ISO 27001、2022、2013
- NIST 800-53 R5 および R4
- NIST CSF 1.0
- OWASP トップ 10(2021 および 2017)
- PCI DSS 4.0 および 3.2.1
- System and Organization Controls(SOC)2 2017 Trusted Services Criteria(TSC)
セキュリティ ニーズに対応する柔軟なプラットフォーム
Security Command Center には、進化するセキュリティ ニーズに対応できるようサービスのユーティリティを向上させるカスタマイズと統合オプションが含まれています。
カスタマイズ オプション
カスタマイズ オプションには次のものがあります。
- Security Health Analytics のカスタム モジュールを作成して、脆弱性、構成ミス、コンプライアンス違反などの検出ルールを独自に定義します。
- Event Threat Detection のカスタム モジュールを作成して、指定したパラメータに基づいて脅威のロギング ストリームをモニタリングします。
- さまざまな規制基準の遵守に影響する可能性がある環境の変更をモニタリングするためのセキュリティ体制を作成します。
統合オプション
統合オプションには次のものがあります。
- Pub/Sub を使用して、分析用に Splunk やその他の SIEM に検出結果をエクスポートする。
- Pub/Sub と Cloud Functions を使用して、検出結果を迅速かつ自動的に修正する。
- オープンソースのツールにアクセスして、機能を拡張し、レスポンスを自動化する。
- Google Cloud セキュリティ サービスと統合する。たとえば、次のものと統合されます。
- サードパーティのパートナー セキュリティ ソリューションとの統合:
- パートナー製品から得られた Google Cloud セキュリティの分析情報は、Security Command Center に集約され、その情報を既存のシステムやワークフローに追加できます。
Security Command Center を使用するタイミング
次の表に、プロダクト機能の概要、ユースケース、必要なコンテンツをすばやく見つけることができる関連ドキュメントへのリンクを示します。
機能 | ユースケース | 関連ドキュメント |
---|---|---|
アセットの検出とインベントリ |
|
Security Command Center の最適化 |
機密データの識別 |
|
機密データ保護の結果を Security Command Center に送信する |
SIEM と SOAR の統合 |
|
Security Command Center データのエクスポート |
脆弱性検出 |
|
Security Health Analytics の概要 |
アクセス制御のモニタリング |
|
アクセス制御 |
脅威の検出 |
|
Event Threat Detection の概要 |
エラー検出 |
|
Security Command Center のエラーの概要 |
修復の優先順位付け |
|
攻撃の発生可能性スコアと攻撃パスの概要 |
リスクの修正 |
|
脅威の調査と対処 |
体制の管理 |
|
セキュリティ体制の概要 |
サードパーティのセキュリティ ツールの入力 |
|
Security Command Center の構成 |
リアルタイムの通知 |
|
検出通知の設定 |
REST API とクライアント SDK |
|
Security Command Center の構成 |
データ所在地の制御
データ所在地の要件を満たすために、Security Command Center を初めて有効にする際に、Security Command Center でデータ所在地のコントロールを有効にできます。
データ所在地の制御を有効にすると、Security Command Center の検出結果、ミュートルール、継続的なエクスポート、BigQuery エクスポートの保存と処理が、Security Command Center がサポートするデータ所在地マルチリージョンのいずれかに制限されます。
詳細については、データ所在地に関する計画をご覧ください。
次のステップ
- Security Command Center の有効化について確認する。
- Security Command Center のセキュリティ ソースについて詳細を確認する。
- Google Cloud コンソールで Security Command Center を使用する方法を確認する。