このページでは、Security Command Center を有効にするときに実行される有効化プロセスの概要について説明します。ここでは、次のような一般的な質問に回答することを目的としています。
- Security Command Center が有効になっている場合はどうなりますか?
- 最初のスキャンの開始までに遅延が発生するのはなぜですか?
- 初回スキャンと継続スキャンの想定される実行時間はどのくらいですか?
- リソースと設定を変更するとパフォーマンスにどのような影響がありますか?
概要
Security Command Center を初めて有効にする場合は、Security Command Center がリソースのスキャンを開始する前に、有効化プロセスを完了する必要があります。Google Cloud 環境ですべての検出結果を表示するには、スキャンを完了する必要があります。
有効化プロセスとスキャンの完了にかかる時間は、環境内のアセットとリソースの数や、Security Command Center が有効になっているレベル(組織レベルまたはプロジェクト レベル)など、さまざまな要因によって変わります。
組織レベルでの有効化の場合、Security Command Center は、組織内のプロジェクトごとに有効化プロセスの特定の処理を実行する必要があります。組織内のプロジェクトの数に応じて、有効化プロセスが数分で完了する場合もあれば、数時間かかる場合もあります。プロジェクト数が 10 万を超える組織の場合、各プロジェクトのリソースの量やその他の複雑な要因により、有効化と初期スキャンが完了するまでに最大で 24 時間かかることがあります。
Security Command Center をプロジェクト レベルで有効にした場合、このプロセスは Security Command Center が有効になっているプロジェクトに限定されるため、有効化プロセスにかかる時間は大幅に短縮されます。
以下では、スキャンの開始、設定の変更、スキャン ランタイムでレイテンシが生じる可能性のある要因について説明します。
トポロジ
次の図は、オンボーディングと有効化プロセスの概要を示しています。
オンボーディングでのレイテンシ
スキャンを開始する前に、Security Command Center はリソースを検出してインデックスに登録します。
インデックス登録されるサービスには、App Engine、BigQuery、Cloud SQL、Cloud Storage、Compute Engine、Identity and Access Management、Google Kubernetes Engine などがあります。
Security Command Center をプロジェクト レベルで有効にした場合、検出とインデックス登録の範囲は、Security Command Center が有効になっているプロジェクトに限定されます。
組織レベルで有効にした場合、Security Command Center は組織全体のリソースを検出してインデックスに登録します。
このオンボーディング プロセスでは重要なステップが 2 つあります。
アセットのスキャン
Security Command Center は、最初のアセット スキャンでプロジェクト、フォルダ、ファイル、クラスタ、ID、アクセス ポリシー、登録済みユーザー、その他のリソースの合計数、場所、状態を特定します。通常、このプロセスは数分で完了します。
API の有効化
リソースが検出されると、Security Command Center は、Security Health Analytics、Event Threat Detection、Container Threat Detection、Web Security Scanner の運用に必要となるGoogle Cloud の一部を有効にします。一部の検出サービスでは、保護されたプロジェクトで機能するように、特定の API を有効にする必要があります。
プロジェクト レベルで Security Command Center を有効にした場合、通常、API の有効化には 1 分もかかりません。
組織レベルで有効にした場合、Security Command Center は、スキャン対象のすべてのプロジェクに処理を繰り返し、必要な API を有効にします。
オンボーディング プロセスと有効化プロセスの時間の大半は組織内のプロジェクト数で決まります。プロジェクトに対して API を 1 つずつ有効化する必要があるため、API 有効化は通常、最も時間のかかる作業になります(特にプロジェクト数が 10 万件を超える組織の場合)。
サービスの有効化に必要な時間はプロジェクトの数に比例します。一般に、15,000 件のプロジェクトがある組織よりも、30,000 件のプロジェクトがある組織のほうがサービスとセキュリティ設定の有効化に 2 倍の時間がかかります。
10 万件のプロジェクトがある組織の場合、プレミアム ティアのオンボーディングと有効化が完了するまでに最大で 5 時間ほどかかります。所要時間は、使用しているプロジェクトやコンテナの数、有効にした Security Command Center サービスの数など、さまざまな要因によって異なります。
スキャンのレイテンシ
Security Command Center を設定するときに、有効にする組み込みサービスと統合サービスを決定し、脅威と脆弱性について分析またはスキャンする Google Cloud リソースを選択します。プロジェクトに対して API が有効になると、選択したサービスはスキャンを開始します。また、これらのスキャンの所要時間は、組織内のプロジェクトの数によって異なります。
組み込みサービスからの検出結果は、初期スキャンを完了したときに利用できるようになります。以下で説明するように、サービスでレイテンシが発生します。
- Container Threat Detection では、次のレイテンシが発生します。
- 新しくオンボーディングしたプロジェクトまたは組織での有効化によるレイテンシ(最大 3.5 時間)。
- 新しく作成したクラスタの有効化によるレイテンシ(数分)。
- アクティブ化されたクラスタで脅威を検出するためのレイテンシ(数分)。
組み込み検出機能により、Event Threat Detection が数秒以内に有効になります。新規または更新されたカスタム検出項目の場合、変更が反映されるまでに最大 15 分かかることがあります。通常、所要時間は 5 分以内です。
組み込み検出機能とカスタム検出機能の場合、検出のレイテンシは、ログが書き込まれてから Security Command Center で検出結果が表示されるまで通常 15 分以内です。
Security Health Analytics のスキャンは、サービスが有効になってから約 1 時間後に開始されます。Security Health Analytics での最初のスキャンは、完了するまで最大 12 時間かかることがあります。その後、ほとんどの検出はアセット構成の変更に対してリアルタイムで実行されます(例外についての詳細は、Security Health Analytics の検出のレイテンシをご覧ください)。
VM Threat Detection では、新しくオンボーディングされた組織が有効になるまでに最大で 48 時間のレイテンシが生じます。プロジェクトの場合、有効化のレイテンシは最大 15 分です。
アマゾン ウェブ サービス(AWS)の脆弱性評価は、必要な CloudFormation テンプレートがアカウントに初めてデプロイされてから約 15 分後に、AWS アカウントのリソースのスキャンを開始します。AWS アカウントでソフトウェアの脆弱性が検出されると、対応する検出結果が約 10 分後に Security Command Center で利用可能になります。
スキャンの完了にかかる時間は、EC2 インスタンスの数によって異なります。通常、1 つの EC2 インスタンスのスキャンには 5 分もかかりません。
サービスが有効になってから、Web Security Scanner のスキャンが開始されまでに最大で 24 時間かかることがあり、最初のスキャン後に毎週実行されます。
Security Command Center は、Security Command Center とそのサービスに関連する構成エラーを検出するエラー検出機能を実行します。これらのエラー検出機能は、デフォルトで有効になっており、無効にすることはできません。検出のレイテンシは、エラー検出機能によって異なります。詳細については、Security Command Center のエラーをご覧ください。
Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与できます。検出結果、アセット、セキュリティ ソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。
予備検出
初期スキャンの実行中、オンボーディング プロセスが完了する前に、Google Cloud コンソールに検出結果が表示されることがあります。
予備的な検出結果は正確で実用的なものですが、包括的なものではありません。最初の 24 時間以内でコンプライアンス評価のために、これらの検出結果を使用することはおすすめできません。
後続スキャン
通常、組織内で行われた変更(リソースの移動、組織レベルでの有効化、新しいフォルダやプロジェクトの追加など)により、リソースの検出時間やスキャンのランタイムに大きな影響が生じることはありません。ただし、一部のスキャンは設定されたスケジュールに従って続行されます。このスケジュールによって、Security Command Center で変更が検出されるまでの時間が決まります。
- Event Threat Detection と Container Threat Detection: これらのサービスは、有効になっているときにリアルタイムで実行され、有効にしたプロジェクトで新しいリソースまたは変更されたリソース(クラスタ、バケット、ログなど)をすぐに検出できます。
- Security Health Analytics: Security Health Analytics を有効にすると、リアルタイムで実行され、新しいリソースまたは変更されたリソースを数分で検出します。ただし、下記の検出項目は除きます。
- VM Threat Detection: メモリスキャンの場合、VM Threat Detection はインスタンスが作成された直後に各 VM インスタンスをスキャンします。また、VM Threat Detection は各 VM インスタンスを 30 分ごとにスキャンします。
- 暗号通貨マイニングの検出の場合、VM Threat Detection はプロセス、VM ごとに 1 日に 1 つの検出結果を生成します。各検出結果には、検出結果で特定されたプロセスに関連する脅威のみが含まれます。検出した脅威をプロセスに関連付けることができない場合、VM Threat Detection は、VM ごとに関連付けられていないすべての脅威を 1 つの検出結果にグループ化します。この検出結果は 24 時間ごとに生成されます。脅威が 24 時間を超えて存在している場合、VM Threat Detection は 24 時間ごとに 1 回新しい検出結果を生成します。
- カーネルモード ルートキットの検出(プレビュー版)では、VM Threat Detection は 3 日おきに各 VM のカテゴリごとに 1 つの検出結果を生成します。
既知のマルウェアのプレゼンスを検出する永続ディスク スキャンの場合、VM Threat Detection は各 VM インスタンスを少なくとも 1 日に 1 回スキャンします。
AWS の脆弱性評価は、1 日に 3 回スキャンを実行します。
スキャンの完了にかかる時間は、EC2 インスタンスの数によって異なります。通常、1 つの EC2 インスタンスのスキャンには 5 分もかかりません。
AWS アカウントでソフトウェアの脆弱性が検出されると、対応する検出結果が約 10 分後に Security Command Center で利用可能になります。
Web Security Scanner: Web Security Scanner は、最初のスキャンと同じ日に毎週実行されます。スキャンは毎週実行されるため、Web Security Scanner によって変更がリアルタイムで検出されることはありません。リソースの移動やアプリケーションの変更が 1 週間検出されないこともあります。オンデマンド スキャンを実行すると、スケジュール スキャンの間に新規追加されたリソースや変更されたリソースを確認できます。
Security Command Center のエラー検出機能はバッチモードで定期的に実行されます。一括スキャンの頻度は、エラー検出機能によって異なります。詳細については、Security Command Center のエラーをご覧ください。
Security Health Analytics の検出のレイテンシ
Security Health Analytics の検出は、サービスが有効になった後や関連するアセットの構成が変更されたときに、バッチモードで定期的に実行されます。Security Health Analytics を有効にすると、関連するリソース構成の変更で構成ミスの検出結果が更新されます。アセットのタイプや変更によっては、更新に数分かかることがあります。
リソース構成の外部の情報に対して検出が実行される場合など、一部の Security Health Analytics の検出機能は即時スキャンモードに対応していません。以下の表に示す検出は定期的に実行され、12 時間以内に構成ミスを特定します。Security Health Analytics の検出機能の詳細については、脆弱性と検出をご覧ください。
| リアルタイム スキャンモードをサポートしていない Security Health Analytics の検出項目 |
|---|
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
| MFA_NOT_ENFORCED (previously named 2SV_NOT_ENFORCED) |
| OS_LOGIN_DISABLED |
| SQL_NO_ROOT_PASSWORD |
| SQL_WEAK_ROOT_PASSWORD |
攻撃パス シミュレーション
攻撃パス シミュレーションは約 6 時間ごとに実行されます。Google Cloud 組織の規模や複雑さが増すと、間隔が長くなることがあります。
Security Command Center を初めて有効にした場合、攻撃パス シミュレーションではデフォルトの高価値リソースセットが使用されます。これには、組織でサポートされているすべてのリソースタイプが含まれます。
リソース値の構成を作成することで独自の高価値リソースセットの定義を始めると、高価値リソースセットでのリソース インスタンスの数がデフォルトのセットよりも大幅に低い場合にシミュレーション間隔が短くなることがあります。
次のステップ
- Google Cloud コンソールでの Security Command Center の使用について確認する。
- 検出サービスについて確認する。