Security Command Center のコンセプトの概要

Security Command Center の特長

Security Command Center は、脆弱性と脅威の報告を一元的に行う Google Cloud のサービスです。Security Command Center は、セキュリティとデータの対象領域を評価し、アセット インベントリとディスカバリを提供します。構成ミス、脆弱性、脅威を特定することにより、セキュリティ体制を強化し、リスクを軽減して修正するのに役立ちます。

Security Command Center のティア

選択したティアによって、組織で使用できる組み込み Security Command Center サービスが決まります。

ティアの詳細

スタンダード ティアの機能

  • Security Health Analytics: スタンダード ティアの Security Health Analytics は、Google Cloud のマネージド脆弱性評価スキャン機能を提供します。このスキャンでは、Google Cloud アセットの最も重大な脆弱性と構成ミスを自動的に検出できます。スタンダード ティアの Security Health Analytics には、次の検出タイプが含まれます。

    • LEGACY_AUTHORIZATION_ENABLED
    • MFA_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_CISCOSECURE_WEBSM_PORT
    • OPEN_DIRECTORY_SERVICES_PORT
    • OPEN_FIREWALL
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • OPEN_TELNET_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_COMPUTE_IMAGE
    • PUBLIC_DATASET
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Web Security Scanner のカスタム スキャン: スタンダード ティアでは、Web Security Scanner による、ファイアウォールの背後にない公開 URL と IP アドレスでデプロイされたアプリケーションのカスタム スキャンがサポートされています。スキャンでは、すべてのプロジェクトに対して手動で構成、管理、実行され、OWASP トップ 10 のカテゴリの一部がサポートされます。
  • 組織レベルでの Identity and Access Management(IAM)ロールの付与をサポートします。
  • 統合された Google Cloud サービスにアクセスします。これには、次のサービスが含まれます。

    • Cloud Data Loss Prevention。機密データを検出、分類、保護します。
    • Google Cloud Armor。脅威から Google Cloud のデプロイを保護します。
    • 異常検出。プロジェクトと仮想マシン(VM)インスタンスのセキュリティ異常(漏洩された認証情報やコイン マイニングなど)を特定します。
  • Forseti Security、Google Cloud 向けのオープンソースのセキュリティ ツールキット、サードパーティのセキュリティ情報とイベント管理(SIEM)アプリケーションと統合します。

プレミアム ティアの機能

プレミアム ティアには、スタンダード ティアの機能がすべて含まれ、さらに以下の機能が追加されています。

  • Event Threat Detection。脅威インテリジェンス、機械学習などの高度な方法を使用して、組織の Cloud Logging や Google Workspace をモニタリングし、次の脅威を検出します。
    • マルウェア
    • クリプトマイニング
    • ブルート フォース SSH
    • 送信 DoS
    • IAM 異常付与
    • データの引き出し

    Event Threat Detection では、次の Google Workspace の脅威も特定されます。

    • 漏洩したパスワード
    • アカウントへの不正アクセスの試み
    • 2 段階認証プロセスの設定の変更
    • シングル サインオン(SSO)設定の変更
    • 政府が支援する攻撃
  • Container Threat Detection では、次のコンテナ ランタイム攻撃を検出します。
    • 追加されたバイナリの実行
    • 追加されたライブラリの読み込み
    • 悪意のあるスクリプトの実行
    • リバースシェル
  • Security Health Analytics: プレミアム ティアには、Security Health Analytics 検出機能(140 以上)すべてを対象としたマネージド脆弱性スキャンが含まれます。また、多くの業界のベスト プラクティスのモニタリングと、Google Cloud アセット全体のコンプライアンスのモニタリングが提供されます。これらの結果は、コンプライアンス ダッシュボードで確認でき、管理しやすい CSV 形式でエクスポートすることもできます。

    プレミアム ティアの Security Health Analytics には、次の基準に対応したモニタリングとレポートが含まれています。

    • CIS 1.1
    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800-53
    • ISO 27001
  • プレミアム ティアの Web Security Scanner は、スタンダード ティアのすべての機能を含み、自動的に構成されるマネージド スキャンが追加されます。このスキャンでは、Google Cloud アプリ内の次のセキュリティの脆弱性が特定されます。
    • クロスサイト スクリプティング(XSS)
    • Flash インジェクション
    • 混合コンテンツ
    • クリアテキストのパスワード
    • 安全でない JavaScript ライブラリの使用
  • 組織レベル、フォルダレベル、プロジェクト レベルで、ユーザーへの IAM ロールの付与をサポートします。
  • 継続的エクスポート。新しい検出結果を Pub/Sub に自動的にエクスポートします。

VM Manager の脆弱性レポート

  • VM Manager を有効にすると、このサービスでは、脆弱性レポート(プレビュー版)からの検出結果を Security Command Center に自動的に書き込みます。このレポートによって、Compute Engine 仮想マシンにインストールされているオペレーティング システムの脆弱性が特定されます。詳細については、VM Manager をご覧ください。

Security Command Center のティアの使用に関連する費用については、料金をご覧ください。

Security Command Center のプレミアム ティアに登録するには、アカウント担当者にお問い合わせください。

セキュリティ対策を強化する

Security Command Center は Cloud Asset Inventory と連携して、Google Cloud のインフラストラクチャとリソース(アセット)を完全に可視化します。組み込みサービス(Security Health Analytics、Event Threat Detection、Container Threat Detection、Web Security Scanner)は、アセット、ウェブ アプリケーション、Cloud Logging ストリーム、Google Workspace ログ、Google グループを継続的にモニタリングしてスキャンする約 200 の検出モジュールを使用します。

Security Command Center は、Google の脅威インテリジェンス、機械学習、Google Cloud アーキテクチャに関する独自の分析情報を活用して、脆弱性、構成ミス、脅威、コンプライアンス違反をほぼリアルタイムで検出します。セキュリティに関する検出結果とコンプライアンス レポートは、リスクのトリアージと優先順位付けに役立ち、検出結果に対処するための検証済みの修正手順とエキスパートによるヒントを提供します。

次の図は、Security Command Center のコアサービスとオペレーションを示しています。

SCC の仕組み

アセット、データ、サービスの広範なインベントリ

Security Command Center は、新しいアセット、変更されたアセット、削除されたアセットに関するデータを Cloud Asset Inventory から取り込み、クラウド環境内のアセットを継続的にモニタリングします。Security Command Center は、Google Cloud アセットの大規模なサブセットをサポートします。ほとんどのアセットでは、IAM や組織のポリシーを含む構成の変更がほぼリアルタイムで検出されます。組織内の変更内容をすばやく確認し、次のような質問に答えることができます。

  • 所有しているプロジェクトの数と新規プロジェクトの数
  • デプロイ済みまたは使用中の Google Cloud リソース(Compute Engine 仮想マシン(VM)、Cloud Storage バケット、App Engine インスタンスなど)。
  • デプロイの履歴
  • 次のカテゴリの整理、アノテーション、検索、選択、フィルタリング、並べ替えを行う方法:
    • アセットとアセット プロパティ
    • セキュリティ マーク(Security Command Center でアセットや検出結果にアノテーションを付けられるようにするマーク)
    • 期間

Security Command Center は、サポートされているアセットの現在の状態を常に把握しています。Google Cloud Console または Security Command Center API で、検出スキャンの履歴を確認して、アセットを時点間で比較できます。仮想マシンやアイドル状態の IP アドレスなど、活用されていないアセットを探すこともできます。

セキュリティに関する実用的な分析情報

Security Command Center の組み込みサービスと統合サービスは、アセットとログを継続的にモニタリングし、セキュリティ侵害インジケーターや既知の脅威、脆弱性、構成ミスと一致する構成の変更を検出します。インシデントのコンテキストを提供するため、検出結果は次のソースの情報で拡充されます。

新しい検出結果がほぼリアルタイムで通知されるため、セキュリティ チームはデータを収集し、脅威を特定して、ビジネス上の損害や損失が生じる前に推奨事項に対処できます。

一元化されたダッシュボードと堅牢な API を使用して、以下のことを迅速に行うことができます。

  • 次のことを確認する。
    • 一般に公開されている静的 IP アドレス
    • VM で実行されているイメージ
    • VM がコイン マイニングなどの不正なオペレーションに使用されている証拠の有無
    • 追加または削除されたサービス アカウント
    • ファイアウォールの構成
    • 個人を特定できる情報(PII)または機密データを含むストレージ バケット。この機能には、Cloud Data Loss Prevention との連携が必要です。
    • クロスサイト スクリプティング(XSS)の脆弱性に対して脆弱なクラウド アプリケーション
    • インターネットに公開されている Cloud Storage バケット
  • アセットを保護するために、次の対策を行う。
    • アセットの構成ミスとコンプライアンス違反に関する検証済みの修正手順を実装する。
    • Google Cloud と Palo Alto Networks などのサードパーティ プロバイダの脅威インテリジェンスを組み合わせて、コストのかかるコンピューティング レイヤの脅威に対する企業の保護体制を強化する。
    • 適切な IAM ポリシーが適用されていることを確認し、ポリシーが誤って構成されたときや予期せず変更されたときにアラートを受け取りる。
    • Google Cloud のリソースや、ハイブリッドまたはマルチクラウドのリソースに関する、独自のソースまたはサードパーティのソースからの検出結果を統合する。詳細については、サードパーティのセキュリティ サービスの追加をご覧ください。
    • Google Workspace 環境の脅威と Google グループの安全でない変更に対応する。

Security Command Center のロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与されます。検出結果、アセット、セキュリティ ソース、セキュリティ マークを、表示、編集、作成、更新する権限は、アクセス権が付与されるレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。

業界基準の遵守を維持する

Security Health Analytics では、コンプライアンスに関するレポートを利用できます。サービスのほとんどの検出機能は、次の 1 つ以上のコンプライアンス基準にマッピングされています。

  • CIS Google Cloud Computing Foundations Benchmark v1.1.0(CIS Google Cloud Foundation 1.1)
  • CIS Google Cloud Computing Foundations Benchmark v1.0.0(CIS Google Cloud Foundation 1.0)
  • Payment Card Industry Data Security Standard 3.2.1
  • アメリカ国立標準技術研究所(NIST)800-53
  • 国際標準化機構(ISO)27001
  • Open Web Application Security Project (OWASP)トップ 10

Security Health Analytics は、コンプライアンス基準を比較してセキュリティ体制を継続的に評価します。また、Security Command Center では、以下のことを簡単に行うことができます。

  • 検出結果に関連するコンプライアンス違反をモニタリングして解決する。
  • Compute Engine、ネットワーキング サービス、Cloud Storage、IAM、Binary Authorization の Cloud Audit Logging イベントを統合する。インシデントを調査しながら規制要件を満たし、監査証跡を提供できます。
  • Security Command Center Premium に登録している場合、すべてのリソースがコンプライアンス要件を満たしていることを確認するための追加レポートとエクスポート オプションを利用できる。

セキュリティ ニーズに対応する柔軟なプラットフォーム

変化するセキュリティ要件を満たすため、Security Command Center にはサービスのユーティリティを向上させる次のような統合オプションが含まれています。

Security Command Center を使用するタイミング

次の表に、プロダクト機能の概要、ユースケース、必要なコンテンツをすばやく見つけることができる関連ドキュメントへのリンクを示します。

機能 ユースケース 関連ドキュメント
アセットの検出とインベントリ
  • 組織全体のアセット、サービス、データを検出し、1 か所に表示する。
  • サポートされているアセットの脆弱性を評価し、最も重大な問題の修正の優先順位を付ける。
  • 検出スキャンの履歴を確認し、新しいアセット、変更されたアセット、削除されたアセットを識別する。
Security Command Center の最適化

アクセス制御

Security Command Center ダッシュボードの使用

アセット ディスカバリの構成

アセットの一覧表示

機密データの識別
  • Cloud DLP を使用して、機密性の高いデータと規制対象データが保管されている場所を確認する。
  • 過失による漏洩を防止し、情報適格性の原則に基づいてアクセスが制御されるようにする。
Cloud DLP の結果を Cloud SCC に送信する

SIEM と SOAR の統合
  • Security Command Center のデータを外部システムに簡単にエクスポートする。
Security Command Center データのエクスポート

継続的エクスポート

脆弱性検出
  • 攻撃対象領域に新しい脆弱性や変更が生じた場合に、事前アラートを受け取る。
  • アプリケーションを危険にさらす、クロスサイト スクリプティング(XSS)や Flash インジェクションなどの一般的な脆弱性を検出する。
Web Security Scanner の概要

脆弱性に関する検出

アクセス制御のモニタリング
  • Google Cloud リソース全体に適切なアクセス制御ポリシーを適用します。ポリシーが誤って構成された場合や、予期せず変更された場合に通知を受け取ります。
アクセス制御
脅威の検出
  • インフラストラクチャ内の悪意のあるアクティビティや人物を検出し、アクティブな脅威アラートを受信する。
Event Threat Detection の概要

Container Threat Detection の概要

リスクの修正
  • 検証済みで推奨される修正手順を実装して、アセットを迅速に保護する。
  • 検出結果で最も重要な領域に焦点を当て、セキュリティ アナリストが情報に基づいて迅速に優先順位を決定できるようにする。
  • 関連する脆弱性と脅威の情報を拡充して関連付けることで、TTP を特定して取得する。
脅威の調査と対処

Security Health Analytics の検出結果を修正する

Web Security Scanner の検出結果の修正

セキュリティ対応の自動化

サードパーティのセキュリティ ツールの入力
  • Cloudflare、CrowdStrike、Palo Alto Networks の Prisma Cloud、Qualys などの既存のセキュリティ ツールからの出力を Security Command Center に統合する。出力の統合により、以下を検出可能。

    • DDoS 攻撃
    • 不正使用されたエンドポイント
    • コンプライアンス ポリシー違反
    • ネットワーク攻撃
    • インスタンスの脆弱性と脅威
Security Command Center の構成

セキュリティ ソースの作成と管理

リアルタイムの通知
  • Pub/Sub 通知を使用して、メール、SMS、Slack、WebEx などのサービスから Security Command Center のアラートを受信する。
  • 検出結果フィルタを調整し、許可リストにある検出結果を除外する。
検出通知の設定

リアルタイム メールとチャットの通知を有効にする

セキュリティ マークの使用

Security Command Center データのエクスポート

通知のフィルタリング

許可リストにアセットを追加する

REST API とクライアント SDK
  • Security Command Center REST API またはクライアント SDK を使用して、既存のセキュリティ システムやワークフローとの統合を容易にする。
Security Command Center の構成

プログラムでの Security Command Center へのアクセス

Security Command Center API

次のステップ