Security Command Center のコンセプトの概要

>

Security Command Center の特長

Security Command Center は、Google Cloud の正規のセキュリティとリスクのデータベースです。Security Command Center は、組織全体の Google Cloud のセキュリティとデータのリスクを顕在化させて把握し、修正できる、直感的でインテリジェントなリスク ダッシュボードおよび分析システムです。

Security Command Center のティア

選択した階層によって、組織で使用できる組み込み Security Command Center サービスが決まります。

ティアの詳細

スタンダード ティアの機能

  • Security Health Analytics: スタンダード ティアの Security Health Analytics は、Google Cloud のマネージド脆弱性評価スキャン機能を提供します。このスキャンでは、Google Cloud アセットの最も重大な脆弱性と構成ミスを自動的に検出できます。スタンダード ティアの Security Health Analytics には、次の検出タイプが含まれます。

    • MFA_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_FIREWALL
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_DATASET
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Web Security Scanner のカスタム スキャン: スタンダード ティアの Web Security Scanner は、ファイアウォールの背後にない公開 URL と IP でデプロイされたアプリケーションのカスタム スキャンをサポートしています。

プレミアム ティアの機能

  • Event Threat Detection は、お客様の組織の Cloud Logging ストリームをモニタリングし、1 つ以上のプロジェクトのログが使用可能になるとそれらを使用して、次の脅威を検出します。
    • マルウェア
    • クリプトマイニング
    • ブルート フォース SSH
    • 送信 DoS
    • IAM 異常付与
    • データの引き出し
  • Container Threat Detection は、次のコンテナ ランタイム攻撃を検出します。
    • 追加されたバイナリの実行
    • 追加されたライブラリの読み込み
    • リバースシェル
  • Security Health Analytics: プレミアム ティアの Security Health Analytics は、多くの業界のベスト プラクティスで使用されるモニタリングと、Google Cloud アセット全体のコンプライアンスのモニタリングを行います。モニタリングの結果はコンプライアンス ダッシュボードで確認でき、管理しやすい CSV 形式でエクスポートすることもできます。

    プレミアム ティアの Security Health Analytics には、以下に対応するモニタリングとレポートが含まれます。

    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800-53
    • ISO 27001
  • Web Security Scanner は、Google Cloud アプリ内の次のセキュリティ脆弱性を特定するマネージド スキャン機能を提供します。
    • クロスサイト スクリプティング(XSS)
    • Flash インジェクション
    • 混合コンテンツ
    • クリアテキストのパスワード
    • 安全でない JavaScript ライブラリの使用
  • プレミアム ティアには、スタンダード ティアのすべての機能も含まれます。

Security Command Center のティアの使用に関連する費用については、料金ページをご覧ください。

Security Command Center プレミアム ティアに登録するには、営業担当者か、Google までお問い合わせください。プレミアム ティアに登録しない場合は、スタンダード ティアを使用できます。

セキュリティに関する実用的な分析情報

Security Command Center を使用すると、セキュリティ チームがデータを収集して脅威を特定し、その脅威がビジネス上の損害や損失をもたらす前に、脅威に対処できます。アプリケーションとデータのリスクに関する詳細な分析情報が得られるので、組織全体のクラウド リソースに対する脅威を迅速に軽減し、全体的な健全性を診断できます。Security Command Center には一元化されたダッシュボード用意されていて、次のことができます。

  • クラウド アセットのインベントリの表示とモニタリング。
  • ストレージ システムでセンシティブ データのスキャン。
  • 一般的なウェブの脆弱性と異常な動作の検出。
  • 組織内の重要なリソースへのアクセス権の確認。
  • 脆弱性を解決するために推奨される修正の適用。

クラウド データとサービスの可視性

Security Command Center を使用すると、企業は組織全体の Google Cloud 資産を集約して可視化できます。次の項目をすばやく把握できます。

  • 所有しているプロジェクトの数
  • デプロイされるリソースの内容
  • センシティブ データの保存場所
  • ファイアウォール ルールの構成方法

継続的な検出スキャンにより、企業はアセット履歴を表示して、環境内で起きた変化を正確に把握し、未承認の変更に対処できます。

セキュリティ方針を強化する強力な分析情報

Security Command Center では、Google Cloud リソースに関する強力なセキュリティ分析情報が得られます。このツールを使用すれば、セキュリティ チームは次のような質問に答えることができます。

  • 個人を特定できる情報(PII)を含む Cloud Storage バケットはどれですか?
  • インターネットに公開されている Cloud Storage バケットはありますか?
  • クロスサイト スクリプティング(XSS)の脆弱性に対して脆弱なクラウド アプリケーションはどれですか?

継続的なセキュリティ分析と脅威情報を適用することで、企業は全体的なセキュリティの状態を中央のダッシュボードで評価し、セキュリティ リスクに早急に対応できます。

セキュリティ ニーズに対応する柔軟なプラットフォーム

Security Command Center は、Web Security Scanner や Cloud Data Loss Prevention(Cloud DLP)などの Google Cloud のセキュリティ ツールや、次のようなサードパーティのセキュリティ ソリューションと統合されています。

  • Acalvio
  • Capsule8
  • Cavirin
  • Chef
  • Check Point CloudGuard Dome9
  • CloudQuest
  • McAfee
  • Qualys
  • Reblaze
  • Palo Alto Networks の Prisma Cloud
  • StackRox
  • Tenable.io

パートナー製品から得られた Google Cloud セキュリティの分析情報は、Security Command Center に集約され、既存のシステムやワークフローにその情報を追加できます。

Security Command Center の機能

機能名 機能の説明
アセットの検出とインベントリ アセット、データ、Google Cloud サービスを組織全体で検出し、1 か所に表示します。検出スキャンの履歴を確認し、新しいアセット、変更されたアセット、削除されたアセットを識別します。
機密データの識別 Cloud DLP を使用して、どのストレージ バケットに規制対象のセンシティブ データがあるかを把握できます。また、過失による漏えいを防止し、情報適格性の原則に基づいてアクセスが制御されるようにします。Cloud DLP は Security Command Center と自動的に統合されます。
アプリケーションの脆弱性の検出 Web Security Scanner を使用して、App Engine アプリケーションを危険にさらすクロスサイト スクリプティング(XSS)や Flash インジェクションなどの一般的な脆弱性を発見します。Web Security Scanner は Security Command Center と自動的に統合されます。
アクセス制御のモニタリング Google Cloud リソース全体に適切なアクセス制御ポリシーが配置されていることを確認し、ポリシーが誤って構成された場合や、予期せず変更された場合に通知を受け取れるようにします。Forseti(Google Cloud のオープンソース セキュリティ ツールキット)は、Security Command Center と統合されています。
Google の異常検出 Google が開発した組み込みの異常検出技術により、ボットネット、暗号通貨の採掘、異常な再起動、不審なネットワーク トラフィックなどの脅威を特定します。
サードパーティ製セキュリティ ツールの入力

Cloudflare、CrowdStrike、Palo Alto Networks の Prisma Cloud、Qualys などの既存のセキュリティ ツールからの出力を、Security Command Center に統合します。出力を統合すると、次のものが検出できます。

  • DDoS 攻撃
  • 不正使用されたエンドポイント
  • コンプライアンス ポリシー違反
  • ネットワーク攻撃
  • インスタンスの脆弱性と脅威
リアルタイムの通知 Pub/Sub 通知と統合することで、Security Command Center のアラートをメールや SMS で受け取ることができます。
REST API とクライアント SDK Security Command Center REST API またはクライアント SDK を使用すると、既存のセキュリティ システムやワークフローとの統合が容易になります。

Security Command Center の仕組み

Security Command Center を使用すると、キュレートされた分析情報を生成して、アセットと呼ばれる Google Cloud リソースに対する脅威や攻撃を独自の方法で確認できます。アセットとは、組織、プロジェクト、インスタンス、アプリケーションなどのリソースです。

Security Command Center には、検出結果と呼ばれる潜在的なセキュリティ リスクが表示され、各アセットに関連付けられます。検出結果は、Security Command Center の組み込みサービス、サードパーティ パートナー、独自のセキュリティ検出器と検出ソースを含むセキュリティ ソースから生成されます。

アセットの概要

Security Command Center のアセット ディスカバリは少なくとも 1 日に 1 回実行されます。Security Command Center のアセット表示から、手動でオンデマンドに再スキャンできます。アセット ディスカバリでは、Security Command Center の組織階層を使用して、既存のアセットと新しいアセットのリストが整理されます。

Google Cloud のセキュリティの検出結果

Security Command Center は、このページの上記に一覧で示された組み込みサービスとともに、Google Cloud 検出器と統合して、アセットに潜在的なセキュリティ リスクを顕在化します。Google Cloud 検出器には、次のものが含まれます。

こうした検出器は定期的に動作して、アセットの変化を時系列で追跡します。Security Command Center を使用すると、現在および過去のアセット状態を検査して、2 つの時点間でアセットを比較できます。

独自のセキュリティの検出結果

Google Cloud のセキュリティの検出に加えて、独自のソース、Google Cloud のサードパーティ ソース、ハイブリッド マルチクラウド、マルチクラウド リソースからの検出を統合できます。詳細については、セキュリティ ソースの追加をご覧ください。

Security Command Center を使用するタイミング

Security Command Center は現在、アセット インベントリ、検出、検索、管理に重点を置いています。Security Command Center によって、セキュリティとデータの攻撃対象領域を把握し、次のような疑問を解決できます。

  • 所有しているプロジェクトの数と新規プロジェクトの数
  • Compute Engine、Cloud Storage、App Engine など、デプロイされている Google Cloud リソースの内容
  • 利用されているサービス(仮想マシン(VM)やバケットなど)
  • デプロイの履歴
  • VM で実行されているイメージ
  • 一般に公開されている IP アドレス
  • 次のカテゴリの整理、アノテーション、検索、選択、フィルタリング、並べ替えを行う方法
    • アセットとアセット プロパティ
    • リスクの種類などの検出結果と検出のプロパティ
    • セキュリティ マーク(Security Command Center でアセットや検出結果にアノテーションを付けられるようにするマーク)
    • 期間

次のステップ