Security Health Analytics は Security Command Center のマネージド サービスで、クラウド環境をスキャンして、攻撃を受ける可能性がある一般的な構成ミスを検出します。
Security Command Center を有効にすると、Security Health Analytics が自動的に有効になります。
ティア別の Security Health Analytics の機能
利用可能な Security Health Analytics の機能は、Security Command Center が有効になっているサービスティアによって異なります。
スタンダード ティアの機能
スタンダード ティアの場合、Security Health Analytics によって検出される脆弱性の重大度は中程度から重大の基本的なグループのみです。Security Health Analytics がスタンダード ティアで検出する検出結果のカテゴリについては、スタンダード サービス ティアをご覧ください。
プレミアム ティアの機能
プレミアム ティアには次の機能が含まれています。
- Google Cloud のすべての検出機能に加えて、カスタム検出モジュールの作成など、脆弱性を検出するさまざまな機能を利用できます。
- 検出結果は、コンプライアンス レポートのコンプライアンス管理にマッピングされます。詳細については、検出機能とコンプライアンスをご覧ください。
- Security Command Center の攻撃パス シミュレーションでは、ほとんどの Security Health Analytics の検出結果について、攻撃の発生可能性スコアと潜在的な攻撃パスを計算します。詳細については、攻撃の発生可能性スコアと攻撃パスの概要をご覧ください。
プレミアム ティアのすべての機能の一覧については、プレミアム ティアをご覧ください。
エンタープライズ ティアの機能
エンタープライズ ティアには、プレミアム ティアのすべての機能と、他のクラウド サービス プロバイダ プラットフォームの検出機能が含まれます。
ティアの切り替え
ほとんどの Security Health Analytics 検出機能は、Security Command Center のプレミアム ティアと Enterprise ティアでのみ使用できます。プレミアム ティアまたはエンタープライズ ティアを使用していて、スタンダード ティアに切り替える予定がある場合は、ティアを変更する前にすべての検出結果を解決することをおすすめします。
Premium または Enterprise のトライアルが終了するか、Premium ティアまたは Enterprise ティアから Standard ティアにダウングレードすると、上位ティアで生成された検出結果の状態は INACTIVE
に設定されます。
マルチクラウド サポート
Security Health Analytics は、他のクラウド プラットフォームのデプロイメントの構成ミスを検出できます。
Security Health Analytics は、次の他のクラウド サービス プロバイダをサポートしています。
- アマゾン ウェブ サービス(AWS)
AWS で検出機能を実行するには、脆弱性の検出とリスク評価のために AWS に接続するで説明されているように、まず Security Command Center を AWS に接続する必要があります。
サポートされる Google Cloud クラウド サービス
Google Cloud の Security Health Analytics のマネージド脆弱性評価スキャンでは、次の Google Cloud サービス全体で一般的な脆弱性と構成ミスを自動的に検出できます。
- Cloud Monitoring と Cloud Logging
- Compute Engine
- Google Kubernetes Engine コンテナとネットワーク
- Cloud Storage
- Cloud SQL
- Identity and Access Management(IAM)
- Cloud Key Management Service(Cloud KMS)
- Cloud DNS
Security Health Analytics のスキャンタイプ
Security Health Analytics のスキャンは 3 つのモードで実行されます。
バッチスキャン: 登録済みのすべての組織またはプロジェクトに対して 1 日に 1 回、すべての検出機能を実行するようにスケジュールが設定されます。
リアルタイム スキャン: Google Cloud のデプロイの場合のみ、リソースの構成で変更が検出されると、サポートされている検出機能がスキャンを開始します。結果は Security Command Center に書き込まれます。他のクラウド プラットフォーム上のデプロイでは、リアルタイム スキャンはサポートされていません。
混合モード: リアルタイム スキャンをサポートする一部の検出機能で、サポートされているリソースタイプの変更が検出されない場合があります。その場合、一部のリソースタイプの構成の変更が直ちにキャプチャされ、その他のリソースタイプの変更はバッチスキャンでキャプチャされます。例外については、Security Health Analytics の検出結果の表をご覧ください。
Security Health Analytics の検出機能
Security Health Analytics は、検出器を使用して、クラウド環境の脆弱性と構成ミスを特定します。各検出機能は 1 つの検出結果カテゴリに対応しています。
Security Health Analytics には、多くのカテゴリとリソースタイプについて脆弱性と構成ミスを確認する組み込みの検出機能が多数用意されています。
独自の検出機能を作成して、組み込みの検出機能の対象ではない、または環境に固有の脆弱性や構成ミスを確認することもできます。
Security Health Analytics の組み込みの検出機能の詳細については、Security Health Analytics の組み込み検出機能をご覧ください。
カスタム モジュールの作成と使用の詳細については、Security Health Analytics カスタム モジュールをご覧ください。
検出機能の有効化
Google Cloud の Security Health Analytics の組み込み検出機能は、デフォルトではすべて有効になっていません。
マルチクラウド をサポートする Enterprise ティアを使用している場合は、AWS のすべての検出機能がデフォルトで有効になっています。
アクティブでない組み込み検出機能を有効にするには、検出機能を有効または無効にするをご覧ください。
Security Health Analytics のカスタム検出モジュールを有効または無効にするには、Google Cloud コンソール、gcloud CLI、または Security Command Center API を使用します。
Security Health Analytics のカスタム モジュールの更新については、カスタム モジュールを更新するをご覧ください。
プロジェクト レベルの有効化による検出機能のサポート
スタンダード ティアとプレミアム ティアでは、組織全体または組織内の 1 つ以上のプロジェクトに対して Security Command Center を有効にすることができます。
エンタープライズ ティアでは、プロジェクト レベルのアクティベーションはサポートされていません。
組み込み検出機能とプロジェクト レベルの有効化
プロジェクトで Security Command Center のみを有効にした場合、Security Health Analytics の組み込み検出機能はサポートされません。これらの機能は組織レベルの権限を必要とするためです。
組織レベルの有効化が必要な組み込み検出器のうち、スタンダード ティアを有効にすることで、プロジェクト レベルの有効化のために Security Command Center のスタンダード ティアで利用できるように設定できます(無料)。
プレミアム ティアと組織レベルの権限の両方を必要とする組み込み検出機能では、プロジェクト レベルの有効化はサポートされていません。
プロジェクト レベルの有効化で使用する前に Security Command Center のスタンダード ティアを組織レベルで有効にする必要があるスタンダード ティアの組み込み検出機能については、組織レベルのスタンダード ティアの検出結果のカテゴリをご覧ください。
プロジェクト レベルの有効化でサポートされていない、プレミアム ティアの組み込み検出機能については、Security Health Analytics でサポートされていない検出をご覧ください。
カスタム モジュール検出機能とプロジェクト レベルの有効化
プロジェクトに作成するカスタム モジュール検出機能のスキャンは、Security Command Center の有効化レベルに関係なく、プロジェクトのスコープに限定されます。カスタム モジュール検出機能は、作成されたプロジェクトで使用可能なリソースのみをスキャンできます。
カスタム モジュールの詳細については、Security Health Analytics カスタム モジュールをご覧ください。
Security Health Analytics の組み込み検出機能
このセクションでは、検出機能の概要カテゴリについて説明します。カテゴリは、Cloud Platform 別に一覧表示され、それらが生成する検出結果のカテゴリを列挙します。
Google Cloud の組み込み検出器の概要(カテゴリ別)
Google Cloud の Security Health Analytics の検出機能と、それらによって発行される検出結果は、次の高いレベルのカテゴリに分類されます。
Security Health Analytics の検出機能は、Cloud Asset Inventory でサポートされている Google Cloud リソースタイプのサブセットをモニタリングします。
各カテゴリに含まれている検出機能を確認するには、カテゴリ名をクリックします。
- API キーの脆弱性の検出
- Compute イメージの脆弱性の検出
- Compute インスタンスの脆弱性の検出
- コンテナの脆弱性の検出
- Dataproc の脆弱性の検出
- データセットの脆弱性の検出
- DNS の脆弱性の検出
- ファイアウォールの脆弱性の検出
- IAM の脆弱性の検出
- KMS の脆弱性の検出
- ロギングの脆弱性の検出
- モニタリングの脆弱性の検出
- 多要素認証の脆弱性の検出
- ネットワークの脆弱性の検出
- 組織のポリシーの脆弱性の検出
- Pub/Sub の脆弱性の検出
- SQL の脆弱性の検出
- ストレージの脆弱性の検出
- サブネットワークの脆弱性の検出
AWS の組み込み検出機能
AWS のすべての Security Health Analytics 検出機能のリストについては、AWS の検出結果をご覧ください。
Security Health Analytics カスタム モジュール
Security Health Analytics カスタム モジュールは、Security Health Analytics の検出機能を、組み込み検出機能によって提供される機能を超えて拡張する Google Cloud 用のカスタム検出項目です。
カスタム モジュールは、他のクラウド プラットフォームではサポートされていません。
カスタム モジュールは、Google Cloud コンソールのガイド付きワークフローを使用して作成できます。または、YAML ファイルでカスタム モジュールの定義を作成し、Google Cloud CLI コマンドまたは Security Command Center API を使用して Security Command Center にアップロードすることもできます。
詳細については、Security Health Analytics カスタム モジュールの概要をご覧ください。
検出機能とコンプライアンス
Security Command Center によるセキュリティ ベンチマークのコンプライアンスの測定は、大部分が Security Health Analytics の脆弱性検出機能によって生成された検出結果に基づいています。
Security Health Analytics は、さまざまなセキュリティ標準のコントロールにマッピングされた検出機能でコンプライアンスをモニタリングします。
サポートされているセキュリティ標準ごとに、Security Health Analytics はコントロールのサブセットを確認します。確認されたコントロールについては、合格した数が Security Command Center に表示されます。合格していないコントロールについては、コントロールが不合格になったことを説明する検出結果のリストが Security Command Center に表示されます。
CIS は、Security Health Analytics の検出機能と、サポートされている各バージョンの CIS Google Cloud Foundations Benchmark とのマッピングを確認して認定します。追加のコンプライアンス マッピングは参考用として含まれています。
Security Health Analytics により、定期的に、新しいベンチマークのバージョンと標準のサポートが追加されます。古いバージョンは引き続きサポートされますが、最終的には非推奨になります。入手可能な最新のサポート対象ベンチマークまたは標準の使用をおすすめします。
セキュリティ ポスチャー サービスを使用すると、組織のポリシーと Security Health Analytics の検出機能をビジネスに適用される標準とコントロールにマッピングできます。セキュリティ ポスチャーを作成した後は、ビジネスのコンプライアンスに影響を与える可能性がある環境の変更をモニタリングできます。
コンプライアンス管理の詳細については、セキュリティ標準のコンプライアンスを評価して報告するをご覧ください。
Google Cloud でサポートされているセキュリティ標準
Security Health Analytics は、Google Cloud の検出機能を、以下の 1 つ以上のコンプライアンス標準にマッピングします。
- Center for Information Security(CIS) Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0、v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix(CCM)4
- HIPAA(医療保険の相互運用性と説明責任に関する法律)
- 国際標準化機構(ISO)27001、2022、2013
- NIST 800-53 R5 および R4
- NIST CSF 1.0
- Open Web Application Security Project(OWASP)トップ 10(2021 および 2017)
- Payment Card Industry データ セキュリティ基準(PCI DSS)4.0 および 3.2.1
- System and Organization Controls(SOC)2 2017 年 Trusted Services Criteria(TSC)
AWS でサポートされているセキュリティ標準
Security Health Analytics は、Amazon Web Services(AWS)の検出機能を以下の 1 つ以上のコンプライアンス標準にマッピングします。
- CIS Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 および 3.2.1
- SOC 2 2017 TSC
コンプライアンスの詳細については、セキュリティ ベンチマークのコンプライアンスを評価して報告するをご覧ください。