Security Health Analytics は Security Command Center のマネージド サービスで、クラウド環境をスキャンして、攻撃を受ける可能性がある一般的な構成ミスを検出します。
Security Command Center を有効にすると、Security Health Analytics が自動的に有効になります。
ティア別の Security Health Analytics の機能
利用可能な Security Health Analytics の機能は、Security Command Center が有効になっているサービスティアによって異なります。
スタンダード ティアの機能
スタンダード ティアの場合、Security Health Analytics によって検出される脆弱性の重大度は中程度から重大の基本的なグループのみです。Security Health Analytics がスタンダード ティアで検出する検出結果のカテゴリについては、スタンダード サービス ティアをご覧ください。
プレミアム ティアの機能
プレミアム ティアには次の機能が含まれます。
- Google Cloud のすべての検出器と、カスタム検出モジュールの作成機能など、その他の多くの脆弱性検出機能。
- 検出結果は、コンプライアンス レポートのコンプライアンス管理にマッピングされます。詳細については、検出機能とコンプライアンスをご覧ください。
- Security Command Center の攻撃パス シミュレーションでは、ほとんどの Security Health Analytics の検出結果に対して、攻撃の発生可能性スコアと潜在的な攻撃パスが計算されます。詳細については、攻撃の発生可能性スコアと攻撃パスの概要をご覧ください。
プレミアム ティアのすべての機能の一覧については、プレミアム ティアをご覧ください。
エンタープライズ階層の機能
エンタープライズ ティアには、プレミアム ティアのすべての機能と、他のクラウド サービス プロバイダ プラットフォーム用の検出項目が含まれます。
ティアの切り替え
ほとんどの Security Health Analytics 検出項目は、Security Command Center のプレミアム ティアとエンタープライズ ティアでのみ使用できます。プレミアム ティアまたはエンタープライズ ティアを使用していて、スタンダード ティアに切り替える予定がある場合は、ティアを変更する前にすべての検出結果を解決することをおすすめします。
プレミアム ティアまたはエンタープライズ トライアルの終了、またはプレミアム ティアまたはエンタープライズ ティアからスタンダード ティアにダウングレードすると、上位階層で生成された検出結果の状態は次のように設定されます。INACTIVEして、ソース別にトラフィック データを分類します。
マルチクラウド サポート
Security Health Analytics は、他のクラウド プラットフォーム上のデプロイの構成ミスを検出できます。
Security Health Analytics では、次の他のクラウド サービス プロバイダがサポートされています。
- アマゾン ウェブ サービス(AWS)
AWS で検出機能を実行するには、脆弱性の検出とリスク評価を行うために AWS に接続するの説明に沿って、Security Command Center を AWS に接続する必要があります。
サポートされる Google Cloud クラウド サービス
Google Cloud の Security Health Analytics のマネージド脆弱性評価スキャンでは、次の Google Cloud サービス全体で一般的な脆弱性と構成ミスを自動的に検出できます。
- Cloud Monitoring と Cloud Logging
- Compute Engine
- Google Kubernetes Engine コンテナとネットワーク
- Cloud Storage
- Cloud SQL
- Identity and Access Management(IAM)
- Cloud Key Management Service(Cloud KMS)
- Cloud DNS
Security Health Analytics のスキャンタイプ
Security Health Analytics のスキャンは 3 つのモードで実行されます。
バッチスキャン: 登録済みのすべての組織またはプロジェクトに対して 1 日に 1 回、すべての検出機能を実行するようにスケジュールが設定されます。
リアルタイム スキャン: Google Cloud のデプロイの場合のみ、リソース構成で変更が検出されると、サポートされている検出機能がスキャンを開始します。結果は Security Command Center に書き込まれます。他のクラウド プラットフォームへのデプロイでは、リアルタイム スキャンはサポートされていません。
混合モード: リアルタイム スキャンをサポートする一部の検出機能で、サポートされているリソースタイプの変更が検出されない場合があります。その場合、一部のリソースタイプの構成の変更が直ちにキャプチャされ、その他のリソースタイプの変更はバッチスキャンでキャプチャされます。例外については、Security Health Analytics の検出結果の表をご覧ください。
Security Health Analytics の検出機能
Security Health Analytics は、検出機能を使用して、クラウド環境の脆弱性と構成ミスを特定します。各検出機能は 1 つの検出結果カテゴリに対応しています。
Security Health Analytics には、多くのカテゴリとリソースタイプについて脆弱性と構成ミスを確認する組み込みの検出機能が多数用意されています。
独自の検出機能を作成して、組み込みの検出機能の対象ではない、または環境に固有の脆弱性や構成ミスを確認することもできます。
Security Health Analytics の組み込みの検出機能の詳細については、Security Health Analytics の組み込み検出機能をご覧ください。
カスタム モジュールの作成と使用の詳細については、Security Health Analytics カスタム モジュールをご覧ください。
検出機能の有効化
Google Cloud のすべての Security Health Analytics 組み込み検出機能がデフォルトで有効になっているわけではありません。
マルチクラウド サポートのあるエンタープライズ階層を使用している場合は、AWS のすべての検出項目がデフォルトで有効になっています。
アクティブでない組み込み検出機能を有効にするには、検出機能を有効または無効にするをご覧ください。
Security Health Analytics のカスタム検出モジュールを有効または無効にするには、Google Cloud コンソール、gcloud CLI、または Security Command Center API を使用します。
Security Health Analytics のカスタム モジュールの更新については、カスタム モジュールを更新するをご覧ください。
プロジェクト レベルの有効化による検出機能のサポート
スタンダード ティアとプレミアム ティアでは、組織全体、または組織内の 1 つ以上のプロジェクトに対して Security Command Center を有効にできます。
エンタープライズ ティアでは、プロジェクト レベルのアクティベーションはサポートされていません。
組み込み検出機能とプロジェクト レベルの有効化
プロジェクトで Security Command Center のみを有効にした場合、Security Health Analytics の組み込み検出機能はサポートされません。これらの機能は組織レベルの権限を必要とするためです。
組織レベルでの有効化が必要な組み込み検出機能の一部は、組織でスタンダード ティアを有効にすることで(この設定は無料です)、Security Command Center のスタンダード ティアで利用し、プロジェクト レベルで有効にすることができます。
プレミアム ティアと組織レベルの権限の両方を必要とする組み込み検出機能では、プロジェクト レベルの有効化はサポートされていません。
プロジェクト レベルの有効化で使用する前に Security Command Center のスタンダード ティアを組織レベルで有効にする必要があるスタンダード ティアの組み込み検出機能については、組織レベルのスタンダード ティアの検出結果のカテゴリをご覧ください。
プロジェクト レベルの有効化でサポートされていない、プレミアム ティアの組み込み検出機能については、Security Health Analytics でサポートされていない検出をご覧ください。
カスタム モジュール検出機能とプロジェクト レベルの有効化
プロジェクトに作成するカスタム モジュール検出機能のスキャンは、Security Command Center の有効化レベルに関係なく、プロジェクトのスコープに限定されます。カスタム モジュール検出機能は、作成されたプロジェクトで使用可能なリソースのみをスキャンできます。
カスタム モジュールの詳細については、Security Health Analytics カスタム モジュールをご覧ください。
Security Health Analytics の組み込み検出機能
このセクションでは、検出器の大まかなカテゴリと、クラウド プラットフォームによって生成される検出カテゴリについて説明します。
高レベル カテゴリ別の Google Cloud の組み込み検出器
Google Cloud の Security Health Analytics の検出機能と、それらが発行する検出結果は、次の高いレベルのカテゴリに分類されます。
Security Health Analytics の検出機能は、Cloud Asset Inventory でサポートされている Google Cloud リソースタイプのサブセットをモニタリングします。
各カテゴリに含まれている検出機能を確認するには、カテゴリ名をクリックします。
- API キーの脆弱性の検出
- Compute イメージの脆弱性の検出
- Compute インスタンスの脆弱性の検出
- コンテナの脆弱性の検出
- Dataproc の脆弱性の検出
- データセットの脆弱性の検出
- DNS の脆弱性の検出
- ファイアウォールの脆弱性の検出
- IAM の脆弱性の検出
- KMS の脆弱性の検出
- ロギングの脆弱性の検出
- モニタリングの脆弱性の検出
- 多要素認証の脆弱性の検出
- ネットワークの脆弱性の検出
- 組織のポリシーの脆弱性の検出
- Pub/Sub の脆弱性の検出
- SQL の脆弱性の検出
- ストレージの脆弱性の検出
- サブネットワークの脆弱性の検出
AWS 用の組み込み検出器
AWS 用の Security Health Analytics 検出機能の一覧については、AWS の検出結果をご覧ください。
Security Health Analytics カスタム モジュール
Security Health Analytics カスタム モジュールは、Security Health Analytics の検出機能を組み込み検出器を超える機能に拡張する Google Cloud のカスタム検出器です。
他のクラウド プラットフォームでは、カスタム モジュールはサポートされていません。
カスタム モジュールは、Google Cloud コンソールのガイド付きワークフローを使用して作成できます。または、YAML ファイルでカスタム モジュールの定義を作成し、Google Cloud CLI コマンドまたは Security Command Center API を使用して Security Command Center にアップロードすることもできます。
詳細については、Security Health Analytics カスタム モジュールの概要をご覧ください。
検出機能とコンプライアンス
Security Command Center によるセキュリティ ベンチマークのコンプライアンスの測定は、大部分が Security Health Analytics の脆弱性検出機能によって生成された検出結果に基づいています。
Security Health Analytics は、さまざまなセキュリティ標準のコントロールにマッピングされた検出機能でコンプライアンスをモニタリングします。
サポートされているセキュリティ標準ごとに、Security Health Analytics はコントロールのサブセットを確認します。確認されたコントロールについては、合格した数が Security Command Center に表示されます。合格していないコントロールについては、コントロールが不合格になったことを説明する検出結果のリストが Security Command Center に表示されます。
CIS は、Security Health Analytics の検出機能と、サポートされている各バージョンの CIS Google Cloud Foundations Benchmark とのマッピングを確認して認定します。追加のコンプライアンス マッピングは参考用として含まれています。
Security Health Analytics により、定期的に、新しいベンチマークのバージョンと標準のサポートが追加されます。古いバージョンは引き続きサポートされますが、最終的には非推奨になります。入手可能な最新のサポート対象ベンチマークまたは標準の使用をおすすめします。
セキュリティ ポスチャー サービスを使用すると、組織のポリシーと Security Health Analytics の検出機能をビジネスに適用される標準とコントロールにマッピングできます。セキュリティ ポスチャーを作成した後は、ビジネスのコンプライアンスに影響を与える可能性がある環境の変更をモニタリングできます。
コンプライアンス管理の詳細については、セキュリティ標準のコンプライアンスを評価して報告するをご覧ください。
Google Cloud でサポートされているセキュリティ標準
Security Health Analytics は、Google Cloud の検出機能を次の 1 つ以上のコンプライアンス標準にマッピングします。
- Center for Information Security(CIS)Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0、v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix(CCM)4
- HIPAA(医療保険の相互運用性と説明責任に関する法律)
- ISO 27001、2022、2013
- NIST 800-53 R5 および R4
- NIST CSF 1.0
- OWASP トップ 10(2021 および 2017)
- PCI DSS 4.0 および 3.2.1
- System and Organization Controls(SOC)2 2017 年 Trusted Services Criteria(TSC)
AWS でサポートされているセキュリティ標準
Security Health Analytics は、Amazon Web Services(AWS)の検出機能を次の 1 つ以上のコンプライアンス標準にマッピングします。
- CIS Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 および 3.2.1
- SOC 2 2017 TSC
コンプライアンスの詳細については、セキュリティ ベンチマークのコンプライアンスを評価して報告するをご覧ください。