Security Health Analytics の概要

Security Health Analytics は Security Command Center のマネージド サービスで、クラウド環境をスキャンして、攻撃を受ける可能性がある一般的な構成ミスを検出します。

Security Command Center を有効にすると、Security Health Analytics が自動的に有効になります。

ティア別の Security Health Analytics の機能

使用できる Security Health Analytics 機能は、Security Command Center が有効になっているサービスティアによって異なります。

スタンダード ティアの機能

スタンダード ティアの場合、Security Health Analytics によって検出される脆弱性の重大度は中程度から重大の基本的なグループのみです。Security Health Analytics がスタンダード ティアで検出する検出結果のカテゴリについては、スタンダード サービス ティアをご覧ください。

プレミアム ティアの機能

プレミアム ティアには次の機能が含まれています。

  • Google Cloud のすべての検出機能に加えて、カスタム検出モジュールの作成など、脆弱性を検出するさまざまな機能を利用できます。
  • 検出結果は、コンプライアンス レポートのコンプライアンス管理にマッピングされます。詳細については、検出機能とコンプライアンスをご覧ください。
  • Security Command Center の攻撃パス シミュレーションでは、ほとんどの Security Health Analytics の検出結果について、攻撃の発生可能性スコアと潜在的な攻撃パスが計算されます。詳細については、攻撃の発生可能性スコアと攻撃パスの概要をご覧ください。

プレミアム ティアのすべての機能の一覧については、プレミアム ティアをご覧ください。

エンタープライズ ティアの機能

エンタープライズ ティアには、プレミアム ティアのすべての機能に加え、他のクラウド サービス プロバイダ プラットフォーム用の検出機能が含まれます。

ティアの切り替え

ほとんどの Security Health Analytics 検出機能は、Security Command Center のプレミアム ティアと Enterprise ティアでのみ使用できます。Premium ティアまたは Enterprise ティアを使用している場合で、Standard ティアに切り替える予定がある場合は、ティアを変更する前にすべての検出結果を解決することをおすすめします。

Premium または Enterprise のトライアルが終了するか、Premium ティアまたは Enterprise ティアから Standard ティアにダウングレードすると、上位ティアで生成された検出結果の状態は INACTIVE に設定されます。

マルチクラウド サポート

Security Health Analytics は、他のクラウド プラットフォームのデプロイメントの構成ミスを検出できます。

Security Health Analytics は、次の他のクラウド サービス プロバイダをサポートしています。

  • アマゾン ウェブ サービス(AWS)

AWS で検出機能を実行するには、まず 脆弱性の検出とリスク評価のために AWS に接続するで説明されているように、Security Command Center を AWS に接続する必要があります。

サポートされている Google Cloud クラウド サービス

Google Cloud の Security Health Analytics のマネージド脆弱性評価スキャンでは、次の Google Cloud サービス全体で一般的な脆弱性と構成ミスを自動的に検出できます。

  • Cloud Monitoring と Cloud Logging
  • Compute Engine
  • Google Kubernetes Engine コンテナとネットワーク
  • クラウド ストレージ
  • Cloud SQL
  • Identity and Access Management(IAM)
  • Cloud Key Management Service(Cloud KMS)
  • Cloud DNS

Security Health Analytics のスキャンタイプ

Security Health Analytics のスキャンは 3 つのモードで実行されます。

  • バッチスキャン: 登録済みのすべての組織またはプロジェクトに対して 1 日に 1 回、すべての検出機能を実行するようにスケジュールが設定されます。

  • リアルタイム スキャン: Google Cloud デプロイの場合のみ、リソースの構成で変更が検出されると、サポートされている検出機能がスキャンを開始します。結果は Security Command Center に書き込まれます。リアルタイム スキャンは、他のクラウド プラットフォームのデプロイではサポートされていません。

  • 混合モード: リアルタイム スキャンをサポートする一部の検出機能で、サポートされているリソースタイプの変更が検出されない場合があります。その場合、一部のリソースタイプの構成の変更が直ちにキャプチャされ、その他のリソースタイプの変更はバッチスキャンでキャプチャされます。例外については、Security Health Analytics の検出結果の表をご覧ください。

Security Health Analytics の検出機能

Security Health Analytics は、検出器を使用して、クラウド環境の脆弱性と構成ミスを特定します。各検出機能は 1 つの検出結果カテゴリに対応しています。

Security Health Analytics には、多くのカテゴリとリソースタイプについて脆弱性と構成ミスを確認する組み込みの検出機能が多数用意されています。

独自の検出機能を作成して、組み込みの検出機能の対象ではない、または環境に固有の脆弱性や構成ミスを確認することもできます。

Security Health Analytics の組み込みの検出機能の詳細については、Security Health Analytics の組み込み検出機能をご覧ください。

カスタム モジュールの作成と使用の詳細については、Security Health Analytics カスタム モジュールをご覧ください。

検出機能の有効化

Google Cloud の Security Health Analytics の組み込み検出機能は、デフォルトではすべて有効になっていません。

マルチクラウドをサポートする Enterprise ティアを使用している場合、AWS のすべての検出機能がデフォルトで有効になります。

アクティブでない組み込み検出機能を有効にするには、検出機能を有効または無効にするをご覧ください。

Security Health Analytics のカスタム検出モジュールを有効または無効にするには、Google Cloud コンソール、gcloud CLI、または Security Command Center API を使用します。

Security Health Analytics のカスタム モジュールの更新については、カスタム モジュールを更新するをご覧ください。

プロジェクト レベルの有効化による検出機能のサポート

スタンダード ティアとプレミアム ティアでは、組織全体または組織内の 1 つ以上のプロジェクトに対して Security Command Center を有効にすることができます。

Enterprise ティアでは、プロジェクト レベルの有効化はサポートされていません。

組み込み検出機能とプロジェクト レベルの有効化

プロジェクトで Security Command Center のみを有効にした場合、Security Health Analytics の組み込み検出機能はサポートされません。これらの機能は組織レベルの権限を必要とするためです。

組織レベルの有効化が必要な組み込み検出器のうち、スタンダード ティアを有効にすることで、プロジェクト レベルの有効化のために Security Command Center のスタンダード ティアで利用できるように設定できます(無料)。

プレミアム ティアと組織レベルの権限の両方を必要とする組み込み検出機能では、プロジェクト レベルの有効化はサポートされていません。

プロジェクト レベルの有効化で使用する前に Security Command Center のスタンダード ティアを組織レベルで有効にする必要があるスタンダード ティアの組み込み検出機能については、組織レベルのスタンダード ティアの検出結果のカテゴリをご覧ください。

プロジェクト レベルの有効化でサポートされていない、プレミアム ティアの組み込み検出機能については、Security Health Analytics でサポートされていない検出をご覧ください。

カスタム モジュール検出機能とプロジェクト レベルの有効化

プロジェクトに作成するカスタム モジュール検出機能のスキャンは、Security Command Center の有効化レベルに関係なく、プロジェクトのスコープに限定されます。カスタム モジュール検出機能は、作成されたプロジェクトで使用可能なリソースのみをスキャンできます。

カスタム モジュールの詳細については、Security Health Analytics カスタム モジュールをご覧ください。

Security Health Analytics の組み込み検出機能

このセクションでは、検出機能の概要カテゴリと、生成される検出結果のカテゴリについて説明します。カテゴリはクラウド プラットフォーム別に示します。

Google Cloud の組み込み検出機能(大まかなカテゴリ別)

Google Cloud の Security Health Analytics 検出機能と、検出結果は次の上位レベルのカテゴリに分類されます。

Security Health Analytics の検出機能は、Cloud Asset Inventory でサポートされている Google Cloud リソースタイプのサブセットをモニタリングします。

各カテゴリに含まれている検出機能を確認するには、カテゴリ名をクリックします。

AWS の組み込み検出機能

AWS のすべての Security Health Analytics 検出機能のリストについては、AWS の検出結果をご覧ください。

Security Health Analytics カスタム モジュール

Security Health Analytics カスタム モジュールは、組み込みの検出機能ではなく、Security Health Analytics の検出機能を拡張する Google Cloud 用のカスタム検出機能です。

カスタム モジュールは、他のクラウド プラットフォームではサポートされていません。

カスタム モジュールは、Google Cloud コンソールのガイド付きワークフローを使用して作成できます。または、YAML ファイルでカスタム モジュールの定義を作成し、Google Cloud CLI コマンドまたは Security Command Center API を使用して Security Command Center にアップロードすることもできます。

詳細については、Security Health Analytics カスタム モジュールの概要をご覧ください。

検出機能とコンプライアンス

Security Command Center によるセキュリティ ベンチマークのコンプライアンスの測定は、大部分が Security Health Analytics の脆弱性検出機能によって生成された検出結果に基づいています。

Security Health Analytics は、さまざまなセキュリティ標準のコントロールにマッピングされた検出機能でコンプライアンスをモニタリングします。

サポートされているセキュリティ標準ごとに、Security Health Analytics はコントロールのサブセットを確認します。確認されたコントロールについては、合格した数が Security Command Center に表示されます。合格していないコントロールについては、コントロールが不合格になったことを説明する検出結果のリストが Security Command Center に表示されます。

CIS は、Security Health Analytics の検出機能と、サポートされている各バージョンの CIS Google Cloud Foundations Benchmark とのマッピングを確認して認定します。追加のコンプライアンス マッピングは参考用として含まれています。

Security Health Analytics により、定期的に、新しいベンチマークのバージョンと標準のサポートが追加されます。古いバージョンは引き続きサポートされますが、最終的には非推奨になります。入手可能な最新のサポート対象ベンチマークまたは標準の使用をおすすめします。

セキュリティ ポスチャー サービスを使用すると、組織のポリシーと Security Health Analytics の検出機能をビジネスに適用される標準とコントロールにマッピングできます。セキュリティ ポスチャーを作成した後は、ビジネスのコンプライアンスに影響を与える可能性がある環境の変更をモニタリングできます。

コンプライアンス管理の詳細については、セキュリティ標準のコンプライアンスを評価して報告するをご覧ください。

サポートされているセキュリティ標準

Google Cloud

Security Health Analytics は、Google Cloud の検出機能を、以下の 1 つ以上のコンプライアンス標準にマッピングします。

AWS

Security Health Analytics は、Amazon Web Services(AWS)の検出機能を以下の 1 つ以上のコンプライアンス標準にマッピングします。

コンプライアンスの詳細については、セキュリティ ベンチマークのコンプライアンスを評価して報告するをご覧ください。