Security Health Analytics は Security Command Center のマネージド サービスで、クラウド環境をスキャンして、攻撃を受ける可能性のある一般的な構成ミスを検出します。
Security Command Center を有効にすると、Security Health Analytics が自動的に有効になります。
ティア別の Security Health Analytics の機能
使用できる Security Health Analytics の機能は、Security Command Center が有効になっているサービスティアによって異なります。各ティアで利用できるか検出結果については、Security Health Analytics の検出結果をご覧ください。
スタンダード ティアの機能
スタンダード ティアの場合、Security Health Analytics によって検出される脆弱性の重大度は中程度から重大の基本グループのみです。
プレミアム ティアの機能
プレミアム ティアには次の機能が含まれています。
- Google Cloudのすべての検出機能に加えて、カスタム検出モジュールの作成など、脆弱性を検出するさまざまな機能を利用できます。
- 検出結果は、コンプライアンス レポートのコンプライアンス コントロールにマッピングされます。詳細については、検出機能とコンプライアンスをご覧ください。
- Security Command Center の攻撃パス シミュレーションでは、ほとんどの Security Health Analytics の検出結果について、攻撃の発生可能性スコアと潜在的な攻撃パスが計算されます。詳細については、攻撃の発生可能性スコアと攻撃パスの概要をご覧ください。
エンタープライズ ティアの機能
エンタープライズ ティアには、プレミアム ティアのすべての機能に加え、他のクラウド サービス プロバイダ プラットフォームの検出機能が含まれます。
ティアの切り替え
ほとんどの Security Health Analytics 検出機能は、Security Command Center のプレミアム ティアとエンタープライズ ティアでのみ使用できます。プレミアム ティアまたはエンタープライズ ティアを使用していて、スタンダード ティアに切り替える予定がある場合は、ティアを変更する前にすべての検出結果を解決することをおすすめします。
プレミアムまたはエンタープライズのトライアルが終了するか、プレミアム ティアまたはエンタープライズ ティアからスタンダード ティアにダウングレードすると、上位のティアで生成された検出結果の状態は「INACTIVE」に設定されます。
マルチクラウド サポート
Security Health Analytics は、他のクラウド プラットフォームのデプロイの構成ミスを検出できます。
Security Health Analytics は、以下のクラウド サービス プロバイダもサポートしています。
アマゾン ウェブ サービス(AWS): AWS データで検出機能を実行するには、まず AWS に接続して構成データとリソースデータを収集するで説明されているように、Security Command Center を AWS に接続する必要があります。
Microsoft Azure: Microsoft Azure データで検出機能を実行するには、まず Microsoft Azure に接続して脆弱性検出とリスク評価を行うで説明されているように、Security Command Center を Microsoft Azure に接続する必要があります。
サポート対象の Google Cloud Cloud サービス
Google Cloudの Security Health Analytics のマネージド脆弱性評価スキャンでは、次の Google Cloud サービス全体で一般的な脆弱性と構成ミスを自動的に検出します。
- Cloud Monitoring と Cloud Logging
- Compute Engine
- Google Kubernetes Engine コンテナとネットワーク
- Cloud Storage
- Cloud SQL
- Identity and Access Management(IAM)
- Cloud Key Management Service(Cloud KMS)
- Cloud DNS
Security Health Analytics のスキャンタイプ
Security Health Analytics のスキャンは 3 つのモードで実行されます。
バッチスキャン: 登録済みのすべての組織またはプロジェクトに対して 1 日に 1 回、すべての検出機能を実行するようにスケジュールが設定されます。
リアルタイム スキャン: Google Cloud デプロイの場合、リソースの構成で変更が検出されると、サポートされている検出機能がスキャンを開始します。結果は Security Command Center に書き込まれます。他のクラウド プラットフォームでのデプロイでは、リアルタイム スキャンはサポートされていません。
混合モード: リアルタイム スキャンをサポートする一部の検出機能で、サポートされているリソースタイプの変更が検出されない場合があります。その場合、一部のリソースタイプの構成の変更が直ちにキャプチャされ、その他のリソースタイプの変更はバッチスキャンでキャプチャされます。例外については、Security Health Analytics の検出結果の表をご覧ください。
Security Health Analytics の検出機能
Security Health Analytics は、検出機能を使用して、クラウド環境の脆弱性と構成ミスを特定します。各検出機能は 1 つの検出結果カテゴリに対応しています。
Security Health Analytics には、多くのカテゴリとリソースタイプについて脆弱性と構成ミスを確認する組み込みの検出機能が多数用意されています。
独自の検出機能を作成して、組み込みの検出機能の対象ではない、または環境に固有の脆弱性や構成ミスを確認することもできます。
Security Health Analytics の組み込みの検出機能の詳細については、Security Health Analytics の組み込み検出機能をご覧ください。
カスタム モジュールの作成と使用の詳細については、Security Health Analytics カスタム モジュールをご覧ください。
検出機能の有効化
デフォルトでは、 Google Cloudの Security Health Analytics の組み込み検出機能がすべて有効になっているわけではありません。
マルチクラウドをサポートするエンタープライズ ティアを使用している場合、AWS のすべての検出機能がデフォルトで有効になります。
アクティブでない組み込み検出機能を有効にするには、検出機能を有効または無効にするをご覧ください。
Security Health Analytics のカスタム検出モジュールを有効または無効にするには、 Google Cloud コンソール、gcloud CLI、または Security Command Center API を使用します。
Security Health Analytics のカスタム モジュールの更新については、カスタム モジュールを更新するをご覧ください。
プロジェクト レベルの有効化による検出機能のサポート
スタンダード ティアとプレミアム ティアでは、組織全体または組織内の 1 つ以上のプロジェクトに対して Security Command Center を有効にすることができます。
エンタープライズ ティアでは、プロジェクト レベルの有効化はサポートされていません。
組み込み検出機能とプロジェクト レベルの有効化
プロジェクトで Security Command Center のみを有効にした場合、Security Health Analytics の組み込み検出機能はサポートされません。これらの機能は組織レベルの権限を必要とするためです。
組織レベルでの有効化が必要な組み込み検出機能の一部は、組織でスタンダード ティアを有効にすることで(この設定は無料です)、Security Command Center のスタンダード ティアで利用し、プロジェクト レベルで有効にすることができます。
プレミアム ティアと組織レベルの権限の両方を必要とする組み込み検出機能では、プロジェクト レベルの有効化はサポートされていません。
プロジェクト レベルの有効化で使用する前に Security Command Center のスタンダード ティアを組織レベルで有効にする必要があるスタンダード ティアの組み込み検出機能については、組織レベルのスタンダード ティアの検出結果のカテゴリをご覧ください。
プロジェクト レベルの有効化でサポートされていない、プレミアム ティアの組み込み検出機能については、Security Health Analytics でサポートされていない検出をご覧ください。
カスタム モジュール検出機能とプロジェクト レベルの有効化
プロジェクトに作成するカスタム モジュール検出機能のスキャンは、Security Command Center の有効化レベルに関係なく、プロジェクトのスコープに限定されます。カスタム モジュール検出機能は、作成されたプロジェクトで使用可能なリソースのみをスキャンできます。
カスタム モジュールの詳細については、Security Health Analytics カスタム モジュールをご覧ください。
Security Health Analytics の組み込み検出機能
このセクションでは、検出機能の上位カテゴリについて説明します。カテゴリはクラウド プラットフォーム別で、検出機能が生成する検出結果カテゴリごとに表示します。
Google Cloud 用の組み込み検出機能(上位カテゴリ別)
Google Cloud用の Security Health Analytics 検出機能と、それらが生成する検出結果は、次の上位レベルのカテゴリに分類されます。
Security Health Analytics の検出機能は、Cloud Asset Inventory でサポートされている Google Cloudリソースタイプのサブセットをモニタリングします。
各カテゴリに含まれている検出機能を確認するには、カテゴリ名をクリックします。
- API キーの脆弱性の検出結果
- Compute イメージの脆弱性の検出結果
- Compute インスタンスの脆弱性の検出結果
- コンテナの脆弱性の検出結果
- Dataproc の脆弱性の検出結果
- データセットの脆弱性の検出結果
- DNS の脆弱性の検出結果
- ファイアウォールの脆弱性の検出結果
- IAM の脆弱性の検出結果
- KMS の脆弱性の検出結果
- ロギングの脆弱性の検出結果
- モニタリングの脆弱性の検出結果
- 多要素認証の脆弱性の検出結果
- ネットワークの脆弱性の検出結果
- 組織のポリシーの脆弱性の検出結果
- Pub/Sub の脆弱性の検出結果
- SQL の脆弱性の検出結果
- ストレージの脆弱性の検出結果
- サブネットワークの脆弱性の検出結果
AWS の組み込み検出機能
AWS 用の Security Health Analytics 検出機能の一覧については、AWS の検出結果をご覧ください。
Security Health Analytics カスタム モジュール
Security Health Analytics カスタム モジュールは、組み込みの検出機能ではなく、Security Health Analytics の検出機能を拡張するGoogle Cloud 用のカスタム検出機能です。
カスタム モジュールは、他のクラウド プラットフォームではサポートされていません。
カスタム モジュールは、Google Cloud コンソールのガイド付きワークフローを使用して作成できます。または、YAML ファイルでカスタム モジュールの定義を作成し、Google Cloud CLI コマンドまたは Security Command Center API を使用して Security Command Center にアップロードすることもできます。
詳細については、Security Health Analytics カスタム モジュールの概要をご覧ください。
検出機能とコンプライアンス
Security Command Center によるセキュリティ ベンチマークのコンプライアンスの測定は、大部分が Security Health Analytics の脆弱性検出機能によって生成された検出結果に基づいています。
Security Health Analytics は、さまざまなセキュリティ標準のコントロールにマッピングされた検出機能によってコンプライアンスをモニタリングします。
サポートされている各セキュリティ標準について、Security Health Analytics はコントロールのサブセットを確認します。確認したコントロールについては、合格したコントロールの数が Security Command Center に表示されます。合格していないコントロールについては、それが不合格になったことを説明する検出結果のリストが Security Command Center に表示されます。
CIS は、Security Health Analytics の検出機能と、サポートされている各バージョンの CIS Google Cloud Foundations Benchmark とのマッピングを確認し、認定しています。参考用として追加のコンプライアンス マッピングが含まれています。
Security Health Analytics は、新しいベンチマークのバージョンと標準のサポートを定期的に追加しています。古いバージョンは引き続きサポートされますが、最終的には非推奨になります。入手できる最新のサポート対象ベンチマークまたは標準を使用することをおすすめします。
セキュリティ ポスチャー サービスを使用すると、組織のポリシーと Security Health Analytics の検出機能を実際のビジネスに適用される標準とコントロールにマッピングできます。セキュリティ ポスチャーを作成した後は、環境でビジネスのコンプライアンスに影響を与える可能性のある変更をモニタリングできます。
コンプライアンス マネージャー(プレビュー)を使用すると、規制管理をクラウド管理にマッピングするフレームワークをデプロイできます。フレームワークを作成した後は、ビジネスのコンプライアンスに影響する可能性のある環境への変更をモニタリングし、環境を監査できます。
コンプライアンス管理の詳細については、セキュリティ標準のコンプライアンスを評価して報告するをご覧ください。
サポートされているセキュリティ標準
Google Cloud
Security Health Analytics は、 Google Cloud の検出機能を以下の 1 つ以上のコンプライアンス標準にマッピングします。
- Center for Information Security(CIS)Controls 8.0
- CIS Google Cloud Computing Foundations Benchmark v2.0.0、v1.3.0、v1.2.0、v1.1.0、v1.0.0
- CIS Kubernetes Benchmark v1.5.1
- Cloud Controls Matrix(CCM)4
- 医療保険の相互運用性と説明責任に関する法律(HIPAA)
- 国際標準化機構(ISO)27001、2022、2013
- 米国国立標準技術研究所(NIST)800-53 R5 および R4
- 米国国立標準技術研究所(NIST)サイバーセキュリティ フレームワーク(CSF)1.0
- Open Web Application Security Project(OWASP)トップ 10(2021 および 2017)
- Payment Card Industry データ セキュリティ基準(PCI DSS)4.0 および 3.2.1
- System and Organization Controls(SOC)2 Trust Services Criteria(TSC)2017 年版
AWS
Security Health Analytics は、アマゾン ウェブ サービス(AWS)の検出機能を以下の 1 つ以上のコンプライアンス標準にマッピングします。
- CIS Amazon Web Services Foundations 2.0.0
- CIS Critical Security Controls バージョン 8.0
- Cloud Controls Matrix(CCM)4
- 医療保険の相互運用性と説明責任に関する法律(HIPAA)
- 国際標準化機構(ISO)27001、2022
- 米国国立標準技術研究所(NIST)800-53 R5
- 米国国立標準技術研究所(NIST)サイバーセキュリティ フレームワーク(CSF)1.0
- Payment Card Industry データ セキュリティ基準(PCI DSS)4.0 および 3.2.1
- System and Organization Controls(SOC)2 Trust Services Criteria(TSC)2017 年版
コンプライアンスの詳細については、セキュリティ ベンチマークのコンプライアンスを評価して報告するをご覧ください。