Security Command Center を有効にする際にデータ所在地を有効にする予定がある場合、このページの情報を知っておく必要があります。
データ所在地のサポートを有効にできるのは、組織で Security Command Center のプレミアム ティアを初めて有効にした場合のみです。エンタープライズ階層ではデータ所在地はサポートされていません。
データ所在地を有効にした後は、無効にすることはできません。
Security Command Center でデータ所在地を有効にすると、Security Command Center は、データを含む、または参照できる検出結果を Security Command Center のロケーションに自動的に保存します。これは、リソースのロケーションに対応します。
同様に、フィルタにデータを含めることができる継続的エクスポート、BigQuery エクスポート、ミュートルール構成は、データが作成された Security Command Center のロケーションに保存され、そのロケーション内の検出結果のみに適用されます。
検出結果は、環境内で Security Command Center 検出サービスの 1 つが検出したセキュリティ問題の記録です。検出結果レコードは、セキュリティの問題を説明するプロパティと、その影響を受けるリソースで構成されます。
検出結果フィルタは、プロパティとプロパティ値を参照して検出結果を選択します。検出結果フィルタは、継続的エクスポート(NotificationConfig)およびミュート ルール(muteConfig)の構成で使用および保存されます。
データ所在地のコンテキストでは、次の定義が適用されます。
- ロケーションは、データが保存されているロケーションに対応する Google Cloud リージョンまたはマルチリージョンです。
- データという用語は、Google Cloud の一般サービス規約のデータ ロケーションの項目にある、「顧客データ」と同じ意味です。
データ所在地を有効にするオプションは、Security Command Center のスタンダード ティアとプレミアム ティアの両方で使用できます。
サポートされているデータのロケーション
Security Command Center では、データ ロケーションとして次の Google Cloud マルチリージョンのみがサポートされています。
- EU(
eu) - データは、欧州連合の加盟国内の Google Cloud リージョンのいずれかに保存されます。
- 米国(
us) - データは米国内の Google Cloud リージョンのいずれかに保存されます。
- 海外(
global) - データは、すべての Google Cloud リージョンのうちのいずれかで保存され処理されます。データ所在地が有効になっていない場合、サポートされるロケーションはグローバルのみです。
Security Command Center のロケーションの詳細については、ロケーション別のプロダクト提供状況をご覧ください。
Security Command Center でサポートされていないデータ所在地のデフォルト ロケーションを指定する必要がある場合は、アカウント担当者または Google Cloud セールス スペシャリストにお問い合わせください。
有効化時にデータ所在地を有効にする
データ所在地を有効にできるのは、組織で Security Command Center を初めて有効にした場合のみです。
データ所在地を有効にしない場合、すべての Security Command Center リソースのロケーションは global に設定され、Security Command Center はデータの保存を特定のロケーションに制限しません。
組織レベルの有効化が必要です。
データ所在地を有効にすると、無効にすることも、デフォルトのロケーションを変更することもできません。
データ所在地を有効にせずにプロジェクト レベルまたは組織レベルで Security Command Center を有効にすると、後で Security Command Center でデータ所在地を有効にすることはできません。データ所在地を使用して Security Command Center を有効にするには、新しい Google Cloud 組織を作成する必要があります。
デフォルトのデータ ロケーション
Security Command Center のデータ所在地を有効にする場合、指定する必要があるロケーションはデフォルトの Security Command Center のロケーションのみです。これは、Security Command Center がリソースのデプロイ場所に基づいてデータを保存する必要がある場所を決定するためです。
Security Command Center は、次のタイプのリソースに適用される検出結果を保存するためにのみ、デフォルトの Security Command Center のロケーションを使用します。
- Security Command Center でサポートされているロケーションに配置されていないリソース
- メタデータにロケーション指定が含まれていないリソース
デフォルトのロケーションとして、サポートされているデータのロケーションを選択できます。
複数のロケーションまたはマルチリージョンに Google Cloud リソースをデプロイするグローバル企業の場合は、グローバル ロケーションをデフォルトとして選択できます。
ビジネスを 1 つのロケーションでのみ運営している場合は、そのロケーションをデフォルトの Security Command Center のロケーションとして選択できます。
Security Command Center API とデータ所在地
データ所在地には Security Command Center API v2 が必要です。
データ所在地が有効になっている場合で Security Command Center API を使用する場合、使用できる API は v2 のみです。
Security Command Center のリソースとデータ所在地
次のリストでは、Security Command Center で、Security Command Center を操作するときに使用するリソースにデータ所在地の制御を適用する方法について説明します。
- アセット
アセットのメタデータはデータ所在地の制御の対象ではありません。アセットのメタデータは Cloud Asset Inventory にグローバルに保存されます。
このため、Security Command Center の [アセット] ページには、リソースの場所や Google Cloud コンソール ビューで設定した場所に関係なく、組織、フォルダ、プロジェクト内のすべてのリソースが常に表示されます。ただし、データ所在地が有効な状態でアセットの詳細を表示すると、アセットに影響する可能性のある検出結果に関する情報は [アセット] ページでは使用できません。
- 攻撃の発生可能性スコアと攻撃パス
攻撃の発生可能性スコアと攻撃パスは、データ所在地制御の対象ではなく、グローバルに保存されます。
- BigQuery エクスポート
BigQuery エクスポート構成はデータ所在地管理の対象であり、そのために作成したロケーションに保存されます。同じロケーションに存在する検出結果にのみ適用されます。
- 継続的エクスポート
継続的エクスポート構成はデータ所在地管理の対象であり、そのために作成したロケーションに保存されます。同じロケーションに存在する検出結果にのみ適用されます。
- 検出結果
検出結果はデータ所在地の制御の対象であり、影響を受けるリソースが配置されている Security Command Center のロケーションに保存されます。影響を受けるリソースがサポートされているロケーションの外部にある場合や、ロケーション ID がない場合、リソース インスタンスの検出結果はデフォルトのロケーションに保存されます。
- ミュートルール
ミュートルールの構成はデータ所在地管理の対象であり、そのために作成したロケーションに保存されます。同じロケーションに存在する検出結果にのみ適用されます。
- Security Command Center の設定
有効になっているサービスやアクティブなティアを定義する設定など、Security Command Center のほとんどの設定は、データ所在地の制御の対象ではなく、グローバルに保存されます。例外は、BigQuery エクスポートの構成設定、Pub/Sub への継続的なエクスポート、ミュートルールです。これらの設定は、作成したロケーションに固有です。
Google Cloud コンソールでロケーション データを表示する
データ所在地が有効な場合で、Google Cloud コンソールでロケーションを選択すると、Security Command Center の各ページに、選択したロケーションからの検出結果、ミュートルール、継続的エクスポートのみが表示されます。
たとえば、グローバル ビューを選択すると、グローバル データのみが表示されます。別のロケーションからの検出結果、ミュートルール、または継続的エクスポートを表示するには、Google Cloud コンソールのビューを別のロケーションに変更する必要があります。
有効化後にデータのロケーションを決定する
Security Command Center の検出結果とデータを含む構成が保存されるロケーションは、データ所在地が有効になった後、以下の時点で決定されます。
- ユーザーまたは Security Command Center が検出結果または構成を生成または作成する場合。
- 検出結果または構成を表示または取得する場合。
構成作成時のロケーションの決定
継続的なエクスポート、BigQuery エクスポート、ミュートルールを作成すると、Security Command Center は、生成された構成をリソースとして保存します。継続的なエクスポート構成は NotificationConfig リソースとして保存され、BigQuery エクスポート構成は BiqQueryExport リソースとして保存されます。ミュートルールの構成は MuteConfig リソースとして保存されます。
エクスポート構成またはミュートルールを作成する前に、作成するロケーションを選択する必要があります。選択したロケーションは、エクスポートまたはミュートする検出結果が存在するロケーションです。
Google Cloud コンソールでは、継続的なエクスポートまたはミュートルールを作成する前に、Google Cloud コンソール ビューを適切なロケーションに設定する必要があります。
Security Command Center API または Google Cloud CLI を使用して継続的エクスポートまたはミュートルールを作成する場合は、notificationConfig または muteConfig 構成の作成で使用する API 呼び出しまたは gcloud コマンドでロケーションを指定します。
構成の作成の詳細については、以下をご覧ください。
- 継続的なエクスポートの作成:
- ミュートルールの作成:
検出結果が生成されるときのロケーションの決定
Security Command Center サービスの 1 つで環境内のセキュリティの問題が検出されると、Security Command Center は影響を受けるリソースのロケーションに基づいて検出結果を保存する場所を決定します。
影響を受けるリソースが Security Command Center でサポートされているデータ ロケーションにある場合、Security Command Center は同じロケーションに検出結果を保存します。
影響を受けるリソースがサポートされているデータ ロケーションにない場合、またはメタデータでロケーションを指定していない場合、Security Command Center は、データ所在地が有効になったときに指定したデフォルトのデータ ロケーションに検出結果を保存します。
Security Command Center のデータを表示するときのロケーションの決定
Google Cloud コンソールで特定のロケーションの検出結果、ミュートルール、継続的なエクスポートを表示するには、まず Google Cloud コンソールのビューをそのロケーションに設定する必要があります。
Google Cloud コンソールのほとんどの Security Command Center のページで、左上隅(プロジェクト セレクタのすぐ下)にビュー ロケーションを設定します。
Google Cloud コンソール ビューがロケーションに設定されている場合、Google Cloud コンソールには、そのロケーションに存在する検出結果、ミュートルール、継続的エクスポートのみが表示されます。
API または gcloud CLI を使用して検出結果や構成を取得するには、検出結果または構成が保存されているロケーションを指定する必要があります。
機能およびインテグレーションのデータ所在地のサポート
データ所在地が有効になっている場合、次の機能および他のプロダクトとの統合はサポートされません。
- AI のサマリー
- Web Security Scanner
- Rapid Vulnerability Detection
次のステップ
データ所在地を有効にして Security Command Center を有効にする方法については、組織で Security Command Center を初めて有効にするをご覧ください。