Google Cloud コンソールでの Security Command Center の使用

このページでは、Google Cloud コンソールの Security Command Center の概要と、Security Command Center の最上位ページでできることについて説明します。

組織または組織内のプロジェクトに Security Command Center がまだ設定されていない場合は、Google Cloud コンソールで Security Command Center を使用する前に、有効にする必要があります。有効化の詳細については、Security Command Center の有効化の概要をご覧ください。

Security Command Center の概要については、Security Command Center の概要をご覧ください。

必要な IAM 権限

Security Command Center を使用するには、適切な権限を含む Identity and Access Management（IAM）ロールが必要です。

• セキュリティ センター管理閲覧者は、Security Command Center を表示できます。
• セキュリティ センター管理編集者は、Security Command Center を表示して変更を行うことができます。

組織のポリシーがドメインごとに ID を制限するように設定されている場合は、許可されたドメインのアカウントで Google Cloud コンソールにログインする必要があります。

Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与できます。検出結果、アセット、セキュリティ ソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。

Google Cloud コンソールで Security Command Center にアクセスする

Google Cloud コンソールで Security Command Center にアクセスするには:

1. Security Command Center に移動するには:

   Security Command Center に移動

2. 表示するプロジェクトまたは組織を選択します。

   選択した組織またはプロジェクトで Security Command Center がアクティブな場合は、[リスク概要] ページが開き、新しい脅威の検出の概要と、過去 7 日間に確認された未対応の脆弱性の検出結果が表示されます。

   Security Command Center が有効になっていない場合は、有効にするように指示されます。Security Command Center の有効化の詳細については、Security Command Center の有効化の概要をご覧ください。

Google Cloud コンソールでの Security Command Center

リスク概要ページのほかに、Google Cloud コンソールの次の Security Command Center ページで、Google Cloud 環境のセキュリティの問題をモニタリングし、管理できます。ページ名をクリックすると、ページの説明が表示されます。

• リスクの概要ページ
• [脅威] ページ
• 脆弱性ページ
• コンプライアンス ページ
• アセットページ
• 検出結果ページ
• [ソース] ページ
• 体制ページ

リスクの概要ページ

[リスク概要] ページでは、すべての組み込みサービスと統合サービスから、新しい脅威と Google Cloud 環境に存在する未対応の脆弱性の総数を簡単に確認できます。このページのすべての領域に表示される期間は 1 時間から 6 か月の間で変更できます。

[リスク概要] ページには、次のようなさまざまなダッシュボードがあります。

• [上位の脆弱性の検出結果] には、攻撃の発生可能性スコアが最も高い 10 件の検出結果が表示されます。
• [新たな脅威の件数の推移] には、1 日に検出された新しい脅威のグラフと、1 時間ごとの合計数が表示されます。ページのグラフに合わせて、カテゴリ、リソース、プロジェクトごとに脅威の検出結果が表示されます。各ビューは、重大度で並べ替えることができます。
• [上位の CVE の検出結果]（Premium と Enterprise ティアのみ）には、CVE の悪用可能性と影響別にグループ化された脆弱性の検出結果が表示されます。ヒートマップ内のブロックをクリックすると、対応する検出結果が CVE ID 別に表示されます。
• [リソースタイプ別の脆弱性] には、プロジェクトまたは組織内のリソースに対する未対応の脆弱性がグラフで表示されます。
• [未対応の脆弱性] には、脆弱性の検出結果がカテゴリ名、影響を受けるリソース、プロジェクト別に表形式で表示されます。各ビューは、重大度で並べ替えることができます。
• [ID とアクセスの検出] には、誤って構成されている、またはGoogle Cloud リソース（access）に対して過剰であるか機密性の高い権限が付与されたプリンシパル アカウント（identities）に関連する構成ミスの検出結果が表示されます。ID とアクセス制御の管理は、クラウド インフラストラクチャ資格管理と呼ばれることもあります。
• [データ セキュリティの検出結果] には、Sensitive Data Protection 検出サービスによる検出結果が表示されます。この概要には、環境変数のシークレットの存在を示す脆弱性の検出結果と、データの機密性とデータリスク レベルを示す観察結果が含まれます。

[リスク概要] ページで検出結果のカテゴリ名をクリックすると、[検出結果] ページが表示され、検出結果の詳細を確認できます。

脅威ページ

[脅威] ページでは、指定した期間中に Google Cloud リソースに存在する可能性がある有害なイベントを確認できます。デフォルトの期間は 7 日間です。

[脅威] ページでは、検出結果を次のセクションで確認できます。

• [重大度ごとの脅威] には、脅威の数が重大度ごとに表示されます。
• [カテゴリ別の脅威] には、すべてのプロジェクトの検出結果の数がカテゴリ別に表示されます。
• [リソースごとの脅威] には、プロジェクトまたは組織内のリソースごとに検出結果の数が表示されます。

脅威を表示する期間を指定するには、[期間] フィールドのプルダウン リストを使用します。プルダウン リストには 1 時間から [全期間] まで複数のオプションが表示されます。[全期間] を選択すると、サービスを有効にした時点からのすべての検出結果が表示されます。選択した期間はセッション間で保存されます。

脆弱性ページ

[脆弱性] ページには、Security Command Center の組み込み検出サービスがクラウド環境で実行する構成ミスとソフトウェアの脆弱性の検出機能がすべて一覧表示されます。一覧表示されるそれぞれの検出機能について、アクティブな検出結果の数が表示されます。

脆弱性検出サービス

[脆弱性] ページには、Security Command Center の次の組み込み検出サービスの検出機能が一覧表示されます。

• セキュリティ分析の状況
• Amazon Web Services（AWS）の脆弱性評価
• Web Security Scanner

Security Command Center と統合されている他の Google Cloud サービスも、ソフトウェアの脆弱性と構成ミスを検出します。これらのサービスの検出結果は、[脆弱性] ページにも表示されます。Security Command Center で脆弱性の検出結果を生成するサービスの詳細については、検出サービスをご覧ください。

脆弱性検出機能のカテゴリに関する情報

[脆弱性] ページでは、構成ミスやソフトウェアの脆弱性検出機能ごとに次の情報が表示されます。

• ステータス: 検出機能が有効かどうか、対処の必要がある検出結果が検出されたかどうかを示すアイコンが表示されます。ステータス アイコンの上にポインタを置くと、結果を検出した日時、または推奨事項を検証する方法に関する情報がツールチップに表示されます。
• 前回のスキャン日時: 検出機能が最後にスキャンを行った日時。
• カテゴリ: 脆弱性のカテゴリまたはタイプ。各 Security Command Center サービスが検出するカテゴリのリストについては、以下をご覧ください。
  • Security Health Analytics の検出結果
  • AWS の脆弱性評価の検出結果
  • Web Security Scanner の検出結果
• 推奨: 検出結果の修正方法の概要。詳細については、セキュリティ状況の分析結果の修正をご覧ください。
• 有効: カテゴリの検出結果の合計数。
• 標準: 検出結果カテゴリが適用されるコンプライアンス ベンチマーク（該当する場合）。ベンチマークの詳細については、脆弱性の検出結果をご覧ください。

脆弱性の検出結果のフィルタリング

大規模な組織では、デプロイメント全体で確認、優先順位付け、追跡が必要な脆弱性の検出結果が大量に表示される場合があります。Google Cloud コンソールの Security Command Center の [脆弱性] ページと [検出] ページで利用可能なフィルタを使用して、組織全体で最も重大度の高い脆弱性に重点を置き、アセットのタイプやプロジェクトごとに脆弱性を確認できます。

脆弱性の検出結果のフィルタリングの詳細については、Security Command Center で脆弱性の検出結果をフィルタするをご覧ください。

コンプライアンス ページ

[コンプライアンス] ページを使用すると、一般的なセキュリティ標準やベンチマークの遵守状況を評価して対処できます。このページには、Security Command Center でサポートされているすべてのベンチマークと、ベンチマーク コントロールの合格率が表示されます。

各ベンチマークの [コンプライアンスの詳細] ページを開いて、Security Command Center がベンチマークでチェックするコントロール、各コントロールで検出された違反の数、ベンチマークのコンプライアンス レポートをエクスポートするオプションに関してさらに詳細に確認できます。

Security Command Center の脆弱性スキャナは、Google が提供するベスト エフォート マッピングに基づいて、一般的なコンプライアンス コントロールの違反をモニタリングします。Security Command Center のコンプライアンス レポートはコンプライアンス監査に代わるものではありませんが、コンプライアンス ステータスを維持と早期の違反検出に役立ちます。

Security Command Center がコンプライアンス管理をサポートする方法の詳細については、次のページをご覧ください。

• コンプライアンスの管理とモニタリング
• コンプライアンスを管理

アセットページ

[アセット] ページには、プロジェクトまたは組織内のすべての Google Cloud リソース（アセットといいます）の詳細が表示されます。

[アセット] ページでアセットを操作する方法の詳細については、コンソールでリソースを操作するをご覧ください。

検出結果ページ

[検出結果] ページでは、Security Command Center の検出結果（Security Command Center サービスが環境内のセキュリティ問題を検出した際に作成するレコード）のクエリ、レビュー、ミュート、マークを行うことができます。

[検出結果] ページで検出結果を操作する方法については、検出結果を確認して管理するをご覧ください。

ソースページ

[ソース] ページには、有効にしたセキュリティ ソースのアセットと検出結果の概要を示すカードが表示されます。セキュリティ ソースのカードには、そのソースの検出結果の一部が表示されます。検出カテゴリ名をクリックすると、そのカテゴリのすべての検出結果を表示できます。

検出の概要

[検出結果の概要] カードには、有効になっているセキュリティ ソースによって提供される検出結果の各カテゴリの数が表示されます。

• 特定のソースからの検出結果の詳細を表示するには、ソース名をクリックします。
• すべての検出結果の詳細を表示するには、[検出] ページをクリックします。ここで、検出結果をグループ化したり、個々の検出結果の詳細を表示できます。

ソースの概要

[検出結果の概要] カードの下に、有効になっている組み込みソース、統合済みソース、サードパーティのソースのカードが表示されます。各カードには、そのソースで有効な検出結果の数が表示されます。

体制ページ

[体制] ページでは、組織で作成したセキュリティ体制の詳細を表示し、その体制を組織、フォルダまたはプロジェクトに適用できます。利用可能な事前定義された対策テンプレートを表示することもできます。

次のステップ

• 検出サービスについて学習する。
• セキュリティ マークの使用方法を確認する。
• Security Command Center を構成する方法を学習する。