セキュリティ マークの使用

Security Command Center では、セキュリティ マーク(もしくは「マーク」)を使用して、Security Command Center でアセットまたは検出結果にアノテーションを付け、そのマークを使用して検索、選択、フィルタを行えます。セキュリティ マークを使用して、アセットや検出結果に関する ACL アノテーションを指定できます。その後、管理、ポリシーの適用、ワークフローとの統合のため、これらのアノテーションでアセットと検出結果をフィルタリングできます。また、マークを使用して優先度、アクセスレベル、機密度の分類を追加することもできます。

セキュリティ マークは、Security Command Center でサポートされているアセットのみ追加や更新が可能です。Security Command Center でサポートされているアセットの一覧については、Security Command Center でサポートされているアセットタイプをご覧ください。

始める前に

セキュリティ マークを追加または変更するには、使用するマークの種類の権限を含む、次の Identity and Access Management(IAM)のロールが必要です。

  • アセットマーク: アセット セキュリティ マーク編集者securitycenter.assetSecurityMarksWriter
  • 検出結果のマーク: 検出結果セキュリティ マーク編集者securitycenter.findingSecurityMarksWriter

Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与できます。検出結果、アセット、セキュリティ ソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。

セキュリティ マーク

セキュリティ マークは Security Command Center に固有のものです。IAM 権限は、セキュリティ マークに適用されます。また、適切な Security Command Center ロールを持つユーザーだけに制限されます。マークの読み取りと編集には、セキュリティ センターのアセット セキュリティ マーク編集者とセキュリティ センターの検出結果セキュリティ マーク編集者のロールが必要です。これらのロールには、基盤となるリソースにアクセスするための権限は含まれていません。

セキュリティ マークを使用すると、アセットや検出結果にビジネス コンテキストを追加できます。IAM ロールはセキュリティ マークに適用されるため、アセットと検出結果の両方に対するポリシーのフィルタリングや適用に使用できます。

セキュリティ マークは、リアルタイムにではなく、毎日 2 回実行されるバッチスキャン中に処理されます。セキュリティ マークが処理され、検出結果を解決または再オープンするポリシーが適用されるまで、12~24 時間の遅延が発生する場合があります。

ラベルとタグ

ラベルとタグは、Security Command Center で利用可能な類似したメタデータですが、セキュリティ マークと比べると使用と権限のモデルがわずかに異なります。

ラベルは、特定のリソースに適用されるユーザーレベルのアノテーションであり、複数の Google Cloud プロダクト間でサポートされています。ラベルは主に、請求処理と帰属表示の用途で使用されます。

Google Cloud のタグは 2 種類あります。

  • ネットワーク タグは、Compute Engine リソースに固有のユーザーレベルのアノテーションです。ネットワーク タグは主に、セキュリティ グループ、ネットワークのセグメント化、ファイアウォール ルールの定義に使用されます。

  • リソース タグ(タグ)は、組織、フォルダ、プロジェクトに接続できる Key-Value ペアです。タグを使用すると、リソースに特定のタグが付加されているかどうかに基づいて、条件付きでポリシーの許可や拒否を行えます。

ラベルとタグの読み取りと更新は、基盤となるリソースの権限に関連付けられています。ラベルとタグは、Security Command Center アセット表示のリソース属性の一部として取り込まれます。List API の結果の後処理中には、特定のラベルやタグの存在、特定のキーや値を検索できます。

アセットと検出結果にセキュリティ マークを追加する

Security Command Center がサポートするすべてのリソース(すべてのアセットタイプや検出結果など)にセキュリティ マークを追加できます。

マークは Google Cloud コンソールと Security Command Center API の出力に表示され、ポリシー グループのフィルタリングと定義、アセットと検出結果へのビジネス コンテキストの追加に使用できます。アセットマークは検出結果マークとは別のものです。アセットマークはアセットの検出結果に自動的には追加されません。

アセットに表示されるセキュリティ マーク

[アセット] ページでアセットにセキュリティ マークを追加する手順は次のとおりです。

  1. Google Cloud コンソールで、Security Command Center の [アセット] ページに移動します。

    アセットに移動

  2. プロジェクト セレクタで、マークするアセットを含むプロジェクト、フォルダ、または組織を選択します。

  3. 表示されたアセット ディスプレイで、マークする各アセットのチェックボックスをオンにします。

  4. [セキュリティ マークを設定] を選択します。

  5. 表示された [セキュリティ マーク] ダイアログ ボックスで、[マークを追加] をクリックします。

  6. [キー] と [] の項目を追加して、1 つ以上のセキュリティ マークを指定します。

    たとえば、本番環境ステージにあるプロジェクトをマークするには、キーを「stage」に、値を「prod」にします。その後、選択した各プロジェクトに新しい mark.stage: prod が追加されます。これはフィルタリングに使用できます。

  7. 既存のマークを編集するには、[] フィールドのテキストを更新します。マークを削除するには、マークの横にあるゴミ箱アイコン()をクリックします。

  8. マークの追加が終わったら [保存] をクリックします。

選択したアセットにマークが関連付けられます。デフォルトでは、マークはアセット表示に列として表示されます。

Security Health Analytics の検出機能専用のアセットマークについては、後述のポリシーの管理ご覧ください。

検出結果へのセキュリティ マークの追加

次の手順では、Google Cloud コンソールを使用して検出結果にセキュリティ マークを追加します。セキュリティ マークを追加すると、これらのマークを使用して [検出結果クエリの結果] パネルで検出結果をフィルタできます。

検出結果にセキュリティ マークを追加するには:

  1. Google Cloud Console で Security Command Center の [検出] ページに移動します。

    [検出] ページに移動

  2. 確認するプロジェクトまたは組織を選択します。

  3. [検出結果クエリ] パネルで、セキュリティ マークを追加する検出結果を 1 つ以上選択して、チェックボックスをオンにします。

  4. [セキュリティ マークを設定] を選択します。

  5. 表示された [セキュリティ マーク] ダイアログで、[マークを追加] をクリックします。

  6. セキュリティ マークを [キー] と [] の項目として指定します。

    たとえば、同じインシデントに属する検出結果をマークする場合、キー「incident-number」と値「1234」を追加します。各検出結果に新しい mark.incident-number: 1234 が設定されます。

  7. 既存のマークを編集するには、[] フィールドのテキストを更新します。

  8. マークの横にあるゴミ箱アイコンをクリックすると、マークを削除できます。

  9. マークの追加が終わったら [保存] をクリックします。

ポリシーの管理

検出結果を抑制するには、手動またはプログラムによって個々の検出結果をミュートするか、定義したフィルタに基づいて現在と将来の検出結果を自動的にミュートするミュートルールを作成します。詳細については、Security Command Center で検出結果をミュートするをご覧ください。

検出結果のミュートは、分離されたプロジェクトや許容されるビジネス パラメータに含まれるプロジェクトの検出結果を確認したくない場合におすすめの方法です。

または、アセットにマークを設定して、特定のポリシーにそれらのリソースを明示的に追加または除外できます。各 Security Health Analytics 分析機能には、セキュリティ マーク allow_finding- type を追加することで、検出ポリシーからマークされたリソースを除外できる専用のマークタイプがあります。たとえば、検出結果タイプ SSL_NOT_ENFORCED を除外するには、セキュリティ マーク allow_ssl_not_enforced:true を使用します。このマークタイプで、各リソースと検出機能を細かく制御できます。Security Health Analytics でセキュリティ マークを使用する方法については、セキュリティ マークによるアセットと検出結果のマーキングをご覧ください。

次のステップ