Security Command Center のベスト プラクティス

このページでは、Security Command Center を最大限に活用するために役立つ、Security Command Center のサービスと機能を管理するための推奨事項について説明します。

Security Command Center は、組織または個々のプロジェクトのデータとセキュリティ リスクをモニタリングするための強力なプラットフォームです。Security Command Center は、必要最小限の構成で最大限の保護を行うように設計されています。しかし、プラットフォームをワークフローに合わせて調整し、リソースが確実に保護されるようにするには、必要な手順があります。

Security Command Center のプレミアム ティアを有効にする

Security Command Center のプレミアム ティアには、スタンダード ティアよりも多くの機能が含まれています。

Security Command Center スタンダードには、Security Health Analytics異常検出Web Security Scanner の非マネージド スキャンが含まれており、これらの機能が連携して、ウェブサイトやアプリケーション プロジェクトに共通の脆弱性や異常を検出します。スタンダード ティアの Security Health Analytics に含まれるのは、重大度が中と高の検出機能の基本グループのみです。

Security Command Center プレミアムには、スタンダード ティアのサービスのほか、コンプライアンス レポート、マネージド Web Security Scanner スキャン、Security Health Analytics のすべての検出機能、次の組み込みサービス(プレミアムのみ)が追加されています。

Security Command Center プレミアムには、脆弱性と構成ミスの検出結果に優先順位を設定できる攻撃の発生可能性スコアや、潜在的な攻撃者が高価値リソースにアクセスする仕組みを可視化できるインタラクティブな攻撃パスも含まれています。

組織または個々のプロジェクトのプレミアム ティアは、Google Cloud コンソールで有効にできます。

プロジェクト レベルで有効にすると、階層に関係なく、組織レベルのアクセスを必要とする特定の機能が利用できません。詳細については、プロジェクト レベルでの有効化による機能の可用性をご覧ください。

組織レベルのサブスクリプションを購入しない限り、プレミアム ティアの有効化はリソースの使用量に応じて課金されます。詳細は、料金をご覧ください。

いずれかの階層で Security Command Center を有効にする詳しい方法については、Security Command Center の有効化の概要をご覧ください。

Security Command Center を使用してセキュリティ対策を改善する方法については、以下をご覧ください。

すべての組み込みサービスを有効にする

個々のサービスのベスト プラクティスに従って、すべての組み込みサービスを有効にすることをおすすめします。

Security Command Center がすでに有効になっている場合は、有効になっているサービスを [設定] ページで確認できます。

任意のサービスを無効にできますが、ティアのすべてのサービスを常に有効にしておくことをおすすめします。すべてのサービスを有効にしておくことで、継続的な更新を利用できるほか、新しいリソースや変更したリソースに対する保護が確実に行われるようになります。

本番環境で Rapid Vulnerability Detection または Web Security Scanner を有効にする前に、次のベスト プラクティスを確認してください。

たとえば、Rapid Vulnerability Detection は、スキャン中に、管理者インターフェースへのアクセスや VM へのログイン試行など、本番環境リソースに悪影響を及ぼす可能性のあるアクションを実行します。このため、Rapid Vulnerability Detection を使用して、本番環境にデプロイする前に非本番環境のリソースをスキャンすることをおすすめします。

また、統合サービス(異常検出、機密データの保護、Google Cloud Armor)の有効化、サードパーティのセキュリティ サービスの調査、Event Threat Detection と Container Threat Detection 用に Cloud Logging を有効にすることを検討してください。情報の量によっては、機密データ保護と Google Cloud Armor の費用が高額になる可能性があります。機密データ保護のコストを制御するためのベスト プラクティスに従い、Google Cloud Armor の料金ガイドをご確認ください。

Security Command Center サービスの詳細については、次の動画をご覧ください。

Event Threat Detection のログを有効にする

Event Threat Detection を使用する場合は、Event Threat Detection がスキャンする特定のログを有効にする必要があります。Cloud Logging 管理アクティビティ監査ログなど、一部のログは常に有効になっていますが、データアクセス監査ログなど、他のログはデフォルトでは無効になっているため、Event Threat Detection でスキャンする前に有効にする必要があります。

有効化を検討すべきログには、次のようなものがあります。

  • Cloud Logging データアクセス監査ログ
  • Google Workspace ログ(組織レベルの有効化のみ)

有効にする必要があるログは、次の要素によって異なります。

  • 使用している Google Cloud サービス
  • ビジネスのセキュリティ ニーズ

ロギングでは、特定のログの取り込みと保存に対して料金が発生する場合があります。ログを有効にする前に、ロギングの料金を確認してください。

ログが有効になると、Event Threat Detection によるスキャンが自動的に開始されます。

ログを必要とする検出モジュールと、有効にする必要があるログの詳細については、有効にする必要があるログをご覧ください。

高価値リソースセットを定義する

最も重要な保護対象のリソースを露出する脆弱性と構成ミスの検索結果に優先順位を設定するには、高価値リソースのどれが高価値リソースセットに入っているのかを確認します。

高価値リソースセットにリソースを露出した検出結果では、攻撃の発生可能性スコアが高くなりました。

リソース値の構成を作成して、高価値リソースセットに属するリソースを指定します。最初のリソース値の構成を作成するまで、Security Command Center はセキュリティ優先度のカスタマイズされていないデフォルトの高価値リソースセットを使用します。

Google Cloud コンソールで Security Command Center を使用する

Google Cloud コンソールの Security Command Center には、Security Command Center API ではまだ利用できない機能と視覚要素があります。直感的なインターフェース、書式設定されたグラフ、コンプライアンス レポート、視覚的なリソース階層などの機能により、組織をより深く分析できます。詳細については、Google Cloud コンソールでの Security Command Center の使用をご覧ください。

API と gcloud で機能を拡張する

プログラムによるアクセスが必要な場合は、Security Command Center API をお試しください。この API を使用すると、Security Command Center 環境にアクセスして管理できます。API Explorer を使用すると(API リファレンス ページのパネルで [この API を試す] というラベルが付いています)、API キーを使用せずに Security Command Center API をインタラクティブに試すことができます。使用可能なメソッドとパラメータの確認、リクエストの実行、リアルタイムでのレスポンスの確認が可能です。

Security Command Center API を使用すると、アナリストと管理者はリソースと検出結果を管理できます。エンジニアは、API を使用してカスタム レポートとモニタリング ソリューションを作成できます。

カスタム検出モジュールで機能を拡張する

組織の固有のニーズを満たす検出機能が必要な場合は、カスタム モジュールの作成を検討してください。

リソースを確認して管理する

Security Command Center は、Google Cloud コンソールの [アセット] ページにすべてのアセットを表示します。ここでアセットに対してクエリを実行し、関連する検出結果、変更履歴、メタデータ、IAM ポリシーなど、アセットに関する情報を表示できます。

[アセット] ページのアセット情報は、Cloud Asset Inventory から読み取られます。リソースとポリシーの変更に関する通知をリアルタイムで受け取るには、フィードを作成して登録します。

詳細については、[アセット] ページをご覧ください。

脆弱性や脅威にすばやく対応する

Security Command Center の検出結果では、検出されたセキュリティに関する問題の記録を確認できます。これには、影響を受けるリソースに関する広範な詳細情報と、脆弱性や脅威を調査して解決するための詳細な手順が含まれています。

脆弱性の検出結果には、検出された脆弱性または構成ミスが記載されており、攻撃の発生可能性スコアと推定重大度が計算されています。脆弱性の検出結果では、セキュリティ標準やベンチマークの違反も通知されます。詳細については、サポートされているベンチマークをご覧ください。

Security Command Center Premium では、脆弱性の検出結果には、脆弱性の対応する CVE レコードに基づいた脆弱性の悪用可能性と潜在的な影響に関する Mandiant からの情報も含まれています。この情報を使用して、脆弱性の修正の優先順位を決めることができます。詳細については、CVE の影響と悪用可能性による優先順位付けをご覧ください。

脅威の検出結果には、MITRE ATT&CK フレームワークからのデータも含まれます。このフレームワークは、クラウド リソースに対する攻撃の手法を解明し、修復指針と VirusTotal(悪意のある可能性のあるファイル、URL、ドメイン、IP アドレスに関するコンテキストを提供する Alphabet 社のサービス)を提供します。

以下のガイドは、問題の解決やリソースの保護を始める際に役立ちます。

検出結果の制御

Security Command Center で検出結果の量を制御するには、手動またはプログラムによって個々の検出結果をミュートするか、定義したフィルタに基づいて現在と将来の検出結果を自動的にミュートするミュートルールを作成します。

ミュートされた検出結果は表示されませんが、監査とコンプライアンスのためには引き続き記録されます。ミュートされた検索結果はいつでも表示できます。また、ミュートを解除することもできます。詳しくは、Security Command Center で検出結果をミュートするをご覧ください。

検出結果の量を制御するには、検出結果をミュートすることが最も効果的で、推奨されるアプローチです。また、セキュリティ マークを使用してアセットを許可リストに追加することもできます。

各 Security Health Analytics 検出機能には、検出ポリシーからマークされたリソースを除外できる専用のマークタイプがあります。この機能は、特定のリソースやプロジェクトの検出結果を作成しない場合に便利です。

セキュリティ マークの詳細については、セキュリティ マークの使用をご覧ください。

通知を設定する

通知を使用すると、新しい検出結果や更新された検出結果の通知を、ほぼリアルタイムで受け取れます。また、メールとチャット通知を使用すると、Security Command Center にログインしていなくても通知を受けることができます。詳しくは、検出通知の設定をご覧ください。

Security Command Center プレミアムを使用すると、継続的エクスポートを作成できます。これにより、Pub/Sub に検出結果をエクスポートするプロセスが簡略化されます。

Cloud Functions について詳しく見る

Cloud Functions は、クラウド サービスを接続して、イベントに応答してコードを実行できるようにする Google Cloud サービスです。Notifications API と Cloud Functions を使用して、サードパーティの修復システムやチケット発行システムへの検出結果の送信や、検出結果を自動的に閉じる、などの自動処理を行うことができます。

まず、Security Command Center のオープンソース リポジトリの Cloud Functions コードにアクセスします。このリポジトリには、セキュリティに関する検出結果に対する自動処置に役立つソリューションが含まれています。

コミュニケーションを継続する

Security Command Center は、新しい検出項目と機能で定期的に更新されます。リリースノートには、プロダクトの変更とドキュメントの更新が記載されています。Google Cloud コンソールでお知らせの設定をすると、メールまたはモバイルでプロダクトの更新情報や特別なプロモーションを受け取ることができます。ユーザー アンケートやパイロット プログラムへの参加に関心をお持ちの場合は、ぜひお知らせください。

コメントや質問がある場合は、営業担当者または Cloud サポートのスタッフにお問い合わせください。また、バグを報告してフィードバックをお送りください。

次のステップ