Google Cloud コンソールでの Security Command Center の使用

このページでは、Google Cloud コンソールの Security Command Center の概要と、Security Command Center の最上位ページでできることについて説明します。

組織または組織内のプロジェクトに Security Command Center がまだ設定されていない場合は、Google Cloud コンソールで Security Command Center を使用する前に、有効にする必要があります。有効化の詳細については、Security Command Center の有効化の概要をご覧ください。

Security Command Center の概要については、Security Command Center の概要をご覧ください。

必要な IAM 権限

Security Command Center を使用するには、適切な権限を含む Identity and Access Management(IAM)ロールが必要です。

  • セキュリティ センター管理閲覧者は、Security Command Center を表示できます。
  • セキュリティ センター管理編集者は、Security Command Center を表示して変更を行うことができます。

組織のポリシーがドメインごとに ID を制限するように設定されている場合は、許可されたドメインのアカウントで Google Cloud コンソールにログインする必要があります。

Security Command Center の IAM ロールは、組織レベル、フォルダレベル、またはプロジェクト レベルで付与できます。検出結果、アセット、セキュリティ ソースを表示、編集、作成、更新する権限は、アクセス権が付与されているレベルによって異なります。Security Command Center のロールの詳細については、アクセス制御をご覧ください。

Google Cloud コンソールでの Security Command Center へのアクセス

Google Cloud コンソールで Security Command Center にアクセスするには:

  1. Security Command Center に移動します。

    Security Command Center に移動

  2. 表示するプロジェクトまたは組織を選択します。

    選択した組織またはプロジェクトで Security Command Center がアクティブな場合は、[概要] ページが開き、新しい脅威の検出の概要と、過去 7 日間に確認された未対応の脆弱性の検出結果が表示されます。

    Security Command Center が有効になっていない場合は、有効にするように指示されます。Security Command Center の有効化の詳細については、Security Command Center の有効化の概要をご覧ください。

Google Cloud コンソールでの Security Command Center

概要ページのほかに、Google Cloud コンソールの次の Security Command Center ページで、Google Cloud 環境のセキュリティの問題をモニタリングし、管理できます。ページ名をクリックすると、ページの説明が表示されます。

コンソールで、コンソールの左側にあるスライドアウト メニューからページを選択して開きます。メニューを表示するには、コンソールの左側にあるアイコンの上にポインタを置きます。

概要ページ

[概要] ページでは、すべての組み込みサービスと統合サービスから、新しい脅威と Google Cloud 環境に存在する未対応の脆弱性の総数を簡単に確認できます。このページのすべての領域に表示される期間は 1 時間から 6 か月の間で変更できます。

[概要] ページには次のセクションがあります。

  • [上位の脆弱性の検出結果] には、攻撃の発生可能性スコアが最も高い 10 個の検出結果が表示されます。
  • [新たな脅威の件数の推移] には、1 日に検出された新しい脅威のグラフと、1 時間ごとの合計数が表示されます。ページのグラフに合わせて、カテゴリ、リソース、プロジェクトごとに脅威の検出結果が表示されます。各ビューは、重大度で並べ替えることができます。
  • 上位の CVE の検出結果(プレミアム ティアのみ)には、CVE の悪用可能性と影響別にグループ化された脆弱性の検出結果が表示されます。ヒートマップ内のブロックをクリックすると、CVE ID ごとに一覧表示された対応する検出結果が表示されます。
  • [リソースタイプ別の脆弱性] には、プロジェクトまたは組織内のリソースに対する未対応の脆弱性がグラフで表示されます。
  • [未対応の脆弱性] には、脆弱性の検出結果がカテゴリ名、影響を受けるリソース、プロジェクト別に表形式で表示されます。各ビューは、重大度で並べ替えることができます。
  • [ID とアクセスの検出] には、誤って構成されている、またはGoogle Cloud リソース(access)に対して過剰であるか機密性の高い権限が付与されたプリンシパル アカウント(identities)に関連する構成ミスの検出結果が表示されます。ID とアクセス制御の管理は、クラウド インフラストラクチャ資格管理とも呼ばれます。

[概要] ページで検出結果のカテゴリ名をクリックすると、[検出結果] ページが表示され、検出結果の詳細を確認できます。

脅威ページ

[脅威] ページでは、指定した期間中に Google Cloud リソースに存在する可能性がある有害なイベントを確認できます。デフォルトの期間は 7 日間です。

[脅威] ページでは、検出結果を次のセクションで確認できます。

  • [重大度ごとの脅威] には、脅威の数が重大度ごとに表示されます。
  • [カテゴリ別の脅威] には、すべてのプロジェクトの検出結果の数がカテゴリ別に表示されます。
  • [リソースごとの脅威] には、プロジェクトまたは組織内のリソースごとに検出結果の数が表示されます。

脅威を表示する期間を指定するには、[期間] フィールドのプルダウン リストを使用します。プルダウン リストには 1 時間から [全期間] まで複数のオプションが表示されます。[全期間] を選択すると、サービスを有効にした時点からのすべての検出結果が表示されます。選択した期間はセッション間で保存されます。

脆弱性ページ

[脆弱性] ページには、環境で Security Command Center の脅威防止サービスが検出する脆弱性のすべてのカテゴリが表示されます。

脆弱性検出サービス

組み込みの Security Command Center の脅威防止サービスには、次のものがあります。

Security Command Center と統合されている他の Google Cloud サービスも、脆弱性と構成ミスを検出します。これらのサービスの検出結果は、[脆弱性] ページに表示されます。Security Command Center で脆弱性の検出結果を生成するサービスの詳細については、セキュリティ ソースをご覧ください。

脆弱性のカテゴリに関する情報

[脆弱性] ページでは、脆弱性のカテゴリごとに次の情報が表示されます。

  • ステータス: 検出機能が有効かどうか、対処の必要がある検出結果が検出されたかどうかを示すアイコンが表示されます。ステータス アイコンの上にポインタを置くと、結果を検出した日時または推奨事項の検証方法に関する情報がツールチップに表示されます。
  • 前回のスキャン日時: 検出機能が最後にスキャンを行った日時。
  • カテゴリ: 脆弱性のカテゴリまたはタイプ。各 Security Command Center サービスが検出するすべてのカテゴリについては、以下をご覧ください。
  • 推奨: 検出結果の修正方法の概要。詳細については、Security Health Analytics の検出結果の修正をご覧ください。
  • 有効: カテゴリの検出結果の合計数。
  • 重大度: 検出結果カテゴリの相対的なリスクレベル。
  • 標準: 検出結果カテゴリが適用されるコンプライアンス ベンチマーク(該当する場合)。ベンチマークの詳細については、脆弱性の検出結果をご覧ください。

脆弱性の検出結果をフィルタする

大規模な組織では、デプロイメント全体で確認、優先順位付け、追跡が必要な脆弱性の検出結果が大量に表示される場合があります。Google Cloud コンソールの Security Command Center の [脆弱性] ページと [検出] ページで利用可能なフィルタを使用して、組織全体で最も重大度の高い脆弱性に重点を置き、アセットのタイプやプロジェクトごとに脆弱性を確認できます。

脆弱性の検出結果のフィルタリングの詳細については、Security Command Center で脆弱性の検出結果をフィルタするをご覧ください。

コンプライアンス ページ

[コンプライアンス] ページを使用すると、一般的なセキュリティ標準やベンチマークの遵守状況を評価して対処できます。このページには、Security Command Center でサポートされているすべてのベンチマークと、ベンチマークのコントロールに合格している割合が表示されます。

各ベンチマークの [コンプライアンスの詳細] ページを開いて、Security Command Center がベンチマークでチェックするコントロール、各コントロールで検出された違反の数、ベンチマークのコンプライアンス レポートをエクスポートするオプションに関してさらに詳細に確認できます。

Security Command Center の脆弱性スキャナは、Google が提供するベスト エフォート マッピングに基づいて、一般的なコンプライアンス コントロールの違反をモニタリングします。Security Command Center のコンプライアンス レポートはコンプライアンス監査に代わるものではありませんが、コンプライアンス ステータスの維持と早期の違反検出に役立ちます。

Security Command Center がコンプライアンス管理をサポートする方法については、次のページをご覧ください。

アセットページ

[アセット] ページには、プロジェクトまたは組織内のすべての Google Cloud リソース(アセットといいます)の詳細が表示されます。

Security Command Center が組織レベルで有効になっている場合は、組織全体のアセットを表示できます。また、特定のプロジェクト、アセットタイプ、ロケーションでアセットをフィルタすることもできます。

Security Command Center がプロジェクト レベルで有効になっている場合は、アセットのタイプとロケーションでアセットをフィルタリングできます。

特定のアセットの詳細(属性、リソース プロパティ、関連する検出結果など)を表示するには、[表示名] 列のアセット名をクリックします。

アセットのリストは Cloud Asset Inventory によって提供されます。ほとんどの場合、Google Cloud 環境でアセットが作成、変更、削除された後、数分以内にリストが更新されます。

Cloud Asset Inventory の詳細については、Cloud Asset Inventory の概要をご覧ください。

アセットの並べ替え

アセットを並べ替えるには、並べ替える値の列見出しをクリックします。列は、番号順、次にアルファベット順に並べ替えられます。

アセットのフィルタリング

このセクションでは、Google Cloud コンソールの Security Command Center を使用して、一般的なクエリを実行してアセットを確認する方法について説明します。

デフォルトでは、[アセット] ページの結果パネルに、選択したプロジェクト、フォルダ、組織内のすべてのアセットが表示されます。

結果を特定のアセットに絞り込む方法は 2 つあります。[クイック フィルタ] パネルでフィルタ オプションを使用するか、[フィルタ] フィールドを使用して、よりカスタマイズされたフィルタを指定できます。

[クイック フィルタ] パネルで、リソースのタイプ、プロジェクト、またはロケーションで結果をフィルタリングできます。

[フィルタ] フィールドで、カスタム フィルタを入力するか、フィールドにカーソルを置いて表示されるメニューからフィルタ オプションを選択します。

[フィルタ] フィールドのプルダウン メニューには、次のオプションがあります。

  • 名前
  • 表示名
  • 説明
  • ロケーション
  • ラベル
  • キー別のラベル
  • ネットワーク タグ
  • KMS 鍵
  • 作成日時。指定した日付およびその前後に作成されたアセットが表示されます。
  • 更新日時。指定した日付およびその前後に、最後に更新されたアセットが表示されます。
  • 状態
  • フォルダ
  • 親のアセットタイプ
  • 親の完全なリソース名
  • セキュリティ マーク
アセットをプロジェクトごとに表示する

デフォルトでは、選択したスコープ内のすべてのアセットが、[アセット] ページに作成日時の降順で表示されます。

選択したスコープがプロジェクトの場合は、そのプロジェクト内のアセットのみが表示されます。

コンソール ビューのスコープがフォルダまたは組織に設定されている場合にアセットを表示するには、次の操作を行います。

  1. [アセット] ページに移動します。

    [アセット] に移動

  2. [クイック フィルタ] パネルの [リソースタイプ] セクションで、1 つ以上のプロジェクトを選択します。結果パネルが更新され、選択したプロジェクトのアセットのみが表示されます。

アセットタイプごとに表示する

デフォルトでは、選択したスコープ内のすべてのアセットが、[アセット] ページに作成日時の降順で表示されます。

アセットをタイプ別に表示する手順は次のとおりです。

  1. [アセット] ページに移動します。

    [アセット] に移動

  2. 省略可: 結果パネルの上部で、結果ヘッダーの [リソースタイプ] 列をクリックしてリソースタイプでアセットを並べ替えます。アセットはリソースタイプごとにグループ化されて表示されます。

  3. [クイック フィルタ] パネルの [リソースタイプ] セクションで、表示する必要があるリソースタイプを選択します。結果パネルが更新され、選択したリソースタイプのみが表示されます。

アセットの変更内容を表示する

アセットのメタデータのスナップショットを比較して、変更内容を確認できます。

時間の経過に伴うアセットの変更を確認するには:

  1. [アセット] ページに移動します。

    [アセット] に移動

  2. スクロールするか、一覧表示されたアセットに適切なフィルタを適用して、確認が必要なアセットを見つけます。

  3. 結果パネルのアセットのリストで、アセットの名前をクリックします。対象のアセットの詳細パネルが開きます。

  4. アセットの詳細パネルで、[変更履歴] タブを選択します。

  5. [変更履歴] タブで、[開始日時] と [終了日時] の両方を選択します。

  6. 左側の [比較するレコードを選択] フィールドで、下矢印をクリックして、表示されたリストからスナップショットを選択します。

  7. 右側の [比較するレコードを選択] フィールドで、下矢印をクリックして、選択した最初のスナップショットと比較するスナップショットを選択します。2 つのスナップショット間の変更がハイライト表示されます。

作成タイムスタンプまたは最終更新タイムスタンプでアセットを表示する

[アセット] ページの結果パネルでは、[作成日時] タイムスタンプと [最終更新日時] タイムスタンプによって、アセットをフィルタリングまたは並べ替えることができます。

作成日時タイムスタンプ、最終更新日時タイムスタンプ、またはその両方に基づいてフィルタするには、次の手順を行います。

  1. [アセット] ページに移動します。

    [アセット] に移動

  2. [アセット] ページの結果パネルの上部で、[フィルタ] フィールドにカーソルを置きます。フィルタのポップアップ メニューが開きます。

  3. [作成日時] または [更新日時] のセクションまで下にスクロールし、時間ベースのフィルタ オプションの一つを選択します。例: Update time after。[フィルタ] フィールドにフィルタが追加されます。必要な操作は日付を追加することのみです。

  4. フィルタ フィールドで、MM/DD/YYYY 形式の日付を入力してキーボードの Enter キーを押して、フィルタ指定を行います。

    結果パネルのアセットが更新され、フィルタに一致するアセットのみが表示されます。

アセットページの構成

[アセット] ページに表示される一部の要素は制御できます。

デフォルトでは、[アセット] ページの結果パネルには以下の列が表示されます。

  • 表示名: アセットの表示名
  • プロジェクト ID: アセットを含むプロジェクト
  • リソースタイプ: アセットのリソースタイプ
  • ロケーション: アセットが配置されているリージョンまたは global
  • 状態: アセットの状態(READSUCCESSFULSERVING など)
  • 作成日時: アセットが作成された日時
  • 最終更新日時: アセットの最終更新日時
  • セキュリティ マーク: Security Command Center からアセットに適用されるセキュリティ マーク(存在する場合)
  • ラベル: アセットに適用されるラベル(存在する場合)
  • KMS 鍵: アセットに関連付けられている KMS 鍵(存在する場合)
  • ネットワーク タグ: アセットに適用されるネットワーク タグ(存在する場合)

[表示名] 以外の列は非表示にできます。列を非表示にするには、次の手順を行います。

  1. [アセット] ページに移動します。

    [アセット] に移動

  2. 右側の結果パネルの上部で、列表示オプション アイコン をクリックします。

  3. 表示されるメニューで、列名の横にあるチェックボックスをオンまたはオフにすることで、列を表示または非表示にできます。

パネル

次のオプションを変更すると、[アセット] ページの画面領域を制御できます。

  • 左矢印 をクリックして、[クイック フィルタ] サイドパネルを非表示にします。
  • 列の間の線を左右にドラッグして、アセットの表示列のサイズを変更する

検出結果ページ

[検出結果] ページでは、Security Command Center の検出結果(Security Command Center サービスが環境内のセキュリティ問題を検出した際に作成するレコード)のクエリ、レビュー、ミュート、マークを行うことができます。

[検出結果] ページで検出結果を操作する方法については、Google Cloud コンソールで検出結果を操作するをご覧ください。

ソースページ

[ソース] ページには、有効にしたセキュリティ ソースのアセットと検出結果の概要を示すカードが表示されます。セキュリティ ソースのカードには、そのソースの検出結果の一部が表示されます。検出カテゴリ名をクリックすると、そのカテゴリのすべての検出結果を表示できます。

検出の概要

[検出の概要] カードには、有効になっているセキュリティ ソースから提供された検出結果の各カテゴリの数が表示されます。

  • 特定のソースからの検出結果の詳細を表示するには、ソース名をクリックします。
  • すべての検出結果の詳細を表示するには、[検出結果] ページをクリックします。ここで、検出結果をグループ化したり、個々の検出結果の詳細を表示できます。

ソースの概要

[検出の概要] カードの下に、有効になっている組み込みソース、統合ソース、サードパーティ ソースのカードが表示されます。各カードには、そのソースで有効な検出結果の数が表示されます。

体制ページ

[体制] ページでは、組織で作成したセキュリティ体制の詳細を表示し、その体制を組織、フォルダまたはプロジェクトに適用できます。また、利用可能な事前定義済みの体制テンプレートを表示することもできます。

次のステップ