Security Command Center の設定

組織の Security Command Center を最初に設定します。組織に Security Command Center がすでに設定されている場合は、Security Command Center の使用のガイドをご覧ください。

始める前に

権限を設定する

Security Command Center を設定するには、次の Identity and Access Management(IAM)のロールが必要です。

  • 組織管理者 roles/resourcemanager.organizationAdmin
  • セキュリティ センター管理者 roles/securitycenter.admin
  • セキュリティ管理者 roles/iam.securityAdmin
  • サービス アカウントを作成するroles/iam.serviceAccountCreator

Security Command Center のロールの詳細を確認する。

組織のポリシーを確認する

組織ポリシーがドメイン別に ID を制限するように設定されている場合:

  • 許可されたドメイン内にあるアカウントで Cloud Console にログインする必要があります。
  • サービス アカウントは許可されたドメイン内にある、またはドメイン内のグループのメンバーである必要があります。この要件により、ドメインで制限された共有が有効な場合に、@*.gserviceaccount.com サービスのリソースへのアクセスを許可できます。

VPC Service Controls を使用している場合は、Security Command Center を有効にした後、Security Command Center サービス アカウントにアクセス権を付与する必要があります。

組織に Security Command Center を設定する

組織に Security Command Center を設定するには、必要な Security Command Center のティアを選択し、Security Command Center ダッシュボードで検出結果を表示するサービスまたは統合されたソースを有効にします。それからモニタリングするリソースまたはアセットを選択し、Security Command Center サービス アカウントに権限を付与します。

手順 1: ティアを選択する

選択した Security Command Center のティアによって、使用可能な機能と、Security Command Center の使用料金が決まります。次の表に、プレミアム ティアとスタンダード ティアで使用できる組み込みの Security Command Center サービスの概要を示します。

ティアの詳細

スタンダード ティアの機能

  • Security Health Analytics: スタンダード ティアの Security Health Analytics は、Google Cloud のマネージド脆弱性評価スキャン機能を提供します。このスキャンでは、Google Cloud アセットの最も重大な脆弱性と構成ミスを自動的に検出できます。スタンダード ティアの Security Health Analytics には、次の検出タイプが含まれます。

    • 2SV_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_FIREWALL
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • OPEN_TELNET_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_COMPUTE_IMAGE
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Web Security Scanner のカスタム スキャン: スタンダード ティアの Web Security Scanner は、ファイアウォールの背後にない公開 URL と IP でデプロイされたアプリケーションのカスタム スキャンをサポートしています。

プレミアム ティアの機能

  • Event Threat Detection は、お客様の組織の Cloud Logging ストリームをモニタリングし、1 つ以上のプロジェクトのログが使用可能になるとそれらを使用して、次の脅威を検出します。
    • マルウェア
    • クリプトマイニング
    • ブルート フォース SSH
    • 送信 DoS
    • IAM 異常付与
    • データの引き出し
  • Container Threat Detection は、次のコンテナ ランタイム攻撃を検出します。
    • 不審なバイナリ
    • 不審なライブラリ
    • リバースシェル
  • Security Health Analytics: プレミアム ティアの Security Health Analytics は、多くの業界のベスト プラクティスで使用されるモニタリングと、Google Cloud アセット全体のコンプライアンスのモニタリングを行います。モニタリングの結果はコンプライアンス ダッシュボードで確認でき、管理しやすい CSV 形式でエクスポートすることもできます。

    プレミアム ティアの Security Health Analytics には、以下に対応するモニタリングとレポートが含まれます。

    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800-53
    • ISO 27001
  • Web Security Scanner は、Google Cloud アプリ内の次のセキュリティ脆弱性を特定するマネージド スキャン機能を提供します。
    • クロスサイト スクリプティング(XSS)
    • Flash インジェクション
    • 混合コンテンツ
    • クリアテキストのパスワード
    • 安全でない JavaScript ライブラリの使用
  • プレミアム ティアには、スタンダード ティアのすべての機能も含まれます。

Security Command Center の使用に関連する費用については、料金のページをご覧ください。

Security Command Center プレミアム ティアに登録するには、営業担当者か、Google までお問い合わせください。プレミアム ティアに登録しない場合は、スタンダード ティアを使用できます。

組織ですでに Security Command Center を使用している場合は、プレミアム ティアまたはスタンダード ティアにアップグレードすると、そのティアのすべての新機能が有効になります。プレミアム ティアまたはスタンダード ティアにアップグレードした後は、ティア間でのみ切り替えることができます。以前の Security Command Center に戻すことはできません。

必要なティアを選択したら、Security Command Center の設定を開始します。

  1. Cloud Console の [Security Command Center] ページに移動します。
    [Security Command Center] ページに移動
  2. [組織] プルダウン リストで、Security Command Center を有効にする組織を選択して、[選択] をクリックします。

次に、組織で有効にする組み込みサービスを選択します。

手順 2: サービスを選択する

[サービスの選択] ページで、選択したティアの組織レベルですべての組み込みサービスがデフォルトで有効になります。各サービスはサポートされているすべてのリソースをスキャンし、組織全体の検出結果をレポートします。サービスを無効にするには、サービス名の横にあるプルダウン リストをクリックし、[デフォルトで無効] を選択します。

以下は、特定のサービスに関する注意事項です。

  • Container Threat Detection を正しく機能させるには、クラスタがサポートされているバージョンの Google Kubernetes Engine(GKE)上にあり、GKE クラスタが正しく構成されていることを確認する必要があります。詳細については、Container Threat Detection の使用をご覧ください。

  • Event Threat Detection は、Google Cloud によって生成されたログを利用します。Event Threat Detection を使用するには、組織、フォルダ、プロジェクトのログを有効にする必要があります。

  • 異常検出の結果は、Security Command Center で自動的に表示されます。 異常検出は、Security Command Center の構成の手順に沿って、オンボーディング後に無効にできます。

次に、必要に応じて個々のリソースのサービスを有効または無効にできます。

手順 3: リソースを選択する

Security Command Center は、組織レベルで運用するように設計されています。デフォルトでは、リソースが組織のサービス設定を継承します。有効なサービスはすべて、組織内のサポートされているリソースすべてのスキャンを行います。この構成は、新しいリソースと変更されたリソースが自動的に検出されて保護されるようにするために最適な運用モードです。

Security Command Center で組織全体をスキャンしない場合は、[詳細設定] メニューでリソースを個別に除外する必要があります。

  1. [詳細設定] メニューに移動し、ノードをクリックして展開します。

    詳細設定メニュー
    詳細設定メニュー(クリックして拡大)
  2. リソース設定を変更するには、サービス列のプルダウン リストをクリックして有効化オプションを選択します。

    • デフォルトで有効: サービスはリソースに対して有効です。
    • デフォルトで無効: サービスはリソースに対して無効です。
    • 継承: リソースでは、リソース階層で親に対して選択したサービス設定が使用されます。

[フォルダまたはプロジェクトを検索] をクリックするとウィンドウが開き、検索キーワードを入力して、リソースをすばやく検索し、設定を変更できます。

次に、Security Command Center サービス アカウントに権限を付与します。

手順 4: 権限を付与する

Security Command Center を有効にすると、service-org-organization-id@security-center-api.iam.gserviceaccount.com の形式でサービス アカウントが作成されます。このサービス アカウントには、組織レベルで次の IAM ロールがあります。

  • securitycenter.serviceAgent を使用すると、Security Command Center サービス アカウントが組織のアセット インベントリ メタデータの独自のコピーを継続的に作成、更新できるようになります。このロールに関連付けられた権限について確認するには、アクセス制御をご覧ください。
  • serviceusage.serviceUsageAdmin。このロールの使用方法の詳細については、Service Usage とはをご覧ください。
  • cloudfunctions.serviceAgent

これらのロールをサービス アカウントに自動的に付与するには、[役割を付与] をクリックします。gcloud コマンドライン ツールを使用して、必要なロールを手動で付与するには:

  1. 手動でロールを付与セクションをクリックして展開し、gcloud ツールコマンドをコピーします。
  2. Cloud Console のツールバーで、[Cloud Shell をアクティブにする] をクリックします。
  3. 表示されたターミナル ウィンドウで、コピーした gcloud ツールコマンドを貼り付けて Enter キーを押します。

必要なロールが Security Command Center サービス アカウントに付与されています。

次に、Security Command Center の設定と、Security Command Center の [探索] ページの表示を確認します。

手順 5: スキャンの完了を待機する

設定が完了すると、Security Command Center が初期アセット スキャンを開始します。その後、ダッシュボードを使用して、組織全体の Google Cloud のセキュリティとデータリスクを確認し、修正できます。一部のプロダクトでは、スキャンの開始に時間がかかる場合があります。有効化プロセスの詳細については、Security Command Center のレイテンシの概要をご覧ください。

各組み込みサービスの詳細については、このサイトで利用できるガイドをご覧ください。

次のステップ