Security Command Center の設定

このページでは、組織で Security Command Center を初めて設定する場合の方法について説明します。組織に Security Command Center がすでに設定されている場合は、Security Command Center の使用のガイドをご覧ください。

始める前に

組織を作成する

Security Command Center には、ドメインに関連付けられた組織リソースが必要です。また、プレミアム ティアを使用する場合は、請求先アカウントが必要になります。組織をまだ作成していない場合は、組織の作成と管理をご覧ください。

権限を設定する

Security Command Center を設定するには、次の Identity and Access Management(IAM)ロールが必要です。

  • 組織の管理者 roles/resourcemanager.organizationAdmin
  • セキュリティ センター管理者 roles/securitycenter.admin
  • セキュリティ管理者 roles/iam.securityAdmin
  • サービス アカウントの作成 roles/iam.serviceAccountCreator

詳細については、Security Command Center のロールをご覧ください。

組織のポリシーを確認する

組織のポリシーがドメイン別に ID を制限するように設定されている場合は、次のことが必要です。

  • 許可されたドメイン内のアカウントで Google Cloud Console にログインする必要があります。
  • サービス アカウントは、許可されたドメイン内にあるか、ドメイン内のグループのメンバーである必要があります。この要件により、ドメインで制限された共有が有効な場合に、@*.gserviceaccount.com サービスによるリソースへのアクセスを許可できます。

組織に Security Command Center を設定する

組織に Security Command Center を設定するには、必要な Security Command Center のティアを選択し、Security Command Center ダッシュボードで検出結果を表示するサービスや統合されたソースを有効にします。続いて、モニタリングするリソースやアセットを選択して、Security Command Center サービス アカウントに権限を付与します。

手順 1: ティアを選択する

選択した Security Command Center のティアによって、使用可能な機能と、Security Command Center の使用料金が決まります。次の表では、プレミアム ティアとスタンダード ティアで使用できる組み込みの Security Command Center サービスの概要を示します。

ティアの詳細

スタンダード ティアの機能

  • Security Health Analytics: スタンダード ティアの Security Health Analytics は、Google Cloud のマネージド脆弱性評価スキャン機能を提供します。このスキャンでは、Google Cloud アセットの最も重大な脆弱性と構成ミスを自動的に検出できます。スタンダード ティアの Security Health Analytics には、次の検出タイプが含まれます。

    • LEGACY_AUTHORIZATION_ENABLED
    • MFA_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_CISCOSECURE_WEBSM_PORT
    • OPEN_DIRECTORY_SERVICES_PORT
    • OPEN_FIREWALL
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • OPEN_TELNET_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_COMPUTE_IMAGE
    • PUBLIC_DATASET
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Web Security Scanner のカスタム スキャン: スタンダード ティアでは、Web Security Scanner による、ファイアウォールの背後にない公開 URL と IP アドレスでデプロイされたアプリケーションのカスタム スキャンがサポートされています。スキャンでは、すべてのプロジェクトに対して手動で構成、管理、実行され、OWASP トップ 10 のカテゴリの一部がサポートされます。
  • 組織レベルでの Identity and Access Management(IAM)ロールの付与をサポートします。
  • 統合された Google Cloud サービスにアクセスします。これには、次のサービスが含まれます。

    • Cloud Data Loss Prevention。機密データを検出、分類、保護します。
    • Google Cloud Armor。脅威から Google Cloud のデプロイを保護します。
    • 異常検出。プロジェクトと仮想マシン(VM)インスタンスのセキュリティ異常(漏洩された認証情報やコイン マイニングなど)を特定します。
  • Forseti Security、Google Cloud 向けのオープンソースのセキュリティ ツールキット、サードパーティのセキュリティ情報とイベント管理(SIEM)アプリケーションと統合します。

プレミアム ティアの機能

プレミアム ティアには、スタンダード ティアの機能がすべて含まれ、さらに以下の機能が追加されています。

  • Event Threat Detection。脅威インテリジェンス、機械学習などの高度な方法を使用して、組織の Cloud Logging や Google Workspace をモニタリングし、次の脅威を検出します。
    • マルウェア
    • クリプトマイニング
    • ブルート フォース SSH
    • 送信 DoS
    • IAM 異常付与
    • データの引き出し

    Event Threat Detection では、次の Google Workspace の脅威も特定されます。

    • 漏洩したパスワード
    • アカウントへの不正アクセスの試み
    • 2 段階認証プロセスの設定の変更
    • シングル サインオン(SSO)設定の変更
    • 政府が支援する攻撃
  • Container Threat Detection では、次のコンテナ ランタイム攻撃を検出します。
    • 追加されたバイナリの実行
    • 追加されたライブラリの読み込み
    • 悪意のあるスクリプトの実行
    • リバースシェル
  • Security Health Analytics: プレミアム ティアには、Security Health Analytics 検出機能(140 以上)すべてを対象としたマネージド脆弱性スキャンが含まれます。また、多くの業界のベスト プラクティスのモニタリングと、Google Cloud アセット全体のコンプライアンスのモニタリングが提供されます。これらの結果は、コンプライアンス ダッシュボードで確認でき、管理しやすい CSV 形式でエクスポートすることもできます。

    プレミアム ティアの Security Health Analytics には、次の基準に対応したモニタリングとレポートが含まれています。

    • CIS 1.1
    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800-53
    • ISO 27001
  • プレミアム ティアの Web Security Scanner は、スタンダード ティアのすべての機能を含み、自動的に構成されるマネージド スキャンが追加されます。このスキャンでは、Google Cloud アプリ内の次のセキュリティの脆弱性が特定されます。
    • クロスサイト スクリプティング(XSS)
    • Flash インジェクション
    • 混合コンテンツ
    • クリアテキストのパスワード
    • 安全でない JavaScript ライブラリの使用
  • 組織レベル、フォルダレベル、プロジェクト レベルで、ユーザーへの IAM ロールの付与をサポートします。
  • 継続的エクスポート。新しい検出結果を Pub/Sub に自動的にエクスポートします。

VM Manager の脆弱性レポート

  • VM Manager を有効にすると、このサービスでは、脆弱性レポート(プレビュー版)からの検出結果を Security Command Center に自動的に書き込みます。このレポートによって、Compute Engine 仮想マシンにインストールされているオペレーティング システムの脆弱性が特定されます。詳細については、VM Manager をご覧ください。

Security Command Center の使用に関連する費用については、料金ページをご覧ください。

Security Command Center のプレミアム ティアに登録するには、営業担当者にご連絡いただくか、プレミアムの問い合わせフォームにご記入ください。通常 2 営業日以内に回答が返信されます。プレミアム ティアに登録しない場合は、スタンダード ティアを使用できます。

必要なティアを選択したら、Security Command Center の設定を開始します。

  1. Cloud Console の Security Command Center に移動します。

    Security Command Center に移動

  2. [組織] プルダウン リストで、Security Command Center を有効にする組織を選択して、[選択] をクリックします。

次は、組織で有効にする組み込みサービスを選択します。

手順 2: サービスを選択する

[サービスの選択] ページでは、選択したティアの組織レベルですべての組み込みサービスがデフォルトで有効になっています。各サービスは、サポートされているすべてのリソースをスキャンし、組織全体の検出結果をレポートします。サービスを無効にするには、サービス名の横にあるプルダウン リストをクリックし、[デフォルトで無効] を選択します。

特定のサービスに関する注意事項は、次のとおりです。

  • Container Threat Detection を正しく機能させるには、クラスタがサポートされているバージョンの Google Kubernetes Engine(GKE)上にあり、GKE クラスタが正しく構成されていることを確認する必要があります。詳細については、Container Threat Detection の使用をご覧ください。

  • Event Threat Detection は、Google Cloud が生成したログを利用します。Event Threat Detection を使用するには、組織、フォルダ、プロジェクトのログを有効にする必要があります。

  • 異常検出の結果は、自動的に Security Command Center に表示されます。異常検出は、Security Command Center の構成の手順に沿って、オンボーディング後に無効にできます。

次は、必要に応じて個々のリソースのサービスを有効または無効にします。

手順 3: リソースを選択する

Security Command Center は、組織レベルで運用するように設計されています。デフォルトでは、リソースが組織のサービス設定を継承します。有効なサービスはすべて、組織内のサポートされている全リソースのスキャンを行います。この構成は、新しいリソースと変更されたリソースが自動的に検出されて保護されるようにする最適な運用モードです。

Security Command Center で組織全体をスキャンしない場合は、[詳細設定] メニューでリソースを個別に除外する必要があります。

  1. [詳細設定] メニューに移動し、ノードをクリックして展開します。

    詳細設定メニュー
    詳細設定メニュー(クリックして拡大)
  2. リソース設定を変更するには、サービス列のプルダウン リストをクリックして有効化オプションを選択します。

    • デフォルトで有効: サービスはリソースに対して有効です。
    • デフォルトで無効: サービスはリソースに対して無効です。
    • 継承: リソースでは、リソース階層で親に対して選択したサービス設定が使用されます。

[フォルダまたはプロジェクトを検索] をクリックするとウィンドウが開き、検索キーワードを入力して、リソースをすばやく検索し、設定を変更できます。

次は、Security Command Center サービス アカウントに権限を付与します。

手順 4: 権限を付与する

Security Command Center を有効にすると、service-org-organization-id@security-center-api.iam.gserviceaccount.com の形式でサービス アカウントが作成されます。このサービス アカウントには、組織レベルで次の IAM ロールがあります。

  • securitycenter.serviceAgent。これにより、Security Command Center サービス アカウントでは、組織のアセット インベントリ メタデータの独自のコピーを継続的に作成、更新できます。このロールに関連付けられた権限については、アクセス制御をご覧ください。
  • serviceusage.serviceUsageAdmin。このロールの使用方法の詳細については、Service Usage とはをご覧ください。
  • cloudfunctions.serviceAgent

これらのロールをサービス アカウントに自動的に付与するには、[ロールを付与] をクリックします。gcloud コマンドライン ツールを使用して、必要なロールを手動で付与する場合は、次のようにします。

  1. [手動によるロールの付与] セクションをクリックして展開し、gcloud ツールコマンドをコピーします。
  2. Cloud Console のツールバーで、Cloud Shell をアクティブにするをクリックします。
  3. 表示されたターミナル ウィンドウで、コピーした gcloud ツールコマンドを貼り付けて Enter キーを押します。

必要なロールが Security Command Center サービス アカウントに付与されます。

次は、Security Command Center の設定と、Security Command Center の [探索] ページの表示を確認します。

手順 5: スキャンの完了を待機する

設定が完了すると、Security Command Center が初期アセット スキャンを開始します。その後、ダッシュボードを使用して、組織全体の Google Cloud のセキュリティとデータリスクを確認し、修正できます。一部のプロダクトでは、スキャンの開始に時間がかかる場合があります。有効化プロセスの詳細については、Security Command Center のレイテンシの概要をご覧ください。

各組み込みサービスの詳細については、このサイトで利用できるガイドをご覧ください。

次のステップ