Security Command Center の設定

組織の Security Command Center を最初に設定します。組織に Security Command Center がすでに設定されている場合は、Security Command Center の使用のガイドをご覧ください。

始める前に

権限を設定する

Security Command Center を設定するには、次の Identity and Access Management(IAM)のロールが必要です。

  • 組織管理者 roles/resourcemanager.organizationAdmin
  • セキュリティ センター管理者 roles/securitycenter.admin
  • セキュリティ管理者 roles/iam.securityAdmin
  • サービス アカウントを作成するroles/iam.serviceAccountCreator

詳細については、Security Command Center のロールをご覧ください。

組織のポリシーを確認する

組織ポリシーがドメイン別に ID を制限するように設定されている場合:

  • 許可されたドメイン内にあるアカウントで Cloud Console にログインする必要があります。
  • サービス アカウントは許可されたドメイン、またはドメイン内のグループのメンバーである必要があります。これにより、ドメインで制限された共有が有効な場合に、@*.gserviceaccount.com サービスのリソースへのアクセスが許可されます。

VPC Service Controls を使用している場合は、Security Command Center を有効にした後、Security Command Center のサービス アカウントにアクセス権を付与する必要があります。

組織に Security Command Center を設定する

組織に Security Command Center を設定するには、必要な Security Command Center のティアを選択し、Security Command Center ダッシュボードで検出結果を表示するサービスまたはセキュリティ ソースを有効にします。それからモニタリングするリソースまたはアセットを選択し、Security Command Center サービス アカウントに権限を付与します。

手順 1: ティアを選択する

選択した Security Command Center のティアは、使用できる機能と、Security Command Center の使用料金に影響します。次の表に、プレミアム ティアとスタンダード ティアで使用できる組み込みの Security Command Center サービスの概要を示します。

ティアの詳細

スタンダード ティアの機能

  • Security Health Analytics: スタンダード ティアの Security Health Analytics は、Google Cloud のマネージド脆弱性評価スキャン機能を提供します。このスキャンでは、Google Cloud アセットの最も重大な脆弱性と構成ミスを自動的に検出できます。スタンダード ティアの Security Health Analytics には、次の検出タイプが含まれます。

    • 2SV_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_FIREWALL
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • OPEN_TELNET_PORT
    • ORG_POLICY_CONFIDENTIAL_VM_POLICY
    • PUBLIC_BUCKET_ACL
    • PUBLIC_COMPUTE_IMAGE
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Web Security Scanner のカスタム スキャン: スタンダード ティアの Web Security Scanner は、ファイアウォールの背後にない公開 URL と IP でデプロイされたアプリケーションのカスタム スキャンをサポートしています。

プレミアム ティアの機能

  • Event Threat Detection は、お客様の組織の Cloud Logging ストリームをモニタリングし、1 つ以上のプロジェクトのログが使用可能になるとそれらを使用して、次の脅威を検出します。
    • マルウェア
    • クリプトマイニング
    • ブルート フォース SSH
    • 送信 DoS
    • IAM 異常付与検出
  • Container Threat Detection は、次のコンテナ ランタイム攻撃を検出します。
    • 不審なバイナリ
    • 不審なライブラリ
    • リバースシェル
  • Security Health Analytics: プレミアム ティアの Security Health Analytics は、多くの業界のベスト プラクティスで使用されるモニタリングと、Google Cloud アセット全体のコンプライアンスのモニタリングを行います。モニタリングの結果はコンプライアンス ダッシュボードで確認でき、管理しやすい CSV 形式でエクスポートすることもできます。

    プレミアム ティアの Security Health Analytics には、以下に対応するモニタリングとレポートが含まれます。

    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800-53
    • ISO 27001
  • Web Security Scanner は、Google Cloud アプリ内の次のセキュリティ脆弱性を特定するマネージド スキャン機能を提供します。
    • クロスサイト スクリプティング(XSS)
    • Flash インジェクション
    • 混合コンテンツ
    • クリアテキストのパスワード
    • 安全でない JavaScript ライブラリの使用
  • プレミアム ティアには、スタンダード ティアのすべての機能も含まれます。

Security Command Center の使用に関連する費用については、料金のページをご覧ください。

Security Command Center プレミアム ティアに登録するには、営業担当者か、Google までお問い合わせください。プレミアム ティアに登録しない場合は、自動的にスタンダード ティアが利用可能になります。

組織ですでに Security Command Center を使用している場合は、プレミアム ティアまたは、スタンダード ティアにアップグレードすると、そのティアのすべての新機能が有効になります。プレミアム ティアまたはスタンダード ティアにアップグレードした後は、ティア間でのみ切り替えることができます。以前の Security Command Center に戻すことはできません。

必要なティアを選択したら、Security Command Center の設定を開始します。

  1. Cloud Console の [Security Command Center] ページに移動します。
    [Security Command Center] ページに移動
  2. [組織] プルダウン リストで、Security Command Center を有効にする組織を選択して、[選択] をクリックします。

次に、組織で有効にする組み込みサービスを選択します。

手順 2: サービスを選択する

異常検出の結果は、Security Command Center で自動的に表示されます。Security Command Center のダッシュボードに他のセキュリティ ソースからの検出結果を表示するには、セキュリティ ソースとして使用するサービスを有効にする必要があります。

[サービスの選択] ページで、選択した Security Command Center のティアのすべての組み込みサービスが組織レベルで有効になります。サービスを無効にするには、サービス名の横にある切り替えボタンをクリックします。

Container Threat Detection をサービスとして有効にする場合は、クラスタがサポートされているバージョンの Google Kubernetes Engine(GKE)に存在していることを確認する必要があります。詳細については、Container Threat Detection の使用をご覧ください。

次に、必要に応じて個々のリソースのサービスを有効または無効にできます。

手順 3: リソースを選択する

[リソース] タブで、サポートされている各リソースのサポート サービス設定を変更できます。デフォルトでは、リソースは組織のサービス設定を継承します。必要に応じて、個々のリソースに対してサービスを有効または無効にするには、サービス列のプルダウン リストをクリックして、リソースに対するサービスの有効化を選択します。

  • オン: リソースに対してサービスが有効になります。
  • オフ: リソースに対してサービスが無効になります。
  • 親リソースから継承: リソースでは、リソース階層で親に対して選択したサービス設定を使用します。

次に、Security Command Center のサービス アカウントに権限を付与します。

手順 4: 権限を付与する

Security Command Center を有効にすると、service-org-organization-id@security-center-api.iam.gserviceaccount.com の形式でサービス アカウントが作成されます。このサービス アカウントには、組織レベルで次の IAM ロールがあります。

  • securitycenter.serviceAgent を使用すると、Security Command Center サービス アカウントが組織のアセット インベントリ メタデータの独自のコピーを継続的に作成、更新できるようになります。このロールに関連付けられた権限について確認するには、アクセス制御をご覧ください。
  • serviceusage.serviceUsageAdmin。このロールの使用方法の詳細については、Service Usage とはをご覧ください。
  • cloudfunctions.serviceAgent

これらのロールをサービス アカウントに自動的に付与するには、[役割を付与] をクリックします。gcloud コマンドライン ツールを使用して、必要なロールを手動で付与するには:

  1. 手動でロールを付与セクションをクリックして展開し、gcloud ツールコマンドをコピーします。
  2. Cloud Console のツールバーで、[Cloud Shell をアクティブにする] をクリックします。
  3. 表示されたターミナル ウィンドウで、コピーした gcloud ツールコマンドを貼り付けて Enter キーを押します。

必要なロールが Security Command Center サービス アカウントに付与されています。

次に、Security Command Center の設定と、Security Command Center の [探索] ページの表示を確認します。

手順 5: スキャンの完了を待機する

設定が完了すると、Security Command Center が初期アセット スキャンを開始します。その後にダッシュボードを使用して、組織全体の Google Cloud のセキュリティとデータリスクの確認と修正が可能になります。一部のプロダクトでは、スキャンが開始されるまでに時間がかかる場合があります。有効化プロセスの詳細については、Security Command Center レイテンシの概要をご覧ください。

各組み込みサービスの詳細については、このサイトで利用できるガイドをご覧ください。

次のステップ