セキュリティ ポスチャーによって、クラウド ネットワークやクラウド サービスなどのクラウド アセットのセキュリティ ステータスを定義して管理できます。セキュリティ対策を使用すると、現在のクラウド セキュリティを定義済みのベンチマークに照らして評価し、組織に必要なセキュリティ レベルを維持できます。セキュリティ対策は、定義したベンチマークからのブレを検出して軽減するのに役立ちます。ビジネスのセキュリティ ニーズに合ったセキュリティ対策を定義して維持することで、組織のサイバーセキュリティ リスクを最小限に抑え、攻撃の発生を防ぐことができます。
Google Cloud では、Security Command Center のセキュリティ対策サービスを使用して、セキュリティ対策を定義してデプロイし、Google Cloud リソースのセキュリティ ステータスをモニタリングして、定義した対策からのブレ(または未承認の変更)に対処することができます。
セキュリティ対策サービスの概要
セキュリティ ポスチャー サービスは、Security Command Center Premium ティアの組み込みサービスで、Google Cloud でのセキュリティの全体的なステータスを定義、評価、モニタリングできます。セキュリティ ポスチャー サービスは、Security Command Center Premium ティアまたは Enterprise ティアのサブスクリプションを購入し、組織レベルで Security Command Center を有効にした場合にのみ利用できます。
セキュリティ対策サービスを使用すると、次のことができます。
- ワークロードがセキュリティ標準、コンプライアンス規制、組織のカスタム セキュリティ要件に準拠していることを確認します。
- ワークロードをデプロイする前に、Google Cloud のプロジェクト、フォルダ、組織にセキュリティ管理を適用します。
- 定義したセキュリティ管理とのズレを継続的にモニタリングして解決します。
組織レベルで Security Command Center を有効にすると、セキュリティ対策サービスが自動的に有効になります。
セキュリティ対策サービスのコンポーネント
セキュリティ対策サービスには、次のコンポーネントが含まれています。
- 対策: 組織がセキュリティ基準を満たす必要がある予防的制御と検出制御を適用する 1 つ以上のポリシーセット。組織レベル、フォルダレベル、またはプロジェクト レベルで対策をデプロイできます。ポスチャー テンプレートのリストについては、事前定義された体制テンプレートをご覧ください。
- ポリシーセット: Google Cloud における一連のセキュリティ要件と関連する制御。通常、ポリシーセットは、特定のセキュリティ基準やコンプライアンス規則の要件を満たすことができるすべてのポリシーで構成されています。
ポリシー: Google Cloud のリソースの動作を制御またはモニタリングする特定の制約または制限。ポリシーは、予防的(組織のポリシーの制約など)にも、検出的(Security Health Analytics の検出機能など)にもなります。サポートされているポリシーは次のとおりです。
カスタム制約を含む組織のポリシーの制約
Security Health Analytics の検出機能(カスタム モジュールを含む)
対策のデプロイ: 対策を作成したら、その対策を使用して管理する組織、フォルダ、またはプロジェクトに対策を適用できるように、対策をデプロイします。
次の図は、セキュリティ対策のコンポーネント例を示しています。
事前定義された対策テンプレート
セキュリティ ポスチャー サービスには、コンプライアンス標準や、エンタープライズ基盤ブループリントの推奨事項など、Google がおすすめする標準に準拠する事前定義されたポスチャー テンプレートが含まれています。これらのテンプレートを使用して、ビジネスに適用するセキュリティ ポスチャーを作成できます。次の表に、ポスチャー テンプレートを示します。
| ポスチャー テンプレート | テンプレート名 | 説明 |
|---|---|---|
secure_by_default_essential |
このテンプレートでは、デフォルト設定に起因する一般的な構成ミスや一般的なセキュリティ問題を防止するのに役立つポリシーが実装されます。このテンプレートは、変更を加えることなくデプロイできます。 |
|
secure_by_default_extended |
このテンプレートでは、デフォルト設定に起因する一般的な構成ミスや一般的なセキュリティ問題を防止するのに役立つポリシーが実装されます。このテンプレートをデプロイする前に、環境に合わせてカスタマイズする必要があります。 |
|
secure_ai_essential |
このテンプレートでは、Gemini と Vertex AI のワークロードの保護に役立つポリシーが実装されます。このテンプレートは、変更を加えることなくデプロイできます。 |
|
secure_ai_extended |
このテンプレートでは、Gemini と Vertex AI のワークロードの保護に役立つポリシーが実装されます。このテンプレートをデプロイする前に、環境に合わせてカスタマイズする必要があります。 |
|
big_query_essential |
このテンプレートでは、BigQuery の保護に役立つポリシーが実装されます。このテンプレートは、変更を加えることなくデプロイできます。 |
|
cloud_storage_essential |
このテンプレートでは、Cloud Storage の保護に役立つポリシーが実装されます。このテンプレートは、変更を加えることなくデプロイできます。 |
|
cloud_storage_extended |
このテンプレートでは、Cloud Storage の保護に役立つポリシーが実装されます。このテンプレートをデプロイする前に、環境に合わせてカスタマイズする必要があります。 |
|
vpcsc_essential |
このテンプレートでは、VPC Service Controls の保護に役立つポリシーが実装されます。このテンプレートは、変更を加えることなくデプロイできます。 |
|
vpcsc_extended |
このテンプレートでは、VPC Service Controls の保護に役立つポリシーが実装されます。このテンプレートをデプロイする前に、環境に合わせてカスタマイズする必要があります。 |
|
Center for Internet Security(CIS)Google Cloud Computing Platform Benchmark v2.0.0 の推奨事項 |
cis_2_0 |
このテンプレートでは、Google Cloud 環境が CIS Google Cloud Computing Platform Benchmark v2.0.0 と一致しない場合を検出するためのポリシーが実装されます。このテンプレートは、変更を加えることなくデプロイできます。 |
nist_800_53 |
このテンプレートでは、Google Cloud 環境が米国国立標準技術研究所(NIST)SP 800-53 標準に準拠していない場合に検出するためのポリシーが実装されます。このテンプレートは、変更を加えることなくデプロイできます。 |
|
iso_27001 |
このテンプレートでは、Google Cloud 環境が国際標準化機構(ISO)27001 標準に準拠していない場合に検出するためのポリシーが実装されます。このテンプレートは、変更を加えることなくデプロイできます。 |
|
pci_dss_v_3_2_1 |
このテンプレートでは、Google Cloud 環境が Payment Card Industry Data Security Standard(PCI DSS)バージョン 3.2.1 およびバージョン 1.0 に準拠していない場合に検出するためのポリシーが実装されます。このテンプレートは、変更を加えることなくデプロイできます。 |
対策をデプロイしてブレをモニタリングする
Google Cloud リソースですべてのポリシーを使用して対策を適用するには、対策をデプロイします。対策を適用するリソース階層のレベル(組織、フォルダ、プロジェクト)を指定できます。各組織、フォルダ、プロジェクトにデプロイできる対策は 1 つのみです。
対策は、子フォルダとプロジェクトに継承されます。したがって、組織レベルとプロジェクト レベルで対策をデプロイすると、両方の対策内のすべてのポリシーがプロジェクト内のリソースに適用されます。ポリシーの定義に違いがある場合(たとえば、ポリシーが組織レベルでは許可され、プロジェクト レベルでは拒否されるように設定されている)、プロジェクト内のリソースでは下位レベルの対策が使用されます。
ベスト プラクティスとして、ビジネス全体に適用できるポリシーを含む組織レベルでの対策をデプロイすることをおすすめします。より厳格なポリシーを必要とするフォルダやプロジェクトには、より厳格なポリシーを適用できます。たとえば、エンタープライズ基盤のブループリントを使用してインフラストラクチャを設定する場合は、フォルダ内のすべてのプロジェクトの暗号鍵を含む専用のプロジェクト(prj-c-kms など)を作成します。セキュリティ対策を使用して、common フォルダと環境フォルダ(development、nonproduction、production)に対して constraints/gcp.restrictCmekCryptoKeyProjects 組織ポリシーの制約を設定して、すべてのプロジェクトで鍵プロジェクトの鍵のみが使用されるようにします。
対策をデプロイすると、環境で、定義した対策からのずれの有無をモニタリングできます。Security Command Center は、ブレのインスタンスを検出結果としてレポートし、確認、フィルタ、解決できます。また、Security Command Center から他の検出結果をエクスポートする場合と同じ方法で、これらの検出結果をエクスポートできます。詳細については、統合オプションと Security Command Center データのエクスポートをご覧ください。
Vertex AI と Gemini でセキュリティ対策を使用する
セキュリティ対策を使用すると、AI ワークロードのセキュリティを維持できます。セキュリティ対策サービスには、次が含まれます。
AI ワークロードに固有の事前定義された対策のテンプレート。
[概要] ページのペインでは、AI に適用される Security Health Analytics のカスタム モジュールで検出された脆弱性をモニタリングでき、対策で定義されている Vertex AI 組織のポリシーからのブレを表示できます。
AWS でセキュリティ対策サービスを使用する
Security Command Center Enterprise を脆弱性検出のために AWS に接続する場合、Security Health Analytics サービスには、AWS 環境をモニタリングして検出結果を作成できる組み込みの検出機能が含まれています。
対策ファイルを作成または変更するときに、AWS に固有の Security Health Analytics 検出機能を含めることができます。この対策ファイルは組織レベルでデプロイする必要があります。
セキュリティ対策サービスの上限
セキュリティ対策サービスには、次の上限が含まれます。
- 1 つの組織に最大 100 件の対策。
- 1 つの対策で最大 400 件のポリシー。
- 1 つの組織で最大 1,000 件の対策のデプロイ。