Security Command Center には、Standard、Premium、Enterprise の 3 つのサービスティアがあります。各ティアによって、Security Command Center で使用できる機能とサービスが決まります。各サービス階層の簡単な説明は次のとおりです。
- Standard。 Google Cloud の基本的なセキュリティ対策管理のみ。スタンダード ティアは、プロジェクト レベルまたは組織レベルで有効にできます。セキュリティ要件が最小限のGoogle Cloud 環境に最適です。
- プレミアム。Standard のすべての機能に加え、 Google Cloud のセキュリティ対策管理、攻撃パス、脅威の検出、コンプライアンス モニタリング。Premium ティアは、プロジェクト レベルまたは組織レベルで有効にできます。従量課金制の請求が必要なGoogle Cloud のお客様に最適です。
- Enterprise。完全なマルチクラウド CNAPP セキュリティ、自動化されたケース管理、修復ハンドブック。Premium に含まれるほとんどのサービスが含まれます。エンタープライズ ティアは組織レベルでのみ有効にできます。 Google Cloud、AWS、Azure の保護に最適です。
Standard ティアは追加料金なしで提供されますが、Premium ティアと Enterprise ティアは料金体系が異なります。詳細については、Security Command Center の料金をご覧ください。
各ティアに含まれるサービスのリストについては、サービスティアの比較をご覧ください。
Security Command Center Enterprise
Security Command Center エンタープライズ ティアには、スタンダード ティアやプレミアム ティアと比較して追加機能が用意されています。たとえば、Google Security Operations の機能の選択や、他のクラウド プロバイダからのデータの取り込みなどです。これらの機能により、Security Command Center は完全なクラウドネイティブ アプリケーション保護プラットフォーム(CNAPP)になります。これらの機能は、セキュリティ運用コンソールで使用できます。
Google Security Operations の機能の上限
Security Command Center Enterprise 階層の Google Security Operations 機能には、Google Security Operations プランとは異なる上限があります。これらの上限を次の表に示します。
| 特徴 | 上限 |
|---|---|
| Applied Threat Intelligence | アクセス権なし |
| キュレートされた検出 | Google Cloud や AWS などの クラウド脅威の検出に限定されます。 |
| カスタムルール | 20 個のカスタム単一イベントルール(マルチイベント ルールはサポートされていません) |
| データの保持 | 3 か月 |
| Gemini for Google Security Operations | 自然言語検索とケース調査の概要に限定 |
| Google SecOps セキュリティ情報およびイベント管理(SIEM) | Cloud ログのみ |
| Google SecOps セキュリティ オーケストレーション、自動化、対応(SOAR) | Cloud Response の統合のみ |
| ログの取り込み |
次のようなクラウド脅威検出に関連するログに限定されます。
|
| リスク分析 | アクセス権なし |
サービスティアの比較
| サービス | サービスティア | ||
|---|---|---|---|
| スタンダード | プレミアム | エンタープライズ | |
|
脆弱性の検出 |
|||
| Security Health Analytics | |||
|
Google Cloud のマネージド脆弱性評価スキャン機能を提供し、お客様の Google Cloud アセットの特に重大な脆弱性と構成ミスを自動的に検出します。 Security Health Analytics の検出結果
|
|||
| コンプライアンス モニタリング。Security Health Analytics の検出機能は、NIST、HIPAA、PCI-DSS、CIS などの一般的なセキュリティ ベンチマークのコントロールにマッピングされます。 | |||
| カスタム モジュールのサポート。独自の Security Health Analytics カスタム検出機能を作成します。 | |||
| Web Security Scanner | |||
| カスタム スキャン。公開 URL と IP アドレスがあり、ファイアウォールの背後にないデプロイされた Compute Engine、Google Kubernetes Engine、または App Engine ウェブ アプリケーションでカスタム スキャンをスケジュールして実行します。 | |||
| OWASP トップ 10 のその他の検出機能 | |||
| マネージド スキャン。一般公開のウェブ エンドポイントを週に 1 回スキャンします。スキャンは Security Command Center によって構成および管理されます。 | |||
| 攻撃パス シミュレーション | |||
| 攻撃パス シミュレーション(仮想レッドチーム編成)は、潜在的な攻撃者が高価値リソースに到達するための経路を特定することで、脆弱性や構成ミスの検出結果を特定、優先順位付けするのに役立ちます。 | |||
| Mandiant CVE 評価 | |||
| CVE の評価は、悪用可能性と潜在的な影響によってグループ化されます。検出結果は CVE ID でクエリできます。 | |||
| その他の脆弱性サービス | |||
| 異常検出1。 プロジェクトと仮想マシン(VM)インスタンスのセキュリティ異常(漏洩した可能性のある認証情報や暗号通貨マイニングなど)を特定します。 | |||
| GKE セキュリティ対策ダッシュボードの検出結果(プレビュー)。Kubernetes ワークロードのセキュリティ構成ミス、対処可能なセキュリティに関する公開情報、コンテナ オペレーティング システムまたは言語パッケージの脆弱性に関する検出結果を表示します。 | |||
| Sensitive Data Protection1。 機密データを検出して分類し、保護に役立ちます。 | |||
| VM Manager の1 件の脆弱性レポート(プレビュー)。VM Manager を有効にすると、VM Manager は脆弱性レポートの検出結果を Security Command Center に自動的に書き込みます。 | |||
|
次の組み込みサービスと統合サービスにより、クラウド環境全体でソフトウェアの脆弱性とコンテナの検出を強化します。
|
|||
|
Mandiant Attack Surface Management。環境全体でインターネット アセットを検出して分析し、外部エコシステムを継続的にモニタリングして悪用される可能性のある露出を検知します。 |
|||
| 有害な組み合わせ(プレビュー)。 セキュリティ上の問題のグループを検出します。特定のパターンで一緒に発生すると、攻撃意思のある攻撃者がそれらのリソースにアクセスして侵害する可能性がある、価値の高いリソースへのパスが作成されます。 | |||
|
脅威の検出と対応 |
|||
| Google Cloud Armor1。分散型サービス拒否(DDoS)攻撃、クロスサイト スクリプティング(XSS)、SQL インジェクション(SQLi)などの脅威から Google Cloud デプロイを保護します。 | |||
| Sensitive Actions Service。 Google Cloud の組織、フォルダ、プロジェクトで悪意のある行為者によって行われ、ビジネスに被害を及ぼす可能性のあるアクションを検出します。 | |||
|
Container Threat Detection。コンテナ ランタイム攻撃を検出します。 コンテナ ランタイム攻撃
|
|||
| Event Threat Detection。脅威インテリジェンス、ML、その他の高度な方法を使用して、Cloud Logging と Google Workspace をモニタリングし、マルウェア、暗号通貨のマイニング、データの引き出しなどの脅威を検出します。 | |||
| Virtual Machine Threat Detection。VM インスタンスで実行され、悪質な可能性のあるアプリケーションを検出します。 | |||
| Google SecOps セキュリティ情報とイベント管理(SIEM)。複数のクラウド環境の脅威のログやその他のデータをスキャンし、脅威検出ルールを定義して、蓄積されたデータを検索します。 | |||
| Google SecOps セキュリティ オーケストレーション、自動化、対応(SOAR)。ケースの管理、レスポンス ワークフローの定義、回答データの検索を行います。 | |||
| Mandiant Hunt。Mandiant のエキスパートに頼って脅威探索を継続的に実施し、攻撃者の活動を明らかにすることで、ビジネスへの影響を軽減します。 | オプションのアドオン | ||
|
姿勢とポリシー |
|||
| Binary Authorization1。コンテナベースのアプリケーションを開発してデプロイするときに、ソフトウェア サプライ チェーンのセキュリティ対策を実装します。コンテナ イメージのデプロイをモニタリングして制限します。 | |||
| Policy Controller1。Kubernetes クラスタへのプログラム可能なポリシーの適用と適用を可能にします。 | |||
| Risk Manager1。 組織の技術的なリスク体制をプロファイリングしてレポートを生成します。 | |||
|
Policy Intelligence。Security Command Center Premium と Enterprise のユーザー向けの追加機能(以下を含む):
|
|||
| セキュリティ対策。セキュリティ対策を定義してデプロイし、 Google Cloud リソースのセキュリティ ステータスをモニタリングします。姿勢のずれや姿勢の不正な変更に対処します。Enterprise 階層では、 AWS 環境をモニタリングすることもできます。 | |||
| クラウド インフラストラクチャ資格管理(CIEM)。構成が誤っているプリンシパル アカウント(ID)や、クラウド リソースに対する過剰または機密性の高い IAM 権限が付与されているプリンシパル アカウントを特定します。 | |||
|
データ マネジメント |
|||
| データ所在地 | |||
| データ所在地の制御を有効にすると、Security Command Center の検出結果、ミュートルール、継続的なエクスポート、BigQuery エクスポートの保存と処理が、Security Command Center がサポートするデータ所在地マルチリージョンのいずれかに制限されます。 | |||
| 検出結果のエクスポート | |||
| BigQuery エクスポート | |||
| Pub/Sub の継続的エクスポート | |||
|
その他の機能 |
|||
|
Infrastructure as Code(IaC)の検証。組織のポリシーと Security Health Analytics の検出機能と照らし合わせて検証します。 |
|||
|
Assured Open Source Software。Google が安全性を確認したうえで使用しているのと同じ OSS パッケージを自社のデベロッパー ワークフローに取り入れることで、Google がオープンソース ソフトウェアに適用しているセキュリティと経験を活用できます。 Security Command Center Enterprise ユーザーは、Audit Manager の Premium ティアに追加料金なしでアクセスできます。 |
|||
|
Audit Manager。複数のコンプライアンス フレームワークから選択したコントロールに基づいてリソースを評価するコンプライアンス監査ソリューション。 Security Command Center Enterprise ユーザーは、Audit Manager のプレミアム ティアに追加料金なしでアクセスできます。 |
|||
|
マルチクラウド サポートSecurity Command Center を他のクラウド プロバイダに接続して、脅威、脆弱性、構成ミスを検出します。外部クラウドの高価値リソースに対する攻撃の発生可能性スコアと攻撃パスを評価します。 サポートされているクラウド プロバイダ: AWS、Azure。 |
|||
- これは、Security Command Center の組織レベルでの有効化と統合され、検出結果を提供する Google Cloud サービスです。このサービスの 1 つ以上の機能は、Security Command Center とは別に料金が設定される場合があります。