クイックスタート: Security Command Center を設定する

Security Command Center を設定する

このページでは、組織で Security Command Center を初めて設定する場合の方法について説明します。組織に Security Command Center がすでに設定されている場合は、Security Command Center の使用のガイドをご覧ください。

始める前に

組織を作成する

Security Command Center には、ドメインに関連付けられた組織リソースが必要です。また、プレミアム ティアを使用する場合は、請求先アカウントが必要になります。組織をまだ作成していない場合は、組織の作成と管理をご覧ください。

権限を設定する

Security Command Center を設定するには、次の Identity and Access Management(IAM)ロールが必要です。

  • 組織の管理者 roles/resourcemanager.organizationAdmin
  • セキュリティ センター管理者 roles/securitycenter.admin
  • セキュリティ管理者 roles/iam.securityAdmin
  • サービス アカウントの作成 roles/iam.serviceAccountCreator

詳細については、Security Command Center のロールをご覧ください。

組織のポリシーを確認する

組織のポリシーがドメイン別に ID を制限するように設定されている場合は、次のことが必要です。

  • 許可されたドメイン内のアカウントで Google Cloud Console にログインする必要があります。
  • サービス アカウントは、許可されたドメイン内にあるか、ドメイン内のグループのメンバーである必要があります。この要件により、ドメインで制限された共有が有効な場合に、@*.gserviceaccount.com サービスによるリソースへのアクセスを許可できます。

組織に Security Command Center を設定する

組織に Security Command Center を設定するには、必要な Security Command Center のティアを選択し、Security Command Center ダッシュボードで検出結果を表示するサービスや統合されたソースを有効にします。続いて、モニタリングするリソースやアセットを選択して、Security Command Center サービス アカウントに権限を付与します。

手順 1: ティアを選択する

選択した Security Command Center のティアによって、使用可能な機能と、Security Command Center の使用料金が決まります。次の表では、プレミアム ティアとスタンダード ティアで使用できる組み込みの Security Command Center サービスの概要を示します。

ティアの詳細

スタンダード ティアの機能

  • Security Health Analytics: スタンダード ティアの Security Health Analytics は、Google Cloud のマネージド脆弱性評価スキャン機能を提供します。このスキャンでは、Google Cloud アセットの最も重大な脆弱性と構成ミスを自動的に検出できます。スタンダード ティアの Security Health Analytics には、次の検出タイプが含まれます。

    • DATAPROC_IMAGE_OUTDATED
    • LEGACY_AUTHORIZATION_ENABLED
    • MFA_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_CISCOSECURE_WEBSM_PORT
    • OPEN_DIRECTORY_SERVICES_PORT
    • OPEN_FIREWALL
    • OPEN_GROUP_IAM_MEMBER
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • OPEN_TELNET_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_COMPUTE_IMAGE
    • PUBLIC_DATASET
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Web Security Scanner のカスタム スキャン: スタンダード ティアでは、Web Security Scanner による、ファイアウォールの背後にない公開 URL と IP アドレスでデプロイされたアプリケーションのカスタム スキャンがサポートされています。スキャンでは、すべてのプロジェクトに対して手動で構成、管理、実行され、OWASP トップ 10 のカテゴリの一部がサポートされます。
  • Security Command Center のエラー: Security Command Center には、Security Command Center とそのサービスの正常な動作を妨げる構成エラーの検出と修復のガイダンスが用意されています。
  • 組織レベルでの Identity and Access Management(IAM)ロールの付与をサポートします。

  • 統合された Google Cloud サービスにアクセスします。これには、次のサービスが含まれます。

    • Cloud Data Loss Prevention。機密データを検出、分類、保護します。
    • Google Cloud Armor。脅威から Google Cloud のデプロイを保護します。
    • 異常検出。プロジェクトと仮想マシン(VM)インスタンスのセキュリティ異常(漏洩された認証情報やコイン マイニングなど)を特定します。
  • BigQuery との統合。分析のために検出結果を BigQuery にエクスポートします。
  • Forseti Security、Google Cloud のオープンソース セキュリティ ツールキット、サードパーティのセキュリティ情報およびイベント管理(SIEM)アプリケーションと統合します。

プレミアム ティアの機能

プレミアム ティアには、スタンダード ティアの機能がすべて含まれ、さらに以下の機能が追加されています。

  • Event Threat Detection。脅威インテリジェンス、機械学習などの高度な方法を使用して、組織の Cloud Logging や Google Workspace をモニタリングし、次の脅威を検出します。
    • マルウェア
    • クリプトマイニング
    • ブルート フォース SSH
    • 送信 DoS
    • IAM 異常付与
    • データの引き出し

    Event Threat Detection では、次の Google Workspace の脅威も特定されます。

    • 漏洩したパスワード
    • アカウントへの不正アクセスの試み
    • 2 段階認証プロセスの設定の変更
    • シングル サインオン(SSO)設定の変更
    • 政府が支援する攻撃
  • Container Threat Detection では、次のコンテナ ランタイム攻撃を検出します。
    • 追加されたバイナリの実行
    • 追加されたライブラリの読み込み
    • 悪意のあるスクリプトの実行
    • リバースシェル
  • Virtual Machine Threat Detection は、VM インスタンス内で実行されている暗号通貨マイニング アプリケーションを検出します。

  • Security Health Analytics: プレミアム ティアには、Security Health Analytics 検出機能(140 以上)すべてを対象としたマネージド脆弱性スキャンが含まれます。また、多くの業界のベスト プラクティスのモニタリングと、Google Cloud アセット全体のコンプライアンスのモニタリングが提供されます。これらの結果は、コンプライアンス ダッシュボードで確認でき、管理しやすい CSV 形式でエクスポートすることもできます。

    プレミアム ティアの Security Health Analytics には、次の基準に対応したモニタリングとレポートが含まれています。

    • CIS 1.2
    • CIS 1.1
    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800-53
    • ISO 27001
  • プレミアム ティアの Web Security Scanner には、スタンダード ティアのすべての機能と、OWASP トップ 10 のカテゴリに対応する追加の検出項目が含まれます。Web Security Scanner では、自動的に構成されるマネージド スキャンも行われます。
  • Rapid Vulnerability Detection は、ネットワークとウェブ アプリケーションをスキャンして、脆弱な認証情報、不完全なソフトウェアのインストール、悪用される可能性が高いその他の重大な脆弱性を検出します。
  • プレミアム ティアは、組織レベル、フォルダレベル、プロジェクト レベルで、ユーザーへの IAM ロールの付与をサポートしています。
  • プレミアム ティアには、Pub/Sub への新しい検出結果のエクスポートを自動的に管理する継続的エクスポート機能が含まれています。
  • 拡張アセット モニタリングが必要になった場合は、追加の Cloud Asset Inventory 割り当てをリクエストできます。
  • Secured Landing Zone のサービスは、Security Command Center のプレミアム ティアでのみ有効にできます。このサービスを有効にすると、デプロイされているブループリントのリソースにポリシー違反がある場合に検出結果が表示され、対応するアラートが生成されて、自動修復アクションが選択的に実行されます。

    • VM Manager の脆弱性レポート

    • VM Manager を有効にすると、このサービスでは、脆弱性レポート(プレビュー版)からの検出結果を Security Command Center に自動的に書き込みます。このレポートによって、Compute Engine 仮想マシンにインストールされているオペレーティング システムの脆弱性が特定されます。詳細については、VM Manager をご覧ください。

    Security Command Center の使用に関連する費用については、料金ページをご覧ください。

    Security Command Center のプレミアム ティアに登録するには、Google Cloud の営業担当者または Cloud パートナーにお問い合わせください。

    必要なティアを選択したら、Security Command Center の設定を開始します。

    1. Google Cloud コンソールで [Security Command Center] に移動します。

      Security Command Center に移動

    2. [組織] プルダウン リストで、Security Command Center を有効にする組織を選択して、[選択] をクリックします。

    次は、組織で有効にする組み込みサービスを選択します。

    手順 2: サービスを選択する

    [サービスの選択] ページでは、選択したティアに含まれるすべての組み込みサービスが、組織レベルでデフォルトで有効になっています。各サービスは、サポートされているすべてのリソースをスキャンし、組織全体の検出結果をレポートします。サービスを無効にするには、サービス名の横にあるプルダウン リストをクリックし、[デフォルトで無効] を選択します。

    スタンダード ティアを有効にした後でプレミアム ティアに登録すると、Container Threat Detection 以外のすべての組み込みプレミアム サービスが組織レベルでデフォルトで有効になります。Container Threat Detection はデフォルトで無効になっており、手動で有効にする必要があります。Container Threat Detection を有効にするには、Container Threat Detection の使用をご覧ください。

    特定のサービスに関する注意事項は、次のとおりです。

    • Container Threat Detection を正しく機能させるには、クラスタがサポートされているバージョンの Google Kubernetes Engine(GKE)上にあり、GKE クラスタが正しく構成されていることを確認する必要があります。詳細については、Container Threat Detection の使用をご覧ください。

    • Event Threat Detection は、Google Cloud が生成したログを利用します。Event Threat Detection を使用するには、組織、フォルダ、プロジェクトのログを有効にする必要があります。

    • 異常検出の結果は、自動的に Security Command Center に表示されます。異常検出は、Security Command Center の構成の手順に沿って、オンボーディング後に無効にできます。

    次は、必要に応じて個々のリソースのサービスを有効または無効にします。

    手順 3: リソースを選択する

    Security Command Center は、組織レベルで運用するように設計されています。デフォルトでは、リソースが組織のサービス設定を継承します。有効なサービスはすべて、組織内のサポートされている全リソースのスキャンを行います。この構成は、新しいリソースと変更されたリソースが自動的に検出されて保護されるようにする最適な運用モードです。

    Security Command Center で組織全体をスキャンしない場合は、[詳細設定] メニューでリソースを個別に除外する必要があります。

    1. [詳細設定] メニューに移動し、ノードをクリックして展開します。

      詳細設定メニュー
      詳細設定メニュー(クリックして拡大)

    2. リソース設定を変更するには、サービス列のプルダウン リストをクリックして有効化オプションを選択します。

      • デフォルトで有効: サービスはリソースに対して有効です。
      • デフォルトで無効: サービスはリソースに対して無効です。
      • 継承: リソースでは、リソース階層で親に対して選択したサービス設定が使用されます。

    [フォルダまたはプロジェクトを検索] をクリックするとウィンドウが開き、検索キーワードを入力して、リソースをすばやく検索し、設定を変更できます。

    次は、Security Command Center サービス アカウントに権限を付与します。

    手順 4: 権限を付与する

    Security Command Center を有効にすると、次の形式でサービス アカウントが作成されます。

    service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

    ORGANIZATION_ID は、組織の数値 ID に置き換えます。

    このサービス アカウントには、組織レベルで次の IAM ロールがあります。

    • securitycenter.serviceAgent。これにより、Security Command Center サービス アカウントでは、組織のアセット インベントリ メタデータの独自のコピーを継続的に作成、更新できます。このロールに関連付けられた権限については、アクセス制御をご覧ください。
    • serviceusage.serviceUsageAdmin。このロールの使用方法の詳細については、Service Usage とはをご覧ください。
    • cloudfunctions.serviceAgent

    これらのロールをサービス アカウントに自動的に付与するには、[ロールを付与] をクリックします。Google Cloud CLI を使用して必要なロールを手動で付与する場合は、次のようにします。

    1. [手動によるロールの付与] セクションをクリックして展開し、gcloud CLI コマンドをコピーします。
    2. Google Cloud コンソールのツールバーで、「Cloud Shell をアクティブにする」をクリックします。
    3. 表示されたターミナル ウィンドウで、コピーした gcloud CLI コマンドを貼り付けて Enter キーを押します。

    必要なロールが Security Command Center サービス アカウントに付与されます。

    次は、Security Command Center の設定と、Security Command Center の [探索] ページの表示を確認します。

    手順 5: スキャンの完了を待機する

    設定が完了すると、Security Command Center が初期アセット スキャンを開始します。その後、ダッシュボードを使用して、組織全体の Google Cloud のセキュリティとデータリスクを確認し、修正できます。一部のプロダクトでは、スキャンの開始に時間がかかる場合があります。有効化プロセスの詳細については、Security Command Center のレイテンシの概要をご覧ください。

    各組み込みサービスの詳細については、このサイトで利用できるガイドをご覧ください。

    次のステップ