クイックスタート: Security Command Center を設定する

Security Command Center を設定する

このページでは、組織で Security Command Center を初めて設定する場合の方法について説明します。組織に Security Command Center がすでに設定されている場合は、Security Command Center の使用のガイドをご覧ください。

始める前に

組織を作成する

Security Command Center には、ドメインに関連付けられた組織リソースが必要です。また、プレミアムティアを使用する場合は、請求先アカウントが必要になります。組織をまだ作成していない場合は、組織の作成と管理をご覧ください。

権限を設定する

Security Command Center を設定するには、次の Identity and Access Management（IAM）ロールが必要です。

組織の管理者 roles/resourcemanager.organizationAdmin
セキュリティセンター管理者 roles/securitycenter.admin
セキュリティ管理者 roles/iam.securityAdmin
サービスアカウントの作成 roles/iam.serviceAccountCreator

詳細については、Security Command Center のロールをご覧ください。

組織のポリシーを確認する

組織のポリシーがドメイン別に ID を制限するように設定されている場合は、次のことが必要です。

許可されたドメイン内のアカウントで Google Cloud Console にログインする必要があります。
サービスアカウントは、許可されたドメイン内にあるか、ドメイン内のグループのメンバーである必要があります。この要件により、ドメインで制限された共有が有効な場合に、@*.gserviceaccount.com サービスによるリソースへのアクセスを許可できます。

組織に Security Command Center を設定する

組織に Security Command Center を設定するには、必要な Security Command Center のティアを選択し、Security Command Center ダッシュボードで検出結果を表示するサービスや統合されたソースを有効にします。続いて、モニタリングするリソースやアセットを選択して、Security Command Center サービスアカウントに権限を付与します。

手順 1: ティアを選択する

選択した Security Command Center のティアによって、使用可能な機能と、Security Command Center の使用料金が決まります。次の表では、プレミアムティアとスタンダードティアで使用できる組み込みの Security Command Center サービスの概要を示します。

ティアの詳細

ティアの詳細
スタンダードティアの機能 Security Health Analytics: スタンダードティアの Security Health Analytics は、Google Cloud のマネージド脆弱性評価スキャン機能を提供します。このスキャンでは、Google Cloud アセットの最も重大な脆弱性と構成ミスを自動的に検出できます。スタンダードティアの Security Health Analytics には、次の検出タイプが含まれます。 `DATAPROC_IMAGE_OUTDATED` `LEGACY_AUTHORIZATION_ENABLED` `MFA_NOT_ENFORCED` `NON_ORG_IAM_MEMBER` `OPEN_CISCOSECURE_WEBSM_PORT` `OPEN_DIRECTORY_SERVICES_PORT` `OPEN_FIREWALL` `OPEN_GROUP_IAM_MEMBER` `OPEN_RDP_PORT` `OPEN_SSH_PORT` `OPEN_TELNET_PORT` `PUBLIC_BUCKET_ACL` `PUBLIC_COMPUTE_IMAGE` `PUBLIC_DATASET` `PUBLIC_IP_ADDRESS` `PUBLIC_LOG_BUCKET` `PUBLIC_SQL_INSTANCE` `SSL_NOT_ENFORCED` `WEB_UI_ENABLED` Web Security Scanner のカスタムスキャン: スタンダードティアでは、Web Security Scanner による、ファイアウォールの背後にない公開 URL と IP アドレスでデプロイされたアプリケーションのカスタムスキャンがサポートされています。スキャンでは、すべてのプロジェクトに対して手動で構成、管理、実行され、OWASP トップ 10 のカテゴリの一部がサポートされます。 Security Command Center のエラー: Security Command Center には、Security Command Center とそのサービスの正常な動作を妨げる構成エラーの検出と修復のガイダンスが用意されています。組織レベルでの Identity and Access Management（IAM）ロールの付与をサポートします。統合された Google Cloud サービスにアクセスします。これには、次のサービスが含まれます。 Cloud Data Loss Prevention。機密データを検出、分類、保護します。 Google Cloud Armor。脅威から Google Cloud のデプロイを保護します。異常検出。プロジェクトと仮想マシン（VM）インスタンスのセキュリティ異常（漏洩された認証情報やコインマイニングなど）を特定します。 BigQuery との統合。分析のために検出結果を BigQuery にエクスポートします。 Forseti Security、Google Cloud のオープンソースセキュリティツールキット、サードパーティのセキュリティ情報およびイベント管理（SIEM）アプリケーションと統合します。
プレミアムティアの機能プレミアムティアには、スタンダードティアの機能がすべて含まれ、さらに以下の機能が追加されています。 Event Threat Detection。脅威インテリジェンス、機械学習などの高度な方法を使用して、組織の Cloud Logging や Google Workspace をモニタリングし、次の脅威を検出します。マルウェアクリプトマイニングブルートフォース SSH 送信 DoS IAM 異常付与データの引き出し Event Threat Detection では、次の Google Workspace の脅威も特定されます。漏洩したパスワードアカウントへの不正アクセスの試み 2 段階認証プロセスの設定の変更シングルサインオン（SSO）設定の変更政府が支援する攻撃 Container Threat Detection では、次のコンテナランタイム攻撃を検出します。追加されたバイナリの実行追加されたライブラリの読み込み悪意のあるスクリプトの実行リバースシェル Virtual Machine Threat Detection は、VM インスタンス内で実行されている暗号通貨マイニングアプリケーションを検出します。プレビューこの機能には、Google Cloud 利用規約の一般提供前の利用規約が適用されます。pre-GA の機能についてはサポートが制限される場合があります。また、pre-GA の機能の変更には、他の pre-GA のバージョンとの互換性がない可能性があります。詳細については、リリースステージの説明をご覧ください。 Security Health Analytics: プレミアムティアには、Security Health Analytics 検出機能（140 以上）すべてを対象としたマネージド脆弱性スキャンが含まれます。また、多くの業界のベストプラクティスのモニタリングと、Google Cloud アセット全体のコンプライアンスのモニタリングが提供されます。これらの結果は、コンプライアンスダッシュボードで確認でき、管理しやすい CSV 形式でエクスポートすることもできます。プレミアムティアの Security Health Analytics には、次の基準に対応したモニタリングとレポートが含まれています。 CIS 1.2 CIS 1.1 CIS 1.0 PCI DSS v3.2.1 NIST 800-53 ISO 27001 プレミアムティアの Web Security Scanner には、スタンダードティアのすべての機能と、OWASP トップ 10 のカテゴリに対応する追加の検出項目が含まれます。注: カテゴリ A09:2021 Security Logging and Monitoring Failures（以前の A10:2017 Insufficient Logging & Monitoring）はサポートされていません。このカテゴリでは、攻撃者が検出されないままになる不十分な対策について説明します。他の 9 つの OWASP カテゴリとは異なり、攻撃者が悪用できる特定の脆弱性と関係はありません。同様に、Web Security Scanner は、ウェブアプリケーションを攻撃して検出可能なレスポンスを引き出すことはできません。このカテゴリに含まれる問題には、人による判断が必要です。 Web Security Scanner では、自動的に構成されるマネージドスキャンも行われます。このスキャンでは、Google Cloud アプリ内の次のセキュリティの脆弱性が特定されます。クロスサイトスクリプティング（XSS） Flash インジェクション混合コンテンツクリアテキストのパスワード安全でない JavaScript ライブラリの使用組織レベル、フォルダレベル、プロジェクトレベルで、ユーザーへの IAM ロールの付与をサポートします。継続的エクスポート。新しい検出結果を Pub/Sub に自動的にエクスポートします。 VM Manager の脆弱性レポートプレビューこの機能には、Google Cloud 利用規約の一般提供前の利用規約が適用されます。pre-GA の機能についてはサポートが制限される場合があります。また、pre-GA の機能の変更には、他の pre-GA のバージョンとの互換性がない可能性があります。詳細については、リリースステージの説明をご覧ください。 VM Manager を有効にすると、このサービスでは、脆弱性レポート（プレビュー版）からの検出結果を Security Command Center に自動的に書き込みます。このレポートによって、Compute Engine 仮想マシンにインストールされているオペレーティングシステムの脆弱性が特定されます。詳細については、VM Manager をご覧ください。

スタンダードティアの機能

Security Health Analytics: スタンダードティアの Security Health Analytics は、Google Cloud のマネージド脆弱性評価スキャン機能を提供します。このスキャンでは、Google Cloud アセットの最も重大な脆弱性と構成ミスを自動的に検出できます。スタンダードティアの Security Health Analytics には、次の検出タイプが含まれます。
- DATAPROC_IMAGE_OUTDATED
- LEGACY_AUTHORIZATION_ENABLED
- MFA_NOT_ENFORCED
- NON_ORG_IAM_MEMBER
- OPEN_CISCOSECURE_WEBSM_PORT
- OPEN_DIRECTORY_SERVICES_PORT
- OPEN_FIREWALL
- OPEN_GROUP_IAM_MEMBER
- OPEN_RDP_PORT
- OPEN_SSH_PORT
- OPEN_TELNET_PORT
- PUBLIC_BUCKET_ACL
- PUBLIC_COMPUTE_IMAGE
- PUBLIC_DATASET
- PUBLIC_IP_ADDRESS
- PUBLIC_LOG_BUCKET
- PUBLIC_SQL_INSTANCE
- SSL_NOT_ENFORCED
- WEB_UI_ENABLED
Web Security Scanner のカスタムスキャン: スタンダードティアでは、Web Security Scanner による、ファイアウォールの背後にない公開 URL と IP アドレスでデプロイされたアプリケーションのカスタムスキャンがサポートされています。スキャンでは、すべてのプロジェクトに対して手動で構成、管理、実行され、OWASP トップ 10 のカテゴリの一部がサポートされます。
Security Command Center のエラー: Security Command Center には、Security Command Center とそのサービスの正常な動作を妨げる構成エラーの検出と修復のガイダンスが用意されています。
組織レベルでの Identity and Access Management（IAM）ロールの付与をサポートします。
統合された Google Cloud サービスにアクセスします。これには、次のサービスが含まれます。
- Cloud Data Loss Prevention。機密データを検出、分類、保護します。
- Google Cloud Armor。脅威から Google Cloud のデプロイを保護します。
- 異常検出。プロジェクトと仮想マシン（VM）インスタンスのセキュリティ異常（漏洩された認証情報やコインマイニングなど）を特定します。
BigQuery との統合。分析のために検出結果を BigQuery にエクスポートします。
Forseti Security、Google Cloud のオープンソースセキュリティツールキット、サードパーティのセキュリティ情報およびイベント管理（SIEM）アプリケーションと統合します。

プレミアムティアの機能

プレミアムティアには、スタンダードティアの機能がすべて含まれ、さらに以下の機能が追加されています。

Event Threat Detection。脅威インテリジェンス、機械学習などの高度な方法を使用して、組織の Cloud Logging や Google Workspace をモニタリングし、次の脅威を検出します。

マルウェア
クリプトマイニング
ブルートフォース SSH
送信 DoS
IAM 異常付与
データの引き出し

Event Threat Detection では、次の Google Workspace の脅威も特定されます。

漏洩したパスワード
アカウントへの不正アクセスの試み
2 段階認証プロセスの設定の変更
シングルサインオン（SSO）設定の変更
政府が支援する攻撃

Container Threat Detection では、次のコンテナランタイム攻撃を検出します。

追加されたバイナリの実行
追加されたライブラリの読み込み
悪意のあるスクリプトの実行
リバースシェル

Virtual Machine Threat Detection は、VM インスタンス内で実行されている暗号通貨マイニングアプリケーションを検出します。

プレビュー

この機能には、Google Cloud 利用規約の一般提供前の利用規約が適用されます。pre-GA の機能についてはサポートが制限される場合があります。また、pre-GA の機能の変更には、他の pre-GA のバージョンとの互換性がない可能性があります。詳細については、リリースステージの説明をご覧ください。
Security Health Analytics: プレミアムティアには、Security Health Analytics 検出機能（140 以上）すべてを対象としたマネージド脆弱性スキャンが含まれます。また、多くの業界のベストプラクティスのモニタリングと、Google Cloud アセット全体のコンプライアンスのモニタリングが提供されます。これらの結果は、コンプライアンスダッシュボードで確認でき、管理しやすい CSV 形式でエクスポートすることもできます。

プレミアムティアの Security Health Analytics には、次の基準に対応したモニタリングとレポートが含まれています。
- CIS 1.2
- CIS 1.1
- CIS 1.0
- PCI DSS v3.2.1
- NIST 800-53
- ISO 27001
プレミアムティアの Web Security Scanner には、スタンダードティアのすべての機能と、OWASP トップ 10 のカテゴリに対応する追加の検出項目が含まれます。
注: カテゴリ A09:2021 Security Logging and Monitoring Failures（以前の A10:2017 Insufficient Logging & Monitoring）はサポートされていません。このカテゴリでは、攻撃者が検出されないままになる不十分な対策について説明します。他の 9 つの OWASP カテゴリとは異なり、攻撃者が悪用できる特定の脆弱性と関係はありません。同様に、Web Security Scanner は、ウェブアプリケーションを攻撃して検出可能なレスポンスを引き出すことはできません。このカテゴリに含まれる問題には、人による判断が必要です。
Web Security Scanner では、自動的に構成されるマネージドスキャンも行われます。このスキャンでは、Google Cloud アプリ内の次のセキュリティの脆弱性が特定されます。
- クロスサイトスクリプティング（XSS）
- Flash インジェクション
- 混合コンテンツ
- クリアテキストのパスワード
- 安全でない JavaScript ライブラリの使用
組織レベル、フォルダレベル、プロジェクトレベルで、ユーザーへの IAM ロールの付与をサポートします。
継続的エクスポート。新しい検出結果を Pub/Sub に自動的にエクスポートします。

VM Manager の脆弱性レポート

VM Manager を有効にすると、このサービスでは、脆弱性レポート（プレビュー版）からの検出結果を Security Command Center に自動的に書き込みます。このレポートによって、Compute Engine 仮想マシンにインストールされているオペレーティングシステムの脆弱性が特定されます。詳細については、VM Manager をご覧ください。

Security Command Center の使用に関連する費用については、料金ページをご覧ください。

Security Command Center のプレミアムティアに登録するには、Google Cloud の営業担当者または Cloud パートナーにお問い合わせください。

必要なティアを選択したら、Security Command Center の設定を開始します。

Cloud Console の Security Command Center に移動します。

Security Command Center に移動
[組織] プルダウンリストで、Security Command Center を有効にする組織を選択して、[選択] をクリックします。

次は、組織で有効にする組み込みサービスを選択します。

手順 2: サービスを選択する

[サービスの選択] ページでは、選択したティアの組織レベルですべての組み込みサービスがデフォルトで有効になっています。各サービスは、サポートされているすべてのリソースをスキャンし、組織全体の検出結果をレポートします。サービスを無効にするには、サービス名の横にあるプルダウンリストをクリックし、[デフォルトで無効] を選択します。

特定のサービスに関する注意事項は、次のとおりです。

Container Threat Detection を正しく機能させるには、クラスタがサポートされているバージョンの Google Kubernetes Engine（GKE）上にあり、GKE クラスタが正しく構成されていることを確認する必要があります。詳細については、Container Threat Detection の使用をご覧ください。
Event Threat Detection は、Google Cloud が生成したログを利用します。Event Threat Detection を使用するには、組織、フォルダ、プロジェクトのログを有効にする必要があります。
異常検出の結果は、自動的に Security Command Center に表示されます。異常検出は、Security Command Center の構成の手順に沿って、オンボーディング後に無効にできます。

次は、必要に応じて個々のリソースのサービスを有効または無効にします。

手順 3: リソースを選択する

Security Command Center は、組織レベルで運用するように設計されています。デフォルトでは、リソースが組織のサービス設定を継承します。有効なサービスはすべて、組織内のサポートされている全リソースのスキャンを行います。この構成は、新しいリソースと変更されたリソースが自動的に検出されて保護されるようにする最適な運用モードです。

Security Command Center で組織全体をスキャンしない場合は、[詳細設定] メニューでリソースを個別に除外する必要があります。

[詳細設定] メニューに移動し、ノードをクリックして展開します。

詳細設定メニュー（クリックして拡大）
リソース設定を変更するには、サービス列のプルダウンリストをクリックして有効化オプションを選択します。
- デフォルトで有効: サービスはリソースに対して有効です。
- デフォルトで無効: サービスはリソースに対して無効です。
- 継承: リソースでは、リソース階層で親に対して選択したサービス設定が使用されます。

[フォルダまたはプロジェクトを検索] をクリックするとウィンドウが開き、検索キーワードを入力して、リソースをすばやく検索し、設定を変更できます。

次は、Security Command Center サービスアカウントに権限を付与します。

手順 4: 権限を付与する

Security Command Center を有効にすると、次の形式でサービスアカウントが作成されます。

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

ORGANIZATION_ID は、組織の数値 ID に置き換えます。

このサービスアカウントには、組織レベルで次の IAM ロールがあります。

securitycenter.serviceAgent。これにより、Security Command Center サービスアカウントでは、組織のアセットインベントリメタデータの独自のコピーを継続的に作成、更新できます。このロールに関連付けられた権限については、アクセス制御をご覧ください。
serviceusage.serviceUsageAdmin。このロールの使用方法の詳細については、Service Usage とはをご覧ください。
cloudfunctions.serviceAgent

これらのロールをサービスアカウントに自動的に付与するには、[ロールを付与] をクリックします。Google Cloud CLI を使用して必要なロールを手動で付与する場合は、次のようにします。

[手動によるロールの付与] セクションをクリックして展開し、gcloud CLI コマンドをコピーします。
Cloud Console のツールバーで、[Cloud Shell をアクティブにする] をクリックします。
表示されたターミナルウィンドウで、コピーした gcloud CLI コマンドを貼り付けて Enter キーを押します。

必要なロールが Security Command Center サービスアカウントに付与されます。

次は、Security Command Center の設定と、Security Command Center の [探索] ページの表示を確認します。

手順 5: スキャンの完了を待機する

設定が完了すると、Security Command Center が初期アセットスキャンを開始します。その後、ダッシュボードを使用して、組織全体の Google Cloud のセキュリティとデータリスクを確認し、修正できます。一部のプロダクトでは、スキャンの開始に時間がかかる場合があります。有効化プロセスの詳細については、Security Command Center のレイテンシの概要をご覧ください。

各組み込みサービスの詳細については、このサイトで利用できるガイドをご覧ください。

次のステップ

アセット、検出結果、脆弱性を確認するために Security Command Center ダッシュボードの使用方法を学習する。
Google Cloud のセキュリティソースについて学習する。
Security Command Center にセキュリティソースを追加する方法を学習する。