Security Command Center を設定する
このページでは、組織で Security Command Center を初めて設定する場合の方法について説明します。組織に Security Command Center がすでに設定されている場合は、Security Command Center の使用のガイドをご覧ください。
始める前に
組織を作成する
Security Command Center には、ドメインに関連付けられた組織リソースが必要です。また、プレミアム ティアを使用する場合は、請求先アカウントが必要になります。組織をまだ作成していない場合は、組織の作成と管理をご覧ください。
権限を設定する
Security Command Center を設定するには、次の Identity and Access Management(IAM)ロールが必要です。
- 組織の管理者
roles/resourcemanager.organizationAdmin
- セキュリティ センター管理者
roles/securitycenter.admin
- セキュリティ管理者
roles/iam.securityAdmin
- サービス アカウントの作成
roles/iam.serviceAccountCreator
詳細については、Security Command Center のロールをご覧ください。
組織のポリシーを確認する
組織のポリシーがドメイン別に ID を制限するように設定されている場合は、次のことが必要です。
- 許可されたドメイン内のアカウントで Google Cloud Console にログインする必要があります。
- サービス アカウントは、許可されたドメイン内にあるか、ドメイン内のグループのメンバーである必要があります。この要件により、ドメインで制限された共有が有効な場合に、
@*.gserviceaccount.com
サービスによるリソースへのアクセスを許可できます。
組織に Security Command Center を設定する
組織に Security Command Center を設定するには、必要な Security Command Center のティアを選択し、Security Command Center ダッシュボードで検出結果を表示するサービスや統合されたソースを有効にします。続いて、モニタリングするリソースやアセットを選択して、Security Command Center サービス アカウントに権限を付与します。
手順 1: ティアを選択する
選択した Security Command Center のティアによって、使用可能な機能と、Security Command Center の使用料金が決まります。次の表では、プレミアム ティアとスタンダード ティアで使用できる組み込みの Security Command Center サービスの概要を示します。
ティアの詳細 |
---|
スタンダード ティアの機能
|
プレミアム ティアには、スタンダード ティアの機能がすべて含まれ、さらに以下の機能が追加されています。
Event Threat Detection では、次の Google Workspace の脅威も特定されます。 VM Manager の脆弱性レポート
|
Security Command Center の使用に関連する費用については、料金ページをご覧ください。
Security Command Center のプレミアム ティアに登録するには、Google Cloud の営業担当者または Cloud パートナーにお問い合わせください。
必要なティアを選択したら、Security Command Center の設定を開始します。
Google Cloud コンソールで [Security Command Center] に移動します。
[組織] プルダウン リストで、Security Command Center を有効にする組織を選択して、[選択] をクリックします。
次は、組織で有効にする組み込みサービスを選択します。
手順 2: サービスを選択する
[サービスの選択] ページでは、選択したティアに含まれるすべての組み込みサービスが、組織レベルでデフォルトで有効になっています。各サービスは、サポートされているすべてのリソースをスキャンし、組織全体の検出結果をレポートします。サービスを無効にするには、サービス名の横にあるプルダウン リストをクリックし、[デフォルトで無効] を選択します。
スタンダード ティアを有効にした後でプレミアム ティアに登録すると、Container Threat Detection 以外のすべての組み込みプレミアム サービスが組織レベルでデフォルトで有効になります。Container Threat Detection はデフォルトで無効になっており、手動で有効にする必要があります。Container Threat Detection を有効にするには、Container Threat Detection の使用をご覧ください。
特定のサービスに関する注意事項は、次のとおりです。
Container Threat Detection を正しく機能させるには、クラスタがサポートされているバージョンの Google Kubernetes Engine(GKE)上にあり、GKE クラスタが正しく構成されていることを確認する必要があります。詳細については、Container Threat Detection の使用をご覧ください。
Event Threat Detection は、Google Cloud が生成したログを利用します。Event Threat Detection を使用するには、組織、フォルダ、プロジェクトのログを有効にする必要があります。
異常検出の結果は、自動的に Security Command Center に表示されます。異常検出は、Security Command Center の構成の手順に沿って、オンボーディング後に無効にできます。
次は、必要に応じて個々のリソースのサービスを有効または無効にします。
手順 3: リソースを選択する
Security Command Center は、組織レベルで運用するように設計されています。デフォルトでは、リソースが組織のサービス設定を継承します。有効なサービスはすべて、組織内のサポートされている全リソースのスキャンを行います。この構成は、新しいリソースと変更されたリソースが自動的に検出されて保護されるようにする最適な運用モードです。
Security Command Center で組織全体をスキャンしない場合は、[詳細設定] メニューでリソースを個別に除外する必要があります。
[詳細設定] メニューに移動し、ノードをクリックして展開します。
リソース設定を変更するには、サービス列のプルダウン リストをクリックして有効化オプションを選択します。
- デフォルトで有効: サービスはリソースに対して有効です。
- デフォルトで無効: サービスはリソースに対して無効です。
- 継承: リソースでは、リソース階層で親に対して選択したサービス設定が使用されます。
[フォルダまたはプロジェクトを検索] をクリックするとウィンドウが開き、検索キーワードを入力して、リソースをすばやく検索し、設定を変更できます。
次は、Security Command Center サービス アカウントに権限を付与します。
手順 4: 権限を付与する
Security Command Center を有効にすると、次の形式でサービス アカウントが作成されます。
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
ORGANIZATION_ID は、組織の数値 ID に置き換えます。
このサービス アカウントには、組織レベルで次の IAM ロールがあります。
securitycenter.serviceAgent
。これにより、Security Command Center サービス アカウントでは、組織のアセット インベントリ メタデータの独自のコピーを継続的に作成、更新できます。このロールに関連付けられた権限については、アクセス制御をご覧ください。serviceusage.serviceUsageAdmin
。このロールの使用方法の詳細については、Service Usage とはをご覧ください。cloudfunctions.serviceAgent
これらのロールをサービス アカウントに自動的に付与するには、[ロールを付与] をクリックします。Google Cloud CLI を使用して必要なロールを手動で付与する場合は、次のようにします。
- [手動によるロールの付与] セクションをクリックして展開し、gcloud CLI コマンドをコピーします。
- Google Cloud コンソールのツールバーで、「Cloud Shell をアクティブにする」をクリックします。
- 表示されたターミナル ウィンドウで、コピーした gcloud CLI コマンドを貼り付けて Enter キーを押します。
必要なロールが Security Command Center サービス アカウントに付与されます。
次は、Security Command Center の設定と、Security Command Center の [探索] ページの表示を確認します。
手順 5: スキャンの完了を待機する
設定が完了すると、Security Command Center が初期アセット スキャンを開始します。その後、ダッシュボードを使用して、組織全体の Google Cloud のセキュリティとデータリスクを確認し、修正できます。一部のプロダクトでは、スキャンの開始に時間がかかる場合があります。有効化プロセスの詳細については、Security Command Center のレイテンシの概要をご覧ください。
各組み込みサービスの詳細については、このサイトで利用できるガイドをご覧ください。
次のステップ
- アセット、検出結果、脆弱性を確認するために Security Command Center ダッシュボードの使用方法を学習する。
- Google Cloud のセキュリティ ソースについて学習する。
- Security Command Center にセキュリティ ソースを追加する方法を学習する。