Security Command Center の有効化の概要

Security Command Center は、さまざまなティア(Standard、Premium、Enterprise)で有効にできます。Standard ティアまたは Premium ティアを選択した場合は、組織全体(組織レベルでの有効化)または個々のプロジェクト(プロジェクト レベルでの有効化)で Security Command Center を有効にできます。Enterprise ティアを選択した場合、Security Command Center を有効にできるのは組織レベルのみです。

有効化プロセスはティアによって異なります。また、プロジェクト レベルで Security Command Center を有効にすると、Security Command Center のアクセス スコープが狭くなるため、特定の検出モジュールとサービス統合が使用できなくなります。

プレビューで現在リリースされているデータ所在地の制御が必要な場合は、Security Command Center を有効にするときに有効にする必要があります。データ所在地の制御は、Standard ティアまたは Premium ティアの組織レベルの有効化でのみサポートされています。

組織レベルでの有効化の概要

Security Command Center を組織レベルで有効にすると、Security Command Center がすべてのフォルダでリソースとアセットにアクセスしてスキャンするため、ビジネスを完全に保護できます。このため、組織レベルでの有効化がベスト プラクティスとなります。

適切な IAM 権限があれば、Google Cloud コンソールで組織の Standard ティアを有効にできます。

組織で Premium ティアを有効にするには、従量課金制料金を使用します。従量課金制では、Security Command Center の料金は Google Cloud サービスの使用量に基づいて費用が発生します。使用量は、組織内のプロジェクトに関連付けられた請求先アカウントに請求されます。適切な IAM 権限を使用すると、Google Cloud コンソールで従量課金制オプションを使用する Premium ティアを有効にできます。

組織でEnterprise ティアを有効にするには、Google Cloud セールスまたは Google Cloud パートナーからサブスクリプションを購入する必要があります。

Enterprise ティアまたは Premium ティアの料金オプションの詳細については、料金をご覧ください。

Security Command Center の有効化と構成は Google Cloud コンソールで行います。Security Command Center を初めて有効にする場合は、Google Cloud コンソールに表示される指示に従って設定を行います。

組織で Security Command Center を有効にして構成する手順については、次のいずれかをご覧ください。

プロジェクト レベルでの有効化の概要

個々のプロジェクトで Security Command Center を有効にすると、最も重要なプロジェクトに対してのみ Security Command Center を使用できます。Security Command Center の使用料金は、そのプロジェクトのリソース使用量に基づいて決まります。

プロジェクト レベルで有効化を行う場合、適切な IAM 権限があれば、Google Cloud コンソールで Security Command Center の Standard ティアまたは Premium ティアを自分で有効にできます。事前に営業担当者に問い合わせる必要はありません。

プロジェクト レベルでの有効化の場合、プレミアム ティアの料金はプロジェクト内の特定の Google Cloud リソースの使用量に基づいて計算され、従量課金制モデルを使用してプロジェクトに課金されます。

プロジェクト レベルで Security Command Center を有効にすると、Security Command Center のログ、データ、その他のリソースへのアクセス権は、有効になっているプロジェクトに限定されます。そのため、プロジェクトの外部にあるデータを必要とするサービスは利用できないか、検出結果の完全なセットを生成できません。プロジェクト レベルで有効にした場合に利用できない検出結果とサービスの詳細については、プロジェクト レベルで有効にした場合に利用可能な機能をご覧ください。

Security Command Center をプロジェクト レベルで有効にしている場合、データ所在地の制御はサポートされません。

組織レベルでスタンダード ティアを有効にしてプロジェクト レベルの有効化を最適化する

プロジェクト レベルで有効にしたプレミアム ティアを最適化するには、組織レベルで Security Command Center のスタンダード ティアを有効にすることをおすすめします。

組織レベルで Standard ティアを有効にすると、複数のプロジェクト レベルでの有効化をグローバルに管理できます。また、組織レベルでの有効化が必要な Standard ティアの検出モジュールとサービス統合をプロジェクトでも利用できるようになります。

詳細については、組織レベルでの有効化が必要な Standard ティアの機能をご覧ください。

プロジェクト レベルで有効にする場合

通常、次のような場合にプロジェクトで Security Command Center を有効にします。

  • 組織では現在、どのティアの Security Command Center も使用していない。この場合、プロジェクトでスタンダード ティアまたはプレミアム ティアの Security Command Center を有効にできます。
  • 組織では現在、スタンダード ティアを使用している。この場合は、組織内のすべてのプロジェクトで Standard ティアを使用できるため、1 つのプロジェクトでのみ Premium ティアを有効にできます。
  • この組織は現在 Premium ティアを使用していますが、特定のプロジェクトにのみ Security Command Center Premium ティアが必要になります。この場合、プロジェクト レベルで Premium ティアを有効にするには、組織レベルの有効化を Standard ティアにダウングレードする必要があります。組織レベルのサブスクリプションをご利用の場合、この変更はサブスクリプションの有効期限が切れた後にのみ適用されます。

現在の有効化の種類を確認する

Security Command Center の有効化タイプによって、Security Command Center がプロジェクト レベル、組織レベル、階層、料金オプションで有効になっているかどうかが決まります。

Google Cloud コンソールでプロジェクトを開いたときに、Security Command Center が有効になっているレベル(プロジェクト レベルまたは組織レベル)はすぐにわかりません。これは、プロジェクトでは親組織からの Security Command Center の使用がすぐに継承されないためです。

Security Command Center がすでに有効になっているかどうかを判断し、Security Command Center の現在の有効化タイプを確認するには、次の手順を完了します。

  1. Google Cloud コンソールで Security Command Center に移動します。

    Security Command Center に移動

  2. 確認する組織またはプロジェクトを選択します。

  3. Security Command Center が組織またはプロジェクトで有効になっている場合は、Security Command Center の概要ページが表示されます。どちらも有効になっていない場合は、[Security Command Center の設定] ページが表示されます。有効化の手順については、組織で Security Command Center を有効にするまたはプロジェクトで Security Command Center を有効にするをご覧ください。

  4. 組織またはプロジェクトの Security Command Center の [概要] ページで、[設定] を選択します。

  5. [設定] ページで、[ティアの詳細] タブを選択します。

  6. [ティアの詳細] タブで、[ティア] と [請求ステータス] の行を調べて、有効化の種類を確認します。

    • ティア: 組織またはプロジェクトのティア(Premium または Standard)が表示されます。組織が Enterprise ティアまたは Premium ティアに設定されている場合、すべてのプロジェクトに Enterprise ティアまたは Premium ティアが自動的に継承され、この継承を説明するバナーが Google Cloud コンソールに表示されます。組織が Premium ティアに設定されている場合、プロジェクト レベルで、組織のティアを Standard ティアにダウングレードしたときに使用されるプロジェクトのティアが表示されます。

    • 請求行: 次のいずれか

      • 有効: Premium ティアの料金で、組織またはプロジェクトの従量課金制オプションが使用されていることを示します。

      • 一時停止: Enterprise ティアまたは Premium ティアが組織レベルで有効になっており、このプロジェクトに継承されていることを示します。

      • 有効期限: 組織レベルの Enterprise ティアまたは Premium ティアの有効化でサブスクリプションを使用していることを示します。

      • 請求行が表示されていない場合は、組織またはプロジェクトでスタンダード ティアが有効になっていることを示します。プロジェクトは、組織からスタンダード ティアを継承できます。

    Google Cloud コンソールの [ティアの管理] ボタンの上にあるテキストには、利用可能なティアと有効化オプションについて説明しています。

    • アドオン: 他の Google Cloud プロダクトのサブスクリプションを通じて付与された Security Command Center アドオンが表示されます。これらのアドオンは、関連する Premium ティアの限定された数のサービスと検出モジュールに自動的にアクセス権を付与します。

Security Command Center の起動日時を表示する

Security Command Center の起動日時を確認するには、Cloud Logging クエリを使用します。このクエリは、ログの保持期間内にアクティベーションが完了している場合の結果を返します。

  1. Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。

    [ログ エクスプローラ] に移動

  2. Security Command Center を有効にした組織を選択します。
  3. 次のクエリを実行します。

       protoPayload.serviceName="securitycenter.googleapis.com"
       protoPayload.request.securityHealthAnalyticsSettings.serviceEnablementState="ENABLED"