Security Command Center にデータ プロファイルを公開する

このページでは、データ プロファイルで Security Command Center に検出結果を生成する場合に必要なアクションの概要について説明します。このページでは、生成された検出結果を検索するために使用できるクエリの例も示します。

Security Command Center Enterprise をご利用の場合は、Security Command Center のドキュメントのエンタープライズ ティアで機密データの検出を有効にするをご覧ください。

データ プロファイルについて

組織、フォルダ、プロジェクト全体のデータに関するプロファイルを自動的に生成するように、Sensitive Data Protection を構成できます。データ プロファイルには、データに関する指標とメタデータが含まれており、機密データとリスクの高いデータの場所を特定できます。機密データの保護では、これらの指標がさまざまな詳細レベルで報告されます。プロファイリングできるデータの種類については、サポートされているリソースをご覧ください。

Security Command Center にデータ プロファイルを公開するメリット

この機能には、Security Command Center で次のメリットがあります。

  • Sensitive Data Protection の検出結果を使用して、機密データを一般公開または悪意のある行為者に公開する可能性があるリソースの脆弱性を特定して修正できます。

  • これらの検出結果を使用して、トリアージ プロセスにコンテキストを追加し、機密データを含むリソースをターゲットとする脅威の優先度を設定できます。

  • リソースに含まれるデータの機密性に基づいて、攻撃パス シミュレーション機能のリソースの優先度を自動的に設定するように Security Command Center を構成できます。詳細については、データの機密性によってリソースの優先度値を自動的に設定するをご覧ください。

生成された Security Command Center の検出結果

データ プロファイルを Security Command Center に公開するように検出サービスを構成すると、各テーブルデータ プロファイルまたはファイル ストア データ プロファイルは、次の Security Command Center 検出結果を生成します。

検出サービスによる脆弱性の検出

Sensitive Data Protection の検出サービスを使用すると、保護されていない機密性の高いデータを保存しているかどうかを判断できます。

カテゴリ 概要

Public sensitive data

API のカテゴリ名:

PUBLIC_SENSITIVE_DATA

検出結果の説明: 指定したリソースに、インターネット上の誰でもアクセスできる高機密データが含まれています。

サポートされているアセット:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3 バケット

修復:

Google Cloud データの場合は、データアセットの IAM ポリシーから allUsersallAuthenticatedUsers を削除します。

Amazon S3 データの場合は、 公開アクセスのブロック設定を構成するか、オブジェクトの ACL を更新して一般公開の読み取りアクセスを拒否します。

コンプライアンス標準: マッピングなし

Secrets in environment variables

API のカテゴリ名:

SECRETS_IN_ENVIRONMENT_VARIABLES

検出結果の説明: 環境変数に、パスワード、認証トークン、Google Cloud 認証情報などの シークレットがあります。

この検出機能を有効にするには、Sensitive Data Protection ドキュメントの環境変数のシークレットを Security Command Center に報告するをご覧ください。

サポートされているアセット:

修復:

Cloud Run 関数の環境変数の場合は、環境変数からシークレットを削除し、代わりに Secret Manager に保存します。

Cloud Run サービス リビジョンの環境変数の場合は、すべてのトラフィックをリビジョンから移動してから、リビジョンを削除します。

コンプライアンス標準:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Secrets in storage

API のカテゴリ名:

SECRETS_IN_STORAGE

検出結果の説明: 指定されたリソースに、パスワード、認証トークン、クラウド認証情報などのシークレットがあります。

サポートされているアセット:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3 バケット

修復:

  1. Google Cloud データの場合は、Sensitive Data Protection を使用して 指定したリソースの詳細検査スキャンを実行し、影響を受けるすべてのリソースを特定します。Cloud SQL データの場合は、そのデータを Cloud Storage バケットの CSV または AVRO ファイルにエクスポートし、バケットの詳細な検査スキャンを実行します。

    Amazon S3 データの場合は、指定したバケットを手動で検査します。

  2. 検出されたシークレットを削除します。
  3. 認証情報をリセットすることを検討してください。
  4. Google Cloud データの場合は、代わりに、検出されたシークレットを Secret Manager に保存することを検討してください。

コンプライアンス標準: マッピングなし

検出サービスからのモニタリング結果

Data sensitivity
特定のデータアセット内のデータの機密レベルに関する指標。 PII など、追加の制御や管理を必要とする可能性がある要素が含まれるデータは、機密情報に該当します。検出結果の重大度は、データ プロファイルの生成時に機密データの保護が計算した機密性レベルです。
Data risk
現在の状態でのデータに関連するリスク。データリスクの計算時、Sensitive Data Protection では、データ アセット内のデータの機密性レベルと、そのデータを保護するアクセス制御が考慮されます。検出結果の重大度は、データ プロファイルの生成時にSensitive Data Protection が計算したデータリスク レベルです。

検出生成のレイテンシ

Sensitive Data Protection によってデータ プロファイルが生成されてから、関連する検出結果が Security Command Center に表示されるまでに最大 6 時間かかります。

データ プロファイルを Security Command Center に送信する

以下は、データ プロファイルを Security Command Center に公開するワークフローの概要です。

  1. 組織の Security Command Center のアクティベーション レベルを確認します。Security Command Center にデータ プロファイルを送信するには、任意のサービス ティアの組織レベルで Security Command Center を有効にしている必要があります。

    プロジェクト レベルでのみ Security Command Center が有効になっている場合、機密データの保護からの検出結果は Security Command Center に表示されません。

  2. 組織で Security Command Center が有効になっていない場合は、有効にする必要があります。詳細については、Security Command Center のサービスティアに応じて、次のいずれかをご覧ください。

  3. 統合サービスとして Sensitive Data Protection が有効になっていることを確認します。詳細については、Google Cloud 統合サービスを追加するをご覧ください。

  4. スキャンするデータソースごとに検出スキャン構成を作成して、検出を有効にします。スキャン構成で、[Security Command Center に公開] オプションが有効になっていることを確認します。

    データ プロファイルを Security Command Center に公開しない既存の検出スキャン構成がある場合は、このページの既存の構成で Security Command Center への公開を有効にするをご覧ください。

デフォルト設定で検出を有効にする

検出を有効にするには、スキャンするデータソースごとに検出構成を作成します。この手順では、デフォルト設定を使用してこれらの検出構成を自動的に作成します。この手順を実行した後、設定はいつでもカスタマイズできます。

最初から設定をカスタマイズする場合は、次のページをご覧ください。

デフォルト設定で検出を有効にする手順は次のとおりです。

  1. Google Cloud コンソールで、Sensitive Data Protection の [検出の有効化] ページに移動します。

    [検出を有効にする] に移動

  2. Security Command Center を有効にした組織が表示されていることを確認します。

  3. [サービス エージェント コンテナ] フィールドで、サービス エージェント コンテナとして使用するプロジェクトを設定します。このプロジェクト内で、システムはサービス エージェントを作成し、必要な検出権限を自動的に付与します。

    以前に組織で検出サービスを使用していた場合は、再利用できるサービス エージェント コンテナ プロジェクトがすでにある可能性があります。

    • サービス エージェント コンテナとして使用するプロジェクトを自動的に作成するには、提案されたプロジェクト ID を確認し、必要に応じて編集します。次に [作成] をクリックします。新しいプロジェクトのサービス エージェントに権限が付与されるまでに数分かかることがあります。
    • 既存のプロジェクトを選択するには、[サービス エージェント コンテナ] フィールドをクリックしてプロジェクトを選択します。
  4. デフォルト設定を確認するには、 展開アイコンをクリックします。

  5. [検出を有効にする] セクションで、有効にする検出タイプごとに [有効にする] をクリックします。検出タイプを有効にすると、次のことが行われます。

    • BigQuery: 組織全体の BigQuery テーブルのプロファイリング用の検出構成を作成します。Sensitive Data Protection が BigQuery データのプロファイリングを開始し、プロファイルを Security Command Center に送信します。
    • Cloud SQL: 組織全体の Cloud SQL テーブルのプロファイリング用の検出構成を作成します。Sensitive Data Protection は、各 Cloud SQL インスタンスのデフォルト接続の作成を開始します。この処理には数時間かかることがあります。デフォルトの接続の準備ができたら、適切なデータベース ユーザー認証情報で各接続を更新し、Sensitive Data Protection のCloud SQL インスタンスへのアクセスを許可します。
    • シークレット / 認証情報の脆弱性: Cloud Run の環境変数で暗号化されていないシークレットを検出して報告するための検出構成を作成します。Sensitive Data Protection が環境変数のスキャンを開始します。
    • Cloud Storage: 組織全体の Cloud Storage バケットのプロファイリング用の検出構成を作成します。Sensitive Data Protection は、Cloud Storage データのプロファイリングを開始し、プロファイルを Security Command Center に送信します。
    • Vertex AI データセット: 組織全体の Vertex AI データセットのプロファイリング用の検出構成を作成します。Sensitive Data Protection は Vertex AI データセットのプロファイリングを開始し、プロファイルを Security Command Center に送信します。
    • Amazon S3: 組織、単一の S3 アカウント、または単一のバケット全体で Amazon S3 データをプロファイリングするための検出構成を作成します。

  6. 新しく作成された検出構成を表示するには、[検出構成に移動] をクリックします。

    Cloud SQL 検出を有効にした場合、検出構成は一時停止モードで作成され、認証情報が存在しないことを示すエラーが表示されます。サービス エージェントに必要な IAM ロールを付与し、各 Cloud SQL インスタンスにデータベース ユーザー認証情報を提供するには、検出に使用する接続を管理するをご覧ください。

  7. ペインを閉じます。

既存の構成で Security Command Center への公開を有効にする

検出結果を Security Command Center にパブリッシュするように設定されていない既存の検出スキャン構成がある場合は、次の操作を行います。

  1. スキャン構成を編集用に開きます

  2. [アクション] セクションで、[Security Command Center にパブリッシュ] を有効にします。

  3. [保存] をクリックします。

データ プロファイルに関連する Security Command Center の検出結果のクエリ

次のクエリの例は、Security Command Center で関連する Data sensitivityData risk の検出結果を見つけるために使用できます。これらのクエリは、[クエリエディタ] フィールドに入力できます。クエリエディタの詳細については、Security Command Center ダッシュボードで検出結果クエリを編集するをご覧ください。

特定の BigQuery テーブルのすべての Data sensitivityData risk の検出結果を一覧表示する

このクエリは、BigQuery テーブルが別のプロジェクトに保存されているイベントを Security Command Center が検出する場合などに便利です。この場合、Exfiltration: BigQuery Data Exfiltration 検出結果が生成され、抽出されたテーブルの完全な表示名が含まれます。テーブルに関連する Data sensitivity 検出結果と Data risk 検出結果を検索できます。計算されたテーブルの機密性とデータリスク レベルを表示し、それに応じて対応を計画します。

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"

以下を置き換えます。

  • PROJECT_ID: BigQuery テーブルを含むプロジェクトの ID
  • DATASET_ID: テーブルのデータセット ID
  • TABLE_ID: テーブルの ID

特定の Cloud SQL インスタンスのすべての Data sensitivity 検出結果と Data risk 検出結果を一覧表示する

このクエリは、ライブ Cloud SQL インスタンス データが組織外の Cloud Storage バケットにエクスポートされたイベントを Security Command Center が検出する場合などに便利です。この場合、Exfiltration: Cloud SQL Data Exfiltration 検出結果が生成され、漏洩したインスタンスの完全なリソース名が含まれます。インスタンスに関連する Data sensitivity 検出結果と Data risk 検出結果を検索できます。インスタンスの計算された機密性とデータリスク レベルを表示し、それに応じて対応を計画します。

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"

次のように置き換えます。

  • INSTANCE_NAME: Cloud SQL インスタンスの名前の一部

重大度が High のすべての Data risk 検出結果と Data sensitivity 検出結果を一覧表示する

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"

次のステップ