このページでは、データ プロファイルで Security Command Center の検出結果を生成する場合に必要なアクションの概要について説明します。このページでは、生成された検出結果を検出するために使用できるクエリの例についても説明します。
Security Command Center Enterprise をご利用の場合は、Security Command Center ドキュメントのエンタープライズ ティアで機密データの検出を有効にするをご覧ください。
データ プロファイルについて
組織、フォルダ、プロジェクト全体のデータに関するプロファイルを自動的に生成するように、Sensitive Data Protection を構成できます。データ プロファイルには、データに関する指標とメタデータが含まれており、機密データとリスクの高いデータの場所を特定できます。機密データの保護では、これらの指標がさまざまな詳細レベルで報告されます。プロファイリングできるデータの種類については、サポートされているリソースをご覧ください。
Security Command Center にデータ プロファイルを公開するメリット
この機能には、Security Command Center で次の利点があります。
Sensitive Data Protection の検出結果を使用して、機密データを一般公開したり、悪意のある行為者に公開したりする可能性のあるリソースの脆弱性と構成ミスを特定して修復できます。
これらの検出結果を使用して、トリアージ プロセスにコンテキストを追加し、機密データを含むリソースを標的とする脅威の優先順位を設定できます。
リソースに含まれるデータの機密性に基づいて、攻撃パス シミュレーション機能のリソースの優先度を自動的に設定するように Security Command Center を構成できます。詳細については、データの機密性によってリソースの優先度値を自動的に設定するをご覧ください。
生成された Security Command Center の検出結果
データ プロファイルを Security Command Center に公開するように検出サービスを構成すると、各テーブルデータ プロファイルまたはファイル ストア データ プロファイルは、次の Security Command Center の検出結果を生成します。
検出サービスからの脆弱性の検出結果
Sensitive Data Protection の検出サービスを使用すると、保護されていない機密性の高いデータが保存されているかどうかを判断できます。
| カテゴリ | 概要 |
|---|---|
|
検出結果の説明: 指定したリソースに、インターネット上の誰でもアクセスできる高機密データが含まれています。 サポートされているアセット:
修復: Google Cloud データの場合は、データアセットの IAM ポリシーから Amazon S3 データの場合は、公開アクセスのブロック設定を構成するか、オブジェクトの ACL を更新して一般公開の読み取りアクセスを拒否します。詳細については、AWS のドキュメントの S3 バケットの公開アクセス ブロック設定を構成すると ACL を構成するをご覧ください。 Azure Blob Storage データの場合は、コンテナと blob への公開アクセスを削除します。詳細については、Azure ドキュメントの概要: Blob データの匿名読み取りアクセスを修復するをご覧ください。 コンプライアンス標準: マッピングされていません |
|
検出結果の説明: 環境変数に、パスワード、認証トークン、 Google Cloud 認証情報などのシークレットがあります。 この検出機能を有効にするには、Sensitive Data Protection ドキュメントの環境変数のシークレットを Security Command Center に報告するをご覧ください。 サポートされているアセット: 修復: Cloud Run functions の環境変数の場合は、環境変数からシークレットを削除し、代わりに Secret Manager にシークレットを保存します。 Cloud Run サービス リビジョンの環境変数の場合は、すべてのトラフィックをリビジョンから移動してから、リビジョンを削除します。 コンプライアンス標準:
|
|
検出結果の説明: 指定されたリソースに、パスワード、認証トークン、クラウド認証情報などのシークレットがあります。 サポートされているアセット:
修復:
コンプライアンス標準: マッピングされていません |
検出サービスによる構成ミスの検出
Sensitive Data Protection の検出サービスは、機密データを公開する可能性がある構成ミスがあるかどうかを判断するのに役立ちます。
| カテゴリ | 概要 |
|---|---|
|
検出結果の説明: 指定したリソースに高機密データまたは中程度の機密データが含まれていますが、リソースで顧客管理の暗号鍵(CMEK)を使用していません。 サポートされているアセット:
修復:
コンプライアンス標準: マッピングされていません |
検出サービスからのモニタリング結果
Data sensitivity- 特定のデータアセット内のデータの機密レベルに関する指標。 PII など、追加の制御や管理を必要とする可能性がある要素が含まれるデータは、機密情報に該当します。検出結果の重大度は、データ プロファイルの生成時に機密データ保護が計算した機密性レベルです。
Data risk- 現在の状態でのデータに関連するリスク。データリスクの計算時、Sensitive Data Protection では、データ アセット内のデータの機密性レベルと、そのデータを保護するアクセス制御が考慮されます。検出結果の重大度は、データ プロファイルの生成時にSensitive Data Protection が計算したデータリスク レベルです。
検出生成のレイテンシ
組織の規模によっては、機密データの検出を有効にしてから数分以内に、Sensitive Data Protection の検出結果が Security Command Center に表示され始めることがあります。大規模な組織や、検出結果の生成に影響する特定の構成を持つ組織では、最初の検出結果が Security Command Center に表示されるまでに最大 12 時間かかることがあります。
その後、検出サービスがリソースをスキャンしてから数分以内に、Sensitive Data Protection が Security Command Center で検出結果を生成します。
Security Command Center にデータ プロファイルを送信する
以下は、データ プロファイルを Security Command Center に公開する大まかなワークフローです。
組織の Security Command Center のアクティベーション レベルを確認します。Security Command Center にデータ プロファイルを送信するには、任意のサービス ティアの組織レベルで Security Command Center を有効にしている必要があります。
プロジェクト レベルでのみ Security Command Center が有効になっている場合、機密データの保護からの検出結果は Security Command Center に表示されません。
組織で Security Command Center が有効になっていない場合は、有効にする必要があります。詳細については、Security Command Center のサービスティアに応じて、次のいずれかをご覧ください。
Sensitive Data Protection が統合サービスとして有効になっていることを確認します。詳細については、 Google Cloud 統合サービスを追加するをご覧ください。
スキャンするデータソースごとに検出スキャン構成を作成して、検出を有効にします。スキャン構成で、[Security Command Center に公開] オプションが有効になっていることを確認します。
データ プロファイルを Security Command Center に公開しない既存の検出スキャン構成がある場合は、このページの既存の構成で Security Command Center への公開を有効にするをご覧ください。
デフォルト設定で検出を有効にする
検出を有効にするには、スキャンするデータソースごとに検出構成を作成します。この手順では、デフォルト設定を使用してこれらの検出構成を自動的に作成できます。この手順を実行した後、いつでも設定をカスタマイズできます。
最初から設定をカスタマイズする場合は、次のページをご覧ください。
- 組織またはフォルダの BigQuery データのプロファイリング
- 組織またはフォルダで Cloud SQL データをプロファイリングする
- 組織またはフォルダ内の Cloud Storage データをプロファイリングする
- 組織またはフォルダで Vertex AI データをプロファイリングする
- Amazon S3 の機密データ検出
- 環境変数のシークレットを Security Command Center に報告する
デフォルト設定で検出を有効にする手順は次のとおりです。
Google Cloud コンソールで、Sensitive Data Protection の [検出の有効化] ページに移動します。
Security Command Center を有効にした組織が表示されていることを確認します。
[サービス エージェント コンテナ] フィールドで、サービス エージェント コンテナとして使用するプロジェクトを設定します。このプロジェクト内で、システムはサービス エージェントを作成し、必要な検出権限を自動的に付与します。
以前に組織で検出サービスを使用していた場合は、再利用できるサービス エージェント コンテナ プロジェクトがすでに存在している可能性があります。
- サービス エージェント コンテナとして使用するプロジェクトを自動的に作成するには、推奨されるプロジェクト ID を確認し、必要に応じて編集します。次に [作成] をクリックします。新しいプロジェクトのサービス エージェントに権限が付与されるまでに数分かかることがあります。
- 既存のプロジェクトを選択するには、[サービス エージェント コンテナ] フィールドをクリックしてプロジェクトを選択します。
デフォルト設定を確認するには、 展開アイコンをクリックします。
[検出を有効にする] セクションで、有効にする検出タイプごとに [有効にする] をクリックします。検出タイプを有効にすると、次の処理が行われます。
- BigQuery: 組織全体の BigQuery テーブルのプロファイリング用の検出構成を作成します。Sensitive Data Protection は BigQuery データのプロファイリングを開始し、プロファイルを Security Command Center に送信します。
- Cloud SQL: 組織全体の Cloud SQL テーブルのプロファイリング用の検出構成を作成します。Sensitive Data Protection は、各 Cloud SQL インスタンスのデフォルトの接続の作成を開始します。この処理には数時間かかることがあります。デフォルトの接続の準備ができたら、適切なデータベース ユーザー認証情報で各接続を更新し、Sensitive Data Protection のCloud SQL インスタンスへのアクセスを許可します。
- シークレット / 認証情報の脆弱性: Cloud Run の環境変数で暗号化されていないシークレットを検出して報告するための検出構成を作成します。Sensitive Data Protection が環境変数のスキャンを開始します。
- Cloud Storage: 組織全体の Cloud Storage バケットのプロファイリング用の検出構成を作成します。Sensitive Data Protection は、Cloud Storage データのプロファイリングを開始し、プロファイルを Security Command Center に送信します。
- Vertex AI データセット: 組織全体の Vertex AI データセットのプロファイリング用の検出構成を作成します。Sensitive Data Protection は、Vertex AI データセットのプロファイリングを開始し、プロファイルを Security Command Center に送信します。
Amazon S3: AWS コネクタがアクセスできるすべての Amazon S3 データのプロファイリング用の検出構成を作成します。
Azure Blob Storage: Azure コネクタがアクセスできるすべての Azure Blob Storage データのプロファイリング用の検出構成を作成します。
新しく作成した検出構成を表示するには、[検出構成に移動] をクリックします。
Cloud SQL 検出を有効にした場合、検出構成は一時停止モードで作成され、認証情報が存在しないことを示すエラーが表示されます。検出で使用する接続を管理するで、サービス エージェントに必要な IAM ロールを付与し、各 Cloud SQL インスタンスのデータベース ユーザー認証情報を提供します。
ペインを閉じます。
既存の構成で Security Command Center への公開を有効にする
検出結果を Security Command Center に公開するように設定されていない既存の検出スキャン構成がある場合は、次の手順を行います。
[アクション] セクションで、[Security Command Center に公開] を有効にします。
[保存] をクリックします。
データ プロファイルに関連する Security Command Center の検出結果のクエリ
次のクエリの例は、Security Command Center で関連する Data
sensitivity と Data risk の検出結果を見つけるために使用できるものです。これらのクエリは、[クエリエディタ] フィールドに入力できます。クエリエディタの詳細については、Security Command Center ダッシュボードで検出結果クエリを編集するをご覧ください。
特定の BigQuery テーブルのすべての Data sensitivity と Data risk の検出結果を一覧表示する
このクエリは、BigQuery テーブルが別のプロジェクトに保存されているイベントを Security Command Center が検出する場合などに便利です。この場合、Exfiltration: BigQuery Data
Exfiltration 検出結果が生成され、流出したテーブルの完全な表示名が含まれます。テーブルに関連する Data sensitivity と Data risk の検出結果を検索できます。計算されたテーブルの機密性とデータリスク レベルを表示し、それに応じて対応を計画します。
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"
以下を置き換えます。
- PROJECT_ID: BigQuery テーブルを含むプロジェクトの ID
- DATASET_ID: テーブルのデータセット ID
- TABLE_ID: テーブルの ID
特定の Cloud SQL インスタンスのすべての Data sensitivity と Data risk の検出結果を一覧表示する
このクエリは、たとえば、ライブ Cloud SQL インスタンス データが組織外の Cloud Storage バケットにエクスポートされたイベントを Security Command Center が検出する場合などに便利です。この場合、Exfiltration: Cloud SQL Data
Exfiltration 検出結果が生成され、流出したインスタンスの完全なリソース名が含まれます。インスタンスに関連する Data sensitivity と Data risk の検出結果を検索できます。計算されたインスタンスの機密性とデータリスク レベルを表示し、それに応じて対応を計画します。
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"
次のように置き換えます。
- INSTANCE_NAME: Cloud SQL インスタンスの名前の一部
重大度レベルが High の Data risk と Data sensitivity のすべての検出結果を一覧表示する
state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"
次のステップ
- Security Command Center でデータの機密性によってリソースの優先度値を自動的に設定する方法について学習する。
- 環境変数のシークレットの存在を Security Command Center に報告する方法を学習する。