クラウド環境を保護するには、Identity and Access Management アカウントを不正使用から保護する必要があります。特権ユーザー アカウントが侵害されると、攻撃者はクラウド環境を変更できるようになります。そのため、あらゆる規模の組織を保護するには、潜在的な侵害を検出することが不可欠です。組織のセキュリティを維持するため、Google Cloud は IAM ユーザー アカウントによって実行された機密性の高いアクションをログに記録し、それらのアクションを組織の管理者に Advisory Notifications を介して直接通知します。
機密アクションとは、侵害されたアカウントを使用して悪意のある行為者が実行した場合に、組織に重大な悪影響を及ぼす可能性のあるアクションです。 Google Cloud これらのアクション自体は、必ずしも組織に対する脅威を表すものではなく、アカウントが不正使用されたことを示すものでもありません。ただし、ユーザーが正当な目的でアクションを行ったことを確認することをおすすめします。
機密アクションの通知を受け取るユーザー
Google Cloud は、組織レベルのセキュリティに関する重要な連絡先にメール通知を送信して、機密性の高いアクションを組織に通知します。重要な連絡先が構成されていない場合、組織レベルで組織管理者 IAM ロールを持つすべてのアカウントにメール通知が送信されます。
オプトアウト
組織で機密性の高いアクションの通知を受け取りたくない場合は、これらの通知を無効にできます。詳細については、通知を構成するをご覧ください。機密情報の操作に関する通知を無効にしても、アドバイザリ通知で配信される通知にのみ影響します。機密情報に関するアクションログは常に生成され、通知を無効にしても影響を受けません。Security Command Center を使用している場合、機密アクションの通知をオプトアウトしても、Sensitive Actions Service には影響しません。
Sensitive Actions の仕組み
Google Cloud は、組織の管理アクティビティ監査ログをモニタリングして、機密性の高いアクションを検出します。機密性の高いアクションが検出されると、 Google Cloud は、アクティビティが発生した同じリソースの Sensitive Actions Service プラットフォーム ログにアクションを書き込みます。また、 Google Cloud は、Advisory Notifications を介して配信される通知にイベントを含めます。
通知頻度
組織で機密アクションが初めて検出されたときに、最初のアクションと、その後の 1 時間以内に発生した他のアクションを含むレポートが届きます。最初のレポートの後は、組織内の新しい機密情報に関する操作について、30 日に 1 回以下の頻度でレポートが届きます。組織で機密アクションが長期間行われていない場合、次回機密アクションが検出されたときに 1 時間レポートが送信されることがあります。
機密アクションが生成されない場合
Google Cloud は、アクションを実行するプリンシパルがユーザー アカウントの場合にのみ、機密アクションを報告します。サービス アカウントによって行われたアクションは報告されません。Google は、エンドユーザーの認証情報を取得し、それを使用してクラウド環境で望ましくない操作を行う攻撃者から保護するために、この機能を開発しました。これらのアクションの多くはサービス アカウントの一般的な動作であるため、これらの ID に対してログとアドバイザリー通知は生成されません。
管理アクティビティ監査ログを特定のリージョン(global リージョン以外)に配置するように構成している場合、機密性の高いアクションは検出できません。たとえば、特定のリソースの _Required ログバケットのストレージ リージョンを指定している場合、そのリソースのログでは機密性の高いアクションをスキャンできません。
顧客管理の暗号鍵で暗号化するように管理アクティビティ監査ログを構成している場合、ログで機密性の高いアクションをスキャンすることはできません。
Security Command Center の機密性の高いアクション
Security Command Center を使用している場合は、Sensitive Actions Service を介して機密性の高いアクションを検出結果として受け取ることができます。
機密情報に関する操作ログとアドバイザリー通知は、組織内のアカウントの動作を把握するうえで役立ちますが、Security Command Center は、より複雑で大規模な、または重要なワークロードと環境を保護するセキュリティ チームに追加の分析情報と管理機能を提供します。全体的なセキュリティ モニタリング戦略の一環として、機密情報の操作をモニタリングすることをおすすめします。
Security Command Center の詳細については、以下をご覧ください。
料金
アドバイザリ通知の機密性の高いアクションに関する通知は、追加料金なしで提供されます。Cloud Logging の機密アクションログには、ロギングの料金に従って取り込みと保存の費用が発生します。機密アクションのログエントリの量は、組織内のユーザー アカウントが機密アクションを実行する頻度によって異なります。通常、このようなアクションは一般的ではありません。
機密情報に関する操作の種類
Google Cloud は、次の種類の機密性の高いアクションを通知します。
Sensitive Roles Added
オーナー(roles/owner)または編集者(roles/editor)の IAM ロールを持つプリンシパルが組織レベルで付与されました。これらのロールは、組織全体で多数のアクションを許可します。
Billing Admin Removed
組織レベルで請求先アカウント管理者(roles/billing.admin)IAM ロールが削除されました。このロールを削除すると、ユーザーが可視性を失い、攻撃者が検出されないようにするメカニズムが提供される可能性があります。
Organization Policy Changed
組織レベルで組織のポリシーが作成、更新、削除されました。このレベルの組織のポリシーは、組織のすべてのGoogle Cloud リソースのセキュリティに影響する可能性があります。
Project-level SSH Key Added
プロジェクト レベルの SSH 認証鍵が、以前にそのような鍵がなかった Google Cloud プロジェクトに追加されました。プロジェクト レベルの SSH 認証鍵は、プロジェクト内のすべての仮想マシン(VM)へのアクセス権を付与できます。
GPU Instance Created
最近そのプロジェクトで GPU インスタンスを作成していないユーザーが、プロジェクトに GPU を含む VM を作成しました。GPU を使用する Compute Engine インスタンスは、暗号通貨マイニングなどのワークロードをホストできます。
Many Instances Created
特定のプロジェクトでユーザーによって複数の VM インスタンスが作成されました。大量の VM インスタンスが、暗号通貨マイニングやサービス拒否攻撃などの予期しないワークロードに使用される可能性があります。
Many Instances Deleted
特定のプロジェクトで、ユーザーによって複数の VM インスタンスが削除されました。インスタンスの削除が大量に発生すると、ビジネスに支障をきたす可能性があります。
次のステップ
- 通知を表示する方法を確認する。
- 機密性の高いアクションに関する通知に対応する方法を確認する。
- 詳しくは、通知のオプトインとオプトアウトをご覧ください。