このページでは、Google Cloud プロジェクトで Security Command Center のスタンダード ティアまたはプレミアム ティアを有効にする方法について説明します。
組織全体で Security Command Center を有効にするには、次のいずれかをご覧ください。
- Security Command Center の Standard ティアまたは Premium ティアを組織で有効にする
- Security Command Center のエンタープライズ ティアを有効にする
前提条件
プロジェクトで Security Command Center を有効にするには、次の前提条件を満たしている必要があります。
- 前提条件を読んで、Security Command Center のプロジェクト レベルの有効化が組織レベルの有効化とどのように違うかを理解してください。
- 組織に関連付けられた Google Cloud プロジェクトが必要です。
- ユーザー アカウントには、必要な権限を含む Identity and Access Management(IAM)ロールを付与する必要があります。
- プロジェクトがドメインによって ID を制限するよう設定された組織のポリシーを継承している場合、ユーザーとサービス アカウントが許可されたドメイン内にある必要があります。
- Container Threat Detection を使用する場合は、Google Kubernetes Engine クラスタが Container Threat Detection をサポートしている必要があります。
前提条件の情報
Security Command Center のプロジェクト レベルでの有効化と組織レベルでの有効化の違いについては、プロジェクト レベルでの Security Command Center の有効化の概要をご覧ください。
プロジェクト レベルの有効化でサポートされていないサービスと Security Command Center の検出結果については、プロジェクト レベルでの有効化のサービスの制限をご覧ください。
プロジェクト要件
プロジェクトで Security Command Center を有効にするには、プロジェクトが組織に関連付けられている必要があります。プロジェクトを作成する必要がある場合は、プロジェクトの作成と管理をご覧ください。
このタスクに必要な IAM ロール
Security Command Center を設定するには、Security Command Center を有効にするプロジェクトのユーザー アカウントに次の IAM ロールを付与する必要があります。
- セキュリティ センター管理者
roles/securitycenter.admin - セキュリティ管理者
roles/iam.securityAdmin - 必要な Security Command Center サービス アカウントがまだ組織レベルのアクティベーションで存在していない場合は、サービス アカウント
roles/iam.serviceAccountCreatorを作成します。
詳細については、Security Command Center のロールをご覧ください。
組織のポリシーを確認する
プロジェクトが、ドメインによって ID を制限する組織のポリシーを継承する場合は、次の要件を満たす必要があります。
- 許可されたドメイン内のアカウントで Google Cloud コンソールにログインする必要があります。
- サービス アカウントは、許可されたドメイン内にあるか、ドメイン内のグループのメンバーである必要があります。この要件により、ドメインで制限された共有が有効な場合に、
@*.gserviceaccount.comサービスによるリソースへのアクセスを許可できます。
Container Threat Detection のソフトウェア バージョンを確認する
Google Kubernetes Engine(GKE)で Container Threat Detection を使用する場合は、クラスタがサポート対象バージョンの GKE にあり、正しく構成されていることを確認します。詳細については、Container Threat Detection の使用をご覧ください。
プロジェクトでの有効化のシナリオ
このページでは、次の有効化シナリオについて説明します。
- 組織で Security Command Center を有効にしたことがない場合、プロジェクトの Security Command Center のプレミアムまたはスタンダード ティアを有効にします。
- スタンダード ティアを使用する組織で、プロジェクトの Security Command Center プレミアム ティアを有効にします。
- 期限切れのプレミアム ティア サブスクリプションを使用している組織で、プロジェクトの Security Command Center のプレミアム ティアを有効にします。
組織が Security Command Center を使用しているかどうかに応じて、プロジェクトで Security Command Center を有効にする方法が異なります。
組織で Security Command Center を使用していない場合は、Google Cloud コンソールに一連の設定ページが表示されます。
組織で Security Command Center を使用している場合は、[設定] ページの [ティアの詳細] タブを使用して、プロジェクトの Security Command Center プレミアムを有効にします。
組織で Security Command Center がすでに有効になっているかどうかを確認する
Security Command Center が組織ですでにアクティブになっているかどうかによって、プロジェクトで Security Command Center を有効にする方法が異なります。
組織で Security Command Center がすでに有効になっているかどうかを確認するには、次の手順を完了します。
Google Cloud コンソールで Security Command Center の [概要] ページに移動します。
Security Command Center を有効にするプロジェクトの名前を選択します。
プロジェクトを選択すると、次のいずれかのページが開きます。
- 組織で Security Command Center が有効になっている場合は、[リスクの概要] ページが開きます。
- 組織で Security Command Center が有効になっていない場合は、[Security Command Center の設定] ページが開き、そこからプロジェクトの有効化プロセスを開始できます。
組織で Security Command Center がすでに有効になっている場合は、現在アクティブになっているサービスティアを確認します。
Security Command Center の [設定] ページを開きます。
[設定] ページで、[ティアの詳細] をクリックします。[ティア] ページが開きます。
[ティア] 行に、プロジェクトが継承しているサービスティアが表示されます。
プロジェクトで Security Command Center を有効にするには、親組織での Security Command Center の状態に応じて次の操作を行います。
組織で Security Command Center がアクティブなときにプロジェクトで有効にする
組織で Security Command Center がすでに有効になっている場合、プロジェクト レベルで有効にする必要があるサービスティアはプレミアム ティアのみです。これは、プロジェクトでは少なくともスタンダード ティアの使用を継承するからです。
各ティアに含まれる機能については、Security Command Center のティアをご覧ください。
組織で Security Command Center がアクティブな場合、Google Cloud コンソールでプロジェクトを選択し、Security Command Center で [設定] ページのプレミアム ティアを選択することで、プロジェクト レベルのアクティベーション プロセスを開始します。
[設定] ページで [ティアの詳細] タブを開きます。
プロジェクトの選択ページが開き、[ティアの詳細] ページが表示されます。
プロジェクトを選択します。[ティアの詳細] ページが開きます。
ティアの詳細ページで、次のいずれかのオプションをクリックします。
- プロジェクトのティアを管理
- プレミアムに登録
[ティアの管理] ページが開きます。
[ティアの管理] ページで、[プレミアム] を選択します。
[次へ] をクリックします。[サービス] ページが開きます。
[サービス] ページで、リストされているサービスの左側にあるメニューから次のいずれかの値を選択して、必要に応じて組み込みサービスをオンまたはオフにします。
- 継承(デフォルト エントリ)
- 有効にする
- 無効化
これで Security Command Center の有効化が完了しました。初期スキャンが完了するまで待ちます。
組織で Security Command Center がアクティブでないときにプロジェクトで有効にする
組織で Security Command Center を使用していない場合、Google Cloud コンソールには、プロジェクトの Security Command Center を有効にする一連の設定ページが表示されます。
ステップ 1: ティアを選択する
組織で Security Command Center が有効になっていない場合、Google Cloud コンソールで Security Command Center を開くと、[Security Command Center の設定] ページが表示されます。ティアを選択して有効化プロセスを開始します。
Security Command Center には、スタンダード、プレミアム、エンタープライズの 3 つのティアがあります。選択したティアによって、使用できる機能と、Security Command Center の使用料金が決まります。エンタープライズ ティアは組織レベルでのみ有効にできます。詳細については、Security Command Center のエンタープライズ ティアを有効にするをご覧ください。
各ティアに含まれる機能については、Security Command Center のティアをご覧ください。
ティアを選択して Security Command Center の有効化プロセスを開始するには、次の手順を行います。
Google Cloud コンソールで Security Command Center の [概要] ページに移動します。
Security Command Center を有効にするプロジェクトの名前を選択します。
プロジェクトを選択すると、Security Command Center により [Security Command Center の取得] ページが開くので、ティアを選択して有効化プロセスを開始します。Security Command Center のコンソールが表示されたら、組織またはプロジェクトで Security Command Center が有効になっています。
必要なサービスに応じて、プレミアムティア、またはスタンダードティアを選択します。
[Next] をクリックします。[サービスの選択] ページが開きます。
次のセクションでは、プロジェクトで有効にする組み込みサービスを選択します。
ステップ 2: サービスを選択する
[サービスの選択] ページには、Security Command Center のすべての組み込みサービスが表示されます。
[サービス] ページで、リストされているサービスの左側にあるメニューから次のいずれかの値を選択して、必要に応じて組み込みサービスをオンまたはオフにします。
- 継承
- 有効にする
- 無効化
有効化プロセスが完了したら、有効にするサービスのドキュメントを参照して、サービスで必要となる追加手順を確認します。
[Next] をクリックします。[ロールの付与] ページが開きます。
ステップ 3: サービス エージェントを構成する
Security Command Center を初めて有効にすると、Security Command Center とその検出サービスの IAM サービス エージェントが自動的に作成されます。
以下の手順で説明するように、Security Command Center とその検出サービスが機能を実行するために必要な権限を与える IAM ロールをこれらのサービス エージェントに付与します。
プロジェクト レベルで Security Command Center を有効にしており、組織で Security Command Center がまだ有効になっていない場合は、次のプロジェクト レベルのサービス エージェントが作成されます。
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com。このサービス アカウントにsecuritycenter.serviceAgentIAM ロールを付与します。service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com。このサービス アカウントにroles/containerthreatdetection.serviceAgentIAM ロールを付与します。
PROJECT_NUMBER の部分にはプロジェクト番号が含まれます。
サービス エージェントに IAM ロールを付与する手順は次のとおりです。
必要に応じて、[ロールの付与] ページで [許可を確認] をクリックして、付与するロールと権限を確認します。
[ロールを付与] をクリックすると、必要なロールが自動的に付与されます。
ロールを手動で付与する場合は、次の手順を完了します。
- [別の方法: 手動によるロールの付与(gcloud)] をクリックします。
- gcloud CLI コマンドをコピーします。
- Google Cloud コンソールのツールバーで、「Cloud Shell をアクティブにする」をクリックします。
- 表示されたターミナル ウィンドウで、コピーした gcloud CLI コマンドを貼り付けて Enter キーを押します。
[Next] をクリックします。[設定の完了] ページが開きます。
ステップ 4: 有効化を確認する
次の手順に沿って Security Command Center の有効化を完了します。
- [設定の完了] ページで、[完了] をクリックします。
設定が完了すると、Security Command Center が初期アセット スキャンを開始します。その後、コンソールを使用して、プロジェクト全体の Google Cloud のセキュリティとデータリスクを確認し、修正できます。
一部のサービスでスキャンが開始されるまでに時間がかかる場合があります。個々のプロジェクトのサービスの遅延またはスキャン レイテンシは、通常、組織と比べて短くなりますが、レイテンシの理由のほとんどが引き続き適用されます。組織に適用されるレイテンシの詳細については、Security Command Center のレイテンシの概要で有効化プロセスの詳細をご覧ください。
すべての有効化シナリオで、組み込みサービスを最適化してテストする
Security Command Center を有効にした後、サービスのドキュメントを参照して、サービスをさらにテストまたは最適化できるかどうかを確認します。
たとえば、Event Threat Detection は Google Cloud によって生成されたログに依存します。一部のログは常時有効になっているため、Event Threat Detection を有効にするとすぐにスキャンを開始できます。他のログ(データアクセス監査ログなど)は、Event Threat Detection がスキャンを開始する前に有効にする必要があります。詳細については、ログのタイプと有効化の要件をご覧ください。
組み込みサービスのテストと使用については、次のページをご覧ください。
- Container Threat Detection を使用する
- Event Threat Detection を使用
- Security Health Analytics を使用
- Virtual Machine Threat Detection を使用する
- Web Security Scanner を使用する
次のステップ
Security Command Center とその組み込みサービスの詳細を確認する。
- Security Command Center を使用して、アセット、検出結果、脆弱性を確認する方法を学習する。
- Google Cloud のセキュリティ ソースについて学習します。
- Security Command Center にセキュリティ ソースを追加する方法を学習する。